Sdílet prostřednictvím


Tok dat pro CMG

Platí pro: Configuration Manager (Current Branch)

V tomto článku se dozvíte, jak tok dat mezi komponentami brány pro správu cloudu (CMG). Aby fungovala, vyžaduje konkrétní síťové porty a internetové koncové body. Do místní sítě nemusíte otevírat žádné příchozí porty. Role systému lokality spojovacího bodu služby a spojovacího bodu CMG zahájí veškerou komunikaci s Azure a CMG. Tyto dvě role musí vytvořit odchozí připojení ke cloudu Microsoftu. Spojovací bod služby nasazuje a monitoruje službu v Azure, takže musí být online. Spojovací bod CMG se připojí k cmg a spravuje komunikaci mezi CMG a místními rolemi systému lokality.

Diagram toku dat

Následující diagram je základní koncepční tok dat pro CMG:

Diagram toku dat pro bránu pro správu cloudu (CMG)

  1. Spojovací bod služby se připojuje k Azure přes port HTTPS 443. Ověřuje se pomocí ID Microsoft Entra. Spojovací bod služby nasadí cmg v Azure. CmG vytvoří službu HTTPS pomocí ověřovacího certifikátu serveru.

  2. Spojovací bod CMG se připojí k cmg v Azure. Udržuje připojení otevřené a sestavuje kanál pro budoucí obousměrnou komunikaci.

    • Když nasadíte CMG jako škálovací sadu virtuálních počítačů, je tento tok přes HTTPS.

    • Pokud nasadíte CMG jako klasickou cloudovou službu, nejprve se pokusí o protokol TCP-TLS. Pokud se připojení nezdaří, přepne se na HTTPS.

    Další informace najdete v tématu Poznámka 2: Porty HTTPS spojovacího bodu CMG pro jeden virtuální počítač.

  3. Klient se připojí ke cmg přes port HTTPS 443. Ověřuje se pomocí id Microsoft Entra, ověřovacího certifikátu klienta nebo tokenu vystaveného lokalitou.

    Poznámka

    Pokud povolíte cmg obsluhovat obsah, klient se připojí přímo ke službě Azure Blob Storage přes port HTTPS 443. Další informace najdete v tématu Tok dat obsahu.

  4. CmG přesměruje komunikaci klienta přes existující připojení do místního spojovacího bodu CMG. Nemusíte otevírat žádné příchozí porty brány firewall.

  5. Spojovací bod CMG předává komunikaci klienta do místního bodu správy a bodu aktualizace softwaru.

Další informace o integraci s ID Microsoft Entra najdete v tématu Konfigurace služeb Azure: Tok dat správy cloudu.

Tok dat obsahu

Když klient používá cmg jako umístění obsahu:

  1. Bod správy poskytne klientovi přístupový token spolu se seznamem zdrojů obsahu. Tento token je platný po dobu 24 hodin a poskytuje klientovi přístup ke cloudovému zdroji obsahu.

  2. Bod správy odpoví na žádost klienta o umístění názvem služby cmg. Tato vlastnost je stejná jako běžný název ověřovacího certifikátu serveru.

    Pokud používáte název domény, WallaceFalls.contoso.comnapříklad , klient se nejprve pokusí přeložit tento plně kvalifikovaný název domény. Klienti používají alias CNAME v internetovém DNS vaší domény k překladu názvu nasazení Azure.

  3. Klient dále přeloží název nasazení na platnou IP adresu. Tuto odpověď zpracovává dns Azure.

  4. Klient se připojí k CMG. Azure vyrovnává zatížení připojení k jedné z instancí virtuálních počítačů. Klient se ověří pomocí přístupového tokenu.

  5. CmG ověří přístupový token klienta a pak klientovi poskytne přesné umístění obsahu ve službě Azure Storage.

  6. Pokud klient důvěřuje ověřovacímu certifikátu serveru CMG, připojí se ke službě Azure Storage a stáhne obsah.

Požadované porty

Tato tabulka obsahuje seznam požadovaných síťových portů a protokolů. Klient je zařízení, které spouští připojení, které vyžaduje odchozí port. Server je zařízení, které přijímá připojení a vyžaduje příchozí port.

Client Protocol (Protokol) Port Server Popis
Spojovací bod služby HTTPS 443 Azure Nasazení CMG
Spojovací bod CMG (škálovací sada virtuálních počítačů) HTTPS 443 Služba CMG Protokol pro sestavení kanálu CMG pouze pro jednu instanci virtuálního počítače – poznámka 2
Spojovací bod CMG (škálovací sada virtuálních počítačů) HTTPS 10124-10139 Služba CMG Protokol pro sestavení kanálu CMG na dvě nebo více instancí virtuálních počítačů – poznámka 3
Spojovací bod CMG (klasická cloudová služba) TCP-TLS 10140-10155 Služba CMG Upřednostňovaný protokol pro sestavení kanálu CMG – poznámka 1
Spojovací bod CMG (klasická cloudová služba) HTTPS 443 Služba CMG Návrat protokolu k sestavení kanálu CMG pouze do jedné instance virtuálního počítače – poznámka 2
Spojovací bod CMG (klasická cloudová služba) HTTPS 10124-10139 Služba CMG Návrat protokolu k sestavení kanálu CMG na dvě nebo více instancí virtuálních počítačů – poznámka 3
Client HTTPS 443 CMG Obecná komunikace s klientem
Client HTTPS 443 Blob Storage Stažení cloudového obsahu
Spojovací bod CMG HTTPS nebo HTTP 443 nebo 80 Bod správy Místní provoz, port závisí na konfiguraci bodu správy
Spojovací bod CMG HTTPS nebo HTTP 443 nebo 80 / 8530 nebo 8531 Bod aktualizace softwaru Místní provoz, port závisí na konfiguraci bodu aktualizace softwaru

Poznámky k portům

Poznámka 1: Porty TCP-TLS spojovacího bodu CMG

Tyto porty platí pouze v případě, že nasadíte CMG jako cloudovou službu (classic), což byla jediná metoda dostupná ve verzi 2006 a starších verzích.

Spojovací bod CMG se nejprve pokusí navázat dlouhodobé připojení TCP-TLS s každou instancí virtuálních počítačů CMG. Připojí se k první instanci virtuálního počítače na portu 10140. Druhá instance virtuálního počítače používá port 10141 až 16. na portu 10155. Připojení TCP-TLS má nejlepší výkon, ale nepodporuje internetový proxy server. Pokud se spojovací bod CMG nemůže připojit přes protokol TCP-TLS, vrátí se zpět dopoznámky HTTPS 2.

Poznámka 2: Porty HTTPS spojovacího bodu CMG pro jeden virtuální počítač

Pokud nasadíte CMG ve škálovací sadě virtuálních počítačů, spojovací bod CMG komunikuje se službou v Azure pouze přes HTTPS. K sestavení komunikačního kanálu CMG nevyžaduje porty TCP-TLS.

V případě cmg nasazené jako klasická cloudová služba používá tento port pouze v případě, že selže připojení TCP-TLS. Pokud se spojovací bod CMG nemůže připojit k CMG přes PROTOKOL TCP-TLSPoznámka 1, připojí se k nástroji pro vyrovnávání zatížení sítě Azure přes https 443. Toto chování platí pouze pro jednu instanci virtuálního počítače.

Poznámka 3: Porty HTTPS spojovacího bodu CMG pro dva nebo více virtuálních počítačů

Pokud existují dvě nebo více instancí virtuálních počítačů, používá spojovací bod CMG pro první instanci virtuálního počítače HTTPS 10124, nikoli HTTPS 443. Připojí se k druhé instanci virtuálního počítače na https 10125 až do 16. dne na portu HTTPS 10139.

Požadavky na přístup k internetu

Pokud vaše organizace omezuje síťovou komunikaci s internetem pomocí brány firewall nebo proxy zařízení, musíte spojovacímu bodu CMG a spojovacímu bodu služby povolit přístup ke koncovým bodům internetu.

Další informace najdete v tématu Požadavky na přístup k internetu.

Tato část se věnuje následujícím funkcím:

  • Brána pro správu cloudu (CMG)

  • integrace Microsoft Entra

  • Microsoft Entra zjišťování na základě ID

  • Cloudový distribuční bod (CDP)

    Poznámka

    Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu.

V následujících částech jsou uvedeny koncové body podle rolí. Některé koncové body odkazují na službu pomocí <prefix>, což je název předpony cmg. Pokud je GraniteFalls.WestUS.CloudApp.Azure.Comnapříklad cmg , pak skutečný koncový bod úložiště je GraniteFalls.blob.core.windows.net.

Tip

Pro upřesnění terminologie:

  • Název služby CMG: Běžný název ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například GraniteFalls.contoso.com nebo GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Název nasazení CMG: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:

    • Škálovací sada virtuálních počítačů: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Nasazení Classic: GraniteFalls.CloudApp.Net

Tento článek používá příklady se škálovací sadou virtuálních počítačů jako doporučenou metodou nasazení ve verzi 2107 a novější. Pokud používáte klasické nasazení, všimněte si rozdílu při čtení tohoto článku a konfiguraci přístupu k internetu.

Spojovací bod služby pro cloudové služby

Aby Configuration Manager nasadit službu CMG v Azure, potřebuje spojovací bod služby přístup k:

  • Konkrétní koncové body Azure, které se liší podle prostředí v závislosti na konfiguraci. Configuration Manager tyto koncové body ukládá do databáze lokality. V SQL Server zadejte dotaz na seznam koncových bodů Azure v tabulce AzureEnvironments.

  • Služby Azure:

    • management.azure.com (Veřejný cloud Azure)
    • management.usgovcloudapi.net (Cloud Azure US Government)
  • Pro Microsoft Entra zjišťování uživatelů: Koncový bod Microsoft Graphuhttps://graph.microsoft.com/

Spojovací bod CMG pro cloudové služby

Spojovací bod CMG potřebuje přístup k následujícím koncovým bodům:

Typ Veřejný cloud Azure Cloud Azure US Government
Název služby <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Koncový bod úložiště 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Koncový bod úložiště 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Trezor klíčů <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Systém lokality spojovacího bodu CMG podporuje použití webového proxy serveru. Další informace o konfiguraci této role pro proxy server najdete v tématu Podpora proxy serveru.

Spojovací bod CMG se musí připojit jenom ke koncovým bodům služby CMG. Nepotřebuje přístup k jiným koncovým bodům Azure.

Configuration Manager klienta pro cloudové služby

Každý klient Configuration Manager, který potřebuje komunikovat s cmg, potřebuje přístup k následujícím koncovým bodům:

Typ Veřejný cloud Azure Cloud Azure US Government
Název nasazení <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Koncový bod úložiště <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
koncový bod Microsoft Entra login.microsoftonline.com login.microsoftonline.us

konzola Configuration Manager pro cloudové služby

Každé zařízení s konzolou Configuration Manager potřebuje přístup k následujícím koncovým bodům:

Typ Veřejný cloud Azure Cloud Azure US Government
koncové body Microsoft Entra login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Hlavičky a příkazy HTTP

Každé síťové zařízení, které spravuje komunikaci mezi klientem, cmg a místními systémy lokality, musí povolit následující hlavičky http a příkazy. Pokud jsou tyto položky blokované, ovlivní to komunikaci klienta prostřednictvím CMG.

Hlavičky HTTP

  • Rozsah:
  • CCMClientID:
  • CCMClientIDSignature:
  • CCMClientTimestamp:
  • CCMClientTimestampsSignature:

Příkazy HTTP

  • HLAVY
  • CCM_POST
  • BITS_POST
  • DOSTAT
  • PROPFIND