Поток данных для CMG
Относится к Configuration Manager (Current Branch)
Используйте эту статью, чтобы понять, как происходит поток данных между компонентами шлюза управления облаком (CMG). Для работы ему требуются определенные сетевые порты и конечные точки Интернета. Вам не нужно открывать входящие порты в локальной сети. Роли системы сайта точки подключения службы и точки подключения CMG запускают весь обмен данными с Azure и CMG. Эти две роли должны создавать исходящие подключения к облаку Майкрософт. Точка подключения службы развертывает и отслеживает службу в Azure, поэтому она должна быть подключена. Точка подключения CMG подключается к шлюзу управления облачными клиентами для управления обменом данными между шлюзом управления облачными клиентами и локальными ролями системы сайта.
Схема потока данных
На следующей схеме представлен базовый, концептуальный поток данных для CMG:
Точка подключения службы подключается к Azure через ПОРТ HTTPS 443. Он выполняет проверку подлинности с помощью идентификатора Microsoft Entra. Точка подключения службы развертывает CMG в Azure. CMG создает службу HTTPS с помощью сертификата проверки подлинности сервера.
Точка подключения CMG подключается к CMG в Azure. Он удерживает подключение открытым и создает канал для двустороннего взаимодействия в будущем.
При развертывании шлюза управления облачными клиентами в качестве масштабируемого набора виртуальных машин этот поток выполняется по протоколу HTTPS.
При развертывании CMG в качестве классической облачной службы сначала выполняется попытка TCP-TLS. Если это подключение завершается сбоем, оно переключается на ПРОТОКОЛ HTTPS.
Дополнительные сведения см. в разделе Примечание 2. Порты HTTPS точки подключения CMG для одной виртуальной машины.
Клиент подключается к шлюзу управления облачными клиентами через порт HTTPS 443. Он выполняет проверку подлинности с помощью идентификатора Microsoft Entra, сертификата проверки подлинности клиента или маркера, выданного сайтом.
Примечание.
Если включить шлюз управления облачными клиентами для обслуживания содержимого, клиент напрямую подключается к хранилищу BLOB-объектов Azure через порт HTTPS 443. Дополнительные сведения см. в разделе Поток данных содержимого.
CMG перенаправит обмен данными между клиентами через существующее подключение к локальной точке подключения CMG. Вам не нужно открывать входящие порты брандмауэра.
Точка подключения CMG перенаправит обмен данными с клиентом в локальную точку управления и точку обновления программного обеспечения.
Дополнительные сведения об интеграции с идентификатором Microsoft Entra см. в статье Настройка служб Azure: поток данных управления облаком.
Поток данных содержимого
Если клиент использует CMG в качестве расположения содержимого:
Точка управления предоставляет клиенту маркер доступа вместе со списком источников контента. Этот маркер действителен в течение 24 часов и предоставляет клиенту доступ к облачному источнику содержимого.
Точка управления отвечает на запрос о расположении клиента именем службы CMG. Это свойство совпадает с общим именем сертификата проверки подлинности сервера.
Если вы используете доменное имя, например ,
WallaceFalls.contoso.comклиент сначала пытается разрешить это полное доменное имя. Клиенты используют псевдоним CNAME в DNS вашего домена с выходом в Интернет для разрешения имени развертывания Azure.Затем клиент разрешает имя развертывания на допустимый IP-адрес. Этот ответ обрабатывается DNS Azure.
Клиент подключается к CMG. Нагрузка Azure балансирует подключение к одному из экземпляров виртуальной машины. Клиент выполняет проверку подлинности с помощью маркера доступа.
CMG выполняет проверку подлинности маркера доступа клиента, а затем предоставляет клиенту точное расположение содержимого в хранилище Azure.
Если клиент доверяет сертификату проверки подлинности сервера CMG, он подключается к хранилищу Azure для скачивания содержимого.
Необходимые порты
В этой таблице перечислены необходимые сетевые порты и протоколы. Клиент — это устройство, которое запускает подключение, для которого требуется исходящий порт. Сервер — это устройство, которое принимает подключение, для которого требуется входящий порт.
| Клиент | Протокол | Порт | Сервер | Описание |
|---|---|---|---|---|
| Точка подключения службы. | HTTPS | 443 | Azure | Развертывание шлюза управления облачными клиентами |
| Точка подключения CMG (масштабируемый набор виртуальных машин) | HTTPS | 443 | Служба CMG | Протокол для создания канала CMG только для одного экземпляра виртуальной машины Примечание 2 |
| Точка подключения CMG (масштабируемый набор виртуальных машин) | HTTPS | 10124-10139 | Служба CMG | Протокол для создания канала CMG для двух или более экземпляров виртуальных машин Примечание 3 |
| Точка подключения CMG (классическая облачная служба) | TCP-TLS | 10140-10155 | Служба CMG | Предпочтительный протокол для создания канала CMG Примечание 1 |
| Точка подключения CMG (классическая облачная служба) | HTTPS | 443 | Служба CMG | Откат протокола для создания канала CMG только к одному экземпляру виртуальной машины Примечание 2 |
| Точка подключения CMG (классическая облачная служба) | HTTPS | 10124-10139 | Служба CMG | Обратный протокол для создания канала CMG для двух или более экземпляров виртуальных машин Примечание 3 |
| Клиент | HTTPS | 443 | CMG | Общее взаимодействие с клиентом |
| Клиент | HTTPS | 443 | Хранилище BLOB-объектов | Скачивание облачного содержимого |
| Точка подключения шлюза управления облачными клиентами | HTTPS или HTTP | 443 или 80 | Точка управления | Локальный трафик, порт зависит от конфигурации точки управления |
| Точка подключения шлюза управления облачными клиентами | HTTPS или HTTP | 443 или 80 / 8530 или 8531 | Точка обновления программного обеспечения | Локальный трафик, порт зависит от конфигурации точки обновления программного обеспечения |
Заметки о портах
Примечание 1. Порты TCP-TLS точки подключения CMG
Эти порты применяются только при развертывании CMG в качестве облачной службы (классической), которая была единственным методом, доступным в версии 2006 и более ранних версиях.
Точка подключения CMG сначала пытается установить длительное подключение TCP-TLS к каждому экземпляру виртуальной машины CMG. Он подключается к первому экземпляру виртуальной машины через порт 10140. Второй экземпляр виртуальной машины использует порт 10141 до 16-го на порту 10155. Подключение TCP-TLS имеет наилучшую производительность, но не поддерживает интернет-прокси. Если точка подключения CMG не может подключиться через TCP-TLS, она возвращается кHTTPS Примечание 2.
Примечание 2. Порты HTTPS точки подключения CMG для одной виртуальной машины
При развертывании шлюза управления облачными клиентами в масштабируемом наборе виртуальных машин точка подключения CMG взаимодействует со службой в Azure только по протоколу HTTPS. Для создания канала связи CMG порты TCP-TLS не требуются.
Для шлюза управления облачными клиентами, развернутых в качестве классической облачной службы, этот порт используется только в случае сбоя подключения TCP-TLS. Если точка подключения CMG не может подключиться к CMG черезTCP-TLS Примечание 1, она подключается к подсистеме балансировки сетевой нагрузки Azure по протоколу HTTPS 443. Это поведение относится только к одному экземпляру виртуальной машины.
Примечание 3. Порты HTTPS точки подключения CMG для двух или более виртуальных машин
Если существует два или более экземпляров виртуальной машины, точка подключения CMG использует протокол HTTPS 10124 к первому экземпляру виртуальной машины, а не HTTPS 443. Он подключается ко второму экземпляру виртуальной машины по протоколу HTTPS 10125 до 16-го на порту HTTPS 10139.
Требования к доступу к Интернету
Если ваша организация ограничивает сетевое взаимодействие с Интернетом с помощью брандмауэра или прокси-устройства, необходимо разрешить точке подключения CMG и точке подключения службы доступ к конечным точкам Интернета.
Дополнительные сведения см. в разделе Требования к доступу к Интернету.
В этом разделе рассматриваются следующие функции:
Шлюз облачного управления (CMG)
интеграция Microsoft Entra
Microsoft Entra обнаружение на основе идентификаторов
Облачная точка распространения (CDP)
Примечание.
Облачная точка распространения (CDP) не рекомендуется использовать. Начиная с версии 2107, вы не можете создавать новые экземпляры CDP. Чтобы предоставить содержимое интернет-устройствам, включите CMG для распространения содержимого.
В следующих разделах перечислены конечные точки по роли. Некоторые конечные точки ссылаются на службу по <prefix>, которая является префиксом имени шлюза управления облачными клиентами. Например, если шлюз управления облачными клиентами имеет значение GraniteFalls.WestUS.CloudApp.Azure.Com, то фактическая конечная точка хранилища — GraniteFalls.blob.core.windows.net.
Совет
Чтобы уточнить некоторые термины, выполните приведенные ниже действия.
Имя службы CMG: общее имя (CN) сертификата проверки подлинности сервера CMG. Клиенты и роль системы сайта точки подключения ШЛЮЗа управления облачными клиентами связываются с этим именем службы. Например,
GraniteFalls.contoso.comилиGraniteFalls.WestUS.CloudApp.Azure.Com.Имя развертывания CMG: первая часть имени службы, а также расположение Azure для развертывания облачной службы. Компонент диспетчера облачных служб точки подключения службы использует это имя при развертывании CMG в Azure. Имя развертывания всегда находится в домене Azure. Расположение Azure зависит от метода развертывания, например:
- Масштабируемый набор виртуальных машин:
GraniteFalls.WestUS.CloudApp.Azure.Com - Классическое развертывание:
GraniteFalls.CloudApp.Net
- Масштабируемый набор виртуальных машин:
В этой статье используются примеры с масштабируемым набором виртуальных машин в качестве рекомендуемого метода развертывания в версии 2107 и более поздних версиях. Если вы используете классическое развертывание, обратите внимание на разницу при прочтении этой статьи и настройке доступа к Интернету.
Точка подключения службы для облачных служб
Чтобы Configuration Manager развернуть службу CMG в Azure, точке подключения службы требуется доступ к:
Конкретные конечные точки Azure, которые отличаются для каждой среды в зависимости от конфигурации. Configuration Manager хранит эти конечные точки в базе данных сайта. Запросите список конечных точек Azure в таблице AzureEnvironments в SQL Server.
Службы Azure:
management.azure.com(общедоступное облако Azure)management.usgovcloudapi.net(Облако Azure для государственных организаций США)
Для Microsoft Entra обнаружения пользователей: конечная точка Microsoft Graph
https://graph.microsoft.com/
Точка подключения CMG для облачных служб
Точке подключения CMG требуется доступ к следующим конечным точкам:
| Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
|---|---|---|
| Имя службы | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Конечная точка хранилища 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Конечная точка хранилища 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Хранилище ключей | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Система сайта точки подключения CMG поддерживает использование веб-прокси. Дополнительные сведения о настройке этой роли для прокси-сервера см. в разделе Поддержка прокси-сервера.
Точка подключения CMG должна подключаться только к конечным точкам службы CMG. Ему не требуется доступ к другим конечным точкам Azure.
клиент Configuration Manager для облачных служб
Любой клиент Configuration Manager, который должен взаимодействовать с шлюзом управления облачными клиентами, должен иметь доступ к следующим конечным точкам:
| Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
|---|---|---|
| Имя развертывания | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Конечная точка хранилища | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Конечная точка Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
консоль Configuration Manager для облачных служб
Любому устройству с консолью Configuration Manager требуется доступ к следующим конечным точкам:
| Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
|---|---|---|
| конечные точки Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Заголовки и команды HTTP
Любое сетевое устройство, управляющее взаимодействием между клиентом, CMG и локальными системами сайта, должны разрешать следующие заголовки и команды HTTP. Если эти элементы заблокированы, это повлияет на взаимодействие с клиентом через шлюз управления облачными клиентами.
Заголовки HTTP
- Диапазон:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
КОМАНДЫ HTTP
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по