Uso de un punto de distribución de nube en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Advertencia
La implementación para compartir contenido desde Azure ha cambiado. Use una puerta de enlace de administración en la nube habilitada para contenido habilitando la opción Permitir que CMG funcione como un punto de distribución de nube y sirva contenido de Azure Storage. Para obtener más información, vea Modificar un CMG.
A partir de la versión 2107, no se puede crear un punto de distribución de nube (CDP) tradicional.
Un punto de distribución de nube es un punto de distribución de Configuration Manager que se hospeda como Plataforma como servicio (PaaS) en Microsoft Azure. Este servicio admite los siguientes escenarios:
Proporcionar contenido de software a clientes basados en Internet sin infraestructura local adicional
Habilitación en la nube del sistema de distribución de contenido
Reducir la necesidad de puntos de distribución tradicionales
Este artículo le ayuda a obtener información sobre el punto de distribución de nube, planear su uso y diseñar la implementación. Incluye las secciones siguientes:
- Características y ventajas
- Diseño de topología
- Requisitos
- Especificaciones
- Costo
- Rendimiento y escala
- Puertos y flujo de datos
- Certificados
- Preguntas más frecuentes (P+F)
Características y ventajas
Características
El punto de distribución de nube admite varias características que también ofrecen los puntos de distribución locales:
Administración de puntos de distribución de nube individualmente o como miembros de grupos de puntos de distribución
Uso de un punto de distribución de nube como ubicación de contenido de reserva
Admite tanto clientes de intranet como basados en Internet.
Ventajas
El punto de distribución de nube proporciona las siguientes ventajas adicionales:
El sitio cifra el contenido antes de enviarlo al punto de distribución de nube de Azure.
Para satisfacer las cambiantes demandas de solicitudes de contenido por parte de los clientes, escale manualmente el servicio en la nube en Azure. Esta acción no requiere que instale y aprovisione puntos de distribución adicionales en Configuration Manager.
Admite la descarga de contenido de clientes configurados para otras tecnologías de contenido, como Windows BranchCache.
Use puntos de distribución de nube como ubicaciones de origen para los puntos de distribución de extracción.
Diseño de topología
La implementación y el funcionamiento del punto de distribución de nube incluye los siguientes componentes:
Un servicio en la nube en Azure. El sitio distribuye contenido a este servicio, que lo almacena en el almacenamiento en la nube de Azure. El punto de administración proporciona a los clientes esta ubicación de contenido en la lista de orígenes disponibles según corresponda.
Un rol de sistema de sitio de punto de administración atiende las solicitudes de cliente de forma normal.
Los clientes locales suelen usar un punto de administración local.
Los clientes basados en Internet usan una puerta de enlace de administración en la nube o un punto de administración basado en Internet.
El punto de distribución en la nube usa un servicio web HTTPS basado en certificados para ayudar a proteger la comunicación de red con los clientes. Los clientes deben confiar en este certificado.
Administrador de recursos de Azure
Cree un punto de distribución de nube mediante una implementación de Azure Resource Manager. Azure Resource Manager es una plataforma moderna para administrar todos los recursos de la solución como una sola entidad, denominada grupo de recursos. Al implementar un punto de distribución de nube con Azure Resource Manager, el sitio usa microsoft entra id. para autenticar y crear los recursos en la nube necesarios.
Nota:
Esta característica no habilita la compatibilidad con proveedores de servicios en la nube (CSP) de Azure. La implementación del punto de distribución de nube con Azure Resource Manager sigue usando el servicio en la nube clásica, que el CSP no admite. Para obtener más información, consulte Servicios de Azure disponibles en CSP de Azure.
Azure Resource Manager es el único mecanismo de implementación para las nuevas instancias del punto de distribución de nube. Las implementaciones existentes siguen funcionando.
Diseño de jerarquía
El lugar donde cree el punto de distribución de nube depende de los clientes que necesiten acceder al contenido.
Implementación de Azure Resource Manager: cree este tipo en un sitio primario o en el sitio de administración central.
Cloud Management Gateway (CMG) también puede servir contenido a los clientes. Esta funcionalidad reduce los certificados y el costo necesarios de las máquinas virtuales de Azure. Para obtener más información, consulte Información general sobre cloud management gateway.
Para determinar si se deben incluir puntos de distribución de nube en grupos de límites, tenga en cuenta los siguientes comportamientos:
Los clientes basados en Internet no se basan en grupos de límites. Solo usan puntos de distribución accesibles desde Internet o puntos de distribución de nube. Si solo usa puntos de distribución de nube para atender estos tipos de clientes, no es necesario incluirlos en grupos de límites.
Si desea que los clientes de la red interna usen un punto de distribución de nube, debe estar en el mismo grupo de límites que los clientes. Los clientes priorizan los puntos de distribución en la nube en último lugar en su lista de orígenes de contenido, ya que hay un costo asociado con la descarga de contenido de Azure. Por lo tanto, un punto de distribución de nube se usa normalmente como origen de reserva para clientes basados en intranet. Si quiere un diseño en la nube, diseñe los grupos de límites para satisfacer este requisito empresarial. Para obtener más información, vea Configurar grupos de límites.
Aunque instale puntos de distribución de nube en regiones específicas de Azure, los clientes no conocen las regiones de Azure. Seleccionan aleatoriamente un punto de distribución de nube. Si instala puntos de distribución de nube en varias regiones y un cliente recibe más de uno en la lista de ubicaciones de contenido, es posible que el cliente no use un punto de distribución de nube de la misma región de Azure.
Copia de seguridad y recuperación
Cuando use un punto de distribución de nube en la jerarquía, use la siguiente información para ayudarle a planear la copia de seguridad y la recuperación:
Cuando se usa la tarea de mantenimiento Backup Site Server , Configuration Manager incluye automáticamente las configuraciones del punto de distribución de nube.
Realice una copia de seguridad y guarde una copia del certificado de autenticación del servidor. Al restaurar el sitio primario de Configuration Manager en otro servidor, vuelva a importar el certificado.
Requisitos
Necesita una suscripción de Azure para hospedar el servicio.
- Un administrador de Azure debe participar en la creación inicial de determinados componentes, en función del diseño. Esta persona no requiere permisos en Configuration Manager.
El servidor de sitio requiere acceso a Internet para implementar y administrar el servicio en la nube.
Al usar el método de implementación de Azure Resource Manager , integre Configuration Manager con Microsoft Entra ID for Cloud Management. No se requiere la detección de usuarios de Microsoft Entra ID.
Un certificado de autenticación de servidor. Para obtener más información, consulte la sección Certificados a continuación.
- Para reducir la complejidad, use un proveedor de certificados público para el certificado de autenticación de servidor. Al hacerlo, también necesita un alias CNAME de DNS para que los clientes resuelvan el nombre del servicio en la nube.
Establezca la configuración de cliente , Permitir el acceso a puntos de distribución de nube, en Sí en el grupo Cloud Services . De forma predeterminada, este valor se establece en No.
Los dispositivos cliente requieren conectividad a Internet y deben usar IPv4.
Especificaciones
El punto de distribución de nube admite todas las versiones de Windows enumeradas en Sistemas operativos compatibles para clientes y dispositivos.
Un administrador distribuye los siguientes tipos de contenido de software admitido:
Aplicaciones
Paquetes
Paquetes de actualización del sistema operativo
Actualizaciones de software de terceros
Importante
- Aunque la consola de Configuration Manager no bloquea la distribución de actualizaciones de software de Microsoft en un punto de distribución de nube, paga los costos de Azure para almacenar contenido que los clientes no usan. Los clientes basados en Internet siempre obtienen contenido de actualización de software de Microsoft desde el servicio en la nube de Microsoft Update. No distribuya las actualizaciones de software de Microsoft a un punto de distribución de nube.
- Si la actualización de software se distribuye al punto de distribución de nube, sigue usando el punto de distribución local para la descarga de contenido cuando los clientes están en intranet.
- Al usar una instancia de CMG para el almacenamiento de contenido, el contenido de las actualizaciones de terceros no se descargará en los clientes si la opciónDescargar contenido delta cuando esté disponible está habilitada.
Configure un punto de distribución de extracción para usar un punto de distribución de nube como origen. Para obtener más información, vea Acerca de los puntos de distribución de origen.
Configuración de implementación
Descargue contenido localmente cuando sea necesario para la secuencia de tareas en ejecución. El motor de secuencia de tareas puede descargar paquetes a petición desde un CMG habilitado para contenido o un punto de distribución de nube. Esta opción proporciona flexibilidad adicional con las implementaciones de actualización local de Windows a dispositivos basados en Internet.
Descargue todo el contenido localmente antes de iniciar la secuencia de tareas. Con esta opción, el cliente de Configuration Manager descarga el contenido del origen de la nube antes de iniciar la secuencia de tareas.
Un punto de distribución de nube no admite implementaciones de paquetes con la opción Ejecutar programa desde el punto de distribución. Use la opción de implementación para descargar contenido desde el punto de distribución y ejecutarlo localmente.
Limitaciones
No puede usar un punto de distribución de nube para implementaciones habilitadas para PXE o multidifusión.
Un punto de distribución de nube no admite aplicaciones de streaming de App-V.
Un punto de distribución de nube no admite contenido para las actualizaciones de Aplicaciones de Microsoft 365.
No se puede preconfigurar el contenido en un punto de distribución de nube. El administrador de distribución del sitio primario que administra el punto de distribución de nube transfiere todo el contenido.
No se puede configurar un punto de distribución de nube como punto de distribución de extracción.
Costo
Importante
La siguiente información de costos es solo para fines de estimación. Es posible que el entorno tenga otras variables que afecten al costo general del uso de un punto de distribución de nube.
Configuration Manager incluye las siguientes opciones para ayudar a controlar los costos y supervisar el acceso a los datos:
Controlar y supervisar la cantidad de contenido que se almacena en un servicio en la nube. Para obtener más información, consulte Supervisión de puntos de distribución de nube.
Configure Configuration Manager para que le avise cuando los umbrales de descargas de cliente cumplan o superen los límites mensuales. Para obtener más información, consulte Alertas de umbral de transferencia de datos.
Para ayudar a reducir el número de transferencias de datos desde puntos de distribución de nube por parte de clientes, use una de las siguientes tecnologías de almacenamiento en caché del mismo nivel:
Caché del mismo nivel de Configuration Manager
Windows BranchCache
Optimización de distribución de Windows
Para obtener más información, consulte Conceptos fundamentales para la administración de contenido.
Componentes
Un punto de distribución de nube usa los siguientes componentes de Azure, que incurren en cargos en la cuenta de suscripción de Azure:
Sugerencia
La puerta de enlace de administración en la nube también puede servir contenido a los clientes. Esta funcionalidad reduce el costo mediante la consolidación de las máquinas virtuales de Azure. Para obtener más información, consulte Costo de la puerta de enlace de administración en la nube.
Máquina virtual
El punto de distribución de nube usa Azure Cloud Services como plataforma como servicio (PaaS). Este servicio usa máquinas virtuales (VM) que incurren en costos de proceso.
Cada servicio de punto de distribución en la nube usa dos máquinas virtuales estándar A0.
Consulte la calculadora de precios de Azure para ayudar a determinar los posibles costos.
Nota:
Los costos de las máquinas virtuales varían según la región.
Transferencia de datos salientes
Los flujos de datos en Azure son gratuitos (entrada o carga). La distribución de contenido del sitio al punto de distribución de nube se carga en Azure.
Los cargos se basan en los datos que fluyen fuera de Azure (salida o descarga). Los flujos de datos del punto de distribución de nube de Azure constan del contenido de software que descargan los clientes.
Para obtener más información, consulte Supervisión de puntos de distribución de nube.
Consulte los detalles de precios de ancho de banda de Azure para ayudar a determinar los posibles costos. Los precios de la transferencia de datos están en capas. Cuanto más use, menos pagará por gigabyte.
Almacenamiento de contenido
Los clientes basados en Internet obtienen contenido de actualización de software de Microsoft desde el servicio en la nube de Microsoft Update sin cargo alguno. No distribuya paquetes de implementación de actualizaciones de software con actualizaciones de software de Microsoft en un punto de distribución de nube. De lo contrario, incurrirá en costos de almacenamiento de datos para el contenido que los clientes nunca usan.
Los puntos de distribución en la nube con una implementación de Azure Resource Manager usan el almacenamiento con redundancia local (LRS) de Azure. Para obtener más información, consulte Almacenamiento con redundancia local.
Otros costos
- Cada servicio en la nube tiene una dirección IP dinámica. Cada punto de distribución de nube distinto usa una nueva dirección IP dinámica. Agregar máquinas virtuales adicionales por servicio en la nube no aumenta estas direcciones.
Puertos y flujo de datos
Hay dos flujos de datos principales para el punto de distribución de nube:
El servidor de sitio se conecta a Azure para configurar el servicio de punto de distribución en la nube
Un cliente se conecta al punto de distribución de nube para descargar contenido
Servidor de sitio en Azure
No es necesario abrir ningún puerto de entrada a la red local. El servidor de sitio inicia toda la comunicación con Azure y el punto de distribución de nube para implementar, actualizar y administrar el servicio en la nube. El servidor de sitio debe crear conexiones salientes a la nube de Microsoft. Esta acción equivale a instalar el rol de sistema de sitio de punto de distribución en un sitio específico.
Punto de distribución de cliente a nube
No es necesario abrir ningún puerto de entrada a la red local. Los clientes basados en Internet se comunican directamente con el servicio de Azure. Los clientes de la red interna que usan un punto de distribución de nube deben conectarse a la nube de Microsoft.
Para obtener más información sobre la prioridad de ubicación de contenido y cuándo los clientes basados en intranet usan un punto de distribución en la nube, consulte Prioridad de origen de contenido.
Cuando un cliente usa un punto de distribución de nube como ubicación de contenido:
El punto de administración proporciona al cliente un token de acceso junto con la lista de orígenes de contenido. Este token es válido durante 24 horas y proporciona al cliente acceso al punto de distribución de nube.
El punto de administración responde a la solicitud de ubicación del cliente con el FQDN del servicio del punto de distribución en la nube. Esta propiedad es la misma que el nombre común del certificado de autenticación del servidor.
Si usa el nombre de dominio, por ejemplo, WallaceFalls.contoso.com, el cliente primero intenta resolver este FQDN. Necesita un alias CNAME en el DNS accesible desde Internet del dominio para que los clientes resuelvan el nombre del servicio de Azure, por ejemplo: WallaceFalls.cloudapp.net.
A continuación, el cliente resuelve el nombre del servicio de Azure, por ejemplo, WallaceFalls.cloudapp.net, en una dirección IP válida. El DNS de Azure debe controlar esta respuesta.
El cliente se conecta al punto de distribución de nube. Azure equilibra la conexión a una de las instancias de máquina virtual. El cliente se autentica mediante el token de acceso.
El punto de distribución en la nube autentica el token de acceso del cliente y, a continuación, proporciona al cliente la ubicación exacta del contenido en Azure Storage.
Si el cliente confía en el certificado de autenticación del servidor del punto de distribución de nube, se conecta a Azure Storage para descargar el contenido.
Rendimiento y escala
Al igual que con cualquier diseño de punto de distribución, tenga en cuenta los siguientes factores:
- Número de conexiones de cliente simultáneas
- Tamaño del contenido que descargan los clientes
- El período de tiempo permitido para cumplir los requisitos empresariales
En función del diseño de la topología, si los clientes tienen la opción de más de un punto de distribución de nube para cualquier contenido determinado, se aleatorian de forma natural en esos servicios en la nube. Si solo distribuye un determinado fragmento de contenido a un único punto de distribución de nube y un gran número de clientes intenta descargar este contenido al mismo tiempo, esta actividad aumenta la carga en ese único punto de distribución de nube. Agregar un punto de distribución de nube adicional también incluye un servicio de almacenamiento de Azure independiente. Para obtener más información sobre cómo el cliente se comunica con los componentes del punto de distribución de nube y descarga contenido, consulte Puertos y flujo de datos.
El punto de distribución de nube usa dos máquinas virtuales de Azure como front-end del almacenamiento de Azure. Esta implementación predeterminada satisface la mayoría de las necesidades de los clientes. En algunas circunstancias extremas, con un gran número de conexiones de cliente simultáneas (por ejemplo, 150 000 clientes), la capacidad de procesamiento de las máquinas virtuales de Azure no puede mantenerse al día con las solicitudes de cliente. No puede cambiar el tamaño de las máquinas virtuales de Azure que se usan para el punto de distribución de nube. Aunque no puede configurar el número de instancias de máquina virtual para el punto de distribución de nube en Configuration Manager, si es necesario, vuelva a configurar el servicio en la nube en Azure Portal. Agregue manualmente más instancias de máquina virtual o configure el servicio para que se escale automáticamente.
Importante
Al actualizar Configuration Manager, el sitio vuelve a implementar el servicio en la nube. Si vuelve a configurar manualmente el servicio en la nube en Azure Portal, el número de instancias se restablece al valor predeterminado de dos.
El servicio azure storage admite 500 solicitudes por segundo para un único archivo. Las pruebas de rendimiento de un único punto de distribución de nube admiten la distribución de un único archivo de 100 MB a 50 000 clientes en 24 horas.
Certificados
En función del diseño del punto de distribución de nube, necesita uno o varios certificados digitales.
Información general
Los certificados para puntos de distribución en la nube admiten las siguientes configuraciones:
Longitud de clave de 4096 bits
Certificados de la versión 3. Para obtener más información, consulte Introducción a los certificados CNG.
Al configurar Windows con la siguiente directiva: Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma
Compatibilidad con TLS 1.2. Para obtener más información, vea Referencia técnica de controles criptográficos.
Certificado de autenticación del servidor
Este certificado es necesario para todas las implementaciones de puntos de distribución de nube.
Para obtener más información, vea Certificado de autenticación de servidor CMG y las siguientes subsecciones, según sea necesario:
- Certificado raíz de confianza de CMG para clientes
- Certificado de autenticación de servidor emitido por el proveedor público
- Certificado de autenticación de servidor emitido desde PKI empresarial
El punto de distribución de nube usa este tipo de certificado de la misma manera que la puerta de enlace de administración en la nube. Los clientes también deben confiar en este certificado. Para reducir la complejidad, Microsoft recomienda usar un certificado emitido por un proveedor público.
A menos que use un certificado comodín, no reutilice el mismo certificado. Cada instancia del punto de distribución de nube y la puerta de enlace de administración de la nube requiere un certificado de autenticación de servidor único.
Para obtener más información sobre cómo crear este certificado a partir de una PKI, consulte Implementación del certificado de servicio para puntos de distribución en la nube.
Preguntas más frecuentes (P+F)
¿Necesita un cliente un certificado para descargar contenido de un punto de distribución de nube?
No se requiere un certificado de autenticación de cliente. El cliente debe confiar en el certificado de autenticación de servidor usado por el punto de distribución de nube. Si este certificado lo emite un proveedor de certificados público, la mayoría de los dispositivos Windows ya incluyen certificados raíz de confianza para estos proveedores. Si ha emitido un certificado de autenticación de servidor desde la PKI de su organización, los clientes deben confiar en los certificados de emisión en toda la cadena. Esta cadena incluye la entidad de certificación raíz y cualquier entidad de certificación intermedia. En función del diseño de la PKI, este certificado puede introducir complejidad adicional en la implementación del punto de distribución de nube. Para evitar esta complejidad, Microsoft recomienda usar un proveedor de certificados público en el que los clientes ya confían.
¿Pueden mis clientes locales usar un punto de distribución de nube?
Sí. Si desea que los clientes de la red interna usen un punto de distribución de nube, debe estar en el mismo grupo de límites que los clientes. Los clientes priorizan los puntos de distribución en la nube en último lugar en su lista de orígenes de contenido, ya que hay un costo asociado con la descarga de contenido de Azure. Por lo tanto, un punto de distribución de nube se usa normalmente como origen de reserva para clientes basados en intranet. Si quiere un diseño en la nube, diseñe los grupos de límites en consecuencia. Para obtener más información, vea Configurar grupos de límites.
¿Necesito Azure ExpressRoute?
Azure ExpressRoute le permite ampliar la red local a la nube de Microsoft. ExpressRoute u otras conexiones de red virtual de este tipo no son necesarias para el punto de distribución de nube de Configuration Manager.
Si su organización usa ExpressRoute, aísle la suscripción de Azure para el punto de distribución de nube de la suscripción que usa ExpressRoute. Esta configuración garantiza que el punto de distribución de nube no se conecte accidentalmente de esta manera.
¿Es necesario mantener las máquinas virtuales de Azure?
No se requiere mantenimiento. El diseño del punto de distribución de nube usa la plataforma de Azure como servicio (PaaS). Con la suscripción que proporciona, Configuration Manager crea las máquinas virtuales, el almacenamiento y las redes necesarios. Azure protege y actualiza las máquinas virtuales. Estas máquinas virtuales no forman parte del entorno local, como sucede con la infraestructura como servicio (IaaS). El punto de distribución de nube es un PaaS que extiende el entorno de Configuration Manager a la nube. Para obtener más información, consulte Ventajas de seguridad de un modelo de servicio en la nube de PaaS.
¿El punto de distribución de nube usa Azure CDN?
Azure Content Delivery Network (CDN) es una solución global para ofrecer rápidamente contenido de ancho de banda alto mediante el almacenamiento en caché del contenido en nodos físicos colocados estratégicamente en todo el mundo. Para obtener más información, consulte ¿Qué es Azure CDN?.
Actualmente, el punto de distribución de nube de Configuration Manager no admite Azure CDN.