比較 Azure Government 和全球 Azure
Microsoft Azure Government 使用與全域 Stack 相同的基礎技術,包括基礎結構即服務 (IaaS)、平台即服務 (PaaS) 和軟體即服務 (SaaS) 核心元件。 Azure 和 Azure Government 皆有相同的完整安全性控制項,以及 Microsoft 對於保護客戶資料的相同承諾。 雖然這兩個雲端環境都會在 FedRAMP 高影響層級進行評定和授權,但 Azure Government 能透過合約承諾提供在美國儲存的客戶資料安全,以及限制對處理客戶資料給已篩選美國人員之系統的潛在存取權,提供客戶額外的保護層。 受美國出口管制法規約束而使用雲端來儲存或處理資料的客戶可能會對這些承諾感興趣。
注意
這些清單和資料表不包含 Azure Government Secret 或 Azure Government Top Secret 雲端中的功能或套件組合可用性。 如需實體隔離斷網的雲端有何特定可用性的詳細資訊,請連絡您的帳戶小組。
出口管制影響
您必須負責設計及部署應用程式,以符合美國出口管制要求 (例如 EAR、ITAR 和 DoE 法規第 10 章第 810 條中所述的要求)。 這樣做時,您不應在 Azure 資源名稱中包含敏感性或受限制的資訊,如命名 Azure 資源的考量中所述。
開發人員指導方針
目前大部分可取得的技術內容皆假設應用程式是在全域 Azure 上開發,而不是在 Azure Government 上開發。 基於這個理由,在開發裝載於 Azure Government 的應用程式時,務必要知道兩個重要的差異。
某些在全域 Azure 特定區域中的服務和功能可能無法在 Azure Government 中提供。
Azure Government 中的功能設定可能會與全域 Azure 中的設定不同。
因此,務必檢閱您的範例程式碼和設定,以確保您是在「Azure Government 雲端服務」環境內進行建置。
如需詳細資訊,請參閱 Azure Government 開發人員指南。
注意
本文已更新為使用新的 Azure PowerShell Az 模組。 AzureRM 模組在至少 2020 年 12 月之前都還會持續收到錯誤 (Bug) 修正,因此您仍然可以持續使用。 若要深入了解新的 Az 模組和 AzureRM 的相容性,請參閱新的 Azure PowerShell Az 模組簡介。 如需 Az 模組安裝指示,請參閱安裝 Azure Az PowerShell 模組。
您可以使用 AzureCLI 或 PowerShell 來取得您所佈建服務的 Azure Government 端點:
使用 Azure CLI 執行 az cloud show 命令,並提供
AzureUSGovernment
做為目標雲端環境的名稱。 例如,az cloud show --name AzureUSGovernment
應該會讓您取得 Azure Government 的不同端點。
使用 PowerShell Cmdlet (例如 Get-AzEnvironment) 來取得 Azure 服務執行個體的端點和中繼資料。 例如,
Get-AzEnvironment -Name AzureUSGovernment
應該會讓您取得 Azure Government 的屬性。 此 Cmdlet 會從您的訂用帳戶資料檔案取得環境。
下表列出 Azure 中的 API 端點與Azure Government 用於存取及管理一些更常見的服務。 如果您佈建的服務未列在下表中,請參閱上述 Azure CLI 和 PowerShell 範例,以獲取如何取得對應 Azure Government 端點的建議。
服務類別 | 服務名稱 | Azure 公用 | Azure Government | 備註 |
---|---|---|---|---|
AI + 機器學習 | Azure Bot Service | botframework.com | botframework.azure.us | |
Azure AI 文件智慧服務 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
電腦視覺 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
自訂視覺 | cognitiveservices.azure.com | cognitiveservices.azure.us 入口網站 |
||
內容仲裁者 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
人臉識別 API | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
Language Understanding | cognitiveservices.azure.com | cognitiveservices.azure.us 入口網站 |
Azure AI 語言的一部分 | |
個人化服務工具 | cognitiveservices.azure.com | cognitiveservices.azure.us | ||
QnA Maker | cognitiveservices.azure.com | cognitiveservices.azure.us | Azure AI 語言的一部分 | |
語音服務 | 請參閱 STT API 文件 | Speech Studio 請參閱語音服務端點 語音翻譯端點 維吉尼亞: https://usgovvirginia.s2s.speech.azure.us 亞利桑那: https://usgovarizona.s2s.speech.azure.us |
||
文字分析 | cognitiveservices.azure.com | cognitiveservices.azure.us | Azure AI 語言的一部分 | |
Translator | 請參閱翻譯工具 API 文件 | cognitiveservices.azure.us | ||
分析 | Azure HDInsight | azurehdinsight.net | azurehdinsight.us | |
事件中樞 | servicebus.windows.net | servicebus.usgovcloudapi.net | ||
Power BI | app.powerbi.com | app.powerbigov.us | Power BI US Gov | |
計算 | Batch | batch.azure.com | batch.usgovcloudapi.net | |
雲端服務 | cloudapp.net | usgovcloudapp.net | ||
容器 | Azure Service Fabric | cloudapp.azure.com | cloudapp.usgovcloudapi.net | |
Container Registry | azurecr.io | azurecr.us | ||
資料庫 | Azure Cache for Redis | redis.cache.windows.net | redis.cache.usgovcloudapi.net | 請參閱如何連線到其他雲端 |
Azure Cosmos DB | documents.azure.com | documents.azure.us | ||
適用於 MariaDB 的 Azure 資料庫 | mariadb.database.azure.com | mariadb.database.usgovcloudapi.net | ||
適用於 MySQL 的 Azure 資料庫 | mysql.database.azure.com | mysql.database.usgovcloudapi.net | ||
適用於 PostgreSQL 的 Azure 資料庫 | postgres.database.azure.com | postgres.database.usgovcloudapi.net | ||
Azure SQL Database | database.windows.net | database.usgovcloudapi.net | ||
身分識別 | Microsoft Entra ID | login.microsoftonline.com | login.microsoftonline.us | |
certauth.login.microsoftonline.com | certauth.login.microsoftonline.us | |||
passwordreset.microsoftonline.com | passwordreset.microsoftonline.us | |||
整合 | 服務匯流排 | servicebus.windows.net | servicebus.usgovcloudapi.net | |
物聯網 | Azure IoT 中樞 | azure-devices.net | azure-devices.us | |
Azure 地圖服務 | atlas.microsoft.com | atlas.azure.us | ||
通知中樞 | servicebus.windows.net | servicebus.usgovcloudapi.net | ||
管理和治理 | Azure Automation | azure-automation.net | azure-automation.us | |
Azure 監視器 | mms.microsoft.com | oms.microsoft.us | Log Analytics 工作區入口網站 | |
ods.opinsights.azure.com | ods.opinsights.azure.us | 資料收集器 API | ||
oms.opinsights.azure.com | oms.opinsights.azure.us | |||
portal.loganalytics.io | portal.loganalytics.us | |||
api.loganalytics.io | api.loganalytics.us | |||
docs.loganalytics.io | docs.loganalytics.us | |||
adx.monitor.azure.com | adx.monitor.azure.us | 資料總管查詢 | ||
Azure Resource Manager | management.azure.com | management.usgovcloudapi.net | ||
成本管理 | consumption.azure.com | consumption.azure.us | ||
資源庫 URL | gallery.azure.com | gallery.azure.us | ||
Microsoft Azure 入口網站 | portal.azure.com | portal.azure.us | ||
Microsoft Intune | enterpriseregistration.windows.net | enterpriseregistration.microsoftonline.us | 企業註冊 | |
manage.microsoft.com | manage.microsoft.us | 企業註冊 | ||
移轉 | Azure Site Recovery | hypervrecoverymanager.windowsazure.com | hypervrecoverymanager.windowsazure.us | Site Recovery 服務 |
backup.windowsazure.com | backup.windowsazure.us | 保護服務 | ||
blob.core.windows.net | blob.core.usgovcloudapi.net | 儲存 VM 快照集 | ||
網路功能 | 流量管理員 | trafficmanager.net | usgovtrafficmanager.net | |
安全性 | Key Vault | vault.azure.net | vault.usgovcloudapi.net | |
Storage | Azure 備份 | backup.windowsazure.com | backup.windowsazure.us | |
Blob | blob.core.windows.net | blob.core.usgovcloudapi.net | ||
Queue | queue.core.windows.net | queue.core.usgovcloudapi.net | ||
Table | table.core.windows.net | table.core.usgovcloudapi.net | ||
檔案 | file.core.windows.net | file.core.usgovcloudapi.net | ||
虛擬桌面基礎結構 | Azure 虛擬桌面 | 請參閱 AVD 文件 | 請參閱 AVD 文件 | |
Web | API 管理 | management.azure.com | management.usgovcloudapi.net | |
API 管理閘道 | azure-api.net | azure-api.us | ||
APIM 管理 | management.azure-api.net | management.azure-api.us | ||
APIM 入口網站 | portal.azure-api.net | portal.azure-api.us | ||
應用程式設定 | azconfig.io | azconfig.azure.us | ||
應用程式服務 | azurewebsites.net | azurewebsites.us | ||
Azure AI 搜尋服務 | search.windows.net | search.windows.us | ||
Azure Functions | azurewebsites.net | azurewebsites.us |
服務可用性
Microsoft 的 Azure Government 目標是要比對 Azure 中的服務可用性。 如需 Azure Government 中的服務可用性,請參閱依區域提供的產品。 Azure Government 中的可用服務會依類別或是否已正式推出或可供預覽而列出。 如果 Azure Government 中提供服務,本文其餘部分將不會重申該事實。 相反地,建議您檢閱依區域提供的產品,以取得關於服務可用性的最新資訊。
一般而言,Azure Government 中的服務可用性表示所有對應的服務功能都可供您使用。 此方法的變動和其他適用的限制會根據 Azure 服務線上目錄中概述的主要服務類別來追蹤並說明本文。 也會提供 Azure Government 中服務部署和使用方式的其他考量。
AI + 機器學習
本節概述在 Azure Government 環境中使用 Azure Bot Service、Azure Machine Learning 及認知服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Azure Bot Service
下列 Azure Bot Service 功能目前無法在 Azure Government 中使用:
- Bot Framework Composer 整合
- 通道 (由於相依服務的可用性)
- Direct Line Speech 通道
- 電話語音通道 (預覽)
- Microsoft Search 通道 (預覽)
- Kik 通道 (已過時)
如需如何將 Bot Framework 和 Azure Bot Service Bot 部署至 Azure Government 的資訊,請參閱設定美國政府客戶的 Bot Framework Bot。
Azure Machine Learning
如需功能變動和限制,請參閱跨雲端區域的 Azure Machine Learning 功能可用性。
Azure AI 服務:內容審查工具
Azure Government 目前無法使用下列內容審查工具功能:
- 檢閱 UI 和檢閱 API。
Azure AI Language Understanding (LUIS)
Azure Government 目前無法使用下列 Language Understanding 功能:
- 語音要求
- 預先建置的網域
Azure AI Language Understanding (LUIS) 是 Azure AI Language 的一部分。
Azure AI 語音
如需功能變動和限制,包括 API 端點,請參閱主權雲端中的語音服務。
Azure AI 服務:翻譯工具
如需功能變動和限制,包括 API 端點,請參閱主權雲端中的翻譯工具。
分析
本節概述在 Azure Government 環境中使用 Analytics 服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Azure HDInsight
針對安全的虛擬網路,您需要允許網路安全性群組 (NSG) 存取特定 IP 位址和連接埠。 針對 Azure Government,您應該允許下列 IP 位址 (全都使用允許的 443 連接埠):
區域 | 允許的 IP 位址 | 允許的連接埠 |
---|---|---|
US DoD 中部 | 52.180.249.174 52.180.250.239 |
443 |
US DoD 東部 | 52.181.164.168 52.181.164.151 |
443 |
US Gov 德克薩斯州 | 52.238.116.212 52.238.112.86 |
443 |
US Gov 維吉尼亞州 | 13.72.49.126 13.72.55.55 13.72.184.124 13.72.190.110 |
443 |
US Gov 亞利桑那州 | 52.127.3.176 52.127.3.178 |
443 |
如需如何使用 HDInsight 在 Azure Government 上建置以資料為中心的解決方案示範,請參閱 Azure Government 上的 Azure AI 服務、HDInsight 和 Power BI。
Power BI
如需使用指引、功能變動和限制,請參閱適用於美國政府客戶的 PowerBI。 如需如何使用 Power BI 在 Azure Government 上建置以資料為中心的解決方案示範,請參閱 Azure Government 上的 Azure AI 服務、HDInsight 和 Power BI。
Power BI Embedded
若要了解如何在商務流程應用程式中內嵌分析內容,請參閱教學課程:將 Power BI 內容內嵌至適用於國家雲端的應用程式。
資料庫
本節概述在 Azure Government 環境中使用資料庫服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
適用於 MySQL 的 Azure 資料庫
下列適用於 MySQL 的 Azure 資料庫功能目前無法在 Azure Government 中使用:
- 進階威脅防護
適用於 PostgreSQL 的 Azure 資料庫
如需 Azure Government 區域中的彈性伺服器可用性,請參閱適用於 PostgreSQL 的 Azure 資料庫 – 彈性伺服器。
下列適用於 PostgreSQL 的 Azure 資料庫功能目前無法在 Azure Government 中使用:
- 適用於 PostgreSQL 的 Azure DB (先前稱為適用於 PostgreSQL 的 Azure 資料庫) - 超大規模 (Citus)。 如需支援區域的詳細資訊,請參閱 Azure Cosmos DB for PostgreSQL 的區域可用性。
- 下列單一伺服器部署選項的功能
- 進階威脅防護
- 具有長期保留的備份
開發人員工具
本節概述在 Azure Government 環境中使用開發人員工具時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Enterprise 開發/測試訂閱供應項目
- 現有或個別租用戶中的 Enterprise 開發/測試訂閱供應項目目前只能在 Azure 公用中使用,如 Azure EA 入口網站管理中所述。
身分識別
本節概述在 Azure Government 環境中使用識別服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Microsoft Entra ID P1 和 P2
如需功能變動和限制,請參閱雲端功能可用性。
如需如何使用 Power BI 功能在 Azure 與 Azure Government 之間共同作業的詳細資訊,請參閱跨雲端 B2B。
下列功能在 Azure Government 中有已知的限制:
支援 Azure 美國政府租用戶中 B2B 共同作業的限制:
- 如需 Azure Government 中 B2B 共同作業限制的詳細資訊,並找出 Azure Government 租用戶中是否有 B2B 共同作業可供使用,請參閱政府和國家雲端中的 Microsoft Entra B2B。
多重要素驗證的限制:
- Azure Government 中不支援受信任的 IP。 相反地,請使用具有命名位置的條件式存取原則,以根據使用者目前的 IP 地址,確定何時應該和不應該需要多重要素驗證。
Azure Active Directory B2C
Azure Government 中不提供 Azure Active Directory B2C。
Microsoft 驗證程式庫 (MSAL)
Microsoft 驗證程式庫 (MSAL) 可讓開發人員從 Microsoft 身分識別平台端點取得安全性權杖,以驗證使用者並存取受保護的 Web API。 如需功能變動和限制,請參閱國家雲端和 MSAL。
管理和治理
本節概述在 Azure Government 環境中使用管理和治理服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
自動化
下列自動化功能目前無法在 Azure Government 中使用:
- 自動化分析解決方案
Azure Advisor
如需功能變動和限制,請參閱主權雲端中的 Azure Advisor。
Azure Lighthouse
下列 Azure Lighthouse 功能目前無法在 Azure Government 中使用:
- 發佈至 Azure Marketplace 的受控服務供應項目
- 不支援跨國家雲端和 Azure 公用雲端,或跨兩個不同國家雲端的訂閱委派
- Privileged Identity Management (PIM) 功能並未啟用,例如 Just-In-Time (JIT) / 合格授權功能
Azure 監視器
Azure 監視器可在 Azure 和 Azure Government 中啟用相同的功能。
- System Center Operations Manager 2019 在 Azure 和 Azure Government 中同樣受到支援。
下列選項適用於舊版 System Center Operations Manager:
- 將 System Center Operations Manager 2016 與 Azure Government 整合時,需要隨附於更新彙總 2 或更新版本的更新 Advisor 管理套件。
- System Center Operations Manager 2012 R2 需要隨附於更新彙總 3 或更新版本的更新 Advisor 管理套件。
如需詳細資訊,請參閱將 Operations Manager 連線至 Azure 監視器。
常見問題集
- 可以從 Azure 中的 Azure 監視器記錄將資料移轉至 Azure Government 嗎?
- 否。 無法將資料或您的工作區從 Azure 移動至 Azure Government。
- 是否可以從 Operations Management Suite 入口網站切換 Azure 與 Azure Government 工作區?
- 否。 Azure 和 Azure Government 的入口網站是分開的,而且不共用資訊。
Application Insights
AppInsights (屬於 Azure 監視器) 可在 Azure 和 Azure Government 中啟用相同的功能。 本節說明在 Azure Government 中使用 Application Insights 所需的補充設定。
Visual Studio – 在 Azure Government 中,您可以在 Azure App Service 上執行的 ASP.NET、ASP.NET Core、JAVA 和 Node.js 型應用程式上啟用監視功能。 如需詳細資訊,請參閱 Azure App Service 的應用程式監視概觀。 在 Visual Studio 中,移至 [工具] | [選項] | [帳戶] | [已註冊的 Azure 雲端] | [新增 Azure 雲端],然後選取 [Azure US Government] 做為探索端點。 之後,在 [檔案] | [帳戶設定] 中新增帳戶會提示您要新增的來源雲端。
SDK 端點修改 – 若要從 Application Insights 將資料傳送至 Azure Government 區域,您必須修改 Application Insights 軟體開發套件所使用的預設端點位址。 每個 SDK 都需要稍微不同的修改,如 Application Insights 覆寫預設端點中所述。
防火牆例外狀況 – Application Insights 使用數個 IP 位址。 如果您所監視的應用程式裝載於防火牆後面,您可能需要知道這些位址。 如需詳細資訊,請參閱 Azure 監視器所使用的 IP 位址,您可以從中下載 Azure Government IP 位址。
注意
雖然這些位址是靜態的,但我們可能隨時需要變更。 除了可用性監視和需要輸入防火牆規則的 Webhook 之外,Application Insights 的所有流量皆表示輸出流量。
您需要在伺服器防火牆開啟某些連出連接埠,以允許 Application Insights SDK 和/或狀態監視器將資料傳送至入口網站:
目的 | URL | IP 位址 | 連接埠 |
---|---|---|---|
遙測 | dc.applicationinsights.us | 23.97.4.113 | 443 |
成本管理和帳單
下列 Azure 成本管理 + 計費功能目前無法在 Azure Government 中使用:
- 雲端解決方案提供者的成本管理 + 計費 (CSP)
媒體
本節概述在 Azure Government 環境中使用媒體服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
媒體服務
如需 Azure Government 中的 Azure 媒體服務 v3 功能變動,請參閱Azure 媒體服務 v3 雲端和區域可用性。
遷移
本節概述在 Azure Government 環境中使用移轉服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Azure Migrate
下列 Azure Migrate 功能目前無法在 Azure Government 中使用:
- 將 Apache Tomcat (位於 Linux 伺服器) 上的 Java Web 應用程式容器化,並在 App Service 的 Linux 容器上部署這些應用程式。
- 將 Apache Tomcat (位於 Linux 伺服器) 上的 Java Web 應用程式容器化,並在 Azure Kubernetes Service (AKS) 上的 Linux 容器上部署這些應用程式。
- 將 ASP.NET 應用程式容器化,並在 AKS 上部署這些應用程式。
- 將 ASP.NET 應用程式容器化,並在 App Service 上部署這些應用程式。
- 您只能建立 Azure Government 評量做為目標區域,以及使用 Azure Government 供應項目。
如需詳細資訊,請參閱 Azure Migrate 支援矩陣。 如需連線到網際網路時 Azure Migrate 設備所需的 Azure Government URL 清單,請參閱 Azure Migrate 設備 URL 存取。
網路
本節概述在 Azure Government 環境中使用網路服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Azure ExpressRoute
如需 ExpressRoute 的概觀,請參閱什麼是 Azure ExpressRoute?。 如需 BGP 社群如何在 Azure Government 中搭配 ExpressRoute 使用的概觀,請參閱國家雲端中的 BGP 社群支援。
Azure Front Door
Azure Front Door (AFD) 標準和進階層在 Azure Government 區域 US Gov 亞利桑那州和 US Gov 德克薩斯州正式推出。 Azure Government 不支援下列 Azure Front Door 功能:
- 用於啟用 HTTPS 的受控憑證;請改用您自己的憑證。
私人連結
- 如需 Private Link 服務可用性,請參閱Azure Private Link 可用性。
- 如需私人 DNS 區域名稱,請參閱Azure 私人端點 DNS 設定。
流量管理員
流量管理員健康情況檢查可能源自 Azure Government 的特定 IP 位址。 請檢閱 JSON 檔案中的 IP 位址,以確保端點會允許來自這些 IP 位址的連入連線,從而能夠檢查其健康情況狀態。
安全性
本節概述在 Azure Government 環境中使用安全性服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
適用於端點的 Microsoft Defender
如需功能變動和限制,請參閱適用於美國政府客戶的適用於端點的 Microsoft Defender。
適用於 IoT 的 Microsoft Defender
如需功能變動和限制,請參閱適用於美國政府客戶的雲端功能可用性。
Azure 資訊保護
Azure 資訊保護進階版屬於 Enterprise Mobility + Security 套件。 如需此服務及其使用方式的詳細資料,請參閱 Azure 資訊保護進階政府版服務描述。
適用於雲端的 Microsoft Defender
如需功能變動和限制,請參閱適用於美國政府客戶的雲端功能可用性。
Microsoft Sentinel
如需功能變動和限制,請參閱適用於美國政府客戶的雲端功能可用性。
儲存體
本節概述在 Azure Government 環境中使用儲存體服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
Azure NetApp Files
如需 Azure Government 中的 Azure NetApp Files 功能可用性,以及如何存取 Azure Government 內的 Azure NetApp Files 服務,請參閱適用於 Azure Government 的 Azure NetApp Files。
Azure 匯入/匯出
隨著 US Gov 亞利桑那州或 US Gov 德克薩斯州的匯入/匯出作業,郵件地址適用於US Gov 維吉尼亞州。 資料會從 US Gov 維吉尼亞州區域載入選取的儲存體帳戶。 針對所有作業,建議您在作業完成之後輪替儲存體帳戶金鑰,以移除流程期間授與的任何存取權。 如需詳細資訊,請參閱管理儲存體帳戶存取金鑰。
Web
本節概述在 Azure Government 環境中使用 Web 服務時的變動和考量。 如需服務可用性,請參閱依區域提供的產品。
API 管理
下列 APIM 功能目前無法在 Azure Government 中使用:
- Azure AD B2C 整合
應用程式服務
下列 App Service 資源目前無法在 Azure Government 中使用:
- App Service 憑證
- App Service 受控憑證
- App Service 網域
下列 App Service 功能目前無法在 Azure Government 中使用:
- 部署
- 部署選項:只有本機 Git 存放庫和外部存放庫可供使用
Azure Functions
將 Functions 應用程式連線至 Azure Government 中的 Application Insights 時,請確定您使用 APPLICATIONINSIGHTS_CONNECTION_STRING
,其可讓您自訂 Application Insights 端點。
下一步
深入了解 Azure Government:
- 取得和存取 Azure Government
- Azure Government 概觀
- 出口管制的 Azure 支援
- Azure Government 合規性
- Azure Government 安全性
- Azure 安全隔離指引
開始使用 Azure Government: