在 Configuration Manager 中使用雲端發佈點

  • 文章

適用於:Configuration Manager (目前的分支)

警告

從 Azure 共用內容的實作已變更。 啟用 [ 允許 CMG 作為雲端發佈點並從 Azure 記憶體提供內容] 選項,以使用已啟用內容的雲端管理閘道。 如需詳細資訊,請參閱 修改CMG

從 2107 版開始,您無法在 CDP) (建立傳統的雲端發佈點。

雲端發佈點是裝載為 Microsoft Azure 中平臺即服務 (PaaS) 的 Configuration Manager 發佈點。 此服務支援下列案例:

  • 提供軟體內容給因特網型用戶端,而不需要額外的內部部署基礎結構

  • 雲端啟用您的內容發佈系統

  • 減少對傳統發佈點的需求

本文可協助您了解雲端發佈點、規劃其使用方式,以及設計您的實作。 它包含下列各節:

功能和優點

功能

雲端發佈點支持內部部署發佈點也提供的數個功能:

  • 個別管理雲端發佈點,或以發佈點群組的成員身分管理雲端發佈點

  • 使用雲端發佈點作為後援內容位置

  • 支援內部網路和以因特網為基礎的用戶端

優點

雲端發佈點提供下列額外優點:

  • 網站會先加密內容,再將其傳送至 Azure 中的雲端發佈點。

  • 若要符合客戶端對內容要求的變更需求,請在 Azure 中手動調整雲端服務。 此動作不需要您在 Configuration Manager 中安裝和布建其他發佈點。

  • 支援從針對其他內容技術設定的用戶端下載內容,例如 Windows BranchCache。

  • 使用雲端發佈點作為提取發佈點的來源位置。

拓撲設計

雲端發佈點的部署和作業包含下列元件:

  • Azure 中的 雲端服務 。 網站會將內容發佈至此服務,以將其儲存在 Azure 雲端記憶體中。 管理點會視需要在可用來源清單中提供此內容位置給用戶端。

  • 管理點站臺系統角色會依正常狀況服務用戶端要求。

  • 雲端發佈點會使用 憑證式 HTTPS Web 服務來協助保護與客戶端的網路通訊。 客戶端必須信任此憑證。

Azure 資源管理

使用 Azure Resource Manager 部署建立雲端發佈點。 Azure Resource Manager 是將所有解決方案資源管理為單一實體的新式平臺,稱為資源群組。 使用 Azure Resource Manager 部署雲端發佈點時,月臺會使用 Microsoft Entra ID 來驗證和建立必要的雲端資源。

注意事項

此功能無法支援 Azure 雲端服務提供者 (CSP) 。 使用 Azure Resource Manager 的雲端發佈點部署會繼續使用 CSP 不支援的傳統雲端服務。 如需詳細資訊,請參閱 Azure CSP 中可用的 Azure 服務

Azure Resource Manager 是雲端發佈點新實例的唯一部署機制。 現有的部署會繼續運作。

階層設計

您建立雲端發佈點的位置取決於哪些用戶端需要存取內容。

  • Azure Resource Manager 部署:在主要月臺或管理中心網站建立此類型。

  • 雲端管理閘道 (CMG) 也可以為用戶端提供內容。 這項功能可降低 Azure VM 所需的憑證和成本。 如需詳細資訊,請參閱 雲端管理閘道概觀

若要判斷是否要在界限群組中包含雲端發佈點,請考慮下列行為:

  • 以因特網為基礎的用戶端不依賴界限群組。 它們只會使用因特網對向發佈點或雲端發佈點。 如果您只使用雲端發佈點來服務這些類型的用戶端,則不需要將它們包含在界限群組中。

  • 如果您想要讓內部網路上的用戶端使用雲端發佈點,則必須與客戶端位於相同的界限群組中。 用戶端會在其內容來源清單中排定雲端發佈點的優先順序,因為從 Azure 下載內容會產生相關成本。 因此,雲端發佈點通常會作為內部網路用戶端的後援來源。 如果您想要雲端優先設計,請設計界限群組以符合此商務需求。 如需詳細資訊, 請參閱設定界限群組

即使您在 Azure 的特定區域中安裝雲端發佈點,用戶端仍不知道 Azure 區域。 他們會隨機選取雲端發佈點。 如果您在多個區域中安裝雲端發佈點,而用戶端在內容位置清單中收到多個,用戶端可能不會使用相同 Azure 區域中的雲端發佈點。

備份及復原

當您在階層中使用雲端發佈點時,請使用下列資訊來協助您規劃備份和復原:

  • 當您使用備份月臺伺服器維護工作時,Configuration Manager 會自動包含雲端發佈點的設定。

  • 備份並儲存伺服器驗證憑證的複本。 當您將 Configuration Manager 主要月臺還原至不同的伺服器時,請重新匯入憑證。

需求

  • 您需要 Azure 訂 用帳戶來裝載服務。

    • 視您的設計而定, Azure 系統管理員 必須參與初始建立特定元件。 此角色不需要 Configuration Manager的許可權。

  • 月臺伺服器需要因 特網存取權 ,才能部署和管理雲端服務。

  • 使用 Azure Resource Manager 部署方法時,請將 Configuration Manager 與雲端管理的 Microsoft Entra ID 整合。 Microsoft Entra ID 不需要使用者探索

  • 伺服器驗證憑證。 如需詳細資訊,請參閱下方的 憑證 一節。

    • 若要降低複雜性,請針對伺服器驗證憑證使用公用憑證提供者。 這樣做時,您也需要 DNS CNAME 別名 ,用戶端才能解析雲端服務的名稱。

  • 在 雲端服務 群組中,將 [允許存取雲端發佈點] 客戶端設定設為 []。 根據預設,此值會設定為 [否]

  • 用戶端裝置需要 因特網連線,且必須使用 IPv4

規格

  • 雲端發佈點支援 客戶端和裝置支援的操作系統中所列的所有 Windows 版本。

  • 系統管理員會發佈下列類型的支持軟體內容:

    • 應用程式

    • 套件

    • 操作系統升級套件

    • 第三方軟體更新

      重要事項

      • 雖然 Configuration Manager 主控台不會封鎖將 Microsoft 軟體更新發佈至雲端發佈點,但您需支付 Azure 成本來儲存用戶端未使用的內容。 以因特網為基礎的用戶端一律會從 Microsoft Update 雲端服務取得 Microsoft 軟體更新內容。 請勿將 Microsoft 軟體更新發佈至雲端發佈點。
      • 如果軟體更新發佈至雲端發佈點,當用戶端位於內部網路時,仍會使用本機發佈點下載內容。
      • 針對內容記憶體使用 CMG 時,如果啟用 [在可用的用戶端時下載差異內容] 設定,則第三方更新的內容將不會下載至客戶端。

  • 設定提取發佈點以使用雲端發佈點作為來源。 如需詳細資訊,請 參閱關於來源發佈點

部署設定

  • 在執行中工作順序需要時,於本機下載內容。 工作順序引擎可以從已啟用內容的 CMG 或雲端發佈點隨選下載套件。 此選項可為 Windows 就地升級部署至以因特網為基礎的裝置提供額外的彈性。

  • 開始工作順序之前,請先在本機下載所有內容。 使用此選項,Configuration Manager 用戶端會先從雲端來源下載內容,再開始工作順序。

  • 雲端發佈點不支援套件部署,並可選擇 從發佈點執行程式。 使用部署選項 從發佈點下載內容,並在本機執行

限制

  • 您無法將雲端發佈點用於 PXE 或啟用多播的部署。

  • 雲端發佈點不支援App-V串流應用程式。

  • 雲端發佈點不支援 Microsoft 365 Apps 更新的內容。

  • 您無法在雲端發佈點上 預先設置內容 。 管理雲端發佈點之主要月臺的發佈管理員會傳送所有內容。

  • 您無法將雲端發佈點設定為提取發佈點。

成本

重要事項

下列成本資訊僅供估計之用。 您的環境可能有其他變數會影響使用雲端發佈點的整體成本。

Configuration Manager 包含下列選項,可協助控制成本及監視數據存取:

  • 控制和監視您儲存在雲端服務中的內容數量。 如需詳細資訊,請 參閱監視雲端發佈點

  • 設定 Configuration Manager,以在用戶端下載的閾值達到或超過每月限制時向您發出警示。 如需詳細資訊,請 參閱數據傳輸閾值警示

  • 若要協助減少用戶端從雲端發佈點傳輸的數據數目,請使用下列其中一個對等快取技術:

    • Configuration Manager 對等快取

    • Windows BranchCache

    • Windows 傳遞優化

      如需詳細資訊,請參閱 內容管理的基本概念

元件

雲端發佈點會使用下列 Azure 元件,這會對 Azure 訂用帳戶產生費用:

提示

雲端管理閘道也可以為用戶端提供內容。 這項功能藉由合併 Azure VM 來降低成本。 如需詳細資訊,請 參閱雲端管理閘道的成本

虛擬機器

  • 雲端發佈點會使用 Azure 雲端服務 作為平臺即服務 (PaaS) 。 此服務會使用虛擬機 (會產生計算成本的 VM) 。

  • 每個雲端發佈點服務都會使用兩個標準 A0 VM。

  • 請參閱 Azure 定價計算機 ,以協助判斷潛在成本。

    注意事項

    虛擬機成本會因區域而異。

輸出數據傳輸

  • 任何進入 Azure 的數據流都會 (輸入或上傳) 。 將內容從月臺發佈至雲端發佈點正在上傳至 Azure。

  • 費用是以流出 Azure (輸出或下載) 的數據為基礎。 Azure 的雲端發佈點數據流是由用戶端下載的軟體內容所組成。

  • 如需詳細資訊,請 參閱監視雲端發佈點

  • 請參閱 Azure 頻寬定價詳細數據 ,以協助判斷潛在成本。 數據傳輸的定價是分層的。 您使用的越多,每個 GB 的付款就越少。

內容儲存

  • 以因特網為基礎的用戶端可免費從 Microsoft Update 雲端服務取得 Microsoft 軟體更新內容。 請勿將具有 Microsoft 軟體更新的軟體更新部署套件發佈至雲端發佈點。 否則,您會針對客戶端永遠不會使用的內容產生資料儲存成本。

  • 具有 Azure Resource Manager 部署的雲端發佈點會使用 Azure 本地備援記憶體 (LRS) 。 如需詳細資訊,請參閱 本地備援記憶體

其他成本

  • 每個雲端服務都有動態IP位址。 每個不同的雲端發佈點都會使用新的動態IP位址。 為每個雲端服務新增額外的 VM 並不會增加這些位址。

連接埠和資料流程

雲端發佈點有兩個主要數據流:

  • 站台伺服器會連線到 Azure 以設定雲端發佈點服務

  • 用戶端會連線到雲端發佈點以下載內容

月臺伺服器至 Azure

您不需要對內部部署網路開啟任何輸入埠。 站臺伺服器會起始與 Azure 和雲端發佈點的所有通訊,以部署、更新及管理雲端服務。 月臺伺服器必須建立對 Microsoft 雲端的輸出連線。 此動作相當於在特定站臺上安裝發佈點站臺系統角色。

用戶端到雲端發佈點

您不需要對內部部署網路開啟任何輸入埠。 以因特網為基礎的用戶端會直接與 Azure 服務通訊。 您內部網路上使用雲端發佈點的客戶端必須連線到 Microsoft 雲端。

如需內容位置優先順序和內部網路用戶端使用雲端發佈點時的詳細資訊,請參閱 內容來源優先順序

當用戶端使用雲端發佈點作為內容位置時:

  1. 管理點會提供用戶端存取令牌以及內容來源清單。 此令牌的有效期為24小時,並可讓用戶端存取雲端發佈點。

  2. 管理點會使用雲端發佈點的服務 FQDN 來回應用戶端的位置要求。 此屬性與伺服器驗證憑證的一般名稱相同。

    例如,如果您使用功能變數名稱,WallaceFalls.contoso.com,則用戶端會先嘗試解析此 FQDN。 您需要網域因特網對向 DNS 中的 CNAME 別名,用戶端才能解析 Azure 服務名稱,例如:WallaceFalls.cloudapp.net。

  3. 用戶端接下來會將 Azure 服務名稱解析為有效的 IP 位址,例如 WallaceFalls.cloudapp.net。 此回應應由 Azure 的 DNS 處理。

  4. 用戶端會連線到雲端發佈點。 Azure 會將連線負載平衡至其中一個 VM 實例。 用戶端會使用存取令牌自行驗證。

  5. 雲端發佈點會驗證用戶端的存取令牌,然後在 Azure 記憶體中提供用戶端確切的內容位置。

  6. 如果用戶端信任雲端發佈點的伺服器驗證憑證,它會連線到 Azure 記憶體以下載內容。

效能和規模

如同任何發佈點設計,請考慮下列因素:

  • 並行用戶端連線的數目
  • 用戶端下載的內容大小
  • 符合商務需求所允許的時間長度

視您的 拓撲設計而定,如果用戶端可以選擇任何指定內容的多個雲端發佈點,則會在那些雲端服務之間自然隨機化。 如果您只將特定部分的內容發佈至單一雲端發佈點,而且有大量客戶端嘗試同時下載此內容,則此活動會在該單一雲端發佈點上載入更高的負載。 新增額外的雲端發佈點也包含個別的 Azure 記憶體服務。 如需用戶端如何與雲端發佈點元件通訊及下載內容的詳細資訊,請參閱 埠和數據流

雲端發佈點會使用兩個 Azure VM 作為 Azure 記憶體的前端。 此預設部署符合大部分客戶的需求。 在某些極端情況下,由於有大量的並行用戶端連線 (例如,) 150,000 個用戶端,Azure VM 的處理容量無法跟上用戶端要求。 您無法調整用於雲端發佈點的 Azure VM 大小。 雖然您無法在 Configuration Manager 中設定雲端發佈點的 VM 實例數目,但請視需要在 Azure 入口網站 中重新設定雲端服務。 手動新增更多 VM 實例,或將服務設定為自動調整規模。

重要事項

當您更新 Configuration Manager 時,月臺會重新部署雲端服務。 如果您在 Azure 入口網站 中手動重新設定雲端服務,則實例數目會重設為預設值 2。

Azure 記憶體服務支援單一檔案每秒 500 個要求。 單一雲端發佈點的效能測試支援在24小時內將單一100 MB檔案發佈至50,000個用戶端。

憑證

視您的雲端發佈點設計而定,您需要一或多個數字證書。

一般資訊

雲端發佈點的憑證支援下列設定:

  • 4096 位金鑰長度

  • 第 3 版憑證。 如需詳細資訊,請參閱 CNG 憑證概觀

  • 當您使用下列原則設定 Windows 時: 系統密碼編譯:使用符合 FIPS 規範的演算法進行加密、哈希和簽署

  • 支援 TLS 1.2。 如需詳細資訊,請參閱 密碼編譯控件技術參考

伺服器驗證憑證

所有雲端發佈點部署都需要此憑證。

如需詳細資訊,請視需要參閱 CMG 伺服器驗證憑證和下列小節:

  • 用戶端的 CMG 受信任跟證書
  • 公用提供者發行的伺服器驗證憑證
  • 從企業 PKI 發行的伺服器驗證憑證

雲端發佈點會以與雲端管理網關相同的方式使用這種類型的憑證。 用戶端也需要信任此憑證。 為了降低複雜性,Microsoft 建議使用公用提供者所簽發的憑證。

除非您使用通配符憑證,否則請勿重複使用相同的憑證。 雲端發佈點和雲端管理網關的每個實例都需要唯一的伺服器驗證憑證。

如需從 PKI 建立此憑證的詳細資訊,請 參閱部署雲端發佈點的服務憑證

常見問題集 (FAQ)

用戶端是否需要憑證才能從雲端發佈點下載內容?

不需要客戶端驗證憑證。 客戶端確實需要信任雲端發佈點所使用的伺服器驗證憑證。 如果此憑證是由公用憑證提供者所發行,則大部分的 Windows 裝置已經包含這些提供者的受信任跟證書。 如果您從組織的 PKI 發行伺服器驗證憑證,則您的客戶端必須信任整個鏈結中的發行憑證。 此鏈結包含跟證書授權單位,以及任何中繼證書頒發機構單位。 根據您的 PKI 設計,此憑證可能會對雲端發佈點的部署造成額外的複雜性。 為了避免這種複雜性,Microsoft 建議使用用戶端已信任的公用憑證提供者。

我的內部部署用戶端可以使用雲端發佈點嗎?

是。 如果您想要讓內部網路上的用戶端使用雲端發佈點,則必須與客戶端位於相同的界限群組中。 用戶端會在其內容來源清單中排定雲端發佈點的優先順序,因為從 Azure 下載內容會產生相關成本。 因此,雲端發佈點通常會作為內部網路用戶端的後援來源。 如果您想要雲端優先設計,請據以設計界限群組。 如需詳細資訊, 請參閱設定界限群組

我需要 Azure ExpressRoute 嗎?

Azure ExpressRoute 可讓您將內部部署網路延伸至 Microsoft 雲端。 Configuration Manager 雲端發佈點不需要 ExpressRoute 或其他這類虛擬網路連線。

如果您的組織使用 ExpressRoute,請將雲端發佈點的 Azure 訂用帳戶與使用 ExpressRoute 的訂用帳戶隔離。 此設定可確保雲端發佈點不會以這種方式意外連線。

我需要維護 Azure 虛擬機嗎?

不需要維護。 雲端發佈點的設計會使用 Azure 平臺即服務 (PaaS) 。 使用您提供的訂用帳戶,Configuration Manager 建立必要的 VM、記憶體和網路。 Azure 會保護和更新虛擬機。 這些 VM 不是內部部署環境的一部分,如同基礎結構即服務 (IaaS) 一樣。 雲端發佈點是一種 PaaS,可將您的 Configuration Manager 環境延伸至雲端。 如需詳細資訊,請參閱 PaaS 雲端服務模型的安全性優點

雲端發佈點是否使用 Azure CDN?

Azure 內容傳遞網路 (CDN) 是一個全球解決方案,可透過在全球策略性放置的實體節點上快取內容,快速傳遞高頻寬內容。 如需詳細資訊,請 參閱什麼是 Azure CDN?

Configuration Manager 雲端發佈點目前不支援 Azure CDN。

後續步驟

安裝雲端發佈點