分享方式:


CMG 的資料流程

適用於:Configuration Manager (目前的分支)

使用本文瞭解雲端管理閘道元件之間的資料流程 (CMG) 。 它需要特定的網路埠和網際網路端點才能運作。 您不需要對內部部署網路開啟任何輸入埠。 服務連接點和 CMG 連接點月臺系統角色會開始與 Azure 和 CMG 的所有通訊。 這兩個角色需要建立對 Microsoft 雲端的輸出連線。 服務連接點會在 Azure 中部署和監視服務,因此必須上線。 CMG 連接點會連線到 CMG,以管理 CMG 與內部部署月臺系統角色之間的通訊。

資料流程圖

下圖是 CMG 的基本概念資料流程:

雲端管理閘道 (CMG) 的資料流程圖。

  1. 服務連接點會透過 HTTPS 埠 443 連線到 Azure。 它會使用Microsoft Entra識別碼進行驗證。 服務連接點會在 Azure 中部署 CMG。 CMG 會使用伺服器驗證憑證建立 HTTPS 服務。

  2. CMG 連接點會連線到 Azure 中的 CMG。 它會讓連線保持開啟,並建置通道以供未來雙向通訊使用。

    • 當您將 CMG 部署為虛擬機器擴展集時,此流程會透過 HTTPS。

    • 如果您將 CMG 部署為傳統雲端服務,它會先嘗試 TCP-TLS。 如果該連線失敗,則會切換至 HTTPS。

    如需詳細資訊, 請參閱附注 2:一個 VM 的 CMG 連接點 HTTPS 埠

  3. 用戶端會透過 HTTPS 埠 443 連線到 CMG。 它會使用Microsoft Entra識別碼、用戶端驗證憑證或月臺發行的權杖進行驗證。

    注意事項

    如果您啟用 CMG 來提供內容,用戶端會透過 HTTPS 埠 443 直接連線到 Azure Blob 儲存體。 如需詳細資訊,請參閱 內容資料流程

  4. CMG 會透過現有的連線將用戶端通訊轉送至內部部署 CMG 連接點。 您不需要開啟任何輸入防火牆埠。

  5. CMG 連接點會將用戶端通訊轉送到內部部署管理點和軟體更新點。

如需與Microsoft Entra識別碼整合時的詳細資訊,請參閱設定 Azure 服務:雲端管理資料流程

內容資料流程

當用戶端使用 CMG 作為內容位置時:

  1. 管理點會提供用戶端存取權杖以及內容來源清單。 此權杖的有效期為 24 小時,並可讓用戶端存取雲端式內容來源。

  2. 管理點會以 CMG 的服務名稱 回應用戶端的位置要求。 此屬性與伺服器驗證憑證的一般名稱相同。

    如果您使用功能變數名稱,例如 WallaceFalls.contoso.com ,則用戶端會先嘗試解析此 FQDN。 用戶端會使用您網域網際網路對向 DNS 中的 CNAME 別名來解析 Azure 部署名稱。

  3. 用戶端接下來會將 部署名稱 解析為有效的 IP 位址。 此回應是由 Azure 的 DNS 處理。

  4. 用戶端會連線到 CMG。 Azure 會將連線負載平衡至其中一個 VM 實例。 用戶端會使用存取權杖自行驗證。

  5. CMG 會驗證用戶端的存取權杖,然後在 Azure 儲存體中提供用戶端確切的內容位置。

  6. 如果用戶端信任 CMG 的伺服器驗證憑證,它會連線到 Azure 儲存體以下載內容。

必要的埠

下表列出必要的網路埠和通訊協定。 用戶端是啟動連線的裝置,需要輸出埠。 伺服器是接受連線的裝置,需要輸入埠。

用戶端 Protocol (通訊協定) Port (連接埠) 伺服器 描述
服務連接點 HTTPS 443 Azure CMG 部署
虛擬機器擴展集 (CMG 連接點) HTTPS 443 CMG 服務 僅針對一個 VM 實例建置 CMG 通道的通訊協定 附注 2
虛擬機器擴展集 (CMG 連接點) HTTPS 10124-10139 CMG 服務 建置 CMG 通道至兩個或多個 VM 實例的通訊協定 附注 3
傳統雲端服務 (CMG 連接點) TCP-TLS 10140-10155 CMG 服務 建置 CMG 通道的慣用通訊協定 附注 1
傳統雲端服務 (CMG 連接點) HTTPS 443 CMG 服務 後援通訊協定以將 CMG 通道建置至只有一個 VM 實例 附注 2
傳統雲端服務 (CMG 連接點) HTTPS 10124-10139 CMG 服務 後援通訊協定以建置 CMG 通道至兩個或多個 VM 實例 附注 3
用戶端 HTTPS 443 CMG 一般用戶端通訊
用戶端 HTTPS 443 Blob 儲存體 下載雲端式內容
CMG 連接點 HTTPS 或 HTTP 443 或 80 管理點 內部部署流量、埠取決於管理點設定
CMG 連接點 HTTPS 或 HTTP 443 或 80 / 8530 或 8531 軟體更新點 內部部署流量、埠取決於軟體更新點設定

埠的注意事項

附注 1:CMG 連接點 TCP-TLS 埠

只有當您將 CMG 部署為 雲端服務 (傳統) 時,才適用這些埠,這是 2006 版和更早版本中唯一可用的方法。

CMG 連接點會先嘗試與每個 CMG VM 實例建立長期的 TCP-TLS 連線。 它會連線到埠 10140 上的第一個 VM 實例。 第二個 VM 實例使用埠 10141,埠 10155 上最多為第 16 個。 TCP-TLS 連線具有最佳效能,但不支援網際網路 Proxy。 如果 CMG 連接點無法透過 TCP-TLS 連線,則會回復為 HTTPS附注 2

附注 2:一個 VM 的 CMG 連接點 HTTPS 埠

如果您在 虛擬機器擴展集中部署 CMG,CMG 連接點只會透過 HTTPS 與 Azure 中的服務通訊。 它不需要 TCP-TLS 埠即可建置 CMG 通道。

針對部署為傳統雲端服務的 CMG,它只會在 TCP-TLS 連線失敗時使用此埠。 如果 CMG 連接點無法透過 TCP-TLS附注 1連線到 CMG,它會透過 HTTPS 443 連線到 Azure 網路負載平衡器。 此行為僅適用于一個 VM 實例。

附注 3:兩個以上 VM 的 CMG 連接點 HTTPS 埠

如果有兩個以上的 VM 實例,CMG 連接點會使用 HTTPS 10124 連線到第一個 VM 實例,而不是 HTTPS 443。 它會連線到 HTTPS 10125 上的第二個 VM 實例,最多可達 HTTPS 埠 10139 上的第 16 個 VM 實例。

網際網路存取需求

如果您的組織使用防火牆或 Proxy 裝置來限制與網際網路的網路通訊,您必須允許 CMG 連接點和服務連接點存取網際網路端點。

如需詳細資訊,請參閱 網際網路存取需求

本節涵蓋下列功能:

  • 雲端管理閘道 (CMG)

  • Microsoft Entra整合

  • Microsoft Entra識別碼型探索

  • 雲端發佈點 (CDP)

    注意事項

    雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以網際網路為基礎的裝置,請讓 CMG 發佈內容。

下列各節依角色列出端點。 某些端點會依 參考服務 <prefix> ,這是 CMG 的前置詞名稱。 例如,如果您的 CMG 是 GraniteFalls.WestUS.CloudApp.Azure.Com ,則實際的儲存體端點是 GraniteFalls.blob.core.windows.net

提示

若要厘清一些術語:

  • CMG 服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點月臺系統角色會與此服務名稱通訊。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • CMG 部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:

    • 虛擬機器擴展集: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 傳統部署: GraniteFalls.CloudApp.Net

本文使用範例搭配虛擬機器擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並設定網際網路存取時記下差異。

雲端服務的服務連接點

若要Configuration Manager在 Azure 中部署 CMG 服務,服務連接點需要存取:

  • 特定 Azure 端點,視設定而定,每個環境都不同。 Configuration Manager會將這些端點儲存在月臺資料庫中。 查詢SQL Server 中的 AzureEnvironments資料表,以取得 Azure 端點清單。

  • Azure 服務:

    • management.azure.com (Azure 公用雲端)
    • management.usgovcloudapi.net (Azure US Gov 雲端)
  • 針對Microsoft Entra使用者探索:Microsoft Graph 端點https://graph.microsoft.com/

雲端服務的 CMG 連接點

CMG 連接點需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
服務 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
儲存體端點 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
儲存體端點 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
金鑰保存庫 <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

CMG 連接點月臺系統支援使用 Web Proxy。 如需為 Proxy 設定此角色的詳細資訊,請參閱 Proxy 伺服器支援

CMG 連接點只需要連線到 CMG 服務端點。 它不需要存取其他 Azure 端點。

Configuration Manager雲端服務的用戶端

任何需要與 CMG 通訊的Configuration Manager用戶端都需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
部署 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
儲存體端點 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra端點 login.microsoftonline.com login.microsoftonline.us

Configuration Manager雲端服務的主控台

具有 Configuration Manager 主控台的任何裝置都需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
Microsoft Entra端點 login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

HTTP 標頭和動詞

任何管理用戶端、CMG 和內部部署月臺系統之間通訊的網路裝置,必須允許下列 HTTP 標頭和動詞命令。 如果這些專案遭到封鎖,則會影響透過 CMG 的用戶端通訊。

HTTP 標頭

  • 範圍:
  • CCMClientID:
  • CCMClientIDSignature:
  • CCMClientTimestamp:
  • CCMClientTimestampsSignature:

HTTP 動詞命令

  • CCM_POST
  • BITS_POST
  • GET
  • PROPFIND