Usare un punto di distribuzione cloud in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Avviso

L'implementazione per la condivisione di contenuto da Azure è stata modificata. Usare un gateway di gestione cloud abilitato per il contenuto abilitando l'opzione Consenti a CMG di funzionare come punto di distribuzione cloud e gestire il contenuto da Archiviazione di Azure. Per altre informazioni, vedere Modificare un cmg.

A partire dalla versione 2107, non è possibile creare un punto di distribuzione cloud tradizionale (CDP).

Un punto di distribuzione cloud è un punto di distribuzione di Configuration Manager ospitato come Piattaforma distribuita come servizio (PaaS) in Microsoft Azure. Questo servizio supporta gli scenari seguenti:

  • Fornire contenuto software ai client basati su Internet senza infrastruttura locale aggiuntiva

  • Abilitare il cloud per il sistema di distribuzione del contenuto

  • Ridurre la necessità di punti di distribuzione tradizionali

Questo articolo illustra il punto di distribuzione cloud, pianificarne l'uso e progettare l'implementazione. Include le sezioni seguenti:

Funzionalità e vantaggi

Funzionalità

Il punto di distribuzione cloud supporta diverse funzionalità offerte anche dai punti di distribuzione locali:

  • Gestire i punti di distribuzione cloud singolarmente o come membri dei gruppi di punti di distribuzione

  • Usare un punto di distribuzione cloud come percorso del contenuto di fallback

  • Supporta sia i client intranet che i client basati su Internet

Vantaggi

Il punto di distribuzione cloud offre i vantaggi aggiuntivi seguenti:

  • Il sito crittografa il contenuto prima di inviarlo al punto di distribuzione cloud in Azure.

  • Per soddisfare le mutevoli richieste di contenuto da parte dei client, ridimensionare manualmente il servizio cloud in Azure. Questa azione non richiede l'installazione e il provisioning di punti di distribuzione aggiuntivi in Configuration Manager.

  • Supporta il download di contenuto dai client configurati per altre tecnologie del contenuto, ad esempio Windows BranchCache.

  • Usare i punti di distribuzione cloud come posizioni di origine per i punti di distribuzione pull.

Progettazione della topologia

La distribuzione e il funzionamento del punto di distribuzione cloud includono i componenti seguenti:

  • Un servizio cloud in Azure. Il sito distribuisce il contenuto a questo servizio, che lo archivia in Archiviazione cloud di Azure. Il punto di gestione fornisce ai client questo percorso di contenuto nell'elenco delle origini disponibili in base alle esigenze.

  • Richieste client dei servizi ruolo del sistema del sito del punto di gestione per ogni normale.

  • Il punto di distribuzione cloud usa un servizio Web HTTPS basato su certificati per proteggere la comunicazione di rete con i client. I client devono considerare attendibile questo certificato.

Azure Resource Manager

Creare un punto di distribuzione cloud usando una distribuzione di Azure Resource Manager. Azure Resource Manager è una piattaforma moderna per la gestione di tutte le risorse della soluzione come singola entità, denominata gruppo di risorse. Quando si distribuisce un punto di distribuzione cloud con Azure Resource Manager, il sito usa l'ID Microsoft Entra per autenticare e creare le risorse cloud necessarie.

Nota

Questa funzionalità non abilita il supporto per i provider di servizi cloud di Azure .This feature doesn't enable support for Azure Cloud Service Provider (CSP). La distribuzione del punto di distribuzione cloud con Azure Resource Manager continua a usare il servizio cloud classico, che il CSP non supporta. Per altre informazioni, vedere Servizi di Azure disponibili in Azure CSP.

Azure Resource Manager è l'unico meccanismo di distribuzione per le nuove istanze del punto di distribuzione cloud. Le distribuzioni esistenti continuano a funzionare.

Progettazione della gerarchia

La posizione in cui si crea il punto di distribuzione cloud dipende dai client che devono accedere al contenuto.

  • Distribuzione di Azure Resource Manager: creare questo tipo in un sito primario o nel sito di amministrazione centrale.

  • Il gateway di gestione cloud (CMG) può anche fornire contenuto ai client. Questa funzionalità riduce i certificati e i costi necessari per le macchine virtuali di Azure. Per altre informazioni, vedere Panoramica del gateway di gestione cloud.

Per determinare se includere punti di distribuzione cloud nei gruppi di limiti, considerare i comportamenti seguenti:

  • I client basati su Internet non si basano su gruppi di limiti. Usano solo punti di distribuzione con connessione Internet o punti di distribuzione cloud. Se si usano solo punti di distribuzione cloud per gestire questi tipi di client, non è necessario includerli nei gruppi di limiti.

  • Se si desidera che i client nella rete interna usno un punto di distribuzione cloud, devono trovarsi nello stesso gruppo di limiti dei client. I client assegnano la priorità ai punti di distribuzione cloud per ultimi nell'elenco delle origini di contenuto, perché è previsto un costo associato al download di contenuto da Azure. Di conseguenza, un punto di distribuzione cloud viene in genere usato come origine di fallback per i client basati su Intranet. Se si vuole una progettazione cloud-first, progettare i gruppi di limiti per soddisfare questo requisito aziendale. Per altre informazioni, vedere Configurare i gruppi di limiti.

Anche se si installano punti di distribuzione cloud in aree specifiche di Azure, i client non sono a conoscenza delle aree di Azure. Selezionano in modo casuale un punto di distribuzione cloud. Se si installano punti di distribuzione cloud in più aree e un client riceve più di uno nell'elenco dei percorsi del contenuto, il client potrebbe non usare un punto di distribuzione cloud dalla stessa area di Azure.

Backup e ripristino

Quando si usa un punto di distribuzione cloud nella gerarchia, usare le informazioni seguenti per pianificare il backup e il ripristino:

  • Quando si usa l'attività di manutenzione Backup server del sito , Configuration Manager include automaticamente le configurazioni per il punto di distribuzione cloud.

  • Eseguire il backup e salvare una copia del certificato di autenticazione del server. Quando si ripristina il sito primario di Configuration Manager in un server diverso, reimportare il certificato.

Requisiti

  • È necessaria una sottoscrizione di Azure per ospitare il servizio.

    • Un amministratore di Azure deve partecipare alla creazione iniziale di determinati componenti, a seconda della progettazione. Questa persona non richiede autorizzazioni in Configuration Manager.
  • Il server del sito richiede l'accesso a Internet per distribuire e gestire il servizio cloud.

  • Quando si usa il metodo di distribuzione di Azure Resource Manager , integrare Configuration Manager con Microsoft Entra ID for Cloud Management. L'individuazione utente di Microsoft Entra ID non è necessaria.

  • Certificato di autenticazione server. Per altre informazioni, vedere la sezione Certificati di seguito.

    • Per ridurre la complessità, usare un provider di certificati pubblico per il certificato di autenticazione del server. In questo caso, è necessario anche un alias CNAME DNS per i client per risolvere il nome del servizio cloud.
  • Impostare l'impostazione client Consenti l'accesso ai punti di distribuzione cloud su nel gruppo Servizi cloud . Per impostazione predefinita, questo valore è impostato su No.

  • I dispositivi client richiedono la connettività Internet e devono usare IPv4.

Specifiche

  • Il punto di distribuzione cloud supporta tutte le versioni di Windows elencate in Sistemi operativi supportati per client e dispositivi.

  • Un amministratore distribuisce i tipi di contenuto software supportati seguenti:

    • Applicazioni

    • Pacchetti

    • Pacchetti di aggiornamento del sistema operativo

    • Aggiornamenti software di terze parti

      Importante

      • Anche se la console di Configuration Manager non blocca la distribuzione degli aggiornamenti software Microsoft a un punto di distribuzione cloud, si pagano i costi di Azure per archiviare il contenuto che i client non usano. I client basati su Internet ottengono sempre il contenuto dell'aggiornamento software Microsoft dal servizio cloud Microsoft Update. Non distribuire gli aggiornamenti software Microsoft a un punto di distribuzione cloud.
      • Se l'aggiornamento software viene distribuito al punto di distribuzione cloud, usa comunque il punto di distribuzione locale per il download del contenuto quando i client si trovano in Intranet.
      • Quando si usa un cmg per l'archiviazione del contenuto, il contenuto per gli aggiornamenti di terze parti non verrà scaricato nei client se è abilitata l'impostazione Scarica contenuto delta quando è abilitatal'impostazione client disponibile.
  • Configurare un punto di distribuzione pull per usare un punto di distribuzione cloud come origine. Per altre informazioni, vedere Informazioni sui punti di distribuzione di origine.

Impostazioni di distribuzione

  • Scaricare il contenuto in locale quando necessario dalla sequenza di attività in esecuzione. Il motore della sequenza di attività può scaricare pacchetti su richiesta da un cmg abilitato per il contenuto o da un punto di distribuzione cloud. Questa opzione offre ulteriore flessibilità con le distribuzioni di aggiornamento sul posto di Windows ai dispositivi basati su Internet.

  • Scaricare tutto il contenuto in locale prima di avviare la sequenza di attività. Con questa opzione, il client di Configuration Manager scarica il contenuto dall'origine cloud prima di avviare la sequenza di attività.

  • Un punto di distribuzione cloud non supporta le distribuzioni di pacchetti con l'opzione Esegui programma dal punto di distribuzione. Usare l'opzione di distribuzione per scaricare il contenuto dal punto di distribuzione ed eseguire in locale.

Limitazioni

  • Non è possibile usare un punto di distribuzione cloud per le distribuzioni abilitate per PXE o multicast.

  • Un punto di distribuzione cloud non supporta le applicazioni di streaming App-V.

  • Un punto di distribuzione cloud non supporta il contenuto per gli aggiornamenti di Microsoft 365 Apps.

  • Non è possibile pre-installare il contenuto in un punto di distribuzione cloud. Il responsabile della distribuzione del sito primario che gestisce il punto di distribuzione cloud trasferisce tutto il contenuto.

  • Non è possibile configurare un punto di distribuzione cloud come punto di distribuzione pull.

Costo

Importante

Le informazioni sui costi seguenti sono solo a scopo di stima. L'ambiente può avere altre variabili che influiscono sul costo complessivo dell'uso di un punto di distribuzione cloud.

Configuration Manager include le opzioni seguenti per controllare i costi e monitorare l'accesso ai dati:

Componenti

Un punto di distribuzione cloud usa i componenti di Azure seguenti, che comportano addebiti per l'account della sottoscrizione di Azure:

Consiglio

Il gateway di gestione cloud può anche fornire contenuto ai client. Questa funzionalità riduce i costi consolidando le macchine virtuali di Azure. Per altre informazioni, vedere Costo per il gateway di gestione cloud.

Macchina virtuale

  • Il punto di distribuzione cloud usa Servizi cloud di Azure come piattaforma distribuita come servizio (PaaS). Questo servizio usa macchine virtuali (VM) che comportano costi di calcolo.

  • Ogni servizio del punto di distribuzione cloud usa due macchine virtuali A0 Standard.

  • Per determinare i costi potenziali, vedere il calcolatore dei prezzi di Azure .

    Nota

    I costi delle macchine virtuali variano in base all'area.

Trasferimento dei dati in uscita

  • Tutti i flussi di dati in Azure sono gratuiti (ingresso o caricamento). La distribuzione di contenuto dal sito al punto di distribuzione cloud viene caricata in Azure.

  • Gli addebiti si basano sui dati che escono da Azure (egress o download). I flussi di dati dei punti di distribuzione cloud da Azure sono costituiti dal contenuto software scaricato dai client.

  • Per altre informazioni, vedere Monitorare i punti di distribuzione cloud.

  • Per determinare i costi potenziali, vedere i dettagli sui prezzi della larghezza di banda di Azure . I prezzi per il trasferimento dei dati sono a livelli. Più si usa, meno si paga per gigabyte.

Archiviazione di contenuto

  • I client basati su Internet ottengono gratuitamente il contenuto dell'aggiornamento software Microsoft dal servizio cloud Microsoft Update. Non distribuire pacchetti di distribuzione degli aggiornamenti software con gli aggiornamenti software Microsoft in un punto di distribuzione cloud. In caso contrario, si incorreranno in costi di archiviazione dei dati per il contenuto che i client non usano mai.

  • I punti di distribuzione cloud con una distribuzione di Azure Resource Manager usano l'archiviazione con ridondanza locale di Azure. Per altre informazioni, vedere Archiviazione con ridondanza locale.

Altri costi

  • Ogni servizio cloud ha un indirizzo IP dinamico. Ogni punto di distribuzione cloud distinto usa un nuovo indirizzo IP dinamico. L'aggiunta di altre macchine virtuali per servizio cloud non aumenta questi indirizzi.

Porte e flusso di dati

Esistono due flussi di dati primari per il punto di distribuzione cloud:

  • Il server del sito si connette ad Azure per configurare il servizio del punto di distribuzione cloud

  • Un client si connette al punto di distribuzione cloud per scaricare il contenuto

Server del sito in Azure

Non è necessario aprire porte in ingresso alla rete locale. Il server del sito avvia tutte le comunicazioni con Azure e il punto di distribuzione cloud per distribuire, aggiornare e gestire il servizio cloud. Il server del sito deve creare connessioni in uscita al cloud Microsoft. Questa azione equivale all'installazione del ruolo del sistema del sito del punto di distribuzione in un sito specifico.

Da client a punto di distribuzione cloud

Non è necessario aprire porte in ingresso alla rete locale. I client basati su Internet comunicano direttamente con il servizio Azure. I client nella rete interna che usano un punto di distribuzione cloud devono connettersi al cloud Microsoft.

Per altre informazioni sulla priorità della posizione del contenuto e quando i client basati su Intranet usano un punto di distribuzione cloud, vedere Priorità origine contenuto.

Quando un client usa un punto di distribuzione cloud come percorso del contenuto:

  1. Il punto di gestione fornisce al client un token di accesso insieme all'elenco di origini contenuto. Questo token è valido per 24 ore e offre al client l'accesso al punto di distribuzione cloud.

  2. Il punto di gestione risponde alla richiesta di posizione del client con il nome di dominio completo del servizio del punto di distribuzione cloud. Questa proprietà corrisponde al nome comune del certificato di autenticazione del server.

    Se si usa il nome di dominio, ad esempio WallaceFalls.contoso.com, il client tenta prima di tutto di risolvere il nome di dominio completo. È necessario un alias CNAME nel DNS con connessione Internet del dominio per i client per risolvere il nome del servizio di Azure, ad esempio: WallaceFalls.cloudapp.net.

  3. Il client risolve quindi il nome del servizio di Azure, ad esempio WallaceFalls.cloudapp.net, in un indirizzo IP valido. Questa risposta deve essere gestita dal DNS di Azure.

  4. Il client si connette al punto di distribuzione cloud. Azure bilancia la connessione a una delle istanze di macchina virtuale. Il client si autentica usando il token di accesso.

  5. Il punto di distribuzione cloud autentica il token di accesso del client e quindi fornisce al client la posizione esatta del contenuto nell'archiviazione di Azure.

  6. Se il client considera attendibile il certificato di autenticazione server del punto di distribuzione cloud, si connette all'archiviazione di Azure per scaricare il contenuto.

Prestazioni e scalabilità

Come per qualsiasi progettazione di punti di distribuzione, considerare i fattori seguenti:

  • Numero di connessioni client simultanee
  • Dimensioni del contenuto scaricato dai client
  • Il periodo di tempo consentito per soddisfare i requisiti aziendali

A seconda della progettazione della topologia, se i client hanno la possibilità di scegliere più di un punto di distribuzione cloud per un determinato contenuto, si verificano in modo naturale in modo casuale tra tali servizi cloud. Se si distribuisce solo una determinata parte di contenuto a un singolo punto di distribuzione cloud e un numero elevato di client tenta di scaricare questo contenuto contemporaneamente, questa attività comporta un carico più elevato su quel singolo punto di distribuzione cloud. L'aggiunta di un punto di distribuzione cloud aggiuntivo include anche un servizio di archiviazione di Azure separato. Per altre informazioni sul modo in cui il client comunica con i componenti del punto di distribuzione cloud e scarica il contenuto, vedere Porte e flusso di dati.

Il punto di distribuzione cloud usa due macchine virtuali di Azure come front-end per l'archiviazione di Azure. Questa distribuzione predefinita soddisfa la maggior parte delle esigenze del cliente. In alcuni casi estremi, con un numero elevato di connessioni client simultanee (ad esempio, 150.000 client), la capacità di elaborazione delle macchine virtuali di Azure non è in grado di tenere il passo con le richieste client. Non è possibile ridimensionare le macchine virtuali di Azure usate per il punto di distribuzione cloud. Anche se non è possibile configurare il numero di istanze di macchina virtuale per il punto di distribuzione cloud in Configuration Manager, se necessario, riconfigurare il servizio cloud nel portale di Azure. Aggiungere manualmente altre istanze di macchina virtuale o configurare il servizio per la scalabilità automatica.

Importante

Quando si aggiorna Configuration Manager, il sito ridistribuisce il servizio cloud. Se si riconfigura manualmente il servizio cloud nel portale di Azure, il numero di istanze viene reimpostato sul valore predefinito di due.

Il servizio di archiviazione di Azure supporta 500 richieste al secondo per un singolo file. Il test delle prestazioni di un singolo punto di distribuzione cloud supporta la distribuzione di un singolo file da 100 MB a 50.000 client in 24 ore.

Certificati

A seconda della progettazione del punto di distribuzione cloud, sono necessari uno o più certificati digitali.

Informazioni generali

I certificati per i punti di distribuzione cloud supportano le configurazioni seguenti:

Certificato di autenticazione server

Questo certificato è necessario per tutte le distribuzioni di punti di distribuzione cloud.

Per altre informazioni, vedere Certificato di autenticazione del server CMG e le sottosezioni seguenti, se necessario:

  • Certificato radice attendibile del gateway di gestione cloud per i client
  • Certificato di autenticazione server emesso dal provider pubblico
  • Certificato di autenticazione server emesso dall'infrastruttura a chiave pubblica aziendale

Il punto di distribuzione cloud usa questo tipo di certificato allo stesso modo del gateway di gestione cloud. I client devono considerare attendibile anche questo certificato. Per ridurre la complessità, Microsoft consiglia di usare un certificato emesso da un provider pubblico.

A meno che non si usi un certificato con caratteri jolly, non riutilizzare lo stesso certificato. Ogni istanza del punto di distribuzione cloud e del gateway di gestione cloud richiede un certificato di autenticazione server univoco.

Per altre informazioni sulla creazione di questo certificato da un'infrastruttura a chiave pubblica, vedere Distribuire il certificato del servizio per i punti di distribuzione cloud.

Domande frequenti (FAQ)

Un client ha bisogno di un certificato per scaricare contenuto da un punto di distribuzione cloud?

Non è necessario un certificato di autenticazione client. Il client deve considerare attendibile il certificato di autenticazione del server usato dal punto di distribuzione cloud. Se questo certificato viene emesso da un provider di certificati pubblico, la maggior parte dei dispositivi Windows include già certificati radice attendibili per questi provider. Se è stato emesso un certificato di autenticazione server dall'infrastruttura a chiave pubblica dell'organizzazione, i client devono considerare attendibili i certificati di emissione nell'intera catena. Questa catena include l'autorità di certificazione radice e tutte le autorità di certificazione intermedie. A seconda della progettazione dell'infrastruttura a chiave pubblica, questo certificato può introdurre ulteriore complessità nella distribuzione del punto di distribuzione cloud. Per evitare questa complessità, Microsoft consiglia di usare un provider di certificati pubblico che i client considerano già attendibili.

I client locali possono usare un punto di distribuzione cloud?

Sì. Se si desidera che i client nella rete interna usno un punto di distribuzione cloud, devono trovarsi nello stesso gruppo di limiti dei client. I client assegnano la priorità ai punti di distribuzione cloud per ultimi nell'elenco delle origini di contenuto, perché è previsto un costo associato al download di contenuto da Azure. Di conseguenza, un punto di distribuzione cloud viene in genere usato come origine di fallback per i client basati su Intranet. Se si vuole una progettazione cloud-first, progettare i gruppi di limiti di conseguenza. Per altre informazioni, vedere Configurare i gruppi di limiti.

È necessario Azure ExpressRoute?

Azure ExpressRoute consente di estendere la rete locale nel cloud Microsoft. ExpressRoute o altre connessioni di rete virtuale di questo tipo non sono necessarie per il punto di distribuzione cloud di Configuration Manager.

Se l'organizzazione usa ExpressRoute, isolare la sottoscrizione di Azure per il punto di distribuzione cloud dalla sottoscrizione che usa ExpressRoute. Questa configurazione garantisce che il punto di distribuzione cloud non sia accidentalmente connesso in questo modo.

È necessario gestire le macchine virtuali di Azure?

Non è necessaria alcuna manutenzione. La progettazione del punto di distribuzione cloud usa la piattaforma distribuita come servizio (PaaS) di Azure. Usando la sottoscrizione fornita, Configuration Manager crea le macchine virtuali, l'archiviazione e la rete necessarie. Azure protegge e aggiorna le macchine virtuali. Queste macchine virtuali non fanno parte dell'ambiente locale, come nel caso dell'infrastruttura distribuita come servizio (IaaS). Il punto di distribuzione cloud è un paaS che estende l'ambiente di Configuration Manager nel cloud. Per altre informazioni, vedere Vantaggi della sicurezza di un modello di servizio cloud PaaS.

Il punto di distribuzione cloud usa la rete CDN di Azure?

La rete cdn (Content Delivery Network) di Azure è una soluzione globale per distribuire rapidamente contenuti a larghezza di banda elevata memorizzando nella cache il contenuto in nodi fisici posizionati in modo strategico in tutto il mondo. Per altre informazioni, vedere Informazioni sulla rete CDN di Azure.

Il punto di distribuzione cloud di Configuration Manager attualmente non supporta la rete CDN di Azure.

Passaggi successivi

Installare i punti di distribuzione cloud