Gegevensstroom voor CMG
Van toepassing op: Configuration Manager (current branch)
Gebruik dit artikel om te begrijpen hoe gegevens stromen tussen onderdelen van de cloudbeheergateway (CMG). Hiervoor zijn specifieke netwerkpoorten en interneteindpunten vereist om te kunnen functioneren. U hoeft geen binnenkomende poorten naar uw on-premises netwerk te openen. De sitesysteemrollen serviceverbindingspunt en CMG-verbindingspunt starten alle communicatie met Azure en de CMG. Deze twee rollen moeten uitgaande verbindingen met de Microsoft-cloud maken. Het serviceverbindingspunt implementeert en bewaakt de service in Azure, dus moet online zijn. Het CMG-verbindingspunt maakt verbinding met de CMG om de communicatie tussen de CMG- en on-premises sitesysteemrollen te beheren.
Gegevensstroomdiagram
Het volgende diagram is een eenvoudige, conceptuele gegevensstroom voor de CMG:
Het serviceverbindingspunt maakt verbinding met Azure via HTTPS-poort 443. De verificatie wordt uitgevoerd met behulp van Microsoft Entra-id. Het serviceverbindingspunt implementeert de CMG in Azure. De CMG maakt de HTTPS-service met behulp van het serververificatiecertificaat.
Het CMG-verbindingspunt maakt verbinding met de CMG in Azure. Het houdt de verbinding open en bouwt het kanaal voor toekomstige tweerichtingscommunicatie.
Wanneer u de CMG implementeert als een virtuele-machineschaalset, gaat deze stroom via HTTPS.
Als u de CMG implementeert als een klassieke cloudservice, wordt eerst TCP-TLS geprobeerd. Als die verbinding mislukt, wordt overgeschakeld naar HTTPS.
Zie Opmerking 2: HTTPS-poorten voor CMG-verbindingspunt voor één VM voor meer informatie.
De client maakt verbinding met de CMG via HTTPS-poort 443. Het verifieert met behulp van Microsoft Entra-id, het clientverificatiecertificaat of een door de site uitgegeven token.
Opmerking
Als u de CMG inschakelt om inhoud te leveren, maakt de client rechtstreeks verbinding met Azure Blob Storage via HTTPS-poort 443. Zie Inhoudsgegevensstroom voor meer informatie.
De CMG stuurt de clientcommunicatie via de bestaande verbinding door naar het on-premises CMG-verbindingspunt. U hoeft geen binnenkomende firewallpoorten te openen.
Het CMG-verbindingspunt stuurt de clientcommunicatie door naar het on-premises beheerpunt en het software-updatepunt.
Zie Azure-services configureren: Gegevensstroom voor cloudbeheer voor meer informatie wanneer u integreert met Microsoft Entra-id.
Inhoudsgegevensstroom
Wanneer een client een CMG als inhoudslocatie gebruikt:
Het beheerpunt geeft de client een toegangstoken, samen met de lijst met inhoudsbronnen. Dit token is 24 uur geldig en geeft de client toegang tot de cloudgebaseerde inhoudsbron.
Het beheerpunt reageert op de locatieaanvraag van de client met de servicenaam van de CMG. Deze eigenschap is hetzelfde als de algemene naam van het serververificatiecertificaat.
Als u bijvoorbeeld uw domeinnaam gebruikt,
WallaceFalls.contoso.com
probeert de client eerst deze FQDN op te lossen. Clients gebruiken de CNAME-alias in de internetgerichte DNS van uw domein om de naam van de Azure-implementatie op te lossen.De client zet vervolgens de implementatienaam om in een geldig IP-adres. Dit antwoord wordt verwerkt door de DNS van Azure.
De client maakt verbinding met de CMG. Azure load balancert de verbinding met een van de VM-exemplaren. De client verifieert zichzelf met behulp van het toegangstoken.
De CMG verifieert het toegangstoken van de client en geeft de client vervolgens de exacte inhoudslocatie in Azure Storage.
Als de client het certificaat voor serververificatie van de CMG vertrouwt, maakt deze verbinding met Azure Storage om de inhoud te downloaden.
Vereiste poorten
Deze tabel bevat de vereiste netwerkpoorten en protocollen. De client is het apparaat dat de verbinding start, waarvoor een uitgaande poort is vereist. De server is het apparaat dat de verbinding accepteert, waarvoor een binnenkomende poort is vereist.
Client | Protocol | Poort | Server | Beschrijving |
---|---|---|---|---|
Serviceverbindingspunt | HTTPS | 443 | Azure | CMG-implementatie |
CMG-verbindingspunt (virtuele-machineschaalset) | HTTPS | 443 | CMG-service | Protocol voor het bouwen van EEN CMG-kanaal naar slechts één VM-exemplaar Opmerking 2 |
CMG-verbindingspunt (virtuele-machineschaalset) | HTTPS | 10124-10139 | CMG-service | Protocol voor het bouwen van EEN CMG-kanaal naar twee of meer VM-exemplaren Opmerking 3 |
CMG-verbindingspunt (klassieke cloudservice) | TCP-TLS | 10140-10155 | CMG-service | Voorkeursprotocol voor het bouwen van CMG-kanaal Opmerking 1 |
CMG-verbindingspunt (klassieke cloudservice) | HTTPS | 443 | CMG-service | Terugvalprotocol voor het bouwen van een CMG-kanaal naar slechts één VM-exemplaar Opmerking 2 |
CMG-verbindingspunt (klassieke cloudservice) | HTTPS | 10124-10139 | CMG-service | Terugvalprotocol voor het bouwen van een CMG-kanaal naar twee of meer VM-exemplaren Opmerking 3 |
Client | HTTPS | 443 | CMG | Algemene clientcommunicatie |
Client | HTTPS | 443 | Blob-opslag | Inhoud in de cloud downloaden |
CMG-verbindingspunt | HTTPS of HTTP | 443 of 80 | Beheerpunt | On-premises verkeer, poort is afhankelijk van de configuratie van het beheerpunt |
CMG-verbindingspunt | HTTPS of HTTP | 443 of 80 / 8530 of 8531 | Software-updatepunt | On-premises verkeer, poort is afhankelijk van de configuratie van het software-updatepunt |
Notities over poorten
Opmerking 1: CMG-verbindingspunt TCP-TLS-poorten
Deze poorten zijn alleen van toepassing wanneer u cmg als een cloudservice (klassiek) implementeert. Dit was de enige methode die beschikbaar was in versie 2006 en eerder.
Het CMG-verbindingspunt probeert eerst een langdurige TCP-TLS-verbinding tot stand te brengen met elk CMG-VM-exemplaar. Het maakt verbinding met het eerste VM-exemplaar op poort 10140. Het tweede VM-exemplaar gebruikt poort 10141, tot de 16e op poort 10155. Een TCP-TLS-verbinding heeft de beste prestaties, maar biedt geen ondersteuning voor internetproxy. Als het CMG-verbindingspunt geen verbinding kan maken via TCP-TLS, valt het terug op HTTPSNote 2.
Opmerking 2: HTTPS-poorten voor CMG-verbindingspunt voor één VM
Als u de CMG implementeert in een virtuele-machineschaalset, communiceert het CMG-verbindingspunt alleen met de service in Azure via HTTPS. Er zijn geen TCP-TLS-poorten nodig om het CMG-communicatiekanaal te bouwen.
Voor een CMG die is geïmplementeerd als een klassieke cloudservice, wordt deze poort alleen gebruikt als de TCP-TLS-verbinding mislukt. Als het CMG-verbindingspunt geen verbinding kan maken met de CMG via TCP-TLSNote 1, maakt het verbinding met de Azure-netwerktaakverdeling via HTTPS 443. Dit gedrag is slechts voor één VM-exemplaar.
Opmerking 3: HTTPS-poorten voor CMG-verbindingspunt voor twee of meer VM's
Als er twee of meer VM-exemplaren zijn, gebruikt het CMG-verbindingspunt HTTPS 10124 voor het eerste VM-exemplaar, niet HTTPS 443. Het maakt verbinding met het tweede VM-exemplaar op HTTPS 10125, tot de 16e op HTTPS-poort 10139.
Vereisten voor internettoegang
Als uw organisatie netwerkcommunicatie met internet beperkt via een firewall of proxyapparaat, moet u toestaan dat het CMG-verbindingspunt en het serviceverbindingspunt toegang hebben tot internet-eindpunten.
Zie Vereisten voor internettoegang voor meer informatie.
In deze sectie worden de volgende functies behandeld:
Cloudbeheergateway (CMG)
Microsoft Entra integratie
Microsoft Entra detectie op basis van id's
Clouddistributiepunt (CDP)
Opmerking
Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren.
In de volgende secties worden de eindpunten per rol weergegeven. Sommige eindpunten verwijzen naar een service door <prefix>
, wat de voorvoegselnaam van de CMG is. Als uw CMG bijvoorbeeld is, is GraniteFalls.WestUS.CloudApp.Azure.Com
GraniteFalls.blob.core.windows.net
het werkelijke opslageindpunt .
Tip
Ter verduidelijking van bepaalde terminologie:
CMG-servicenaam: de algemene naam (CN) van het CMG-serververificatiecertificaat. Clients en de sitesysteemrol CMG-verbindingspunt communiceren met deze servicenaam. Bijvoorbeeld
GraniteFalls.contoso.com
, ofGraniteFalls.WestUS.CloudApp.Azure.Com
.CMG-implementatienaam: het eerste deel van de servicenaam plus de Azure-locatie voor de implementatie van de cloudservice. Het cloudservicebeheeronderdeel van het serviceverbindingspunt gebruikt deze naam wanneer de CMG in Azure wordt geïmplementeerd. De implementatienaam bevindt zich altijd in een Azure-domein. De Azure-locatie is afhankelijk van de implementatiemethode, bijvoorbeeld:
- Virtuele-machineschaalset:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Klassieke implementatie:
GraniteFalls.CloudApp.Net
- Virtuele-machineschaalset:
In dit artikel worden voorbeelden gebruikt met een virtuele-machineschaalset als de aanbevolen implementatiemethode in versie 2107 en hoger. Als u een klassieke implementatie gebruikt, let dan op het verschil terwijl u dit artikel leest en internettoegang configureert.
Serviceverbindingspunt voor cloudservices
Als Configuration Manager de CMG-service in Azure wilt implementeren, moet het serviceverbindingspunt toegang hebben tot:
Specifieke Azure-eindpunten, die per omgeving verschillen, afhankelijk van de configuratie. Configuration Manager slaat deze eindpunten op in de sitedatabase. Voer een query uit op de tabel AzureEnvironments in SQL Server voor de lijst met Azure-eindpunten.
Azure-services:
-
management.azure.com
(Openbare Azure-cloud) -
management.usgovcloudapi.net
(Azure US Government-cloud)
-
Voor Microsoft Entra gebruikersdetectie: Microsoft Graph-eindpunt
https://graph.microsoft.com/
CMG-verbindingspunt voor cloudservices
Het CMG-verbindingspunt heeft toegang nodig tot de volgende eindpunten:
Type | Openbare Azure-cloud | Azure US Government-cloud |
---|---|---|
Servicenaam | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Opslageindpunt 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Opslageindpunt 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Sleutelkluis | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Het sitesysteem van het CMG-verbindingspunt ondersteunt het gebruik van een webproxy. Zie Ondersteuning voor proxyservers voor meer informatie over het configureren van deze rol voor een proxy.
Het CMG-verbindingspunt hoeft alleen verbinding te maken met de CMG-service-eindpunten. Er is geen toegang nodig tot andere Azure-eindpunten.
Configuration Manager client voor cloudservices
Elke Configuration Manager client die moet communiceren met een CMG, heeft toegang nodig tot de volgende eindpunten:
Type | Openbare Azure-cloud | Azure US Government-cloud |
---|---|---|
Implementatienaam | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Opslageindpunt | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Microsoft Entra-eindpunt | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager-console voor cloudservices
Elk apparaat met de Configuration Manager-console heeft toegang nodig tot de volgende eindpunten:
Type | Openbare Azure-cloud | Azure US Government-cloud |
---|---|---|
eindpunten Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
HTTP-headers en -werkwoorden
Elk netwerkapparaat dat de communicatie tussen de client, de CMG en de on-premises sitesystemen beheert, moet de volgende HTTP-headers en -werkwoorden toestaan. Als deze items worden geblokkeerd, is dit van invloed op de clientcommunicatie via de CMG.
HTTP-headers
- Bereik:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP-werkwoorden
- HOOFD
- CCM_POST
- BITS_POST
- TOEVOEGEN
- PROPFIND