Microsoft Azure 政府使用与全球 Azure 相同的基础技术,其中包括 基础结构即服务(IaaS)、 平台即服务(PaaS)和 软件即服务(SaaS)的核心组件。 Azure 和 Azure 政府都有相同的全面安全控制措施,以及针对保护客户数据的相同Microsoft承诺。 尽管 Azure 和 Azure 政府版云环境均在 FedRAMP High 影响级别进行评估和授权,但 Azure 政府版通过与在美国存储客户数据有关的合同承诺,并仅限经过筛选的美国人员才能访问处理客户数据的系统,为客户提供额外一层保护。 这些承诺可能对使用云来存储或处理受美国出口管制法规约束的数据的客户感兴趣。
注释
这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。
导出控制影响
你负责设计和部署应用程序以满足 美国出口控制要求 ,例如 EAR、ITAR 和 DoE 10 CFR 第 810 部分规定的要求。 这样做时,不应在 Azure 资源名称中包含敏感或受限的信息,如 命名 Azure 资源的注意事项中所述。
开发人员指南
大多数当前可用的技术内容假定应用程序正在全球 Azure 而不是 Azure 政府上进行开发。 因此,请务必了解在 Azure 政府中为托管而开发的应用程序的两个关键差异。
全球 Azure 特定区域中的某些服务和功能可能无法在 Azure 政府版中使用。
Azure 政府中的功能配置可能与全球 Azure 中的配置不同。
因此,请务必查看示例代码和配置,以确保在 Azure 政府云服务环境中生成。
有关详细信息,请参阅 Azure 政府版开发人员指南。
注释
本文已更新为使用新的 Azure PowerShell Az 模块。 你仍然可以使用 AzureRM 模块,至少在 2020 年 12 月之前,它将继续接收 bug 修补程序。 若要详细了解新的 Az 模块和 AzureRM 兼容性,请参阅 新的 Azure PowerShell Az 模块简介。 有关 Az 模块安装说明,请参阅 安装 Azure Az PowerShell 模块。
可以使用 AzureCLI 或 PowerShell 为您已配置的服务获取 Azure 政府服务端点:
使用 Azure CLI 运行 az cloud show 命令,并提供
AzureUSGovernment作为目标云环境的名称。 例如,az cloud show --name AzureUSGovernment应获取 Azure 政府的不同终结点。
使用 PowerShell cmdlet(例如 Get-AzEnvironment )获取 Azure 服务的实例的终结点和元数据。 例如,
Get-AzEnvironment -Name AzureUSGovernment应获取 Azure 政府的属性。 此 cmdlet 从订阅数据文件中获取环境。
下表列出了 Azure 与 Azure 政府中用于访问和管理一些更常用服务的 API 终结点。 如果预配了下表中未列出的服务,请参阅上面的 Azure CLI 和 PowerShell 示例,获取有关如何获取相应 Azure 政府终结点的建议。
| 服务类别 | 服务名称 | Azure 公有云 | Azure 政府云 | 注释 |
|---|---|---|---|---|
| AI + 机器学习 | Azure 机器人服务 | botframework.com | botframework.azure.us | |
| Azure AI 文档智能 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
| Azure OpenAI 服务 | openai.azure.com | openai.azure.us | ||
| 计算机视觉 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
| 自定义视觉 | cognitiveservices.azure.com | cognitiveservices.azure.us门户 |
||
| 内容审核员 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
| 人脸 API | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
| 语言理解 | cognitiveservices.azure.com | cognitiveservices.azure.us 门户 |
属于 Azure AI 语言 | |
| 个性化工具 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
| QnA Maker (问答生成器) | cognitiveservices.azure.com | cognitiveservices.azure.us | 属于 Azure AI 语言 | |
| 语音服务 | 请参阅 STT API 文档 | Speech Studio 请参阅语音服务终结点语音翻译终结点 弗吉尼亚:亚利桑那: https://usgovvirginia.s2s.speech.azure.ushttps://usgovarizona.s2s.speech.azure.us |
||
| 文本分析 | cognitiveservices.azure.com | cognitiveservices.azure.us | 属于 Azure AI 语言 | |
| 翻译员 | 请参阅 翻译 API 文档 | cognitiveservices.azure.us | ||
| 分析学 | Azure HDInsight | azurehdinsight.net | azurehdinsight.us | |
| 事件中心 | servicebus.windows.net | servicebus.usgovcloudapi.net | ||
| Power BI | app.powerbi.com | app.powerbigov.us | Power BI US Gov | |
| 计算 | 批次 | batch.azure.com | batch.usgovcloudapi.net | |
| 云服务 | cloudapp.net | usgovcloudapp.net | ||
| 容器 | Azure Service Fabric | cloudapp.azure.com | cloudapp.usgovcloudapi.net | |
| 容器注册表 | azurecr.io | azurecr.us | ||
| 数据库 | 适用于 Redis 的 Azure 缓存 | redis.cache.windows.net | redis.cache.usgovcloudapi.net | 请参阅 如何连接到其他云 |
| Azure Cosmos DB(Azure 宇宙数据库) | documents.azure.com | documents.azure.us | ||
| 适用于 MariaDB 的 Azure 数据库 | mariadb.database.azure.com | mariadb.database.usgovcloudapi.net | ||
| 适用于 MySQL 的 Azure 数据库 | mysql.database.azure.com | mysql.database.usgovcloudapi.net | ||
| 适用于 PostgreSQL 的 Azure 数据库 | postgres.database.azure.com | postgres.database.usgovcloudapi.net | ||
| Azure SQL 数据库 | database.windows.net | database.usgovcloudapi.net | ||
| 身份 | Microsoft Entra 身份识别系统 | login.microsoftonline.com | login.microsoftonline.us | |
| certauth.login.microsoftonline.com | certauth.login.microsoftonline.us | |||
| passwordreset.microsoftonline.com | passwordreset.microsoftonline.us | |||
| 集成 | 服务总线 | servicebus.windows.net | servicebus.usgovcloudapi.net | |
| 物联网 | Azure IoT 中心 | azure-devices.net | azure-devices.us | |
| Azure Maps | atlas.microsoft.com | atlas.azure.us | ||
| 通知中心 | servicebus.windows.net | servicebus.usgovcloudapi.net | ||
| 管理和治理 | Azure 自动化 | azure-automation.net | azure-automation.us | |
| Azure Monitor Application Insights |
{region}.in.applicationinsights.azure.com | {region}.in.applicationinsights.azure.us | 其他终结点 | |
| Azure Monitor Log Analytics |
mms.microsoft.com | oms.microsoft.us | Log Analytics 工作区门户 | |
| ods.opinsights.azure.com | ods.opinsights.azure.us | 数据收集器 API | ||
| oms.opinsights.azure.com | oms.opinsights.azure.us | |||
| portal.loganalytics.io | portal.loganalytics.us | |||
| api.loganalytics.io | api.loganalytics.us | |||
| docs.loganalytics.io | docs.loganalytics.us | |||
| adx.monitor.azure.com | adx.monitor.azure.us | 数据资源管理器查询 | ||
| Azure 资源管理器 | management.azure.com | management.usgovcloudapi.net | ||
| 库 URL | gallery.azure.com | gallery.azure.us | ||
| Microsoft Azure 门户 | portal.azure.com | portal.azure.us | ||
| Microsoft Intune | enterpriseresgistration.windows.net | enterpriseregistration.microsoftonline.us | 企业注册 | |
| manage.microsoft.com | manage.microsoft.us | 企业注册 | ||
| 迁移 | Azure Site Recovery(Azure 站点恢复) | hypervrecoverymanager.windowsazure.com | hypervrecoverymanager.windowsazure.us | Site Recovery 服务 |
| backup.windowsazure.com | backup.windowsazure.us | 保护服务 | ||
| blob.core.windows.net | blob.core.usgovcloudapi.net | 存储 VM 快照 | ||
| 联网 | 流量管理器 | trafficmanager.net | usgovtrafficmanager.net | |
| 安全性 | Key Vault(密钥保管库) | vault.azure.net | vault.usgovcloudapi.net | |
| 托管的 HSM | managedhsm.azure.net | managedhsm.usgovcloudapi.net | ||
| 存储 | Azure 备份服务 | backup.windowsazure.com | backup.windowsazure.us | |
| 团块 | blob.core.windows.net | blob.core.usgovcloudapi.net | ||
| 队列 | queue.core.windows.net | queue.core.usgovcloudapi.net | ||
| 表 | table.core.windows.net | table.core.usgovcloudapi.net | ||
| 文件 | file.core.windows.net | file.core.usgovcloudapi.net | ||
| 虚拟桌面基础结构 | Azure 虚拟桌面 | 请参阅 AVD 文档 | 请参阅 AVD 文档 | |
| 网络 | API 管理 | management.azure.com | management.usgovcloudapi.net | |
| API 管理网关 | azure-api.net | azure-api.us | ||
| API 管理 | management.azure-api.net | management.azure-api.us | ||
| API 管理门户 | portal.azure-api.net | portal.azure-api.us | ||
| 应用程序配置 | azconfig.io | azconfig.azure.us | ||
| 应用服务 | azurewebsites.net | azurewebsites.us | ||
| Azure AI 搜索 | search.windows.net | search.azure.us | ||
| Azure Functions(Azure 功能服务) | azurewebsites.net | azurewebsites.us |
服务可用性
Microsoft Azure 政府版的目标是匹配 Azure 中的服务可用性。 有关 Azure 政府版中的服务可用性,请参阅 可用产品(按区域)。 Azure 政府版中可用的服务按类别列出,以及它们是正式版还是通过预览版提供。 如果 Azure 政府版中提供了一项服务,本文的其余部分不会重申这一事实。 相反,建议查看 按区域提供的产品 ,了解服务可用性的最新 up-to日期信息。
一般情况下,Azure 政府版中的服务可用性意味着所有相应的服务功能都可供你使用。 根据 Azure 服务联机目录中概述的主要服务类别,跟踪和解释这种方法的变体及其他适用限制。 还提供了有关 Azure 政府版中服务部署和使用情况的其他注意事项。
AI + 机器学习
本部分概述了在 Azure 政府环境中使用 Azure 机器人服务、 Azure 机器学习和 认知服务 时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure 机器人服务
以下 Azure 机器人服务 功能目前 在 Azure 政府版中不可用:
- Bot Framework Composer 集成
- 通道(由于依赖服务的可用性)
- Direct Line 语音通道
- 电话频道(预览版)
- Microsoft搜索频道(预览版)
- Kik 频道 (已弃用)
有关如何将 Bot Framework 和 Azure 机器人服务机器人部署到 Azure 政府的信息,请参阅 为美国政府客户配置 Bot Framework 机器人。
Azure 机器学习
有关功能变体和限制,请参阅 跨云区域的 Azure 机器学习功能可用性。
Azure AI 服务:内容审查器
以下内容审查器 功能目前 在 Azure 政府版中不可用:
- 查看 UI 并查看 API。
Azure AI 语言理解 (LUIS)
Azure 政府版 当前不提供 以下语言理解功能:
- 语音请求
- 预生成域
Azure AI 语言理解(LUIS)是 Azure AI 语言的一部分。
Azure AI 语音
有关功能变体和限制,包括 API 终结点,请参阅 主权云中的语音服务。
Azure AI 服务:OpenAI 服务
有关功能变体和限制,请参阅 Azure Gov 中的 Azure OpenAI。
Azure AI 服务:翻译器
有关功能变体和限制(包括 API 接口),请参阅主权云中的 翻译工具。
数据分析
本部分概述了在 Azure 政府环境中使用 Analytics 服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure HDInsight
对于受保护的虚拟网络,需要允许网络安全组(NSG)访问特定 IP 地址和端口。 对于 Azure 政府,应允许以下 IP 地址(全部具有允许的端口 443):
| 区域 | 允许的 IP 地址 | 允许的端口 |
|---|---|---|
| US DoD 中部 | 52.180.249.174 52.180.250.239 |
443 |
| 美国国防部东部 | 52.181.164.168 52.181.164.151 |
443 |
| 美国政府 德克萨斯州 | 52.238.116.212 52.238.112.86 |
443 |
| 美国政府 弗吉尼亚州 | 13.72.49.126 13.72.55.55 13.72.184.124 13.72.190.110 |
443 |
| 美国政府 亚利桑那州 | 52.127.3.176 52.127.3.178 |
443 |
有关如何使用 HDInsight 在 Azure 政府版上构建以数据为中心的解决方案的演示,请参阅 Azure 政府版上的 Azure AI 服务、HDInsight 和 Power BI。
Power BI
有关使用指南、功能变体和限制,请参阅 适用于美国政府客户的 Power BI。 有关如何使用 Power BI 在 Azure 政府版上构建以数据为中心的解决方案的演示,请参阅 Azure 政府版上的 Azure AI 服务、HDInsight 和 Power BI。
Power BI Embedded
若要了解如何在业务流程应用程序中嵌入分析内容,请参阅 教程:将 Power BI 内容嵌入到适用于国家云的应用程序中。
数据库
本部分概述了在 Azure 政府环境中使用数据库服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure Database for MySQL
以下 Azure Database for MySQL 功能目前在 Azure 政府中不可用:
- 高级威胁防护
Azure Database for PostgreSQL
有关 Azure 政府区域中的灵活服务器可用性,请参阅 Azure Database for PostgreSQL 灵活服务器。
以下 Azure Database for PostgreSQL 功能目前 在 Azure 政府版中不可用:
- Azure Cosmos DB for PostgreSQL,原名 Azure Database for PostgreSQL – Hyperscale(Citus)。 有关支持的区域的详细信息,请参阅 Azure Cosmos DB for PostgreSQL 的区域可用性。
- 单服务器部署选项的以下功能
- 高级威胁防护
- 长期保留的备份
开发人员工具
本部分概述了在 Azure 政府环境中使用开发人员工具时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
企业开发/测试订阅优惠
- 现有租户或单独租户中的 Enterprise 开发/测试订阅套餐目前仅在 Azure 公有云中提供,如 Azure EA 门户管理中所述。
身份
本部分概述了在 Azure 政府环境中使用标识服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Microsoft Entra ID P1 和 P2
有关功能变体和限制,请参阅 云功能可用性。
有关如何在 Azure 与 Azure 政府之间使用 Power BI 功能进行协作的信息,请参阅 跨云 B2B。
以下功能在 Azure 政府版中存在已知限制:
受支持 Azure 美国政府租户中的 B2B 协作的限制:
- 有关 Azure 政府版中的 B2B 协作限制的详细信息,并了解 B2B 协作是否在 Azure 政府租户中可用,请参阅 政府云和国家云中的 entra B2B Microsoft。
多重身份验证的限制:
- Azure 政府版不支持受信任的 IP。 改用具有命名位置的条件访问策略,以根据用户当前的 IP 地址设定多重身份验证的要求和无需要求的条件。
Azure Active Directory B2C
Azure Active Directory B2C 在 Azure 政府版中 不可用 。
Microsoft 身份验证库 (MSAL)
借助 Microsoft 身份验证库 (MSAL),开发人员能够从 Microsoft 标识平台获取安全令牌,以便对用户进行身份验证并访问受保护的 Web API。 有关功能变体和限制,请参阅 国家云和 MSAL。
管理和治理
本部分概述了在 Azure 政府环境中使用管理和治理服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
自动化
Azure 政府版 当前不提供 以下自动化功能:
- 自动化分析解决方案
Azure 顾问
有关功能变体和限制,请参阅 主权云中的 Azure 顾问。
Azure Lighthouse
以下 Azure Lighthouse 功能目前 在 Azure 政府版中不可用:
- 发布到 Azure 市场的托管服务产品
- 不支持跨一个国家云和 Azure 公有云,或跨两个单独国家云的订阅委派
- 未启用 Privileged Identity Management (PIM) 功能,例如实时 (JIT)/符合条件的授权功能
Azure 托管 Grafana
以下文档包含有关 Azure 政府版中的 Azure 托管 Grafana 功能可用性的信息: Azure 托管 Grafana:主权云中的功能可用性。
Azure Monitor
Azure Monitor 在 Azure 和 Azure 政府版中启用相同的功能。
- 在 Azure 和 Azure 政府版中,System Center Operations Manager 2019 同样受支持。
以下选项适用于早期版本的 System Center Operations Manager:
- 将 System Center Operations Manager 2016 与 Azure 政府版集成需要更新的顾问管理包,该管理包包含在更新汇总 2 或更高版本中。
- System Center Operations Manager 2012 R2 需要更新汇总 3 或更高版本随附的更新顾问管理包。
有关详细信息,请参阅 将 Operations Manager 连接到 Azure Monitor。
常见问题解答
- 是否可以将数据从 Azure 中的 Azure Monitor 日志迁移到 Azure 政府版?
- 否。 无法将数据或工作区从 Azure 移动到 Azure 政府版。
- 是否可以从 Operations Management Suite 门户在 Azure 和 Azure 政府版工作区之间切换?
- 否。 Azure 和 Azure 政府的门户是独立的,不共享信息。
Application Insights
Application Insights(Azure Monitor 的一部分)在 Azure 和 Azure 政府版中启用相同的功能。 本部分介绍在 Azure 政府中使用 Application Insights 所需的补充配置。
Visual Studio – 在 Azure 政府版中,可以对在 Azure 应用服务上运行的 ASP.NET、ASP.NET Core、Java 和基于 Node.js 的应用程序启用监视。 有关详细信息,请参阅 Azure 应用服务的应用程序监视概述。 在 Visual Studio 中,转到“工具”|选项 |帐户 |已注册的 Azure 云 |添加新的 Azure 云并选择 Azure 美国政府版作为发现终结点。 在“文件 | 帐户设置”中添加帐户后,系统将提示您选择要从哪个云服务添加。
SDK 终结点修改 – 若要将数据从 Application Insights 发送到 Azure 政府区域,需要修改 Application Insights SDK 使用的默认终结点地址。 每个 SDK 都需要略有不同的修改,如 Application Insights 重写默认终结点中所述。
防火墙例外 – Application Insights 使用多个 IP 地址。 如果你监视的应用托管在防火墙后面,则可能需要知道这些地址。 有关详细信息,请参阅 Azure Monitor 使用的 IP 地址 ,从那里下载 Azure 政府 IP 地址。
注释
尽管这些地址是静态的,但我们可能随时需要更改它们。 除了需要入站防火墙规则的可用性监视和 Webhook 之外,所有 Application Insights 流量都表示出站流量。
若要允许 Application Insights SDK/代理将数据发送到 Application Insights 资源,需要允许访问连接字符串中定义的区域终结点,并在防火墙中打开 传出端口 443 。 若要了解有关终结点后缀的详细信息,请参阅 Application Insights 中的连接字符串。
成本管理和计费
以下Microsoft成本管理 + 计费 功能目前 在 Azure 政府版中不可用:
- 云服务解决方案提供商的成本管理和计费
媒体
本部分概述了在 Azure 政府环境中使用媒体服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
媒体服务
有关 Azure 政府版中的 Azure 媒体服务 v3 功能变体,请参阅 Azure 媒体服务 v3 云和区域可用性。
迁移
本部分概述了在 Azure 政府环境中使用迁移服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure Migrate
以下 Azure Migrate 功能目前 在 Azure 政府版中不可用:
- 在(Linux 服务器上的)Apache Tomcat 上对 Java Web 应用进行容器化,并将其部署到应用服务上的 Linux 容器中。
- 在 Apache Tomcat(Linux 服务器上)容器化 Java Web 应用,并在 Azure Kubernetes 服务(AKS)上的 Linux 容器上部署它们。
- 容器化 ASP.NET 应用并将其部署到 AKS 上的 Windows 容器。
- 容器化 ASP.NET 应用并将其部署到应用服务上的 Windows 容器中。
- 只能为 Azure 政府创建评估,Azure 政府作为目标区域并使用 Azure 政府产品/服务。
有关详细信息,请参阅 Azure Migrate 支持矩阵。 有关连接到 Internet 时 Azure Migrate 设备所需的 Azure 政府 URL 列表,请参阅 Azure Migrate 设备 URL 访问。
网络
本部分概述了在 Azure 政府环境中使用网络服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure ExpressRoute
有关 ExpressRoute 的概述,请参阅 什么是 Azure ExpressRoute?。 有关 BGP 社区 如何与 Azure 政府中的 ExpressRoute 配合使用的概述,请参阅 国家云中的 BGP 社区支持。
Azure Front Door
Azure Front Door (AFD) 标准和高级层在 Azure 政府区域(US Gov 亚利桑那州和 US Gov 德克萨斯州)已达到一般可用性。
专用链接
- 有关专用链接服务的可用性,请参阅 Azure 专用链接可用性。
- 有关专用 DNS 区域名称,请参阅 Azure 专用终结点 DNS 配置。
流量管理器
流量管理器运行状况检查可能源自 Azure 政府的特定 IP 地址。 查看 JSON 文件中的 IP 地址,以确保这些 IP 地址的传入连接被终结点允许,从而检测其健康状况。
安全
本部分概述了在 Azure 政府环境中使用安全服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Microsoft Defender for Endpoint
有关功能变体和限制,请参阅 Microsoft Defender for Endpoint 适用于美国政府客户。
Microsoft Defender for IoT
有关功能变体和限制,请参阅 美国政府客户的云功能可用性。
Azure 信息保护
Azure 信息保护高级版是 企业移动性 + 安全 套件的一部分。 有关此服务及其用法的详细信息,请参阅 Azure 信息保护高级政府版服务说明。
Microsoft Defender for Cloud
有关功能变体和限制,请参阅 美国政府客户的云功能可用性。
Microsoft Sentinel
有关功能变体和限制,请参阅 美国政府客户的云功能可用性。
储存
本部分概述了在 Azure 政府环境中使用存储服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
Azure NetApp Files
有关 Azure 政府版中的 Azure NetApp 文件功能可用性以及如何访问 Azure 政府中的 Azure NetApp 文件服务,请参阅适用于 Azure 政府版的 Azure NetApp 文件。
Azure 导入/导出
对于 US Gov 亚利桑那州和 US Gov 德克萨斯州的导入/导出工作,邮寄地址是 US Gov 弗吉尼亚州。 数据从 US Gov 弗吉尼亚州区域加载到所选存储帐户中。 对于所有作业,我们建议在作业完成后轮换存储帐户密钥,以删除在此过程中授予的任何访问权限。 有关详细信息,请参阅管理存储帐户访问密钥。
网络
本部分概述了在 Azure 政府环境中使用 Web 服务时的变体和注意事项。 有关服务可用性,请查看可用产品(按区域)。
API 管理
Azure 政府版 中当前不提供 以下 API 管理功能:
- Azure AD B2C 集成
应用程序服务
以下应用服务 资源目前 在 Azure 政府版中不可用:
- 应用服务证书
- 应用服务托管证书
- 应用服务域
以下应用服务 功能目前 在 Azure 政府版中不可用:
- 部署
- 部署选项:只有本地 Git 存储库和外部存储库可用
Azure Functions
将 Functions 应用连接到 Azure 政府版中的 Application Insights 时,请确保使用 APPLICATIONINSIGHTS_CONNECTION_STRING,这样就可以自定义 Application Insights 终结点。
后续步骤
详细了解 Azure 政府版:
开始使用 Azure 政府版: