在 Configuration Manager 中使用云分发点

  • 项目

适用于: Configuration Manager(current branch)

警告

从 Azure 共享内容的实现已更改。 通过启用 “允许 CMG 充当云分发点并提供 Azure 存储中的内容”选项,使用已启用内容的云管理网关。 有关详细信息,请参阅 修改 CMG

从版本 2107 开始,不能 (CDP) 创建传统的云分发点。

云分发点是作为平台即服务托管的Configuration Manager分发点, (Microsoft Azure 中的 PaaS) 。 此服务支持以下方案:

  • 向基于 Internet 的客户端提供软件内容,而无需额外的本地基础结构

  • 云启用内容分发系统

  • 减少对传统分发点的需求

本文可帮助你了解云分发点、规划其使用以及设计实现。 它包括以下部分:

特性和优势

功能

云分发点支持本地分发点也提供的多项功能:

  • 单独管理云分发点或作为分发点组的成员管理云分发点

  • 使用云分发点作为回退内容位置

  • 支持基于 Intranet 和基于 Internet 的客户端

优点

云分发点提供以下附加优势:

  • 站点先加密内容,然后再将其发送到 Azure 中的云分发点。

  • 为了满足客户端对内容请求不断变化的需求,请在 Azure 中手动缩放云服务。 此操作不需要在 Configuration Manager 中安装和预配其他分发点。

  • 支持从为其他内容技术(如 Windows BranchCache)配置的客户端下载内容。

  • 使用云分发点作为请求分发点的源位置。

拓扑设计

云分发点的部署和操作包括以下组件:

  • Azure 中的 云服务 。 站点将内容分发到此服务,该服务将其存储在 Azure 云存储中。 管理点在可用源列表中根据需要向客户端提供此内容位置。

  • 管理点站点系统角色按正常方式服务客户端请求。

  • 云分发点使用 基于证书的 HTTPS Web 服务来帮助保护与客户端的网络通信。 客户端必须信任此证书。

Azure 资源管理器

使用 Azure 资源管理器部署创建云分发点。 Azure 资源管理器 是一种新式平台,用于将所有解决方案资源作为一个实体(称为资源组)进行管理。 使用 Azure 资源管理器 部署云分发点时,站点使用 Microsoft Entra ID 进行身份验证并创建必要的云资源。

注意

此功能不支持 Azure 云服务提供商 (CSP) 。 使用 Azure 资源管理器的云分发点部署继续使用 CSP 不支持的经典云服务。 有关详细信息,请参阅 Azure CSP 中的可用 Azure 服务

Azure 资源管理器 是云分发点的新实例的唯一部署机制。 现有部署将继续工作。

层次结构设计

创建云分发点的位置取决于需要访问内容的客户端。

  • Azure 资源管理器部署:在主站点或管理中心站点上创建此类型。

  • 云管理网关 (CMG) 还可以向客户端提供内容。 此功能可降低 Azure VM 所需的证书和成本。 有关详细信息,请参阅 云管理网关概述

若要确定是否在边界组中包括云分发点,请考虑以下行为:

  • 基于 Internet 的客户端不依赖于边界组。 它们仅使用面向 Internet 的分发点或云分发点。 如果仅使用云分发点为这些类型的客户端提供服务,则无需将它们包含在边界组中。

  • 如果希望内部网络上的客户端使用云分发点,则需要与客户端位于同一边界组中。 客户端在其内容源列表中优先考虑云分发点,因为从 Azure 下载内容会产生相关成本。 因此,云分发点通常用作基于 Intranet 的客户端的回退源。 如果需要云优先设计,请设计边界组以满足此业务需求。 有关详细信息,请参阅 配置边界组

即使在 Azure 的特定区域中安装云分发点,客户端也不知道 Azure 区域。 随机选择云分发点。 如果在多个区域中安装云分发点,并且客户端在内容位置列表中收到多个分发点,则客户端可能不会使用来自同一 Azure 区域的云分发点。

备份和恢复

在层次结构中使用云分发点时,请使用以下信息来帮助你规划备份和恢复:

  • 使用备份站点服务器维护任务时,Configuration Manager自动包括云分发点的配置。

  • 备份并保存服务器身份验证证书的副本。 将Configuration Manager主站点还原到其他服务器时,请重新导入证书。

要求

  • 需要一个 Azure 订阅 来托管服务。

    • Azure 管理员需要参与某些组件的初始创建,具体取决于你的设计。 此角色不需要Configuration Manager中的权限。

  • 站点服务器需要 Internet 访问权限 才能部署和管理云服务。

  • 使用 Azure 资源管理器 部署方法时,请将 Configuration Manager 与 Microsoft Entra ID for Cloud Management 集成。 Microsoft Entra ID用户发现不是必需的。

  • 服务器身份验证证书。 有关详细信息,请参阅下面的 “证书 ”部分。

    • 若要降低复杂性,请对服务器身份验证证书使用公共证书提供程序。 执行此操作时,还需要客户端的 DNS CNAME 别名 来解析云服务的名称。

  • 云服务组中,将客户端设置“允许访问云分发点”设置为“是”。 默认情况下,此值设置为 “否”。

  • 客户端设备需要 Internet 连接,并且必须使用 IPv4

规格

  • 云分发点支持 客户端和设备支持的操作系统中列出的所有 Windows 版本。

  • 管理员分发以下类型的受支持软件内容:

    • 应用程序

    • OS 升级包

    • 第三方软件更新

      重要

      • 虽然 Configuration Manager 控制台不会阻止将 Microsoft 软件更新分发到云分发点,但你需要支付 Azure 费用来存储客户端不使用的内容。 基于 Internet 的客户端始终从 Microsoft 更新云服务获取 Microsoft 软件更新内容。 不要将 Microsoft 软件更新分发到云分发点。
      • 如果将软件更新分发到云分发点,则客户端在 Intranet 上时,它仍使用本地分发点进行内容下载。
      • 将 CMG 用于内容存储时,如果启用了“在可用时下载增量内容客户端设置,则第三方更新的内容不会下载到客户端。

  • 配置请求分发点以使用云分发点作为源。 有关详细信息,请参阅 关于源分发点

部署设置

  • 运行中的任务序列在需要时在本地下载内容。 任务序列引擎可以从已启用内容的 CMG 或云分发点按需下载包。 此选项为将 Windows 就地升级部署到基于 Internet 的设备提供了更大的灵活性。

  • 在启动任务序列之前在本地下载所有内容。 使用此选项,Configuration Manager客户端在启动任务序列之前从云源下载内容。

  • 云分发点不支持 从分发点运行程序选项的包部署。 使用部署选项 从分发点下载内容并在本地运行

限制

  • 不能将云分发点用于 PXE 或启用多播的部署。

  • 云分发点不支持 App-V 流式处理应用程序。

  • 云分发点不支持Microsoft 365 应用版更新的内容。

  • 不能在云分发点上 预留内容 。 管理云分发点的主站点的分发管理器传输所有内容。

  • 无法将云分发点配置为请求分发点。

成本

重要

以下成本信息仅用于估算目的。 你的环境可能具有影响使用云分发点的总体成本的其他变量。

Configuration Manager包括以下选项来帮助控制成本和监视数据访问:

  • 控制和监视云服务中存储的内容量。 有关详细信息,请参阅 监视云分发点

  • 配置Configuration Manager,以便在客户端下载阈值达到或超过每月限制时发出警报。 有关详细信息,请参阅 数据传输阈值警报

  • 为了帮助减少客户端从云分发点传输的数据,请使用以下对等缓存技术之一:

    • Configuration Manager对等缓存

    • Windows BranchCache

    • Windows 传递优化

      有关详细信息,请参阅 内容管理的基本概念

组件

云分发点使用以下 Azure 组件,这些组件会对 Azure 订阅帐户产生费用:

提示

云管理网关还可以向客户端提供内容。 此功能通过整合 Azure VM 来降低成本。 有关详细信息,请参阅 云管理网关的成本

虚拟机

  • 云分发点使用 Azure 云服务 作为平台即服务, (PaaS) 。 此服务使用虚拟机 (vm) ,这会产生计算成本。

  • 每个云分发点服务使用两个标准 A0 VM。

  • 请参阅 Azure 定价计算器 ,帮助确定潜在成本。

    注意

    虚拟机成本因区域而异。

出站数据传输

  • 任何流入 Azure 的数据流都是免费的, (入口或上传) 。 将内容从站点分发到云分发点正在上传到 Azure。

  • 费用基于流出 Azure (出口或下载) 的数据。 Azure 中的云分发点数据流由客户端下载的软件内容组成。

  • 有关详细信息,请参阅 监视云分发点

  • 请参阅 Azure 带宽定价详细信息 ,以帮助确定潜在成本。 数据传输的定价是分层的。 使用越多,每 GB 的费用就越少。

内容存储

  • 基于 Internet 的客户端从 Microsoft 更新云服务免费获取 Microsoft 软件更新内容。 不要将带有 Microsoft 软件更新的软件更新部署包分发到云分发点。 否则,客户端永远不会使用的内容会产生数据存储成本。

  • 具有 Azure 资源管理器 部署的云分发点使用 Azure 本地冗余存储 (LRS) 。 有关详细信息,请参阅 本地冗余存储

其他成本

  • 每个云服务都有一个动态 IP 地址。 每个不同的云分发点都使用新的动态 IP 地址。 为每个云服务添加其他 VM 不会增加这些地址。

端口和数据流

云分发点有两个主要数据流:

  • 站点服务器连接到 Azure 以设置云分发点服务

  • 客户端连接到云分发点以下载内容

站点服务器到 Azure

无需打开本地网络的任何入站端口。 站点服务器启动与 Azure 和云分发点的所有通信,以部署、更新和管理云服务。 站点服务器需要创建到 Microsoft 云的出站连接。 此操作等效于在特定站点上安装分发点站点系统角色。

客户端到云分发点

无需打开本地网络的任何入站端口。 基于 Internet 的客户端直接与 Azure 服务通信。 内部网络上使用云分发点的客户端需要连接到 Microsoft 云。

有关内容位置优先级以及基于 Intranet 的客户端何时使用云分发点的详细信息,请参阅 内容源优先级

当客户端使用云分发点作为内容位置时:

  1. 管理点为客户端提供访问令牌以及内容源列表。 此令牌的有效期为 24 小时,并授予客户端对云分发点的访问权限。

  2. 管理点使用云分发点的服务 FQDN 响应客户端的位置请求。 此属性与服务器身份验证证书的公用名称相同。

    如果使用域名(例如,WallaceFalls.contoso.com),则客户端首先尝试解析此 FQDN。 在域的面向 Internet 的 DNS 中需要一个 CNAME 别名,以便客户端解析 Azure 服务名称,例如:WallaceFalls.cloudapp.net。

  3. 接下来,客户端将 Azure 服务名称(例如,WallaceFalls.cloudapp.net)解析为有效的 IP 地址。 此响应应由 Azure 的 DNS 处理。

  4. 客户端连接到云分发点。 Azure 负载均衡到其中一个 VM 实例的连接。 客户端使用访问令牌对自身进行身份验证。

  5. 云分发点对客户端的访问令牌进行身份验证,然后向客户端提供 Azure 存储中的确切内容位置。

  6. 如果客户端信任云分发点的服务器身份验证证书,则会连接到 Azure 存储以下载内容。

性能和缩放

与任何分发点设计一样,请考虑以下因素:

  • 并发客户端连接数
  • 客户端下载的内容的大小
  • 满足业务需求所允许的时间长度

根据 拓扑设计,如果客户端可以选择针对任何给定内容使用多个云分发点,则它们自然会跨这些云服务进行随机化。 如果仅将某个内容分发到单个云分发点,并且大量客户端尝试同时下载此内容,则此活动会使该单一云分发点承受更高的负载。 添加其他云分发点还包括单独的 Azure 存储服务。 有关客户端如何与云分发点组件通信和下载内容的详细信息,请参阅 端口和数据流

云分发点使用两个 Azure VM 作为 Azure 存储的前端。 此默认部署可满足大多数客户的需求。 在某些极端情况下,由于大量并发客户端连接 ((例如,150,000 个客户端) ),Azure VM 的处理容量无法跟上客户端请求。 无法调整用于云分发点的 Azure VM 的大小。 虽然无法在 Configuration Manager 中为云分发点配置 VM 实例数,但如有必要,请在Azure 门户中重新配置云服务。 手动添加更多 VM 实例,或将服务配置为自动缩放。

重要

更新Configuration Manager时,站点会重新部署云服务。 如果在 Azure 门户 中手动重新配置云服务,则实例数将重置为默认值 2。

Azure 存储服务支持单个文件的每秒 500 个请求。 单一云分发点的性能测试支持在 24 小时内将单个 100 MB 文件分发到 50,000 个客户端。

证书

根据云分发点设计,需要一个或多个数字证书。

一般信息

云分发点证书支持以下配置:

  • 4096 位密钥长度

  • 版本 3 证书。 有关详细信息,请参阅 CNG 证书概述

  • 使用以下策略配置 Windows 时: 系统加密:使用 FIPS 兼容的算法进行加密、哈希和签名

  • 支持 TLS 1.2。 有关详细信息,请参阅 加密控制技术参考

服务器身份验证证书

所有云分发点部署都需要此证书。

有关详细信息,请参阅 CMG 服务器身份验证证书和以下小节(如有必要):

  • 客户端的 CMG 受信任的根证书
  • 公共提供程序颁发的服务器身份验证证书
  • 从企业 PKI 颁发的服务器身份验证证书

云分发点以与云管理网关相同的方式使用此类型的证书。 客户端还需要信任此证书。 为了降低复杂性,Microsoft 建议使用公共提供程序颁发的证书。

除非使用通配符证书,否则不要重复使用相同的证书。 云分发点和云管理网关的每个实例都需要唯一的服务器身份验证证书。

有关从 PKI 创建此证书的详细信息,请参阅 为云分发点部署服务证书

常见问题 (FAQ)

客户端是否需要证书才能从云分发点下载内容?

不需要客户端身份验证证书。 客户端确实需要信任云分发点使用的服务器身份验证证书。 如果此证书由公共证书提供程序颁发,则大多数 Windows 设备已包含这些提供程序的受信任根证书。 如果从组织的 PKI 颁发了服务器身份验证证书,则客户端需要信任整个链中的颁发证书。 此链包括根证书颁发机构和任何中间证书颁发机构。 根据 PKI 设计,此证书可能会给云分发点的部署带来额外的复杂性。 为了避免这种复杂性,Microsoft 建议使用客户端已信任的公共证书提供程序。

本地客户端是否可以使用云分发点?

是。 如果希望内部网络上的客户端使用云分发点,则需要与客户端位于同一边界组中。 客户端在其内容源列表中优先考虑云分发点,因为从 Azure 下载内容会产生相关成本。 因此,云分发点通常用作基于 Intranet 的客户端的回退源。 如果需要云优先设计,请相应地设计边界组。 有关详细信息,请参阅 配置边界组

是否需要 Azure ExpressRoute?

Azure ExpressRoute 允许将本地网络扩展到 Microsoft 云。 Configuration Manager云分发点不需要 ExpressRoute 或其他此类虚拟网络连接。

如果组织使用 ExpressRoute,请将云分发点的 Azure 订阅与使用 ExpressRoute 的订阅隔离开来。 此配置可确保云分发点不会以这种方式意外连接。

是否需要维护 Azure 虚拟机?

无需维护。 云分发点的设计使用 Azure 平台即服务 (PaaS) 。 使用提供的订阅,Configuration Manager创建必要的 VM、存储和网络。 Azure 保护和更新虚拟机。 这些 VM 不是本地环境的一部分,基础结构即服务 (IaaS) 就是这样。 云分发点是将Configuration Manager环境扩展到云中的 PaaS。 有关详细信息,请参阅 PaaS 云服务模型的安全优势

云分发点是否使用 Azure CDN?

Azure 内容分发网络 (CDN) 是一种全球解决方案,通过将内容缓存到全球具有战略意义的物理节点上来快速传送高带宽内容。 有关详细信息,请参阅 什么是 Azure CDN?

Configuration Manager云分发点当前不支持 Azure CDN。

后续步骤

安装云分发点