Use um ponto de distribuição em nuvem no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Aviso

A implementação para partilhar conteúdos do Azure mudou. Utilize um gateway de gestão de nuvem ativado por conteúdos, permitindo que a CMG funcione como ponto de distribuição em nuvem e sirva o conteúdo a partir do armazenamento do Azure. Para obter mais informações, consulte Modificar um CMG.

A partir da versão 2107, não é possível criar um ponto de distribuição tradicional em nuvem (CDP).

Um ponto de distribuição em nuvem é um ponto de distribuição do Gestor de Configuração que é hospedado como Plataforma-as-a-Service (PaaS) em Microsoft Azure. Este serviço suporta os seguintes cenários:

• Fornecer conteúdo de software a clientes baseados na Internet sem infraestruturas adicionais no local

• Ativar a nuvem o seu sistema de distribuição de conteúdos

• Reduzir a necessidade de pontos de distribuição tradicionais

Este artigo ajuda-o a aprender sobre o ponto de distribuição em nuvem, planeia a sua utilização e projeta a sua implementação. Inclui as seguintes secções:

• Características e benefícios
• Design de topologia
• Requisitos
• Especificações
• Custo
• Desempenho e dimensionamento
• Portas e fluxo de dados
• Certificados
• Perguntas Mais Frequentes (FAQ)

Características e benefícios

Funcionalidades

O ponto de distribuição em nuvem suporta várias funcionalidades que também são oferecidas por pontos de distribuição no local:

• Gerir pontos de distribuição de nuvem individualmente ou como membros de grupos de pontos de distribuição

• Use um ponto de distribuição em nuvem como uma localização de conteúdo de retorno

• Suporta clientes intranet e internet

Benefícios

O ponto de distribuição em nuvem proporciona os seguintes benefícios adicionais:

• O site encripta o conteúdo antes de enviá-lo para o ponto de distribuição da nuvem em Azure.

• Para responder às exigências em mudança de pedidos de conteúdo por parte dos clientes, dimensione manualmente o serviço de cloud em Azure. Esta ação não requer que instale e provisa pontos de distribuição adicionais no Gestor de Configuração.

• Suporta o download de conteúdos de clientes configurados para outras tecnologias de conteúdo, como Windows BranchCache.

• Utilize pontos de distribuição de nuvens como locais de origem para pontos de distribuição de puxar.

Design de topologia

A implantação e funcionamento do ponto de distribuição da nuvem inclui os seguintes componentes:

• Um serviço de nuvem em Azure. O site distribui conteúdo a este serviço, que o armazena no armazenamento em nuvem Azure. O ponto de gestão fornece aos clientes esta localização de conteúdo na lista de fontes disponíveis, conforme apropriado.

• Um site de gestão serviços de função do sistema de serviços clientes por normal.

  • Os clientes no local normalmente usam um ponto de gestão no local.

  • Os clientes baseados na Internet usam um gateway de gestão de nuvem,ou um ponto de gestão baseado na Internet.

• O ponto de distribuição em nuvem utiliza um serviço web HTTPS baseado em certificados para ajudar a garantir a comunicação de rede com os clientes. Os clientes devem confiar neste certificado.

Azure Resource Manager

Crie um ponto de distribuição em nuvem utilizando uma implementação do Azure Resource Manager. A Azure Resource Manager é uma plataforma moderna para gerir todos os recursos de solução como uma única entidade, chamada um grupo de recursos. Ao implementar um ponto de distribuição em nuvem com o Azure Resource Manager, o site utiliza Azure Ative Directory (Azure AD) para autenticar e criar os recursos de nuvem necessários.

Nota

Esta funcionalidade não permite suporte a Fornecedores de Serviços em Nuvem Azure (CSP). A implementação do ponto de distribuição em nuvem com o Azure Resource Manager continua a utilizar o serviço clássico de cloud, que o CSP não suporta. Para mais informações, consulte os serviços Azure disponíveis na Azure CSP.

O Azure Resource Manager é o único mecanismo de implantação para novas instâncias do ponto de distribuição de nuvem. As missões existentes continuam a funcionar.

Design de hierarquia

Quando se cria o ponto de distribuição em nuvem depende do facto de os clientes precisarem de aceder ao conteúdo.

• Implementação do Gestor de Recursos Azure: Crie este tipo num local primário ou no site da administração central.

• O gateway de gestão de nuvem (CMG) também pode servir conteúdo aos clientes. Esta funcionalidade reduz os certificados e o custo necessários dos VMs Azure. Para mais informações, consulte a visão geral do gateway de gestão de nuvens.

Para determinar se deve incluir pontos de distribuição em nuvem em grupos de fronteira, considere os seguintes comportamentos:

• Os clientes baseados na Internet não dependem de grupos de fronteira. Só usam pontos de distribuição virados para a Internet ou pontos de distribuição em nuvem. Se você está apenas usando pontos de distribuição de nuvem para servir este tipo de clientes, então você não precisa incluí-los em grupos de fronteira.

• Se pretende que os clientes da sua rede interna utilizem um ponto de distribuição em nuvem, então tem de estar no mesmo grupo de fronteira que os clientes. Os clientes priorizam os pontos de distribuição em nuvem em último lugar na sua lista de fontes de conteúdo, porque há um custo associado ao descarregamento de conteúdos do Azure. Assim, um ponto de distribuição em nuvem é normalmente usado como uma fonte de retorno para clientes baseados em intranet. Se você quer um design de primeiro nuvem, em seguida, desenhe seus grupos de fronteira para satisfazer este requisito de negócio. Para obter mais informações, consulte os grupos de fronteira Configure.

Apesar de instalar pontos de distribuição em nuvem em regiões específicas do Azure, os clientes não estão cientes das regiões Azure. Selecionam aleatoriamente um ponto de distribuição em nuvem. Se instalar pontos de distribuição em nuvem em várias regiões, e um cliente receber mais de um na lista de localização de conteúdos, o cliente pode não usar um ponto de distribuição em nuvem da mesma região de Azure.

Cópia de segurança e recuperação

Quando utilizar um ponto de distribuição em nuvem na sua hierarquia, utilize as seguintes informações para o ajudar a planear a cópia de segurança e recuperação:

• Quando utiliza a tarefa de manutenção do Servidor do Site de Cópia de Segurança, o Gestor de Configurações inclui automaticamente as configurações para o ponto de distribuição da nuvem.

• Volte atrás e guarde uma cópia do certificado de autenticação do servidor. Quando restaurar o site primário do Gestor de Configuração para um servidor diferente, reimporte o certificado.

Requisitos

• Precisa de uma subscrição do Azure para hospedar o serviço.

  • Um administrador da Azure precisa de participar na criação inicial de determinados componentes, dependendo do seu design. Esta persona não requer permissões no Gestor de Configuração.

• O servidor do site requer acesso à Internet para implementar e gerir o serviço na nuvem.

• Ao utilizar o método de implementação do Gestor de Recursos Azure, integre o Gestor de Configuração com a AD AZure para gestão de nuvem. A descoberta do utilizador AZure AD não é necessária.

• Um certificado de autenticação do servidor. Para mais informações, consulte a secção certificados abaixo.

  • Para reduzir a complexidade, utilize um fornecedor de certificados públicos para o certificado de autenticação do servidor. Ao fazê-lo, também precisa de um pseudónimo DNS CNAME para que os clientes resolvam o nome do serviço em nuvem.

• Defina a definição do cliente, permita o acesso aos pontos de distribuição na nuvem, ao Sim no grupo Cloud Services. Por predefinição, este valor está definido como Não.

• Os dispositivos do cliente requerem conectividade à Internet, e devem utilizar o IPv4.

Especificações

• O ponto de distribuição em nuvem suporta todas as versões Windows listadas em sistemas operativos suportados para clientes e dispositivos.

• Um administrador distribui os seguintes tipos de conteúdo de software suportado:

  • Aplicações

  • Pacote

  • Pacotes de upgrade do SO

  • Atualizações de software de terceiros

    Importante

    • Embora a consola Do Gestor de Configuração não bloqueie a distribuição das atualizações de software da Microsoft para um ponto de distribuição na nuvem, está a pagar custos ao Azure para armazenar conteúdos que os clientes não utilizam. Os clientes baseados na Internet obtêm sempre conteúdo de atualização de software da Microsoft a partir do serviço de cloud Microsoft Update. Não distribua atualizações de software da Microsoft para um ponto de distribuição na nuvem.
    • Ao utilizar um CMG para armazenamento de conteúdos, o conteúdo para atualizações de terceiros não será descarregado para os clientes se o conteúdo delta do Download quando estiver ativado.

• Configure um ponto de distribuição de puxar para utilizar um ponto de distribuição de nuvem como fonte. Para obter mais informações, consulte Sobre os pontos de distribuição de origem.

Definições da implementação

• Descarregue o conteúdo localmente quando necessário pela sequência de tarefas de execução. O motor da sequência de tarefas pode descarregar pacotes a pedido a partir de um CMG ativado por conteúdo ou de um ponto de distribuição em nuvem. Esta opção proporciona flexibilidade adicional com as suas Windows 10 implementações de upgrade no local para dispositivos baseados na Internet.

• Descarregue todos os conteúdos localmente antes de iniciar a sequência de tarefas. Com esta opção, o cliente Do Gestor de Configuração descarrega o conteúdo a partir da fonte de nuvem antes de iniciar a sequência de tarefas.

• Um ponto de distribuição em nuvem não suporta implementações de pacotes com a opção de executar o programa a partir do ponto de distribuição. Utilize a opção de implementação para descarregar o conteúdo a partir do ponto de distribuição e executar localmente.

Limitações

• Não é possível utilizar um ponto de distribuição em nuvem para implementações PXE ou multicast.

• Um ponto de distribuição em nuvem não suporta aplicações de streaming App-V.

• Um ponto de distribuição em nuvem não suporta conteúdo para atualizações Microsoft 365 Apps.

• Não se pode ver o conteúdo num ponto de distribuição em nuvem. O gestor de distribuição do site principal que gere o ponto de distribuição da nuvem transfere todos os conteúdos.

• Não se pode configurar um ponto de distribuição em nuvem como um ponto de distribuição de puxar.

Custo

Importante

A seguinte informação de custos destina-se apenas a estimar fins. O seu ambiente pode ter outras variáveis que afetam o custo global da utilização de um ponto de distribuição em nuvem.

O Gestor de Configuração inclui as seguintes opções para ajudar a controlar os custos e monitorizar o acesso aos dados:

• Controle e monitorize a quantidade de conteúdo que armazena num serviço de nuvem. Para obter mais informações, consulte os pontos de distribuição da nuvem do Monitor.

• Configure o Gestor de Configuração para alertá-lo quando os limiares para as transferências de clientes cumprirem ou excederem os limites mensais. Para obter mais informações, consulte os alertas do limiar de transferência de dados.

• Para ajudar a reduzir o número de transferências de dados de pontos de distribuição de nuvem por parte dos clientes, utilize uma das seguintes tecnologias de caching de pares:

  • Cache de pares do gestor de configuração

  • Windows BranchCache

  • Windows 10 Otimização de Entrega

    Para mais informações, consulte conceitos fundamentais para a gestão de conteúdos.

Componentes

Um ponto de distribuição em nuvem utiliza os seguintes componentes Azure, que incorrem em encargos para a conta de subscrição Azure:

Dica

O gateway de gestão de nuvem também pode servir conteúdo aos clientes. Esta funcionalidade reduz o custo através da consolidação dos VMs Azure. Para obter mais informações, consulte o Custo para o gateway de gestão de nuvens.

Máquina virtual

• O ponto de distribuição em nuvem utiliza o Azure Cloud Services como plataforma como um serviço (PaaS). Este serviço utiliza máquinas virtuais (VMs) que incorrem em custos de computação.

• Cada serviço de ponto de distribuição em nuvem utiliza dois Standard A0 VMs.

• Consulte a calculadora de preços Azure para ajudar a determinar os custos potenciais.

  Nota

  Os custos da máquina virtual variam por região.

Transferência de dados de saída

• Quaisquer fluxos de dados em Azure são gratuitos (entrada ou upload). A distribuição de conteúdo do site para o ponto de distribuição da nuvem está a ser enviado para o Azure.

• Os encargos baseiam-se em dados que saem do Azure (saída ou download). Os fluxos de dados de pontos de distribuição em nuvem do Azure consistem no conteúdo de software que os clientes descarregam.

• Para obter mais informações, consulte os pontos de distribuição da nuvem do Monitor.

• Consulte os detalhes de preços da largura de banda Azure para ajudar a determinar os custos potenciais. Os preços para a transferência de dados são hierarquizados. Quanto mais se usa, menos se paga por gigabyte.

Armazenamento de conteúdos

• Os clientes baseados na Internet obtêm conteúdo de atualização de software da Microsoft a partir do serviço de nuvem Microsoft Update sem custos. Não distribua pacotes de implementação de atualização de software com atualizações de software da Microsoft para um ponto de distribuição na nuvem. Caso contrário, incorrerá em custos de armazenamento de dados para conteúdos que os clientes nunca usam.

• Pontos de distribuição em nuvem com uma implementação do Azure Resource Manager utilizam o armazenamento azure localmente redundante (LRS). Para mais informações, consulte o armazenamento localmente redundante.

Outros custos

• Cada serviço de nuvem tem um endereço IP dinâmico. Cada ponto de distribuição de nuvem distinto utiliza um novo endereço IP dinâmico. Adicionar VMs adicionais por serviço na nuvem não aumenta estes endereços.

Portos e fluxo de dados

Existem dois fluxos de dados primários para o ponto de distribuição da nuvem:

• O servidor do site conecta-se ao Azure para configurar o serviço de ponto de distribuição de nuvem

• Um cliente conecta-se ao ponto de distribuição de nuvem para descarregar conteúdo

Servidor do site para Azure

Não precisa de abrir portas de entrada para a sua rede no local. O servidor do site inicia toda a comunicação com o Azure e o ponto de distribuição da nuvem para implementar, atualizar e gerir o serviço na nuvem. O servidor do site precisa de criar ligações de saída para a nuvem da Microsoft. Esta ação equivale a instalar a função de sistema de sites de ponto de distribuição num site específico.

Cliente para ponto de distribuição em nuvem

Não precisa de abrir portas de entrada para a sua rede no local. Os clientes baseados na Internet comunicam diretamente com o serviço Azure. Os clientes da sua rede interna que utilizam um ponto de distribuição em nuvem precisam de se ligar à nuvem da Microsoft.

Para obter mais informações sobre a prioridade de localização do conteúdo e quando os clientes baseados na intranet usam um ponto de distribuição em nuvem, consulte a prioridade da fonte de conteúdo.

Quando um cliente usa um ponto de distribuição em nuvem como localização de conteúdo:

1. O ponto de gestão dá ao cliente um sinal de acesso juntamente com a lista de fontes de conteúdo. Este token é válido por 24 horas, e dá ao cliente acesso ao ponto de distribuição de nuvem.

2. O ponto de gestão responde ao pedido de localização do cliente com o Serviço FQDN do ponto de distribuição de nuvem. Esta propriedade é o mesmo que o nome comum do certificado de autenticação do servidor.

   Se estiver a usar o seu nome de domínio, por exemplo, WallaceFalls.contoso.com, então o cliente primeiro tenta resolver este FQDN. Precisa de um pseudónimo CNAME no DNS virado para a Internet do seu domínio para que os clientes resolvam o nome do serviço Azure, por exemplo: WallaceFalls.cloudapp.net.

3. O cliente resolve em seguida o nome de serviço Azure, por exemplo, WallaceFalls.cloudapp.net, para um endereço IP válido. Esta resposta deve ser tratada pelo DNS da Azure.

4. O cliente liga-se ao ponto de distribuição da nuvem. A carga Azure equilibra a ligação a uma das instâncias VM. O cliente autentica-se usando o token de acesso.

5. O ponto de distribuição em nuvem autentica o token de acesso do cliente e, em seguida, dá ao cliente a localização exata do conteúdo no armazenamento Azure.

6. Se o cliente confiar no certificado de autenticação do servidor do ponto de distribuição da nuvem, ele conecta-se ao armazenamento Azure para descarregar o conteúdo.

Desempenho e escala

Como em qualquer design de ponto de distribuição, considere os seguintes fatores:

• Número de ligações ao cliente simultâneas
• O tamanho do conteúdo que os clientes descarregam
• O tempo permitido para satisfazer os requisitos do seu negócio

Dependendo do seu design de topologia,se os clientes tiverem a opção de mais de um ponto de distribuição em nuvem para qualquer conteúdo, então naturalmente aleatoriamente através desses serviços na nuvem. Se distribuir apenas uma determinada peça de conteúdo para um único ponto de distribuição em nuvem, e um grande número de clientes tentar descarregar este conteúdo ao mesmo tempo, esta atividade coloca uma carga mais elevada nesse único ponto de distribuição em nuvem. A adição de um ponto de distribuição de nuvem adicional também inclui um serviço de armazenamento Azure separado. Para obter mais informações sobre como o cliente comunica com os componentes do ponto de distribuição da nuvem e descarrega o conteúdo, consulte portas e fluxo de dados.

O ponto de distribuição em nuvem utiliza dois VMs Azure como a extremidade frontal do armazenamento Azure. Esta implementação padrão satisfaz as necessidades da maioria dos clientes. Em algumas circunstâncias extremas, com um grande número de ligações simultâneas ao cliente (por exemplo, 150.000 clientes), a capacidade de processamento dos VMs Azure não consegue acompanhar os pedidos do cliente. Não é possível redimensionar os VMs Azure utilizados para o ponto de distribuição em nuvem. Embora não seja possível configurar o número de casos de VM para o ponto de distribuição de nuvem no Gestor de Configuração, se necessário, reconfigure o serviço de nuvem no portal Azure. Ou adicione manualmente mais instâncias VM ou configuure o serviço para escalar automaticamente.

Importante

Ao atualizar o Gestor de Configuração, o site reimplanta o serviço de nuvem. Se reconfigurar manualmente o serviço de nuvem no portal Azure, o número de casos reinicia para o padrão de dois.

O serviço de armazenamento Azure suporta 500 pedidos por segundo para um único ficheiro. Os testes de desempenho de um único ponto de distribuição em nuvem suportavam a distribuição de um único ficheiro de 100-MB a 50.000 clientes em 24 horas.

Certificados

Dependendo do design do seu ponto de distribuição em nuvem, precisa de um ou mais certificados digitais.

Informações gerais

Os certificados para pontos de distribuição em nuvem suportam as seguintes configurações:

• Comprimento da chave de 4096 bits

• Certificados da versão 3. Para mais informações, consulte a visão geral dos certificados de CNG.

• Quando configurar Windows com a seguinte política: Criptografia do sistema: Use algoritmos compatíveis com FIPS para encriptação, hashing e assinatura

• Suporte para TLS 1.2. Para obter mais informações, consulte a referência técnica dos controlos criptográficos.

Certificado de autenticação de servidor

Este certificado é necessário para todas as implementações de pontos de distribuição em nuvem.

Para obter mais informações, consulte o certificado de autenticação do servidor CMG,e as seguintes subsecções, se necessário:

• Certificado de raiz fidedigno da CMG aos clientes
• Certificado de autenticação do servidor emitido por fornecedor público
• Certificado de autenticação do servidor emitido da empresa PKI

O ponto de distribuição em nuvem utiliza este tipo de certificado da mesma forma que o gateway de gestão de nuvem. Os clientes também precisam confiar neste certificado. Para reduzir a complexidade, a Microsoft recomenda a utilização de um certificado emitido por um fornecedor público.

A menos que use um certificado wildcard, não reutilhe o mesmo certificado. Cada instância do ponto de distribuição de nuvem e gateway de gestão de nuvem requer um certificado de autenticação de servidor único.

Para obter mais informações sobre a criação deste certificado a partir de um PKI, consulte implementar o certificado de serviço para pontos de distribuição na nuvem.

Perguntas frequentes (FAQ)

Um cliente precisa de um certificado para descarregar conteúdo de um ponto de distribuição em nuvem?

Não é necessário um certificado de autenticação do cliente. O cliente precisa de confiar no certificado de autenticação do servidor utilizado pelo ponto de distribuição da nuvem. Se este certificado for emitido por um fornecedor de certificados públicos, então a maioria dos dispositivos Windows já incluem certificados de raiz fidedignos para estes fornecedores. Se emitiu um certificado de autenticação do servidor do PKI da sua organização, então os seus clientes precisam confiar nos certificados de emissão de toda a cadeia. Esta cadeia inclui a autoridade de certificados de raiz e quaisquer autoridades de certificados intermédios. Dependendo do seu design PKI, este certificado pode introduzir complexidade adicional na implementação do ponto de distribuição da nuvem. Para evitar esta complexidade, a Microsoft recomenda a utilização de um fornecedor de certificados públicos em que os seus clientes já confiam.

Os meus clientes no local podem usar um ponto de distribuição em nuvem?

Sim. Se pretende que os clientes da sua rede interna utilizem um ponto de distribuição em nuvem, então tem de estar no mesmo grupo de fronteira que os clientes. Os clientes priorizam os pontos de distribuição em nuvem em último lugar na sua lista de fontes de conteúdo, porque há um custo associado ao descarregamento de conteúdos do Azure. Assim, um ponto de distribuição em nuvem é normalmente usado como uma fonte de retorno para clientes baseados em intranet. Se você quer um design em nuvem primeiro, em seguida, desenhe seus grupos de fronteira em conformidade. Para obter mais informações, consulte os grupos de fronteira Configure.

Preciso do Azure ExpressRoute?

O Azure ExpressRoute permite-lhe estender a sua rede no local para a nuvem da Microsoft. ExpressRoute, ou outras ligações de rede virtuais não são necessárias para o ponto de distribuição de nuvem do Gestor de Configuração.

Se a sua organização utilizar o ExpressRoute, isole a subscrição do Azure para o ponto de distribuição em nuvem a partir da subscrição que utiliza o ExpressRoute. Esta configuração garante que o ponto de distribuição da nuvem não esteja acidentalmente ligado desta forma.

Preciso de manter as máquinas virtuais Azure?

Não é necessária manutenção. O design do ponto de distribuição em nuvem utiliza a plataforma Azure como um serviço (PaaS). Utilizando a subscrição que fornece, o Gestor de Configuração cria os VMs, armazenamento e networking necessários. O Azure protege e atualiza as máquinas virtuais. Estes VMs não fazem parte do seu ambiente no local, como é o caso da infraestrutura como serviço (IaaS). O ponto de distribuição em nuvem é um PaaS que estende o ambiente do Gestor de Configuração para a nuvem. Para mais informações, consulte as vantagens de segurança de um modelo de serviço de cloud PaaS.

O ponto de distribuição da nuvem usa CDN do Azure?

O Azure Rede de Entrega de Conteúdos (CDN) é uma solução global para fornecer rapidamente conteúdo de alta largura de banda, caching o conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para mais informações, veja o que é CDN do Azure?

O ponto de distribuição em nuvem do Gestor de Configuração não suporta CDN do Azure.

Passos seguintes

Instalar pontos de distribuição de nuvem