CMG 的資料流程
適用於:Configuration Manager (目前的分支)
使用本文瞭解雲端管理閘道元件之間的資料流程 (CMG) 。 它需要特定的網路埠和網際網路端點才能運作。 您不需要對內部部署網路開啟任何輸入埠。 服務連接點和 CMG 連接點月臺系統角色會開始與 Azure 和 CMG 的所有通訊。 這兩個角色需要建立對 Microsoft 雲端的輸出連線。 服務連接點會在 Azure 中部署和監視服務,因此必須上線。 CMG 連接點會連線到 CMG,以管理 CMG 與內部部署月臺系統角色之間的通訊。
資料流程圖
下圖是 CMG 的基本概念資料流程:
服務連接點會透過 HTTPS 埠 443 連線到 Azure。 它會使用Microsoft Entra識別碼進行驗證。 服務連接點會在 Azure 中部署 CMG。 CMG 會使用伺服器驗證憑證建立 HTTPS 服務。
CMG 連接點會連線到 Azure 中的 CMG。 它會讓連線保持開啟,並建置通道以供未來雙向通訊使用。
當您將 CMG 部署為虛擬機器擴展集時,此流程會透過 HTTPS。
如果您將 CMG 部署為傳統雲端服務,它會先嘗試 TCP-TLS。 如果該連線失敗,則會切換至 HTTPS。
如需詳細資訊, 請參閱附注 2:一個 VM 的 CMG 連接點 HTTPS 埠。
用戶端會透過 HTTPS 埠 443 連線到 CMG。 它會使用Microsoft Entra識別碼、用戶端驗證憑證或月臺發行的權杖進行驗證。
注意事項
如果您啟用 CMG 來提供內容,用戶端會透過 HTTPS 埠 443 直接連線到 Azure Blob 儲存體。 如需詳細資訊,請參閱 內容資料流程。
CMG 會透過現有的連線將用戶端通訊轉送至內部部署 CMG 連接點。 您不需要開啟任何輸入防火牆埠。
CMG 連接點會將用戶端通訊轉送到內部部署管理點和軟體更新點。
如需與Microsoft Entra識別碼整合時的詳細資訊,請參閱設定 Azure 服務:雲端管理資料流程。
內容資料流程
當用戶端使用 CMG 作為內容位置時:
管理點會提供用戶端存取權杖以及內容來源清單。 此權杖的有效期為 24 小時,並可讓用戶端存取雲端式內容來源。
管理點會以 CMG 的服務名稱 回應用戶端的位置要求。 此屬性與伺服器驗證憑證的一般名稱相同。
如果您使用功能變數名稱,例如
WallaceFalls.contoso.com,則用戶端會先嘗試解析此 FQDN。 用戶端會使用您網域網際網路對向 DNS 中的 CNAME 別名來解析 Azure 部署名稱。用戶端接下來會將 部署名稱 解析為有效的 IP 位址。 此回應是由 Azure 的 DNS 處理。
用戶端會連線到 CMG。 Azure 會將連線負載平衡至其中一個 VM 實例。 用戶端會使用存取權杖自行驗證。
CMG 會驗證用戶端的存取權杖,然後在 Azure 儲存體中提供用戶端確切的內容位置。
如果用戶端信任 CMG 的伺服器驗證憑證,它會連線到 Azure 儲存體以下載內容。
必要的埠
下表列出必要的網路埠和通訊協定。 用戶端是啟動連線的裝置,需要輸出埠。 伺服器是接受連線的裝置,需要輸入埠。
| 用戶端 | Protocol (通訊協定) | Port (連接埠) | 伺服器 | 描述 |
|---|---|---|---|---|
| 服務連接點 | HTTPS | 443 | Azure | CMG 部署 |
| 虛擬機器擴展集 (CMG 連接點) | HTTPS | 443 | CMG 服務 | 僅針對一個 VM 實例建置 CMG 通道的通訊協定 附注 2 |
| 虛擬機器擴展集 (CMG 連接點) | HTTPS | 10124-10139 | CMG 服務 | 建置 CMG 通道至兩個或多個 VM 實例的通訊協定 附注 3 |
| 傳統雲端服務 (CMG 連接點) | TCP-TLS | 10140-10155 | CMG 服務 | 建置 CMG 通道的慣用通訊協定 附注 1 |
| 傳統雲端服務 (CMG 連接點) | HTTPS | 443 | CMG 服務 | 後援通訊協定以將 CMG 通道建置至只有一個 VM 實例 附注 2 |
| 傳統雲端服務 (CMG 連接點) | HTTPS | 10124-10139 | CMG 服務 | 後援通訊協定以建置 CMG 通道至兩個或多個 VM 實例 附注 3 |
| 用戶端 | HTTPS | 443 | CMG | 一般用戶端通訊 |
| 用戶端 | HTTPS | 443 | Blob 儲存體 | 下載雲端式內容 |
| CMG 連接點 | HTTPS 或 HTTP | 443 或 80 | 管理點 | 內部部署流量、埠取決於管理點設定 |
| CMG 連接點 | HTTPS 或 HTTP | 443 或 80 / 8530 或 8531 | 軟體更新點 | 內部部署流量、埠取決於軟體更新點設定 |
埠的注意事項
附注 1:CMG 連接點 TCP-TLS 埠
只有當您將 CMG 部署為 雲端服務 (傳統) 時,才適用這些埠,這是 2006 版和更早版本中唯一可用的方法。
CMG 連接點會先嘗試與每個 CMG VM 實例建立長期的 TCP-TLS 連線。 它會連線到埠 10140 上的第一個 VM 實例。 第二個 VM 實例使用埠 10141,埠 10155 上最多為第 16 個。 TCP-TLS 連線具有最佳效能,但不支援網際網路 Proxy。 如果 CMG 連接點無法透過 TCP-TLS 連線,則會回復為 HTTPS附注 2。
附注 2:一個 VM 的 CMG 連接點 HTTPS 埠
如果您在 虛擬機器擴展集中部署 CMG,CMG 連接點只會透過 HTTPS 與 Azure 中的服務通訊。 它不需要 TCP-TLS 埠即可建置 CMG 通道。
針對部署為傳統雲端服務的 CMG,它只會在 TCP-TLS 連線失敗時使用此埠。 如果 CMG 連接點無法透過 TCP-TLS附注 1連線到 CMG,它會透過 HTTPS 443 連線到 Azure 網路負載平衡器。 此行為僅適用于一個 VM 實例。
附注 3:兩個以上 VM 的 CMG 連接點 HTTPS 埠
如果有兩個以上的 VM 實例,CMG 連接點會使用 HTTPS 10124 連線到第一個 VM 實例,而不是 HTTPS 443。 它會連線到 HTTPS 10125 上的第二個 VM 實例,最多可達 HTTPS 埠 10139 上的第 16 個 VM 實例。
網際網路存取需求
如果您的組織使用防火牆或 Proxy 裝置來限制與網際網路的網路通訊,您必須允許 CMG 連接點和服務連接點存取網際網路端點。
如需詳細資訊,請參閱 網際網路存取需求。
本節涵蓋下列功能:
雲端管理閘道 (CMG)
Microsoft Entra整合
Microsoft Entra識別碼型探索
雲端發佈點 (CDP)
注意事項
雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以網際網路為基礎的裝置,請讓 CMG 發佈內容。
下列各節依角色列出端點。 某些端點會依 參考服務 <prefix> ,這是 CMG 的前置詞名稱。 例如,如果您的 CMG 是 GraniteFalls.WestUS.CloudApp.Azure.Com ,則實際的儲存體端點是 GraniteFalls.blob.core.windows.net 。
提示
若要厘清一些術語:
CMG 服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點月臺系統角色會與此服務名稱通訊。 例如,
GraniteFalls.contoso.com或GraniteFalls.WestUS.CloudApp.Azure.Com。CMG 部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:
- 虛擬機器擴展集:
GraniteFalls.WestUS.CloudApp.Azure.Com - 傳統部署:
GraniteFalls.CloudApp.Net
- 虛擬機器擴展集:
本文使用範例搭配虛擬機器擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並設定網際網路存取時記下差異。
雲端服務的服務連接點
若要Configuration Manager在 Azure 中部署 CMG 服務,服務連接點需要存取:
特定 Azure 端點,視設定而定,每個環境都不同。 Configuration Manager會將這些端點儲存在月臺資料庫中。 查詢SQL Server 中的 AzureEnvironments資料表,以取得 Azure 端點清單。
Azure 服務:
-
management.azure.com(Azure 公用雲端) -
management.usgovcloudapi.net(Azure US Gov 雲端)
-
針對Microsoft Entra使用者探索:Microsoft Graph 端點
https://graph.microsoft.com/
雲端服務的 CMG 連接點
CMG 連接點需要存取下列端點:
| 類型 | Azure 公用雲端 | Azure 美國政府雲端 |
|---|---|---|
| 服務 名稱 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 儲存體端點 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| 儲存體端點 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| 金鑰保存庫 | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 連接點月臺系統支援使用 Web Proxy。 如需為 Proxy 設定此角色的詳細資訊,請參閱 Proxy 伺服器支援。
CMG 連接點只需要連線到 CMG 服務端點。 它不需要存取其他 Azure 端點。
Configuration Manager雲端服務的用戶端
任何需要與 CMG 通訊的Configuration Manager用戶端都需要存取下列端點:
| 類型 | Azure 公用雲端 | Azure 美國政府雲端 |
|---|---|---|
| 部署 名稱 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 儲存體端點 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra端點 | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager雲端服務的主控台
具有 Configuration Manager 主控台的任何裝置都需要存取下列端點:
| 類型 | Azure 公用雲端 | Azure 美國政府雲端 |
|---|---|---|
| Microsoft Entra端點 | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP 標頭和動詞
任何管理用戶端、CMG 和內部部署月臺系統之間通訊的網路裝置,必須允許下列 HTTP 標頭和動詞命令。 如果這些專案遭到封鎖,則會影響透過 CMG 的用戶端通訊。
HTTP 標頭
- 範圍:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP 動詞命令
- 頭
- CCM_POST
- BITS_POST
- GET
- PROPFIND