你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

部署 Azure 运营商见解数据产品

项目
05/05/2024

在本文中，你将学习如何创建 Azure 运营商见解数据产品实例。

注意

访问权限目前仅按请求提供。申请表单中包括了更多信息。感谢你们的耐心，我们正在努力实现对 Azure 运营商见解数据产品的更多样化访问方式。通过填写此表单来申请访问权限。

先决条件

一个 Azure 订阅，必须向用户帐户分配对该订阅的“参与者”角色。如果需要，请在开始之前创建一个免费订阅。
授予对订阅的 Azure 运营商见解的访问权限。通过填写此表单来申请访问权限。
（可选）如果你计划将数据产品与 Microsoft Purview 集成，则你必须拥有有效的 Purview 帐户。在设置 Microsoft Purview 与数据产品的集成时请记下 Purview 集合 ID。
获取订阅访问权限后，注册 Microsoft.NetworkAnalytics 和 Microsoft.HybridNetwork 资源提供程序 (RP) 以继续。有关在订阅中注册 IP 的指导，请参阅在 Azure 中注册资源提供程序。

准备 Azure 门户或 Azure CLI 环境

可以使用 Azure 门户或 Azure CLI 执行本文中的步骤。

门户
Azure CLI

确认可以登录到 Azure 门户，并可以访问订阅。

可以采用以下两种方式之一运行 Azure CLI 命令：

可以在 Azure 门户的 Azure Cloud Shell 中运行 CLI 命令。
可以安装 CLI 并在本地运行 CLI 命令。

使用 Azure Cloud Shell

Azure Cloud Shell 是可直接在 Azure 门户中运行的免费 Bash shell。 Azure CLI 已预安装并配置为与帐户一起使用。选择 Microsoft Azure 门户右上角部分菜单上的“Cloud Shell”按钮：

该按钮会启动交互式 shell，可以使用它来运行本文中概述的步骤：

在本地安装 Azure CLI

也可在本地安装和使用 Azure CLI。如果计划在本地使用 Azure CLI，请确保已安装最新版本的 Azure CLI。请参阅安装 Azure CLI。

若要登录到本地安装的 CLI，请运行 az login 命令：

az login

更改活动订阅

Azure 订阅既有名称又有 ID。可以通过使用 az account set 并指定所需的订阅名称或 ID 来切换到不同的订阅。

若要使用名称更改活动订阅：

az account set --subscription "<SubscriptionName>"

若要使用 ID 更改活动订阅：

az account set --subscription "<SubscriptionID>"

注意

将 <KeyVaultName> 表单中显示的任何值替换为部署的值。

创建资源组

资源组是在其中部署和管理 Azure 资源的逻辑容器。

门户
Azure CLI

如果计划使用基于 CMK 的数据加密或 Microsoft Purview，请立即设置资源组：

登录 Azure 门户。
选择“资源组”。
选择“创建”并根据提示操作。

有关详细信息，请参阅创建资源组。

如果不计划使用基于 CMK 的日期加密或 Microsoft Purview，可以立即或在创建数据产品资源时设置资源组。

使用 az group create 命令在要部署的区域中创建名为 <ResourceGroup> 的资源组。

az group create --name "<ResourceGroup>" --location "<Region>"

为基于 CMK 的数据加密或 Microsoft Purview 设置资源

如果计划使用基于 CMK 的数据加密或 Microsoft Purview，则必须首先设置 Azure 密钥保管库实例和用户分配的托管标识 (UAMI)。

在 Azure 密钥保管库中设置密钥

Azure 密钥保管库实例可存储用于数据加密的客户管理的密钥 (CMK)。数据产品使用此密钥来加密你的数据，此加密强度高于标准存储加密。你需要具有订阅/资源组所有者权限才能执行此步骤。

门户
Azure CLI

在创建资源组中设置的同一订阅和资源组中创建 Azure Key Vault 资源。
在该 Azure Key Vault 资源上为你的用户帐户提供 Key Vault 管理员角色。这是通过 Azure Key Vault 资源上的“访问控制(IAM)”选项卡完成的。
导航到该对象并选择“密钥”。选择生成/导入。
为密钥输入名称，然后选择“创建”。
选择新创建的密钥，然后选择该密钥的当前版本。
将密钥标识符 URI 复制到剪贴板，以在创建数据产品时使用。

创建 Key Vault

使用 Azure CLI az keyvault create 命令在上一步骤的资源组中创建 Key Vault。必须提供：

密钥保管库名称：由 3 到 24 个字符构成的字符串，只能包含数字 (0-9)、字母（a-z、A-Z）和连字符 (-)。每个密钥保管库必须具有唯一的名称。
在创建资源组中创建的资源组。
在其中创建了资源组的区域。

az keyvault create --name "<KeyVaultName>" --resource-group "<ResourceGroup>" --location "<Region>"

此命令的输出会显示新建的 Key Vault 的属性。记下以下内容：

Vault 名称：为运行的 --name 参数提供的名称。
Vault URI：在本示例中，URI 为 https://<KeyVaultName>.vault.azure.net/。通过其 REST API 使用保管库的应用程序必须使用此 URI。

目前，只有你的 Azure 帐户才有权对这个新保管库执行任何操作。

为密钥保管库分配角色

在该 Azure Key Vault 资源上为你的用户帐户提供 Key Vault 管理员角色。

az role assignment create --role "Key Vault Administrator" --assignee <YourEmailAddress> --scope /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroup>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>

创建密钥

az keyvault key create --vault-name "<KeyVaultName>" -n <keyName> --protection software

在输出屏幕中，复制 KeyID 并将其存储在剪贴板中供以后使用。

创建用户分配的托管标识并使用 Microsoft Entra ID 进行基于 CMK 的加密。数据产品还使用用户分配的托管标识 (UAMI) 与 Microsoft Purview 帐户进行交互。
导航到你之前创建的 Azure Key Vault 资源，并为 UAMI 分配“Key Vault 管理员”角色。

创建用户分配的托管标识

若要创建用户分配的托管标识，你的帐户需要托管标识参与者角色分配。

使用 az identity create 命令创建用户分配的托管标识。 -g 参数指定创建了用户分配的托管标识的资源组。 -n 参数指定其名称。将 <ResourceGroup> 和 <UserAssignedIdentityName> 参数值替换为自己的值。

重要

创建用户分配的托管标识时，只能使用字母数字字符（0-9、a-z、A-Z）和连字符 (-)。

az identity create -g <ResourceGroup> -n <UserAssignedIdentityName>

从输出屏幕复制 principalId 并将其存储在剪贴板中供以后使用。

将用户分配的托管标识分配给密钥保管库

az role assignment create --role "Key Vault Administrator" --assignee <principalId> --scope /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroup>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>

创建 Azure 运营商见解数据产品资源

你创建 Azure 运营商见解数据产品资源。

门户
Azure CLI

登录 Azure 门户。
在搜索栏中，搜索“运营商见解”并选择“Azure 运营商见解 - 数据产品”。
在“Azure 运营商见解 - 数据产品”页上，选择“创建”。
在“创建数据产品”页的“基本信息”选项卡上：
1. 选择订阅。
2. 选择你之前为 Key Vault 资源创建的资源组。
3. 在“实例详细信息”下，完成以下字段：
  - 名称 - 输入数据产品资源的名称。此名称必须以小写字母开头，并且只能包含小写字母和数字。
  - 发布者 - 选择创建和发布要部署的数据产品的组织。
  - 产品 - 选择数据产品的名称。
  - 版本 - 选择版本。
选择“下一页:高级”。
在“创建数据产品”页的“高级”选项卡上：
1. 如果要与 Microsoft Purview 集成，请启用 Purview。选择你的 Purview 帐户的订阅，选择你的 Purview 帐户，然后输入 Purview 集合 ID。
2. 如果你使用 CMK 进行数据加密，请启用客户管理的密钥。
3. 选择你作为先决条件设置的用户分配的托管标识。
4. 请仔细粘贴你在设置作为先决条件的 Azure Key Vault 时创建的密钥标识符 URI。
若要为数据产品添加所有者（该信息还会显示在 Microsoft Purview 中），请选择“添加所有者”，输入电子邮件地址，然后选择“添加所有者”。
在“创建数据产品”页的“标记”选项卡中，选择或输入用于对你的数据产品资源进行分类的名称/值对。
选择“查看 + 创建”。
选择“创建”。你的数据产品实例大约在 20-25 分钟内创建。在此期间，将预配所有基础组件。此过程完成后，可以处理数据引入、浏览示例仪表板和查询等。

若要创建包含最低要求参数的 Azure 运营商见解数据产品，请使用以下命令：

az network-analytics data-product create --name <DataProductName> --resource-group <ResourceGroup> --location <Region> --publisher Microsoft --product <ProductName> --major-version  <ProductMajorVersion>

将以下值用于 <ProductName> 和 <ProductMajorVersion>。

日期产品	ProductName	<ProductMajorVersion>
体验质量 - Affirmed MCC GIGW	`Quality of Experience - Affirmed MCC GIGW`	`1.0`
体验质量 - Affirmed MCC PGW 或 GGSN	`Quality of Experience - Affirmed MCC PGW or GGSN`	`1.0`
监视 - Affirmed MCC	`Monitoring - Affirmed MCC`	`0` 或 `1`

若要创建包含所有参数的 Azure 运营商见解数据产品，请使用以下命令：

az network-analytics data-product create --name <DataProductName> --resource-group <ResourceGroup> --location <Region> --publisher Microsoft --product <ProductName> --major-version  <ProductMajorVersion --owners <<xyz@email>> --customer-managed-key-encryption-enabled Enabled --key-encryption-enable Enabled --encryption-key '{"keyVaultUri":"<VaultURI>","keyName":"<KeyName>","keyVersion":"<KeyVersion>"}' --purview-account <PurviewAccount> --purview-collection <PurviewCollection> --identity '{"type":"userAssigned","userAssignedIdentities":{"/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<UserAssignedIdentityName>"}}' --tags '{"key1":"value1","key2":"value2"}'

部署示例见解

创建数据产品实例后，可以部署示例见解仪表板。此仪表板适用于随数据产品实例一起提供的示例数据。

在 Azure 门户中导航到你的数据产品资源，然后在“安全性”部分中选择“权限”选项卡。
选择“添加读取者”。键入要添加到数据产品读取者角色的用户电子邮件地址。

注意

你需要具有读取者角色才能访问见解消耗 URL。

下载数据产品仪表板的示例 JSON 模板文件：
- 体验质量 - Affirmed MCC GIGW：https://go.microsoft.com/fwlink/p/?linkid=2254536
- 监视 - Affirmed MCC：https://go.microsoft.com/fwlink/p/?linkid=2254551
将“数据产品概述”屏幕中的消耗 URL 复制到剪贴板。
打开 Web 浏览器，粘贴 URL 并选择 Enter。
在 URL 加载时，在左侧导航窗格的“仪表板”选项上进行选择。
选择“新建仪表板”下拉列表，然后选择“从文件中导入仪表板”。浏览以选择之前下载的 JSON 文件，为仪表板提供一个名称，然后选择“创建”。
选择“消耗 URL”页右上角的三个点 (...)，然后选择“数据源”。
选择数据源名称旁边的铅笔图标以编辑数据源。
在“群集 URI”部分下，将 URL 替换为你的数据产品消耗 URL 并选择“连接”。
在“数据库”下拉列表中选择你的数据库。通常，数据库名称与你的数据产品实例名称相同。选择“应用”。

注意

这些仪表板基于合成数据，可能没有真实世界体验的完整或具有代表性的示例。

使用 Kusto 浏览示例数据

消耗 URL 还允许你编写自己的 Kusto 查询，以便从数据中获取见解。

在“概述”页上，复制消耗 URL 并将其粘贴到新的浏览器选项卡中，以查看数据库和表列表。

使用 ADX 查询平面编写 Kusto 查询。

对于体验质量 - Affirmed MCC GIGW，请尝试以下查询：

enriched_flow_events_sample
| summarize Application_count=count() by flowRecord_dpiStringInfo_application
| order by Application_count desc
| take 10

enriched_flow_events_sample
| summarize SumDLOctets = sum(flowRecord_dataStats_downLinkOctets) by bin(eventTimeFlow, 1h)
| render columnchart

对于监视 - Affirmed MCC 数据产品，请尝试以下查询：

SYSTEMCPUSTATISTICSCORELEVEL_SAMPLE
| where systemCpuStats_core >= 25 and systemCpuStats_core <= 36
| summarize p90ssm_avg_1_min_cpu_util=round(percentile(ssm_avg_1_min_cpu_util, 90), 2) by resourceId

PGWCALLPERFSTATSGRID_SAMPLE
| summarize clusterTotal=max(NumUniqueSubscribers) by bin(timestamp, 1d)
| render linechart

（可选）删除 Azure 资源

如果使用此数据产品浏览 Azure 运营商见解，你应当删除已创建的资源，以避免不必要的 Azure 成本。

门户
Azure CLI

在 Azure 门户的主页上，选择“资源组”。
选择你的 Azure 运营商见解数据产品的资源组，并验证它是否包含 Azure 运营商见解数据产品实例。
在你的资源组的“概述”页中，选择“删除资源组”。
输入资源组名称以确认删除，然后选择“删除”。

az group delete --name "ResourceGroup"

下一步

将数据上传到数据产品。如果计划使用 Azure 运营商见解引入代理来执行此操作：

阅读数据产品的文档以确定要求。
安装 Azure 运营商见解引入代理并将其配置为上传数据。