Adatfolyam a CMG-hez
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ebből a cikkből megtudhatja, hogyan áramlik az adatfolyam a felhőfelügyeleti átjáró (CMG) összetevői között. A működéshez meghatározott hálózati portokra és internetes végpontokra van szükség. A helyszíni hálózat bejövő portjait nem kell megnyitnia. A szolgáltatáskapcsolódási pont és a CMG csatlakozási pont helyrendszerszerepkörei az Azure-ral és a CMG-vel folytatott összes kommunikációt megkezdik. Ennek a két szerepkörnek kimenő kapcsolatokat kell létrehoznia a Microsoft-felhőhöz. A szolgáltatáskapcsolódási pont üzembe helyezi és figyeli a szolgáltatást az Azure-ban, ezért online állapotúnak kell lennie. A CMG csatlakozási pontja a CMG-hez csatlakozik a CMG és a helyszíni helyrendszerszerepkörök közötti kommunikáció kezeléséhez.
Adatfolyam-diagram
Az alábbi ábra egy alapszintű, fogalmi adatfolyam a CMG-hez:
A szolgáltatáskapcsolódási pont a 443-s HTTPS-porton keresztül csatlakozik az Azure-hoz. A hitelesítést Microsoft Entra id használatával teszi. A szolgáltatáskapcsolódási pont üzembe helyezi a CMG-t az Azure-ban. A CMG a kiszolgáló hitelesítési tanúsítványával hozza létre a HTTPS-szolgáltatást.
A CMG csatlakozási pontja az Azure-beli CMG-hez csatlakozik. Nyitva tartja a kapcsolatot, és létrehozza a csatornát a jövőbeli kétirányú kommunikációhoz.
Amikor virtuálisgép-méretezési csoportként helyezi üzembe a CMG-t, ez a folyamat HTTPS-en keresztül történik.
Ha a CMG-t klasszikus felhőszolgáltatásként helyezi üzembe, először a TCP-TLS-t próbálja meg. Ha ez a kapcsolat sikertelen, HTTPS-kapcsolatra vált.
További információ: 2. megjegyzés: CMG csatlakozási pont HTTPS-portok egy virtuális géphez.
Az ügyfél a 443-s HTTPS-porton keresztül csatlakozik a CMG-hez. Hitelesítést Microsoft Entra azonosítóval, az ügyfél-hitelesítési tanúsítvánnyal vagy egy hely által kibocsátott jogkivonattal.
Megjegyzés:
Ha engedélyezi a CMG számára a tartalom kiszolgálását, az ügyfél közvetlenül az Azure Blob Storage-hoz csatlakozik a 443-s HTTPS-porton keresztül. További információ: Tartalom adatfolyama.
A CMG továbbítja az ügyfélkommunikációt a meglévő kapcsolaton keresztül a helyszíni CMG csatlakozási pontjára. Nincs szükség bejövő tűzfalportok megnyitására.
A CMG csatlakozási pontja továbbítja az ügyfél-kommunikációt a helyszíni felügyeleti pontnak és a szoftverfrissítési pontnak.
Az Microsoft Entra-azonosítóval való integrációval kapcsolatos további információkért lásd: Azure-szolgáltatások konfigurálása: Felhőfelügyeleti adatfolyam.
Tartalom-adatfolyam
Ha egy ügyfél CMG-t használ tartalomhelyként:
A felügyeleti pont hozzáférési jogkivonatot ad az ügyfélnek a tartalomforrások listájával együtt. Ez a jogkivonat 24 órán át érvényes, és hozzáférést biztosít az ügyfélnek a felhőalapú tartalomforráshoz.
A felügyeleti pont a CMG szolgáltatásnevével válaszol az ügyfél helykérésére. Ez a tulajdonság megegyezik a kiszolgálóhitelesítési tanúsítvány köznapi nevével.
Ha például a tartománynevét használja,
WallaceFalls.contoso.comakkor az ügyfél először megpróbálja feloldani ezt a teljes tartománynevet. Az ügyfelek a tartománya internetes DNS-ében lévő CNAME aliast használják az Azure-beli üzemelő példány nevének feloldásához.Az ügyfél ezután érvényes IP-címre oldja fel az üzembe helyezés nevét . Ezt a választ az Azure DNS-e kezeli.
Az ügyfél csatlakozik a CMG-hez. Az Azure load balances the connection to the VM instances. Az ügyfél a hozzáférési jogkivonattal hitelesíti magát.
A CMG hitelesíti az ügyfél hozzáférési jogkivonatát, majd megadja az ügyfélnek a tartalom pontos helyét az Azure Storage-ban.
Ha az ügyfél megbízik a CMG kiszolgálóhitelesítési tanúsítványában, a tartalom letöltéséhez csatlakozik az Azure Storage-hoz.
Szükséges portok
Ez a táblázat a szükséges hálózati portokat és protokollokat sorolja fel. Az ügyfél az az eszköz, amely elindítja a kapcsolatot, és kimenő portot igényel. A kiszolgáló az az eszköz, amely fogadja a kapcsolatot, és bejövő portot igényel.
| Ügyfél | Protocol (Protokoll) | Port | Kiszolgáló | Leírás |
|---|---|---|---|---|
| Szolgáltatáskapcsolódási pont | HTTPS | 443 | Azure | CMG üzembe helyezése |
| CMG csatlakozási pont (virtuálisgép-méretezési csoport) | HTTPS | 443 | CMG szolgáltatás | Protokoll a CMG-csatorna létrehozásához csak egy virtuálisgép-példányhoz 2. megjegyzés |
| CMG csatlakozási pont (virtuálisgép-méretezési csoport) | HTTPS | 10124-10139 | CMG szolgáltatás | Protokoll a CMG-csatorna két vagy több virtuálisgép-példányhoz való létrehozásához 3. megjegyzés |
| CMG csatlakozási pont (klasszikus felhőszolgáltatás) | TCP-TLS | 10140-10155 | CMG szolgáltatás | A CMG-csatorna létrehozásához előnyben részesített protokoll 1. megjegyzés |
| CMG csatlakozási pont (klasszikus felhőszolgáltatás) | HTTPS | 443 | CMG szolgáltatás | Fall back protocol to build CMG channel to only one VM instance Note 2 |
| CMG csatlakozási pont (klasszikus felhőszolgáltatás) | HTTPS | 10124-10139 | CMG szolgáltatás | Fall back protocol to build CMG channel to two or more VM instances Note 3 |
| Ügyfél | HTTPS | 443 | CMG | Általános ügyfélkommunikáció |
| Ügyfél | HTTPS | 443 | Blob Storage | Felhőalapú tartalom letöltése |
| CMG csatlakozási pont | HTTPS vagy HTTP | 443 vagy 80 | Felügyeleti pont | A helyszíni forgalom és a port a felügyeleti pont konfigurációjától függ |
| CMG csatlakozási pont | HTTPS vagy HTTP | 443 vagy 80 / 8530 vagy 8531 | Szoftverfrissítési pont | A helyszíni forgalom és a port a szoftverfrissítési pont konfigurációjától függ |
Megjegyzések a portokra
1. megjegyzés: CMG csatlakozási pont TCP-TLS-portok
Ezek a portok csak akkor érvényesek, ha a CMG-t felhőszolgáltatásként (klasszikus) helyezi üzembe, amely az egyetlen elérhető módszer volt a 2006-os és korábbi verziókban.
A CMG csatlakozási pontja először egy hosszú élettartamú TCP-TLS-kapcsolatot próbál létrehozni az egyes CMG virtuálisgép-példányokkal. Csatlakozik az első virtuálisgép-példányhoz az 10140-es porton. A második virtuálisgép-példány az 10141-ös portot használja, az 10155-ös porton a 16. portig. A TCP-TLS-kapcsolat rendelkezik a legjobb teljesítménnyel, de nem támogatja az internetproxyt. Ha a CMG csatlakozási pontja nem tud TCP-TLS-en keresztül csatlakozni, akkor visszaesik a HTTPS2. megjegyzésre.
2. megjegyzés: CMG csatlakozási pont HTTPS-portjai egy virtuális géphez
Ha a CMG-t egy virtuálisgép-méretezési csoportban helyezi üzembe, a CMG csatlakozási pontja csak HTTPS-en keresztül kommunikál az Azure-beli szolgáltatással. A CMG kommunikációs csatorna létrehozásához nincs szükség TCP-TLS-portra.
A klasszikus felhőszolgáltatásként üzembe helyezett CMG-k esetében csak akkor használja ezt a portot, ha a TCP-TLS-kapcsolat meghiúsul. Ha a CMG csatlakozási pontja nem tud csatlakozni a CMG-hez a TCP-TLS1. megjegyzésen keresztül, https 443-on keresztül csatlakozik az Azure hálózati terheléselosztójához. Ez a viselkedés csak egy virtuálisgép-példányra vonatkozik.
3. megjegyzés: CMG-csatlakozási pont HTTPS-portjai két vagy több virtuális géphez
Ha két vagy több virtuálisgép-példány van, a CMG csatlakozási pontja HTTPS 10124-et használ az első virtuálisgép-példányhoz, nem pedig a HTTPS 443-at. A https 10125-ös virtuálisgép-példányhoz csatlakozik, a 10139-ös HTTPS-porton a 16.ig.
Internet-hozzáférési követelmények
Ha a szervezet tűzfal vagy proxyeszköz használatával korlátozza az internettel folytatott hálózati kommunikációt, engedélyeznie kell a CMG csatlakozási pontjának és a szolgáltatáskapcsolódási pontnak az internetes végpontok elérését.
További információ: Internet-hozzáférési követelmények.
Ez a szakasz a következő funkciókat ismerteti:
Felhőfelügyeleti átjáró (CMG)
Microsoft Entra integráció
Microsoft Entra azonosítóalapú felderítés
Felhőbeli terjesztési pont (CDP)
Megjegyzés:
A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését.
Az alábbi szakaszok a végpontokat szerepkör szerint sorolják fel. Egyes végpontok a által <prefix>használt szolgáltatásra hivatkoznak, amely a CMG előtagneve. Ha például a CMG a GraniteFalls.WestUS.CloudApp.Azure.Com, akkor a tényleges tárolási végpont a GraniteFalls.blob.core.windows.net.
Tipp
Néhány terminológia tisztázása:
CMG-szolgáltatás neve: A CMG-kiszolgáló hitelesítési tanúsítványának köznapi neve (CN). Az ügyfelek és a CMG csatlakozási pont helyrendszerszerepköre ezzel a szolgáltatásnévvel kommunikálnak. Például:
GraniteFalls.contoso.comvagyGraniteFalls.WestUS.CloudApp.Azure.Com.CMG üzembehelyezési neve: A szolgáltatásnév első része, valamint a felhőszolgáltatás üzembe helyezésének Azure-helye. A szolgáltatáskapcsolódási pont felhőszolgáltatás-kezelő összetevője ezt a nevet használja, amikor üzembe helyezi a CMG-t az Azure-ban. Az üzembe helyezés neve mindig egy Azure-tartományban található. Az Azure helye az üzembe helyezési módszertől függ, például:
- Virtuálisgép-méretezési csoport:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klasszikus üzembe helyezés:
GraniteFalls.CloudApp.Net
- Virtuálisgép-méretezési csoport:
Ez a cikk egy virtuálisgép-méretezési csoporttal rendelkező példákat használ a 2107-es és újabb verziók ajánlott üzembehelyezési módszereként. Ha klasszikus üzemelő példányt használ, vegye figyelembe a különbséget, amikor elolvassa ezt a cikket, és konfigurálja az internet-hozzáférést.
Szolgáltatáskapcsolódási pont felhőszolgáltatásokhoz
Ahhoz, hogy Configuration Manager üzembe helyezhesse a CMG-szolgáltatást az Azure-ban, a szolgáltatáskapcsolódási pontnak hozzá kell férnie a következőhöz:
Adott Azure-végpontok, amelyek a konfigurációtól függően környezetenként eltérőek. Configuration Manager ezeket a végpontokat a helyadatbázisban tárolja. Kérdezze le az Azure-végpontok listájának SQL Server AzureEnvironments tábláját.
Azure-szolgáltatások:
management.azure.com(Azure nyilvános felhő)management.usgovcloudapi.net(Azure US Government-felhő)
Microsoft Entra felhasználófelderítéshez: Microsoft Graph-végpont
https://graph.microsoft.com/
CMG csatlakozási pont felhőszolgáltatásokhoz
A CMG csatlakozási pontjának a következő végpontokhoz kell hozzáférnie:
| Típus | Nyilvános Azure-felhő | Azure US Government-felhő |
|---|---|---|
| Szolgáltatás neve | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 1. tárolási végpont | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| 2. tárolási végpont | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Kulcstartó | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
A CMG csatlakozási pont helyrendszere támogatja a webproxy használatát. A szerepkör proxyhoz való konfigurálásáról további információt a Proxykiszolgáló támogatása című témakörben talál.
A CMG-csatlakozási pontnak csak a CMG-szolgáltatásvégpontokhoz kell csatlakoznia. Nincs szüksége más Azure-végpontokhoz való hozzáférésre.
Configuration Manager-ügyfél felhőszolgáltatásokhoz
Minden Configuration Manager ügyfélnek, amelynek kommunikálnia kell egy CMG-vel, a következő végpontokhoz kell hozzáférnie:
| Típus | Nyilvános Azure-felhő | Azure US Government-felhő |
|---|---|---|
| Üzembe helyezés neve | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Tárolási végpont | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra végpont | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager-konzol felhőszolgáltatásokhoz
A Configuration Manager-konzollal rendelkező eszközöknek a következő végpontokhoz kell hozzáférnie:
| Típus | Nyilvános Azure-felhő | Azure US Government-felhő |
|---|---|---|
| Microsoft Entra végpontok | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP-fejlécek és -műveletek
Minden hálózati eszköznek, amely az ügyfél, a CMG és a helyszíni helyrendszerek közötti kommunikációt kezeli, engedélyeznie kell a következő HTTP-fejléceket és -parancsokat. Ha ezek az elemek le vannak tiltva, az hatással lesz az ügyfél CMG-vel való kommunikációjára.
HTTP-fejlécek
- Tartomány:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP-műveletek
- FEJ
- CCM_POST
- BITS_POST
- KAP
- PROPFIND
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: