A CMG megtervezése Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az internetalapú ügyfelek felügyeletének egyszerűsítése érdekében először dolgozzon ki egy tervet a felhőfelügyeleti átjáróhoz (CMG). Tervezzen úgy, ahogyan illeszkedik a környezetébe, és készüljön fel az implementálásra.

A CMG-forgatókönyvek és használati esetek alaposabb megismeréséhez tekintse meg a CMG áttekintését.

Megjegyzés:

A cikk korábbi szakaszai a következőt helyezték át:

• Hierarchia kialakítása: CMG-hierarchia kialakítása
• Teljesítmény és skálázás: CMG teljesítménye és skálázása

Tervezési ellenőrzőlista

A CMG teljes tervezési folyamata a következő részekre oszlik:

• Összetevők és követelmények: Ez a cikk a CMG-rendszert alkotó összetevőket foglalja össze. Emellett felsorolja a rendszerkövetelményeket is.

• Ügyfél-hitelesítés: Határozza meg, hogy melyik hitelesítési módszert fogja használni a potenciálisan nem megbízható hálózatokból származó ügyfelekhez.

• Hierarchia kialakítása: Tervezze meg, hol helyezze el a CMG-t a környezetben.

• Támogatott konfigurációk: Ismerje meg, hogy mely Configuration Manager szolgáltatásokat támogathatja a CMG-hez csatlakozó internetes ügyfeleken.

• Teljesítmény és skálázás: Döntse el, hány szolgáltatásösszetevőre lesz szüksége az ügyfelek számának legjobb támogatásához.

• Költség: Az Azure-alapú összetevők költségeinek megismerése.

CMG-összetevők

A CMG üzembe helyezése és működése a következő összetevőket tartalmazza:

• Az Azure CMG felhőszolgáltatása hitelesíti és továbbítja Configuration Manager ügyfélkéréseket az interneten keresztül a helyszíni CMG csatlakozási pontjára.

• A CMG csatlakozási pont helyrendszerszerepköre konzisztens és nagy teljesítményű kapcsolatot tesz lehetővé a helyszíni hálózat és az Azure CMG szolgáltatása között. Emellett a CMG-ben is közzéteszi a beállításokat, beleértve a kapcsolati információkat és a biztonsági beállításokat. A CMG csatlakozási pontja az URL-leképezések alapján továbbítja az ügyfélkéréseket a CMG-ből a helyszíni szerepkörökbe. Például a felügyeleti pont és a szoftverfrissítési pont.

• A szolgáltatáskapcsolódási pont helyrendszerszerepkör a felhőszolgáltatás-kezelő összetevőt futtatja, amely az összes CMG üzembehelyezési feladatot kezeli. Emellett figyeli és jelenti a szolgáltatás állapotát és naplózási adatait Microsoft Entra azonosítóból. Győződjön meg arról, hogy a szolgáltatáskapcsolódási pont online módban van.

• A felügyeleti pont és a szoftverfrissítési pont helyrendszerszerepkörei szolgáltatás ügyfélkérései normál esetben.

• A CMG tanúsítványalapú HTTPS-webszolgáltatást használ az ügyfelekkel folytatott hálózati kommunikáció biztonságossá tételéhez.

• Az internetalapú ügyfelek a CMG-hez csatlakozva férnek hozzá a helyszíni Configuration Manager összetevőkhöz. Az ügyfélidentitás és a hitelesítés több lehetőség közül is választhat:

  • Microsoft Entra ID
  • PKI-tanúsítványok
  • webhely által kibocsátott jogkivonatok Configuration Manager

  További információ: Plan for CMG client authentication (CMG-ügyfélhitelesítés tervezése).

• A CMG létrehoz egy Azure Storage-fiókot, amelyet a standard műveleteihez használ. Alapértelmezés szerint a CMG tartalommal is rendelkezik, hogy üzembehelyezési tartalmat biztosítson az internetalapú ügyfelek számára. Ez a tárfiók nem támogatja a testreszabásokat, például a virtuális hálózati korlátozásokat.

  Megjegyzés:

  A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését.

Azure Resource Manager

A CMG-t egy Azure Resource Manager üzemelő példány használatával hozhatja létre. Az Azure Resource Manager egy modern platform az összes megoldáserőforrás egyetlen entitásként, úgynevezett erőforráscsoportként való kezelésére. Amikor üzembe helyez egy CMG-t az Azure Resource Manager használatával, a hely Microsoft Entra azonosítót használ a szükséges felhőerőforrások hitelesítéséhez és létrehozásához.

Fontos

A 2203-as verziótól kezdődően a CMG felhőszolgáltatásként (klasszikus) való üzembe helyezésének lehetősége el lesz távolítva. Minden CMG-telepítésnek virtuálisgép-méretezési csoportot kell használnia. További információ: Eltávolított és elavult funkciók.

Virtuálisgép-méretezési csoportok

Megjegyzés:

Ez a funkció először a 2010-es verzióban jelent meg kiadás előtti funkcióként. A 2107-es verziótól kezdődően ez már nem egy előzetes funkció.

Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.

A 2010-es verziótól kezdődően a felhőszolgáltatói (CSP-) előfizetéssel rendelkező ügyfelek üzembe helyezhetik a CMG-t egy virtuálisgép-méretezési csoporttal az Azure-ban. Ez a támogatás csak akkor érhető el, ha jelenleg nincs üzembe helyezve CMG klasszikus felhőszolgáltatásokkal egy másik előfizetésben.

A 2107-es verziótól kezdve minden ügyfél üzembe helyezhet egy CMG-t egy virtuálisgép-méretezési csoporttal. Ha a klasszikus felhőszolgáltatással már üzembe helyezett CMG-vel rendelkezik, konvertálja a CMG-t virtuálisgép-méretezési csoport használatára.

Néhány kivételtől eltekintve a CMG konfigurációja, működése és működése változatlan marad.

• Az Azure-előfizetés többi Azure-erőforrásszolgáltatója .

• Különböző üzembehelyezési nevek, például GraniteFalls.EastUS.CloudApp.Azure.Com az USA keleti Azure-régiójában lévő üzembe helyezéshez. Ez a névmódosítás hatással lehet a CMG-kiszolgáló hitelesítési tanúsítványának létrehozására és kezelésére.

• A CMG csatlakozási pontja csak az Azure-beli virtuálisgép-méretezési csoporttal kommunikál HTTPS-en keresztül. Nem igényel TCP-TLS-portokat.

A virtuálisgép-méretezési csoporttal rendelkező CMG-k korlátozásai

A 2107-s és újabb verziók korlátozásai

Megjegyzés:

A 2111-es verziótól kezdődően a virtuálisgép-méretezési csoporttal rendelkező CMG-üzemelő példányok támogatják az Azure US Government felhőkörnyezeteit.

• A felhasználók legfeljebb három másodperces késést tapasztalhatnak a Szoftverközpontban végzett műveleteknél.
• A CMG-vel nem hagyhatja jóvá/tilthatja le az alkalmazáskéréseket.
• A 2107-es verzió nem támogatja az Azure US Government felhőalapú környezeteit.

Korlátozások a 2010-ben és 2103-ben

• Ha több CMG-példányra van szüksége, mindegyiknek ugyanazt az üzembehelyezési módszert kell használnia.
• Az egyidejű ügyfélkapcsolatok támogatott száma virtuálisgép-példányonként 2000. További információ: CMG teljesítménye és skálázása.
• Csak önálló elsődleges hely esetén támogatott.
• Nem támogatja az Azure US Government felhőkörnyezeteit.
• A felhasználók legfeljebb három másodperces késést tapasztalhatnak a Szoftverközpontban végzett műveleteknél.
• Configuration Manager jelenleg az erőforráscsoport neve alapján hozza létre az Azure Storage-tárolót. Az Azure különböző elnevezési követelményekkel rendelkezik az erőforráscsoportokhoz és a tárolókhoz. Győződjön meg arról, hogy a szolgáltatás erőforráscsoportjának neve csak kisbetűket, számokat és kötőjeleket tartalmaz. Ha egy meglévő erőforráscsoportja nem működik, nevezze át a Azure Portal, vagy hozzon létre egy új erőforráscsoportot.
• Ha egynél több HTTPS felügyeleti ponttal rendelkezik, akkor nem telepítheti a Configuration Manager-ügyfelet az interneten keresztüli eszközökre. Ha a helyszíni ügyfeleket CMG-vel kell telepítenie, akkor csak egy HTTPS felügyeleti ponttal rendelkezhet. Emellett engedélyeznie kell a CMG-t a tartalomhoz.
• A CMG-vel nem hagyhatja jóvá/tilthatja le az alkalmazáskéréseket.

Követelmények

Tipp

Néhány Azure-terminológia tisztázása:

• A Microsoft Entra-azonosító bérlője a felhasználói fiókok és alkalmazásregisztrációk könyvtára. Egy bérlő több előfizetéssel is rendelkezhet.
• Az Azure-előfizetések elkülönítik a számlázást, az erőforrásokat és a szolgáltatásokat. Egyetlen bérlőhöz van társítva.

További információ: Előfizetések, licencek, fiókok és bérlők a Microsoft felhőajánlataihoz.

• Egy Azure-előfizetés a CMG üzemeltetéséhez. Ez az előfizetés a következő környezetek egyikében lehet:

  • Globális Azure-felhő
  • Azure US Government-felhő

  A felhőszolgáltatói (CSP-) előfizetéssel rendelkező ügyfeleknek a 2010-es vagy újabb verziót kell használniuk egy virtuálisgép-méretezési csoport üzembe helyezésével.

• Integrálja a webhelyet Microsoft Entra azonosítóval a szolgáltatás Azure Resource Manager való üzembe helyezéséhez. További információ: Microsoft Entra ID konfigurálása CMG-hez.

  Amikor a webhelyet Microsoft Entra azonosítóra készíti fel, engedélyezheti Microsoft Entra felhasználófelderítést. Nem szükséges létrehozni a CMG-t, de szükséges, ha Microsoft Entra hitelesítést tervez használni hibrid identitásokkal. További információkért lásd: Ügyfelek telepítése Microsoft Entra azonosítóval, és további információ Microsoft Entra felhasználófelderítésről.

• Az Azure-rendszergazdának részt kell vennie bizonyos összetevők kezdeti létrehozásában. Ez a személy lehet ugyanaz, mint a Configuration Manager rendszergazda, vagy külön. Ha külön van, nem igényelnek engedélyeket a Configuration Manager.

  • Ha a webhelyet Microsoft Entra azonosítóval integrálja a CMG Azure Resource Manager használatával történő üzembe helyezéséhez, globális rendszergazdára lesz szüksége.

  • A CMG létrehozásakor szüksége lesz egy Azure-előfizetés-tulajdonosi fiókra és egy Microsoft Entra-azonosítójú globális rendszergazdára.

• A felhasználói fióknak teljes körű rendszergazdának vagy infrastruktúra-rendszergazdának kell lennie Configuration Manager.

• Legalább egy helyszíni Windows-kiszolgáló a CMG csatlakozási pontjának üzemeltetéséhez. Ezt a szerepkört más Configuration Manager helyrendszerszerepkörökkel is együtt helyezheti el.

• A szolgáltatáskapcsolódási pontnakonline módban kell lennie.

• Konfigurálja a felügyeleti pontot úgy, hogy engedélyezze a CMG-ből érkező forgalmat. Emellett HTTPS-t kell igényelnie, vagy konfigurálnia kell a webhelyet a bővített HTTP-hez.

• A CMG kiszolgálói hitelesítési tanúsítványa .

• A CMG-neveknek 3–24 alfanumerikus karakterből kell állniuk. A névnek betűvel kell kezdődnie, betűvel vagy számjegygel kell végződnie, és nem tartalmazhat egymást követő kötőjeleket.

• Az ügyfél operációs rendszerének verziójától és hitelesítési modelljétől függően további tanúsítványokra is szükség lehet. További információ: Ügyfél-hitelesítés konfigurálása.

• Az ügyfeleknek IPv4-et kell használniuk.

• Győződjön meg arról, hogy a Felhőszolgáltatások csoportban az alábbi ügyfélbeállítások engedélyezve vannak a CMG-t használó eszközökön:

  • Felhőfelügyeleti átjáró használatának engedélyezése az ügyfelek számára
  • Felhőbeli terjesztési ponthoz való hozzáférés engedélyezése

  Megjegyzés:

  Ha engedélyezi a Változástartalom letöltése, ha elérhető ügyfélbeállítást, a külső frissítések tartalma nem tölthető le az ügyfelekre.

Következő lépések

Ezután határozza meg, hogy az ügyfelek hogyan hitelesítsék magukat a CMG-vel:

CMG-ügyfélhitelesítés tervezése