Megosztás a következőn keresztül:

Adatfolyam a CMG-hez

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ebből a cikkből megtudhatja, hogyan áramlik az adatfolyam a felhőfelügyeleti átjáró (CMG) összetevői között. A működéshez meghatározott hálózati portokra és internetes végpontokra van szükség. A helyszíni hálózat bejövő portjait nem kell megnyitnia. A szolgáltatáskapcsolódási pont és a CMG csatlakozási pont helyrendszerszerepkörei az Azure-ral és a CMG-vel folytatott összes kommunikációt megkezdik. Ennek a két szerepkörnek kimenő kapcsolatokat kell létrehoznia a Microsoft-felhőhöz. A szolgáltatáskapcsolódási pont üzembe helyezi és figyeli a szolgáltatást az Azure-ban, ezért online állapotúnak kell lennie. A CMG csatlakozási pontja a CMG-hez csatlakozik a CMG és a helyszíni helyrendszerszerepkörök közötti kommunikáció kezeléséhez.

Adatfolyam-diagram

Az alábbi ábra egy alapszintű, fogalmi adatfolyam a CMG-hez:

Adatfolyam-diagram a felhőfelügyeleti átjáróhoz (CMG).

  1. A szolgáltatáskapcsolódási pont a 443-s HTTPS-porton keresztül csatlakozik az Azure-hoz. A hitelesítést Microsoft Entra id használatával teszi. A szolgáltatáskapcsolódási pont üzembe helyezi a CMG-t az Azure-ban. A CMG a kiszolgáló hitelesítési tanúsítványával hozza létre a HTTPS-szolgáltatást.

  2. A CMG csatlakozási pontja az Azure-beli CMG-hez csatlakozik. Nyitva tartja a kapcsolatot, és létrehozza a csatornát a jövőbeli kétirányú kommunikációhoz.

    • Amikor virtuálisgép-méretezési csoportként helyezi üzembe a CMG-t, ez a folyamat HTTPS-en keresztül történik.

    • Ha a CMG-t klasszikus felhőszolgáltatásként helyezi üzembe, először a TCP-TLS-t próbálja meg. Ha ez a kapcsolat sikertelen, HTTPS-kapcsolatra vált.

    További információ: 2. megjegyzés: CMG csatlakozási pont HTTPS-portok egy virtuális géphez.

  3. Az ügyfél a 443-s HTTPS-porton keresztül csatlakozik a CMG-hez. Hitelesítést Microsoft Entra azonosítóval, az ügyfél-hitelesítési tanúsítvánnyal vagy egy hely által kibocsátott jogkivonattal.

    Megjegyzés:

    Ha engedélyezi a CMG számára a tartalom kiszolgálását, az ügyfél közvetlenül az Azure Blob Storage-hoz csatlakozik a 443-s HTTPS-porton keresztül. További információ: Tartalom adatfolyama.

  4. A CMG továbbítja az ügyfélkommunikációt a meglévő kapcsolaton keresztül a helyszíni CMG csatlakozási pontjára. Nincs szükség bejövő tűzfalportok megnyitására.

  5. A CMG csatlakozási pontja továbbítja az ügyfél-kommunikációt a helyszíni felügyeleti pontnak és a szoftverfrissítési pontnak.

Az Microsoft Entra-azonosítóval való integrációval kapcsolatos további információkért lásd: Azure-szolgáltatások konfigurálása: Felhőfelügyeleti adatfolyam.

Tartalom-adatfolyam

Ha egy ügyfél CMG-t használ tartalomhelyként:

  1. A felügyeleti pont hozzáférési jogkivonatot ad az ügyfélnek a tartalomforrások listájával együtt. Ez a jogkivonat 24 órán át érvényes, és hozzáférést biztosít az ügyfélnek a felhőalapú tartalomforráshoz.

  2. A felügyeleti pont a CMG szolgáltatásnevével válaszol az ügyfél helykérésére. Ez a tulajdonság megegyezik a kiszolgálóhitelesítési tanúsítvány köznapi nevével.

    Ha például a tartománynevét használja, WallaceFalls.contoso.comakkor az ügyfél először megpróbálja feloldani ezt a teljes tartománynevet. Az ügyfelek a tartománya internetes DNS-ében lévő CNAME aliast használják az Azure-beli üzemelő példány nevének feloldásához.

  3. Az ügyfél ezután érvényes IP-címre oldja fel az üzembe helyezés nevét . Ezt a választ az Azure DNS-e kezeli.

  4. Az ügyfél csatlakozik a CMG-hez. Az Azure load balances the connection to the VM instances. Az ügyfél a hozzáférési jogkivonattal hitelesíti magát.

  5. A CMG hitelesíti az ügyfél hozzáférési jogkivonatát, majd megadja az ügyfélnek a tartalom pontos helyét az Azure Storage-ban.

  6. Ha az ügyfél megbízik a CMG kiszolgálóhitelesítési tanúsítványában, a tartalom letöltéséhez csatlakozik az Azure Storage-hoz.

Szükséges portok

Ez a táblázat a szükséges hálózati portokat és protokollokat sorolja fel. Az ügyfél az az eszköz, amely elindítja a kapcsolatot, és kimenő portot igényel. A kiszolgáló az az eszköz, amely fogadja a kapcsolatot, és bejövő portot igényel.

Ügyfél Protocol (Protokoll) Port Kiszolgáló Leírás
Szolgáltatáskapcsolódási pont HTTPS 443 Azure CMG üzembe helyezése
CMG csatlakozási pont (virtuálisgép-méretezési csoport) HTTPS 443 CMG szolgáltatás Protokoll a CMG-csatorna létrehozásához csak egy virtuálisgép-példányhoz 2. megjegyzés
CMG csatlakozási pont (virtuálisgép-méretezési csoport) HTTPS 10124-10139 CMG szolgáltatás Protokoll a CMG-csatorna két vagy több virtuálisgép-példányhoz való létrehozásához 3. megjegyzés
CMG csatlakozási pont (klasszikus felhőszolgáltatás) TCP-TLS 10140-10155 CMG szolgáltatás A CMG-csatorna létrehozásához előnyben részesített protokoll 1. megjegyzés
CMG csatlakozási pont (klasszikus felhőszolgáltatás) HTTPS 443 CMG szolgáltatás Fall back protocol to build CMG channel to only one VM instance Note 2
CMG csatlakozási pont (klasszikus felhőszolgáltatás) HTTPS 10124-10139 CMG szolgáltatás Fall back protocol to build CMG channel to two or more VM instances Note 3
Ügyfél HTTPS 443 CMG Általános ügyfélkommunikáció
Ügyfél HTTPS 443 Blob Storage Felhőalapú tartalom letöltése
CMG csatlakozási pont HTTPS vagy HTTP 443 vagy 80 Felügyeleti pont A helyszíni forgalom és a port a felügyeleti pont konfigurációjától függ
CMG csatlakozási pont HTTPS vagy HTTP 443 vagy 80 / 8530 vagy 8531 Szoftverfrissítési pont A helyszíni forgalom és a port a szoftverfrissítési pont konfigurációjától függ

Megjegyzések a portokra

1. megjegyzés: CMG csatlakozási pont TCP-TLS-portok

Ezek a portok csak akkor érvényesek, ha a CMG-t felhőszolgáltatásként (klasszikus) helyezi üzembe, amely az egyetlen elérhető módszer volt a 2006-os és korábbi verziókban.

A CMG csatlakozási pontja először egy hosszú élettartamú TCP-TLS-kapcsolatot próbál létrehozni az egyes CMG virtuálisgép-példányokkal. Csatlakozik az első virtuálisgép-példányhoz az 10140-es porton. A második virtuálisgép-példány az 10141-ös portot használja, az 10155-ös porton a 16. portig. A TCP-TLS-kapcsolat rendelkezik a legjobb teljesítménnyel, de nem támogatja az internetproxyt. Ha a CMG csatlakozási pontja nem tud TCP-TLS-en keresztül csatlakozni, akkor visszaesik a HTTPS2. megjegyzésre.

2. megjegyzés: CMG csatlakozási pont HTTPS-portjai egy virtuális géphez

Ha a CMG-t egy virtuálisgép-méretezési csoportban helyezi üzembe, a CMG csatlakozási pontja csak HTTPS-en keresztül kommunikál az Azure-beli szolgáltatással. A CMG kommunikációs csatorna létrehozásához nincs szükség TCP-TLS-portra.

A klasszikus felhőszolgáltatásként üzembe helyezett CMG-k esetében csak akkor használja ezt a portot, ha a TCP-TLS-kapcsolat meghiúsul. Ha a CMG csatlakozási pontja nem tud csatlakozni a CMG-hez a TCP-TLS1. megjegyzésen keresztül, https 443-on keresztül csatlakozik az Azure hálózati terheléselosztójához. Ez a viselkedés csak egy virtuálisgép-példányra vonatkozik.

3. megjegyzés: CMG-csatlakozási pont HTTPS-portjai két vagy több virtuális géphez

Ha két vagy több virtuálisgép-példány van, a CMG csatlakozási pontja HTTPS 10124-et használ az első virtuálisgép-példányhoz, nem pedig a HTTPS 443-at. A https 10125-ös virtuálisgép-példányhoz csatlakozik, a 10139-ös HTTPS-porton a 16.ig.

Internet-hozzáférési követelmények

Ha a szervezet tűzfal vagy proxyeszköz használatával korlátozza az internettel folytatott hálózati kommunikációt, engedélyeznie kell a CMG csatlakozási pontjának és a szolgáltatáskapcsolódási pontnak az internetes végpontok elérését.

További információ: Internet-hozzáférési követelmények.

Ez a szakasz a következő funkciókat ismerteti:

  • Felhőfelügyeleti átjáró (CMG)

  • Microsoft Entra integráció

  • Microsoft Entra azonosítóalapú felderítés

  • Felhőbeli terjesztési pont (CDP)

    Megjegyzés:

    A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését.

Az alábbi szakaszok a végpontokat szerepkör szerint sorolják fel. Egyes végpontok a által <prefix>használt szolgáltatásra hivatkoznak, amely a CMG előtagneve. Ha például a CMG a GraniteFalls.WestUS.CloudApp.Azure.Com, akkor a tényleges tárolási végpont a GraniteFalls.blob.core.windows.net.

Tipp

Néhány terminológia tisztázása:

  • CMG-szolgáltatás neve: A CMG-kiszolgáló hitelesítési tanúsítványának köznapi neve (CN). Az ügyfelek és a CMG csatlakozási pont helyrendszerszerepköre ezzel a szolgáltatásnévvel kommunikálnak. Például: GraniteFalls.contoso.com vagy GraniteFalls.WestUS.CloudApp.Azure.Com.

  • CMG üzembehelyezési neve: A szolgáltatásnév első része, valamint a felhőszolgáltatás üzembe helyezésének Azure-helye. A szolgáltatáskapcsolódási pont felhőszolgáltatás-kezelő összetevője ezt a nevet használja, amikor üzembe helyezi a CMG-t az Azure-ban. Az üzembe helyezés neve mindig egy Azure-tartományban található. Az Azure helye az üzembe helyezési módszertől függ, például:

    • Virtuálisgép-méretezési csoport: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klasszikus üzembe helyezés: GraniteFalls.CloudApp.Net

Ez a cikk egy virtuálisgép-méretezési csoporttal rendelkező példákat használ a 2107-es és újabb verziók ajánlott üzembehelyezési módszereként. Ha klasszikus üzemelő példányt használ, vegye figyelembe a különbséget, amikor elolvassa ezt a cikket, és konfigurálja az internet-hozzáférést.

Szolgáltatáskapcsolódási pont felhőszolgáltatásokhoz

Ahhoz, hogy Configuration Manager üzembe helyezhesse a CMG-szolgáltatást az Azure-ban, a szolgáltatáskapcsolódási pontnak hozzá kell férnie a következőhöz:

  • Adott Azure-végpontok, amelyek a konfigurációtól függően környezetenként eltérőek. Configuration Manager ezeket a végpontokat a helyadatbázisban tárolja. Kérdezze le az Azure-végpontok listájának SQL Server AzureEnvironments tábláját.

  • Azure-szolgáltatások:

    • management.azure.com (Azure nyilvános felhő)
    • management.usgovcloudapi.net (Azure US Government-felhő)

  • Microsoft Entra felhasználófelderítéshez: Microsoft Graph-végponthttps://graph.microsoft.com/

CMG csatlakozási pont felhőszolgáltatásokhoz

A CMG csatlakozási pontjának a következő végpontokhoz kell hozzáférnie:

Típus Nyilvános Azure-felhő Azure US Government-felhő
Szolgáltatás neve <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
1. tárolási végpont <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
2. tárolási végpont <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Kulcstartó <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

A CMG csatlakozási pont helyrendszere támogatja a webproxy használatát. A szerepkör proxyhoz való konfigurálásáról további információt a Proxykiszolgáló támogatása című témakörben talál.

A CMG-csatlakozási pontnak csak a CMG-szolgáltatásvégpontokhoz kell csatlakoznia. Nincs szüksége más Azure-végpontokhoz való hozzáférésre.

Configuration Manager-ügyfél felhőszolgáltatásokhoz

Minden Configuration Manager ügyfélnek, amelynek kommunikálnia kell egy CMG-vel, a következő végpontokhoz kell hozzáférnie:

Típus Nyilvános Azure-felhő Azure US Government-felhő
Üzembe helyezés neve <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Tárolási végpont <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra végpont login.microsoftonline.com login.microsoftonline.us

Configuration Manager-konzol felhőszolgáltatásokhoz

A Configuration Manager-konzollal rendelkező eszközöknek a következő végpontokhoz kell hozzáférnie:

Típus Nyilvános Azure-felhő Azure US Government-felhő
Microsoft Entra végpontok login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net		 login.microsoftonline.us

HTTP-fejlécek és -műveletek

Minden hálózati eszköznek, amely az ügyfél, a CMG és a helyszíni helyrendszerek közötti kommunikációt kezeli, engedélyeznie kell a következő HTTP-fejléceket és -parancsokat. Ha ezek az elemek le vannak tiltva, az hatással lesz az ügyfél CMG-vel való kommunikációjára.

HTTP-fejlécek

  • Tartomány:
  • CCMClientID:
  • CCMClientIDSignature:
  • CCMClientTimestamp:
  • CCMClientTimestampsSignature:

HTTP-műveletek

  • FEJ
  • CCM_POST
  • BITS_POST
  • KAP
  • PROPFIND