Använda en molndistributionsplats i Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

Varning

Implementeringen för att dela innehåll från Azure har ändrats. Använd en innehållsaktiverad molnhanteringsgateway genom att aktivera alternativet Tillåt CMG att fungera som en molndistributionsplats och hantera innehåll från Azure Storage. Mer information finns i Ändra en CMG.

Från och med version 2107 kan du inte skapa en traditionell molndistributionsplats (CDP).

En molndistributionsplats är en Configuration Manager distributionsplats som finns som PaaS (Platform-as-a-Service) i Microsoft Azure. Den här tjänsten stöder följande scenarier:

• Tillhandahålla programvaruinnehåll till Internetbaserade klienter utan ytterligare lokal infrastruktur

• Molnaktivera ditt innehållsdistributionssystem

• Minska behovet av traditionella distributionsplatser

Den här artikeln hjälper dig att lära dig mer om molndistributionsplatsen, planera för dess användning och utforma implementeringen. Den innehåller följande avsnitt:

• Funktioner och fördelar
• Topologidesign
• Krav
• Specifikationer
• Kostnad
• Prestanda och skalning
• Portar och dataflöde
• Certifikat
• Vanliga frågor (FAQ)

Funktioner och fördelar

Funktioner

Molndistributionsplatsen stöder flera funktioner som även erbjuds av lokala distributionsplatser:

• Hantera molndistributionsplatser individuellt eller som medlemmar i distributionsplatsgrupper

• Använda en molndistributionsplats som reservinnehållsplats

• Stöder både intranät- och Internetbaserade klienter

Fördelar

Molndistributionsplatsen ger följande ytterligare fördelar:

• Webbplatsen krypterar innehållet innan det skickas till molndistributionsplatsen i Azure.

• Om du vill uppfylla föränderliga krav på innehållsbegäranden från klienter skalar du molntjänsten manuellt i Azure. Den här åtgärden kräver inte att du installerar och etablerar ytterligare distributionsplatser i Configuration Manager.

• Stöder nedladdning av innehåll från klienter som konfigurerats för andra innehållstekniker, till exempel Windows BranchCache.

• Använd molndistributionsplatser som källplatser för mottagardistributionsplatser.

Topologidesign

Distribution och drift av molndistributionsplatsen innehåller följande komponenter:

• En molntjänst i Azure. Webbplatsen distribuerar innehåll till den här tjänsten, som lagrar det i Azure Cloud Storage. Hanteringsplatsen tillhandahåller den här innehållsplatsen till klienterna i listan över tillgängliga källor efter behov.

• En hanteringsplats för platssystemrollen servar klientbegäranden per normal.

  • Lokala klienter använder vanligtvis en lokal hanteringsplats.

  • Internetbaserade klienter använder antingen en molnhanteringsgateway eller en Internetbaserad hanteringsplats.

• Molndistributionsplatsen använder en certifikatbaserad HTTPS-webbtjänst för att skydda nätverkskommunikationen med klienter. Klienter måste lita på det här certifikatet.

Resurshanterare för Azure

Skapa en molndistributionsplats med hjälp av en Azure Resource Manager-distribution. Azure Resource Manager är en modern plattform för att hantera alla lösningsresurser som en enda entitet som kallas resursgrupp. När du distribuerar en molndistributionsplats med Azure Resource Manager använder webbplatsen Microsoft Entra ID för att autentisera och skapa nödvändiga molnresurser.

Obs!

Den här funktionen aktiverar inte stöd för Azure Cloud Service Providers (CSP). Distributionen av molndistributionsplatsen med Azure Resource Manager fortsätter att använda den klassiska molntjänsten, som csp inte stöder. Mer information finns i tillgängliga Azure-tjänster i Azure CSP.

Azure Resource Manager är den enda distributionsmekanismen för nya instanser av molndistributionsplatsen. Befintliga distributioner fortsätter att fungera.

Hierarkidesign

Var du skapar molndistributionsplatsen beror på vilka klienter som behöver komma åt innehållet.

• Azure Resource Manager distribution: Skapa den här typen på en primär plats eller på den centrala administrationsplatsen.

• Molnhanteringsgatewayen (CMG) kan också hantera innehåll till klienter. Den här funktionen minskar de certifikat och kostnader som krävs för virtuella Azure-datorer. Mer information finns i Översikt över molnhanteringsgateway.

Tänk på följande för att avgöra om molndistributionsplatser ska inkluderas i gränsgrupper:

• Internetbaserade klienter förlitar sig inte på gränsgrupper. De använder bara internetuppkopplade distributionsplatser eller molndistributionsplatser. Om du bara använder molndistributionsplatser för att betjäna dessa typer av klienter behöver du inte inkludera dem i gränsgrupper.

• Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till nedladdning av innehåll från Azure. En molndistributionsplats används därför vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du dina gränsgrupper så att de uppfyller affärsbehovet. Mer information finns i Konfigurera gränsgrupper.

Även om du installerar molndistributionsplatser i specifika regioner i Azure är klienterna inte medvetna om Azure-regionerna. De väljer slumpmässigt en molndistributionsplats. Om du installerar molndistributionsplatser i flera regioner och en klient tar emot fler än en i innehållsplatslistan kanske klienten inte använder en molndistributionsplats från samma Azure-region.

Säkerhetskopiering och återställning

När du använder en molndistributionsplats i hierarkin använder du följande information för att planera säkerhetskopiering och återställning:

• När du använder underhållsuppgiften Säkerhetskopieringsplatsserver Configuration Manager automatiskt inkludera konfigurationerna för molndistributionsplatsen.

• Säkerhetskopiera och spara en kopia av certifikatet för serverautentisering. När du återställer Configuration Manager primära platsen till en annan server importerar du certifikatet igen.

Krav

• Du behöver en Azure-prenumeration som värd för tjänsten.

  • En Azure-administratör måste delta i skapandet av vissa komponenter, beroende på din design. Den här personen kräver inte behörigheter i Configuration Manager.

• Platsservern kräver Internetåtkomst för att distribuera och hantera molntjänsten.

• När du använder distributionsmetoden för Azure Resource Manager integrerar du Configuration Manager med Microsoft Entra ID för molnhantering. Microsoft Entra ID användaridentifiering krävs inte.

• Ett certifikat för serverautentisering. Mer information finns i avsnittet Certifikat nedan.

  • Minska komplexiteten genom att använda en offentlig certifikatprovider för serverautentiseringscertifikatet. När du gör det behöver du även ett DNS CNAME-alias för klienter för att matcha namnet på molntjänsten.

• Ange klientinställningen Tillåt åtkomst till molndistributionsplatser till Ja i gruppen Cloud Services. Som standard är det här värdet inställt på Nej.

• Klientenheter kräver Internetanslutning och måste använda IPv4.

Specifikationer

• Molndistributionsplatsen stöder alla Windows-versioner som anges i Operativsystem som stöds för klienter och enheter.

• En administratör distribuerar följande typer av programvaruinnehåll som stöds:

  • Program

  • Paket

  • Uppgraderingspaket för operativsystem

  • Programuppdateringar från tredje part

    Viktigt

    • Även om Configuration Manager-konsolen inte blockerar distributionen av Microsoft-programuppdateringar till en molndistributionsplats betalar du Azure-kostnader för att lagra innehåll som klienter inte använder. Internetbaserade klienter hämtar alltid Microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten. Distribuera inte Microsofts programuppdateringar till en molndistributionsplats.
    • Om programuppdateringen distribueras till molndistributionsplatsen använder den fortfarande den lokala distributionsplatsen för nedladdning av innehåll när klienterna finns på intranätet.
    • När du använder en CMG för innehållslagring laddas inte innehållet för uppdateringar från tredje part ned till klienter om inställningen Ladda ned deltainnehåll när tillgängligklient är aktiverad.

• Konfigurera en mottagardistributionsplats för att använda en molndistributionsplats som källa. Mer information finns i Om källdistributionsplatser.

Distributionsinställningar

• Ladda ned innehåll lokalt när det behövs av aktivitetssekvensen som körs. Aktivitetssekvensmotorn kan ladda ned paket på begäran från en innehållsaktiverad CMG eller en molndistributionsplats. Det här alternativet ger ytterligare flexibilitet med uppgraderingsdistributioner av Windows på plats till Internetbaserade enheter.

• Ladda ned allt innehåll lokalt innan du startar aktivitetssekvensen. Med det här alternativet hämtar Configuration Manager-klienten innehållet från molnkällan innan aktivitetssekvensen startas.

• En molndistributionsplats stöder inte paketdistributioner med alternativet Att köra program från distributionsplats. Använd distributionsalternativet för att ladda ned innehåll från distributionsplatsen och köra lokalt.

Begränsningar

• Du kan inte använda en molndistributionsplats för PXE- eller multicast-aktiverade distributioner.

• En molndistributionsplats stöder inte App-V-strömningsprogram.

• En molndistributionsplats stöder inte innehåll för Microsoft 365-applikationer uppdateringar.

• Du kan inte förinstallera innehåll på en molndistributionsplats. Distributionshanteraren för den primära platsen som hanterar molndistributionsplatsen överför allt innehåll.

• Du kan inte konfigurera en molndistributionsplats som en mottagardistributionsplats.

Kostnad

Viktigt

Följande kostnadsinformation är endast avsedd för beräkning. Din miljö kan ha andra variabler som påverkar den totala kostnaden för att använda en molndistributionsplats.

Configuration Manager innehåller följande alternativ för att kontrollera kostnader och övervaka dataåtkomst:

• Kontrollera och övervaka mängden innehåll som du lagrar i en molntjänst. Mer information finns i Övervaka molndistributionsplatser.

• Konfigurera Configuration Manager för att varna dig när tröskelvärdena för klientnedladdningar uppfyller eller överskrider månadsgränserna. Mer information finns i Aviseringar om tröskelvärde för dataöverföring.

• Använd någon av följande tekniker för peer-cachelagring för att minska antalet dataöverföringar från molndistributionsplatser av klienter:

  • Configuration Manager peer-cache

  • Windows BranchCache

  • Leveransoptimering för Windows

    Mer information finns i Grundläggande begrepp för innehållshantering.

Komponenter

En molndistributionsplats använder följande Azure-komponenter, vilket medför avgifter för Azure-prenumerationskontot:

Tips

Molnhanteringsgatewayen kan också hantera innehåll till klienter. Den här funktionen minskar kostnaden genom att konsolidera de virtuella Azure-datorerna. Mer information finns i Kostnad för molnhanteringsgateway.

Virtuell dator

• Molndistributionsplatsen använder Azure Cloud Services som plattform som en tjänst (PaaS). Den här tjänsten använder virtuella datorer (VM) som medför beräkningskostnader.

• Varje molndistributionsplatstjänst använder två virtuella Standard A0-datorer.

• Se priskalkylatorn för Azure för att fastställa potentiella kostnader.

  Obs!

  Kostnaderna för virtuella datorer varierar beroende på region.

Utgående dataöverföring

• Alla dataflöden till Azure är kostnadsfria (inkommande eller uppladdning). Distribution av innehåll från webbplatsen till molndistributionsplatsen laddas upp till Azure.

• Avgifter baseras på data som flödar ut från Azure (utgående eller nedladdning). Molndistributionsplatsdataflöden från Azure består av programvaruinnehållet som klienterna laddar ned.

• Mer information finns i Övervaka molndistributionsplatser.

• Se prisinformationen för Azure-bandbredd för att fastställa potentiella kostnader. Priser för dataöverföring är nivåindelade. Ju mer du använder, desto mindre betalar du per gigabyte.

Innehållslagring

• Internetbaserade klienter får Microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten utan kostnad. Distribuera inte programuppdateringsdistributionspaket med Microsofts programuppdateringar till en molndistributionsplats. Annars medför du kostnader för datalagring för innehåll som klienter aldrig använder.

• Molndistributionsplatser med en Azure Resource Manager-distribution använder Azure lokalt redundant lagring (LRS). Mer information finns i Lokalt redundant lagring.

Övriga kostnader

• Varje molntjänst har en dynamisk IP-adress. Varje distinkt molndistributionsplats använder en ny dynamisk IP-adress. Att lägga till ytterligare virtuella datorer per molntjänst ökar inte dessa adresser.

Portar och dataflöde

Det finns två primära dataflöden för molndistributionsplatsen:

• Platsservern ansluter till Azure för att konfigurera molndistributionsplatstjänsten

• En klient ansluter till molndistributionsplatsen för att ladda ned innehåll

Platsserver till Azure

Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Platsservern initierar all kommunikation med Azure och molndistributionsplatsen för att distribuera, uppdatera och hantera molntjänsten. Platsservern måste skapa utgående anslutningar till Microsoft-molnet. Den här åtgärden motsvarar installation av distributionsplatssystemrollen på en viss plats.

Distributionsplats från klient till moln

Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Internetbaserade klienter kommunicerar direkt med Azure-tjänsten. Klienter i ditt interna nätverk som använder en molndistributionsplats måste ansluta till Microsoft-molnet.

Mer information om prioritet för innehållsplats och när intranätbaserade klienter använder en molndistributionsplats finns i Prioritet för innehållskälla.

När en klient använder en molndistributionsplats som en innehållsplats:

1. Hanteringsplatsen ger klienten en åtkomsttoken tillsammans med listan över innehållskällor. Denna token är giltig i 24 timmar och ger klienten åtkomst till molndistributionsplatsen.

2. Hanteringsplatsen svarar på klientens platsbegäran med tjänst-FQDN för molndistributionsplatsen. Den här egenskapen är samma som namnet på certifikatet för serverautentisering.

   Om du använder ditt domännamn, till exempel WallaceFalls.contoso.com, försöker klienten först lösa det här fullständiga domännamnet. Du behöver ett CNAME-alias i domänens Internetuppkopplade DNS för att klienter ska kunna matcha Azure-tjänstnamnet, till exempel: WallaceFalls.cloudapp.net.

3. Klienten löser sedan Azure-tjänstnamnet, till exempel WallaceFalls.cloudapp.net, till en giltig IP-adress. Det här svaret ska hanteras av Azures DNS.

4. Klienten ansluter till molndistributionsplatsen. Azure lastbalanserar anslutningen till en av de virtuella datorinstanserna. Klienten autentiserar sig själv med hjälp av åtkomsttoken.

5. Molndistributionsplatsen autentiserar klientens åtkomsttoken och ger sedan klienten den exakta innehållsplatsen i Azure Storage.

6. Om klienten litar på molndistributionsplatsens certifikat för serverautentisering ansluter den till Azure Storage för att ladda ned innehållet.

Prestanda och skalning

Som med all distributionsplatsdesign bör du tänka på följande faktorer:

• Antal samtidiga klientanslutningar
• Storleken på innehållet som klienter laddar ned
• Hur lång tid det tar att uppfylla dina affärskrav

Beroende på din topologidesign, om klienter har möjlighet att ha fler än en molndistributionsplats för ett visst innehåll, slumpmässigar de naturligt mellan dessa molntjänster. Om du bara distribuerar en viss del av innehållet till en enda molndistributionsplats, och ett stort antal klienter försöker ladda ned innehållet samtidigt, lägger den här aktiviteten högre belastning på distributionsplatsen för det enskilda molnet. Om du lägger till ytterligare en molndistributionsplats ingår även en separat Azure Storage-tjänst. Mer information om hur klienten kommunicerar med molndistributionsplatskomponenterna och laddar ned innehåll finns i Portar och dataflöde.

Molndistributionsplatsen använder två virtuella Azure-datorer som klientdel till Azure Storage. Den här standarddistributionen uppfyller de flesta kunders behov. Under vissa extrema omständigheter, med ett stort antal samtidiga klientanslutningar (till exempel 150 000 klienter), kan bearbetningskapaciteten för de virtuella Azure-datorerna inte hänga med klientbegäranden. Du kan inte ändra storlek på de virtuella Azure-datorer som används för molndistributionsplatsen. Du kan inte konfigurera antalet virtuella datorinstanser för molndistributionsplatsen i Configuration Manager, men om det behövs konfigurerar du om molntjänsten i Azure Portal. Lägg antingen till fler VM-instanser manuellt eller konfigurera tjänsten så att den skalas automatiskt.

Viktigt

När du uppdaterar Configuration Manager distribuerar webbplatsen om molntjänsten. Om du konfigurerar om molntjänsten manuellt i Azure Portal återställs antalet instanser till standardvärdet två.

Azure Storage-tjänsten stöder 500 begäranden per sekund för en enda fil. Prestandatestning av en enda molndistributionsplats som stöds för distribution av en enda fil på 100 MB till 50 000 klienter på 24 timmar.

Certifikat

Beroende på din molndistributionsplatsdesign behöver du ett eller flera digitala certifikat.

Allmän information

Certifikat för molndistributionsplatser stöder följande konfigurationer:

• 4096-bitars nyckellängd

• Version 3-certifikat. Mer information finns i översikten över CNG-certifikat.

• När du konfigurerar Windows med följande princip: Systemkryptering: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering

• Stöd för TLS 1.2. Mer information finns i Teknisk referens för kryptografiska kontroller.

Certifikat för serverautentisering

Det här certifikatet krävs för alla distributioner av molndistributionsplatser.

Mer information finns i CERTIFIKAT för CMG-serverautentisering och följande underavsnitt efter behov:

• CMG-betrott rotcertifikat till klienter
• Certifikat för serverautentisering utfärdat av offentlig provider
• Certifikat för serverautentisering utfärdat från företags-PKI

Molndistributionsplatsen använder den här typen av certifikat på samma sätt som molnhanteringsgatewayen. Klienter måste också lita på det här certifikatet. För att minska komplexiteten rekommenderar Microsoft att du använder ett certifikat som utfärdats av en offentlig leverantör.

Om du inte använder ett jokerteckencertifikat ska du inte återanvända samma certifikat. Varje instans av molndistributionsplatsen och molnhanteringsgatewayen kräver ett unikt certifikat för serverautentisering.

Mer information om hur du skapar det här certifikatet från en PKI finns i Distribuera tjänstcertifikatet för molndistributionsplatser.

Vanliga frågor (FAQ)

Behöver en klient ett certifikat för att ladda ned innehåll från en molndistributionsplats?

Ett certifikat för klientautentisering krävs inte. Klienten måste lita på det serverautentiseringscertifikat som används av molndistributionsplatsen. Om det här certifikatet utfärdas av en offentlig certifikatleverantör innehåller de flesta Windows-enheter redan betrodda rotcertifikat för dessa leverantörer. Om du har utfärdat ett certifikat för serverautentisering från din organisations PKI måste dina klienter lita på de utfärdande certifikaten i hela kedjan. Den här kedjan innehåller rotcertifikatutfärdare och eventuella mellanliggande certifikatutfärdare. Beroende på din PKI-design kan det här certifikatet medföra ytterligare komplexitet för distributionen av molndistributionsplatsen. För att undvika den här komplexiteten rekommenderar Microsoft att du använder en offentlig certifikatprovider som dina klienter redan litar på.

Kan mina lokala klienter använda en molndistributionsplats?

Ja. Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till nedladdning av innehåll från Azure. Därför används en molndistributionsplats vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du dina gränsgrupper i enlighet med detta. Mer information finns i Konfigurera gränsgrupper.

Behöver jag Azure ExpressRoute?

Med Azure ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet. ExpressRoute eller andra sådana virtuella nätverksanslutningar krävs inte för Configuration Manager molndistributionsplats.

Om din organisation använder ExpressRoute isolerar du Azure-prenumerationen för molndistributionsplatsen från prenumerationen som använder ExpressRoute. Den här konfigurationen säkerställer att molndistributionsplatsen inte är ansluten av misstag på det här sättet.

Behöver jag underhålla de virtuella Azure-datorerna?

Inget underhåll krävs. Utformningen av molndistributionsplatsen använder Azure Platform as a Service (PaaS). Med den prenumeration som du anger skapar Configuration Manager nödvändiga virtuella datorer, lagring och nätverk. Azure skyddar och uppdaterar de virtuella datorerna. Dessa virtuella datorer är inte en del av din lokala miljö, vilket är fallet med infrastruktur som en tjänst (IaaS). Molndistributionsplatsen är en PaaS som utökar din Configuration Manager miljö till molnet. Mer information finns i Säkerhetsfördelar med en PaaS-molntjänstmodell.

Använder molndistributionsplatsen Azure CDN?

Azure Content Delivery Network (CDN) är en global lösning för snabb leverans av innehåll med hög bandbredd genom att cachelagra innehållet på strategiskt placerade fysiska noder över hela världen. Mer information finns i Vad är Azure CDN?.

Den Configuration Manager molndistributionsplatsen stöder för närvarande inte Azure CDN.

Nästa steg

Installera molndistributionsplatser