Przepływ danych dla cmg
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Skorzystaj z tego artykułu, aby zrozumieć, w jaki sposób dane przepływają między składnikami bramy zarządzania chmurą (CMG). Do działania wymagane są określone porty sieciowe i internetowe punkty końcowe. Nie musisz otwierać żadnych portów przychodzących do sieci lokalnej. Role systemu lokacji punktu połączenia usługi i punktu połączenia cmg rozpoczynają całą komunikację z platformą Azure i cmg. Te dwie role muszą tworzyć połączenia wychodzące z chmurą firmy Microsoft. Punkt połączenia z usługą wdraża i monitoruje usługę na platformie Azure, więc musi być w trybie online. Punkt połączenia cmg łączy się z grupą cmg w celu zarządzania komunikacją między rolami cmg i lokalnymi rolami systemu lokacji.
Diagram przepływu danych
Poniższy diagram jest podstawowym, koncepcyjnym przepływem danych dla cmg:
Punkt połączenia usługi nawiązuje połączenie z platformą Azure za pośrednictwem portu HTTPS 443. Uwierzytelnia się przy użyciu identyfikatora Microsoft Entra. Punkt połączenia z usługą wdraża grupę cmg na platformie Azure. Cmg tworzy usługę HTTPS przy użyciu certyfikatu uwierzytelniania serwera.
Punkt połączenia cmg nawiązuje połączenie z grupą cmg na platformie Azure. Połączenie jest otwarte i tworzy kanał na potrzeby przyszłej dwukierunkowej komunikacji.
Podczas wdrażania usługi CMG jako zestawu skalowania maszyn wirtualnych ten przepływ jest za pośrednictwem protokołu HTTPS.
Jeśli wdrożysz grupę cmg jako klasyczną usługę w chmurze, najpierw podejmie próbę TCP-TLS. Jeśli to połączenie nie powiedzie się, przełącza się do protokołu HTTPS.
Aby uzyskać więcej informacji, zobacz Uwaga 2: Porty HTTPS punktu połączenia cmg dla jednej maszyny wirtualnej.
Klient nawiązuje połączenie z usługą CMG za pośrednictwem portu HTTPS 443. Uwierzytelnia się przy użyciu identyfikatora Microsoft Entra, certyfikatu uwierzytelniania klienta lub tokenu wystawionego przez lokację.
Uwaga
Jeśli włączysz obsługę zawartości przez grupę cmg, klient połączy się bezpośrednio z usługą Azure Blob Storage za pośrednictwem portu HTTPS 443. Aby uzyskać więcej informacji, zobacz Przepływ danych zawartości.
Cmg przekazuje komunikację klienta za pośrednictwem istniejącego połączenia do lokalnego punktu połączenia cmg. Nie musisz otwierać żadnych portów zapory dla ruchu przychodzącego.
Punkt połączenia cmg przekazuje komunikację klienta do lokalnego punktu zarządzania i punktu aktualizacji oprogramowania.
Aby uzyskać więcej informacji podczas integracji z identyfikatorem Microsoft Entra, zobacz Konfigurowanie usług platformy Azure: przepływ danych zarządzania chmurą.
Przepływ danych zawartości
Gdy klient używa cmg jako lokalizacji zawartości:
Punkt zarządzania zapewnia klientowi token dostępu wraz z listą źródeł zawartości. Ten token jest ważny przez 24 godziny i zapewnia klientowi dostęp do źródła zawartości opartego na chmurze.
Punkt zarządzania odpowiada na żądanie lokalizacji klienta przy użyciu nazwy usługi cmg. Ta właściwość jest taka sama jak nazwa pospolita certyfikatu uwierzytelniania serwera.
Jeśli używasz nazwy domeny, na przykład
WallaceFalls.contoso.com
, klient najpierw próbuje rozpoznać tę nazwę FQDN. Klienci używają aliasu CNAME w internetowym systemie DNS domeny, aby rozpoznać nazwę wdrożenia platformy Azure.Następnie klient rozpozna nazwę wdrożenia jako prawidłowy adres IP. Ta odpowiedź jest obsługiwana przez usługę DNS platformy Azure.
Klient nawiązuje połączenie z usługą CMG. Obciążenie platformy Azure równoważy połączenie z jednym z wystąpień maszyny wirtualnej. Klient uwierzytelnia się przy użyciu tokenu dostępu.
Usługa CMG uwierzytelnia token dostępu klienta, a następnie nadaje klientowi dokładną lokalizację zawartości w usłudze Azure Storage.
Jeśli klient ufa certyfikatowi uwierzytelniania serwera cmg, nawiązuje połączenie z usługą Azure Storage w celu pobrania zawartości.
Wymagane porty
W tej tabeli wymieniono wymagane porty sieciowe i protokoły. Klient to urządzenie, które uruchamia połączenie, wymagające portu wychodzącego. Serwer to urządzenie, które akceptuje połączenie, wymagające portu przychodzącego.
Klient | Protocol (Protokół) | Port | Serwer | Opis |
---|---|---|---|---|
Punkt połączenia z usługą | HTTPS | 443 | Azure | Wdrażanie cmg |
Punkt połączenia CMG (zestaw skalowania maszyn wirtualnych) | HTTPS | 443 | Usługa CMG | Protokół do tworzenia kanału cmg tylko do jednego wystąpienia maszyny wirtualnej Uwaga 2 |
Punkt połączenia CMG (zestaw skalowania maszyn wirtualnych) | HTTPS | 10124-10139 | Usługa CMG | Protokół do tworzenia kanału cmg do co najmniej dwóch wystąpień maszyn wirtualnych Uwaga 3 |
Punkt połączenia cmg (klasyczna usługa w chmurze) | TCP-TLS | 10140-10155 | Usługa CMG | Preferowany protokół do tworzenia kanału CMG — Uwaga 1 |
Punkt połączenia cmg (klasyczna usługa w chmurze) | HTTPS | 443 | Usługa CMG | Powrót protokołu do kompilowania kanału cmg tylko do jednego wystąpienia maszyny wirtualnej — Uwaga 2 |
Punkt połączenia cmg (klasyczna usługa w chmurze) | HTTPS | 10124-10139 | Usługa CMG | Powrót protokołu do tworzenia kanału cmg do co najmniej dwóch wystąpień maszyn wirtualnych Uwaga 3 |
Klient | HTTPS | 443 | CMG | Ogólna komunikacja z klientem |
Klient | HTTPS | 443 | Magazyn obiektów blob | Pobieranie zawartości opartej na chmurze |
Punkt połączenia cmg | HTTPS lub HTTP | 443 lub 80 | Punkt zarządzania | Ruch lokalny, port zależy od konfiguracji punktu zarządzania |
Punkt połączenia cmg | HTTPS lub HTTP | 443 lub 80 / 8530 lub 8531 | Punkt aktualizacji oprogramowania | Ruch lokalny, port zależy od konfiguracji punktu aktualizacji oprogramowania |
Uwagi dotyczące portów
Uwaga 1. Porty TCP-TLS punktu połączenia cmg
Te porty mają zastosowanie tylko podczas wdrażania usługi CMG jako usługi w chmurze (klasycznej), która była jedyną metodą dostępną w wersji 2006 i starszej.
Punkt połączenia cmg najpierw próbuje ustanowić długotrwałe połączenie TCP-TLS z każdym wystąpieniem maszyny wirtualnej cmg. Łączy się z pierwszym wystąpieniem maszyny wirtualnej na porcie 10140. Drugie wystąpienie maszyny wirtualnej używa portu 10141, do 16 na porcie 10155. Połączenie TCP-TLS ma najlepszą wydajność, ale nie obsługuje internetowego serwera proxy. Jeśli punkt połączenia cmg nie może nawiązać połączenia za pośrednictwem protokołu TCP-TLS, wraca do protokołu HTTPSNote 2.
Uwaga 2. Porty HTTPS punktu połączenia CMG dla jednej maszyny wirtualnej
Jeśli wdrożysz grupę cmg w zestawie skalowania maszyn wirtualnych, punkt połączenia cmg komunikuje się tylko z usługą na platformie Azure za pośrednictwem protokołu HTTPS. Tworzenie kanału komunikacyjnego cmg nie wymaga portów TCP-TLS.
W przypadku usługi cmg wdrożonej jako klasyczna usługa w chmurze używa tego portu tylko wtedy, gdy połączenie TCP-TLS nie powiedzie się. Jeśli punkt połączenia cmg nie może nawiązać połączenia z usługą CMG za pośrednictwem protokołu TCP-TLSNote 1, nawiązuje połączenie z sieciowym modułem równoważenia obciążenia platformy Azure za pośrednictwem protokołu HTTPS 443. To zachowanie dotyczy tylko jednego wystąpienia maszyny wirtualnej.
Uwaga 3. Porty HTTPS punktu połączenia cmg dla co najmniej dwóch maszyn wirtualnych
Jeśli istnieją co najmniej dwa wystąpienia maszyny wirtualnej, punkt połączenia cmg używa protokołu HTTPS 10124 do pierwszego wystąpienia maszyny wirtualnej, a nie protokołu HTTPS 443. Łączy się z drugim wystąpieniem maszyny wirtualnej na serwerze HTTPS 10125, do 16 na porcie HTTPS 10139.
Wymagania dotyczące dostępu do Internetu
Jeśli organizacja ogranicza komunikację sieciową z Internetem przy użyciu zapory lub urządzenia proxy, musisz zezwolić punktowi połączenia cmg i punktowi połączenia usługi na dostęp do internetowych punktów końcowych.
Aby uzyskać więcej informacji, zobacz Wymagania dotyczące dostępu do Internetu.
W tej sekcji opisano następujące funkcje:
Brama zarządzania chmurą (CMG)
integracja Microsoft Entra
odnajdywanie oparte na identyfikatorach Microsoft Entra
Punkt dystrybucji w chmurze (CDP)
Uwaga
Chmurowy punkt dystrybucji (CDP) jest przestarzały. Począwszy od wersji 2107, nie można tworzyć nowych wystąpień usługi CDP. Aby udostępnić zawartość urządzeniom internetowym, włącz dystrybucję zawartości przez grupę cmg.
W poniższych sekcjach wymieniono punkty końcowe według roli. Niektóre punkty końcowe odwołują się do usługi według <prefix>
, która jest nazwą prefiksu cmg. Jeśli na przykład klucz cmg to GraniteFalls.WestUS.CloudApp.Azure.Com
, rzeczywisty punkt końcowy magazynu to GraniteFalls.blob.core.windows.net
.
Porada
Aby wyjaśnić pewną terminologię:
Nazwa usługi CMG: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG. Klienci i rola systemu lokacji punktu połączenia cmg komunikują się z tą nazwą usługi. Na przykład
GraniteFalls.contoso.com
lubGraniteFalls.WestUS.CloudApp.Azure.Com
.Nazwa wdrożenia cmg: pierwsza część nazwy usługi oraz lokalizacja platformy Azure dla wdrożenia usługi w chmurze. Składnik menedżera usług w chmurze punktu połączenia z usługą używa tej nazwy podczas wdrażania usługi CMG na platformie Azure. Nazwa wdrożenia jest zawsze w domenie platformy Azure. Lokalizacja platformy Azure zależy od metody wdrażania, na przykład:
- Zestaw skalowania maszyn wirtualnych:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Wdrożenie klasyczne:
GraniteFalls.CloudApp.Net
- Zestaw skalowania maszyn wirtualnych:
W tym artykule użyto przykładów z zestawem skalowania maszyn wirtualnych jako zalecanej metody wdrażania w wersji 2107 lub nowszej. Jeśli używasz wdrożenia klasycznego, zwróć uwagę na różnicę podczas czytania tego artykułu i konfigurowania dostępu do Internetu.
Punkt połączenia usługi dla usług w chmurze
Aby Configuration Manager wdrożyć usługę CMG na platformie Azure, punkt połączenia z usługą musi mieć dostęp do następujących elementów:
Określone punkty końcowe platformy Azure, które różnią się w zależności od środowiska w zależności od konfiguracji. Configuration Manager przechowuje te punkty końcowe w bazie danych lokacji. Wykonaj zapytanie do tabeli AzureEnvironments w SQL Server, aby uzyskać listę punktów końcowych platformy Azure.
Usługi platformy Azure:
-
management.azure.com
(Chmura publiczna platformy Azure) -
management.usgovcloudapi.net
(Chmura azure US Government)
-
W przypadku Microsoft Entra odnajdywania użytkowników: punkt końcowy programu Microsoft Graph
https://graph.microsoft.com/
Punkt połączenia cmg dla usług w chmurze
Punkt połączenia cmg wymaga dostępu do następujących punktów końcowych:
Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
---|---|---|
Nazwa usługi | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Punkt końcowy magazynu 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Punkt końcowy magazynu 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Magazyn kluczy | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
System lokacji punktu połączenia cmg obsługuje korzystanie z internetowego serwera proxy. Aby uzyskać więcej informacji na temat konfigurowania tej roli dla serwera proxy, zobacz Obsługa serwera proxy.
Punkt połączenia cmg musi tylko łączyć się z punktami końcowymi usługi CMG. Nie potrzebuje dostępu do innych punktów końcowych platformy Azure.
klient Configuration Manager dla usług w chmurze
Każdy klient Configuration Manager, który musi komunikować się z grupą cmg, musi mieć dostęp do następujących punktów końcowych:
Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
---|---|---|
Nazwa wdrożenia | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Punkt końcowy magazynu | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
punkt końcowy Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
konsola Configuration Manager dla usług w chmurze
Każde urządzenie z konsolą Configuration Manager musi mieć dostęp do następujących punktów końcowych:
Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
---|---|---|
punkty końcowe Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Nagłówki i czasowniki HTTP
Każde urządzenie sieciowe, które zarządza komunikacją między klientem, grupą cmg i lokalnymi systemami lokacji, musi zezwalać na następujące nagłówki i czasowniki HTTP. Jeśli te elementy zostaną zablokowane, wpłynie to na komunikację klienta za pośrednictwem cmg.
Nagłówki HTTP
- Zakres:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Czasowniki HTTP
- GŁOWY
- CCM_POST
- BITS_POST
- POBIERZ
- PROPFIND