CMG 的数据流
适用于: Configuration Manager(current branch)
本文介绍如何在云管理网关的组件之间流动数据, (CMG) 。 它需要特定的网络端口和 Internet 终结点才能正常运行。 无需打开本地网络的任何入站端口。 服务连接点和 CMG 连接点站点系统角色开始与 Azure 和 CMG 的所有通信。 这两个角色需要创建到 Microsoft 云的出站连接。 服务连接点在 Azure 中部署和监视服务,因此需要联机。 CMG 连接点连接到 CMG,以管理 CMG 与本地站点系统角色之间的通信。
数据流图
下图是 CMG 的基本概念数据流:
服务连接点通过 HTTPS 端口 443 连接到 Azure。 它使用Microsoft Entra ID 进行身份验证。 服务连接点在 Azure 中部署 CMG。 CMG 使用服务器身份验证证书创建 HTTPS 服务。
CMG 连接点连接到 Azure 中的 CMG。 它将连接保持打开状态,并为将来的双向通信构建通道。
将 CMG 部署为虚拟机规模集时,此流通过 HTTPS。
如果将 CMG 部署为经典云服务,它将首先尝试 TCP-TLS。 如果该连接失败,它将切换到 HTTPS。
有关详细信息,请参阅 注释 2:一个 VM 的 CMG 连接点 HTTPS 端口。
客户端通过 HTTPS 端口 443 连接到 CMG。 它使用Microsoft Entra ID、客户端身份验证证书或站点颁发的令牌进行身份验证。
注意
如果启用 CMG 来提供内容,客户端会通过 HTTPS 端口 443 直接连接到 Azure Blob 存储。 有关详细信息,请参阅 内容数据流。
CMG 通过现有连接将客户端通信转发到本地 CMG 连接点。 无需打开任何入站防火墙端口。
CMG 连接点将客户端通信转发到本地管理点和软件更新点。
有关与 Microsoft Entra ID 集成时的详细信息,请参阅配置 Azure 服务:云管理数据流。
内容数据流
当客户端使用 CMG 作为内容位置时:
管理点为客户端提供访问令牌以及内容源列表。 此令牌的有效期为 24 小时,并授予客户端对基于云的内容源的访问权限。
管理点使用 CMG 的服务名称 响应客户端的位置请求。 此属性与服务器身份验证证书的公用名称相同。
如果使用域名(例如
WallaceFalls.contoso.com),则客户端首先尝试解析此 FQDN。 客户端在域的面向 Internet 的 DNS 中使用 CNAME 别名来解析 Azure 部署名称。接下来,客户端将 部署名称 解析为有效的 IP 地址。 此响应由 Azure 的 DNS 处理。
客户端连接到 CMG。 Azure 负载均衡到其中一个 VM 实例的连接。 客户端使用访问令牌对自身进行身份验证。
CMG 对客户端的访问令牌进行身份验证,然后向客户端提供 Azure 存储中的确切内容位置。
如果客户端信任 CMG 的服务器身份验证证书,它会连接到 Azure 存储以下载内容。
所需端口
下表列出了所需的网络端口和协议。 客户端是启动连接的设备,需要出站端口。 服务器是接受连接的设备,需要入站端口。
| 客户端 | 协议 | 端口 | 服务器 | 说明 |
|---|---|---|---|---|
| 服务连接点 | HTTPS | 443 | Azure | CMG 部署 |
| 虚拟机规模集 (CMG 连接点) | HTTPS | 443 | CMG 服务 | 仅生成一个 VM 实例的 CMG 通道的协议 说明 2 |
| 虚拟机规模集 (CMG 连接点) | HTTPS | 10124-10139 | CMG 服务 | 将 CMG 通道生成到两个或更多 VM 实例的协议 说明 3 |
| 经典云服务) (CMG 连接点 | TCP-TLS | 10140-10155 | CMG 服务 | 生成 CMG 通道的首选协议 注释 1 |
| 经典云服务) (CMG 连接点 | HTTPS | 443 | CMG 服务 | 用于将 CMG 通道生成到一个 VM 实例的回退协议 说明 2 |
| 经典云服务) (CMG 连接点 | HTTPS | 10124-10139 | CMG 服务 | 用于将 CMG 通道生成到两个或多个 VM 实例的回退协议 注释 3 |
| 客户端 | HTTPS | 443 | CMG | 常规客户端通信 |
| 客户端 | HTTPS | 443 | Blob 存储 | 下载基于云的内容 |
| CMG 连接点 | HTTPS 或 HTTP | 443 或 80 | 管理点 | 本地流量、端口取决于管理点配置 |
| CMG 连接点 | HTTPS 或 HTTP | 443 或 80 /8530 或 8531 | 软件更新点 | 本地流量、端口取决于软件更新点配置 |
端口说明
注释 1:CMG 连接点 TCP-TLS 端口
这些端口仅适用于将 CMG 部署为云服务 (经典) ,这是版本 2006 及更早版本中唯一可用的方法。
CMG 连接点首先尝试与每个 CMG VM 实例建立长期 TCP-TLS 连接。 它连接到端口 10140 上的第一个 VM 实例。 第二个 VM 实例使用端口 10141(端口 10155 上的最多 16 个)。 TCP-TLS 连接具有最佳性能,但它不支持 Internet 代理。 如果 CMG 连接点无法通过 TCP-TLS 进行连接,则回退到 HTTPS说明 2。
注释 2:一个 VM 的 CMG 连接点 HTTPS 端口
如果在 虚拟机规模集中部署 CMG,则 CMG 连接点仅通过 HTTPS 与 Azure 中的服务通信。 它不需要 TCP-TLS 端口来生成 CMG 信道。
对于部署为经典云服务的 CMG,它仅在 TCP-TLS 连接失败时使用此端口。 如果 CMG 连接点无法通过 TCP-TLS说明 1 连接到 CMG,它将通过 HTTPS 443 连接到 Azure 网络负载均衡器。 此行为仅适用于一个 VM 实例。
注释 3:适用于两个或多个 VM 的 CMG 连接点 HTTPS 端口
如果有两个或更多个 VM 实例,则 CMG 连接点使用 HTTPS 10124 到第一个 VM 实例,而不是 HTTPS 443。 它连接到 HTTPS 10125 上的第二个 VM 实例,在 HTTPS 端口 10139 上连接到第 16 个 VM 实例。
Internet 访问要求
如果组织使用防火墙或代理设备限制与 Internet 的网络通信,则需要允许 CMG 连接点和服务连接点访问 Internet 终结点。
有关详细信息,请参阅 Internet 访问要求。
本部分介绍以下功能:
云管理网关 (CMG)
Microsoft Entra集成
Microsoft Entra基于 ID 的发现
云分发点 (CDP)
注意
基于云的分发点 (CDP) 已弃用。 从版本 2107 开始,无法创建新的 CDP 实例。 若要向基于 Internet 的设备提供内容,请启用 CMG 以分发内容。
以下部分按角色列出终结点。 某些终结点通过 <prefix>引用服务,这是 CMG 的前缀名称。 例如,如果 CMG 为 GraniteFalls.WestUS.CloudApp.Azure.Com,则实际存储终结点为 GraniteFalls.blob.core.windows.net。
提示
澄清一些术语:
CMG 服务名称:CMG 服务器身份验证证书 (CN) 的公用名称。 客户端和 CMG 连接点站点系统角色与此服务名称通信。 例如,
GraniteFalls.contoso.com或GraniteFalls.WestUS.CloudApp.Azure.Com。CMG 部署名称:服务名称的第一部分加上云服务部署的 Azure 位置。 服务连接点的云服务管理器组件在 Azure 中部署 CMG 时使用此名称。 部署名称始终位于 Azure 域中。 Azure 位置取决于部署方法,例如:
- 虚拟机规模集:
GraniteFalls.WestUS.CloudApp.Azure.Com - 经典部署:
GraniteFalls.CloudApp.Net
- 虚拟机规模集:
本文使用虚拟机规模集作为版本 2107 及更高版本中建议的部署方法的示例。 如果使用经典部署,请在阅读本文和配置 Internet 访问时注意差异。
云服务的服务连接点
若要Configuration Manager在 Azure 中部署 CMG 服务,服务连接点需要访问:
特定的 Azure 终结点,根据配置,每个环境会有所不同。 Configuration Manager将这些终结点存储在站点数据库中。 查询 SQL Server 中的 AzureEnvironments 表以获取 Azure 终结点列表。
Azure 服务:
-
management.azure.com(Azure 公有云) -
management.usgovcloudapi.net(Azure 美国政府云)
-
对于Microsoft Entra用户发现:Microsoft Graph 终结点
https://graph.microsoft.com/
云服务的 CMG 连接点
CMG 连接点需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| 服务 名称 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 存储终结点 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| 存储终结点 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Key Vault | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 连接点站点系统支持使用 Web 代理。 有关为代理配置此角色的详细信息,请参阅 代理服务器支持。
CMG 连接点只需连接到 CMG 服务终结点。 它不需要访问其他 Azure 终结点。
适用于云服务的 Configuration Manager 客户端
需要与 CMG 通信的任何Configuration Manager客户端都需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| 部署 名称 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 存储终结点 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra终结点 | login.microsoftonline.com |
login.microsoftonline.us |
适用于云服务的Configuration Manager控制台
具有 Configuration Manager 控制台的任何设备都需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| Microsoft Entra终结点 | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP 标头和谓词
管理客户端、CMG 和本地站点系统之间通信的任何网络设备必须允许以下 HTTP 标头和谓词。 如果这些项被阻止,将影响通过 CMG 的客户端通信。
HTTP 标头
- 范围:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP 谓词
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND