Использование облачной точки распространения в Configuration Manager
Относится к Configuration Manager (Current Branch)
Предупреждение
Реализация общего доступа к содержимому из Azure изменилась. Используйте шлюз управления облачными клиентами с поддержкой содержимого, включив параметр Разрешить CMG функционировать в качестве облачной точки распространения и обслуживать содержимое из хранилища Azure. Дополнительные сведения см. в разделе Изменение CMG.
Начиная с версии 2107, вы не можете создать традиционную облачную точку распространения (CDP).
Облачная точка распространения — это точка распространения Configuration Manager, размещенная в Microsoft Azure как платформа как услуга (PaaS). Эта служба поддерживает следующие сценарии:
Предоставление программного содержимого клиентам в Интернете без дополнительной локальной инфраструктуры
Включение облачной системы распространения содержимого
Уменьшение потребности в традиционных точках распространения
Эта статья поможет вам узнать о облачной точке распространения, спланировать ее использование и спроектировать реализацию. Он включает в себя следующие разделы:
- Функции и преимущества
- Проектирование топологии
- Требования
- Спецификации
- Cost
- Производительность и масштаб
- Порты и поток данных
- Сертификаты
- Вопросы и ответы
Функции и преимущества
Возможности
Облачная точка распространения поддерживает несколько функций, которые также предлагаются локальными точками распространения:
Управление облачными точками распространения по отдельности или в качестве членов групп точек распространения
Использование облачной точки распространения в качестве резервного расположения содержимого
Поддержка клиентов интрасети и Интернета
Преимущества
Облачная точка распространения предоставляет следующие дополнительные преимущества:
Сайт шифрует содержимое перед его отправкой в облачную точку распространения в Azure.
Чтобы удовлетворить меняющиеся требования клиентов к запросам на содержимое, вручную масштабируйте облачную службу в Azure. Это действие не требует установки и подготовки дополнительных точек распространения в Configuration Manager.
Поддерживает скачивание содержимого с клиентов, настроенных для других технологий содержимого, таких как Windows BranchCache.
Используйте облачные точки распространения в качестве исходных расположений для точек распространения по запросу.
Проектирование топологии
Развертывание и эксплуатация облачной точки распространения включают в себя следующие компоненты:
Облачная служба в Azure. Сайт распространяет содержимое в эту службу, которая хранит его в облачном хранилище Azure. Точка управления предоставляет клиентам это содержимое в списке доступных источников соответствующим образом.
Роль системы сайта точки управления обслуживает запросы клиентов в обычном режиме.
Локальные клиенты обычно используют локальную точку управления.
Интернет-клиенты используют шлюз управления облаком или точку управления через Интернет.
Облачная точка распространения использует веб-службу HTTPS на основе сертификата для защиты сетевого взаимодействия с клиентами. Клиенты должны доверять этому сертификату.
Azure Resource Manager
Создайте облачную точку распространения с помощью развертывания Azure Resource Manager. Azure Resource Manager — это современная платформа для управления всеми ресурсами решения в виде единой сущности, называемой группой ресурсов. При развертывании облачной точки распространения с помощью Azure Resource Manager сайт использует идентификатор Microsoft Entra для проверки подлинности и создания необходимых облачных ресурсов.
Примечание.
Эта функция не включает поддержку поставщиков облачных служб Azure (CSP). Развертывание облачной точки распространения с помощью Azure Resource Manager продолжает использовать классическую облачную службу, которую CSP не поддерживает. Дополнительные сведения см. в статье Доступные службы Azure в Azure CSP.
Azure Resource Manager — это единственный механизм развертывания для новых экземпляров облачной точки распространения. Существующие развертывания продолжают работать.
Структура иерархии
Место создания облачной точки распространения зависит от того, какие клиенты должны получить доступ к содержимому.
Развертывание Azure Resource Manager. Создайте этот тип на первичном сайте или на сайте центра администрирования.
Шлюз управления облаком (CMG) также может предоставлять содержимое клиентам. Эта функция снижает необходимые сертификаты и стоимость виртуальных машин Azure. Дополнительные сведения см. в статье Обзор шлюза управления облаком.
Чтобы определить, следует ли включать облачные точки распространения в группы границ, рассмотрите следующие варианты поведения:
Интернет-клиенты не полагаются на группы границ. Они используют только точки распространения с выходом в Интернет или облачные точки распространения. Если вы используете только облачные точки распространения для обслуживания таких типов клиентов, их не нужно включать в группы границ.
Если вы хотите, чтобы клиенты во внутренней сети использовали облачную точку распространения, она должна находиться в той же группе границ, что и клиенты. Клиенты уделяют приоритетное внимание облачным точкам распространения в списке источников контента, так как скачивание содержимого из Azure сопряжено с затратами. Поэтому облачная точка распространения обычно используется в качестве резервного источника для клиентов на основе интрасети. Если вам нужна облачная конструкция, создайте группы границ в соответствии с этим бизнес-требованием. Дополнительные сведения см. в разделе Настройка групп границ.
Несмотря на то, что облачные точки распространения устанавливаются в определенных регионах Azure, клиенты не знают о регионах Azure. Они случайным образом выбирают облачную точку распространения. Если вы устанавливаете облачные точки распространения в нескольких регионах и клиент получает несколько в списке расположений содержимого, клиент может не использовать облачную точку распространения из одного региона Azure.
Резервное копирование и восстановление
При использовании облачной точки распространения в иерархии используйте следующие сведения, чтобы спланировать резервное копирование и восстановление.
При использовании задачи обслуживания резервного копирования сервера сайта Configuration Manager автоматически включает конфигурации для облачной точки распространения.
Создайте резервную копию и сохраните копию сертификата проверки подлинности сервера. При восстановлении первичного сайта Configuration Manager на другом сервере повторно импортируйте сертификат.
Требования
Для размещения службы требуется подписка Azure .
- Администратор Azure должен участвовать в первоначальном создании определенных компонентов в зависимости от вашей структуры. Этому пользователю не требуются разрешения в Configuration Manager.
Серверу сайта требуется доступ к Интернету для развертывания облачной службы и управления ею.
При использовании метода развертывания Azure Resource Manager интегрируйте Configuration Manager с Microsoft Entra ID для управления облаком. Обнаружение пользователей идентификатора Microsoft Entra не требуется.
Сертификат проверки подлинности сервера. Дополнительные сведения см. в разделе Сертификаты ниже.
- Чтобы снизить сложность, используйте общедоступный поставщик сертификатов для сертификата проверки подлинности сервера. При этом также требуется псевдоним DNS CNAME для клиентов, чтобы разрешить имя облачной службы.
Задайте для параметра клиента Разрешить доступ к облачным точкам распространения значение Да в группе Облачные службы . По умолчанию для этого значения задано значение Нет.
Клиентские устройства требуют подключения к Интернету и должны использовать IPv4.
Спецификации
Облачная точка распространения поддерживает все версии Windows, перечисленные в разделе Поддерживаемые операционные системы для клиентов и устройств.
Администратор распространяет следующие типы поддерживаемого программного содержимого:
Приложения
Пакеты
Пакеты обновления ОС
Обновления стороннего программного обеспечения
Важно!
- Хотя консоль Configuration Manager не блокирует распространение обновлений программного обеспечения Майкрософт в облачную точку распространения, вы платите за хранение содержимого, которое клиенты не используют. Интернет-клиенты всегда получают содержимое обновлений программного обеспечения Майкрософт из облачной службы Центра обновления Майкрософт. Не распространяйте обновления программного обеспечения Майкрософт в облачную точку распространения.
- Если обновление программного обеспечения распространяется в облачную точку распространения, оно по-прежнему использует локальную точку распространения для скачивания содержимого, когда клиенты находятся в интрасети.
- При использовании CMG для хранения содержимого содержимое для сторонних обновлений не будет скачиваться на клиенты, если включен параметр Скачать разностное содержимое при доступностиклиента .
Настройте точку распространения по запросу для использования облачной точки распространения в качестве источника. Дополнительные сведения см. в разделе О исходных точках распространения.
Параметры развертывания
Скачайте содержимое локально, если это необходимо для выполняемой последовательности задач. Подсистема последовательности задач может скачивать пакеты по запросу из CMG с поддержкой содержимого или облачной точки распространения. Этот параметр обеспечивает дополнительную гибкость при развертывании обновления Windows на месте для интернет-устройств.
Скачайте все содержимое локально перед запуском последовательности задач. При использовании этого параметра клиент Configuration Manager скачивает содержимое из облачного источника перед запуском последовательности задач.
Облачная точка распространения не поддерживает развертывания пакетов с параметром Запуск программы из точки распространения. Используйте параметр развертывания для загрузки содержимого из точки распространения и запуска локально.
Ограничения
Вы не можете использовать облачную точку распространения для развертываний PXE или с поддержкой многоадресной рассылки.
Облачная точка распространения не поддерживает приложения потоковой передачи App-V.
Облачная точка распространения не поддерживает содержимое обновлений приложений Microsoft 365.
Вы не можете предварительно создать содержимое в облачной точке распространения. Диспетчер распространения первичного сайта, который управляет облачной точкой распространения, передает все содержимое.
Облачную точку распространения нельзя настроить в качестве точки распространения по запросу.
Стоимость
Важно!
Приведенные ниже сведения о затратах предназначены только для оценки. В вашей среде могут быть другие переменные, влияющие на общую стоимость использования облачной точки распространения.
Configuration Manager включает следующие параметры для управления затратами и мониторинга доступа к данным.
Контролируйте и отслеживайте объем содержимого, хранящееся в облачной службе. Дополнительные сведения см. в разделе Мониторинг облачных точек распространения.
Настройте Configuration Manager так, чтобы оповещать вас о достижении пороговых значений для загрузки клиента или превышении ежемесячных ограничений. Дополнительные сведения см. в разделе Оповещения об пороге передачи данных.
Чтобы уменьшить количество передач данных из облачных точек распространения клиентами, используйте одну из следующих технологий однорангового кэширования:
Одноранговый кэш Configuration Manager
Windows BranchCache
Оптимизация доставки Windows
Дополнительные сведения см. в статье Основные понятия для управления содержимым.
Компоненты
Облачная точка распространения использует следующие компоненты Azure, на которые взимается плата за учетную запись подписки Azure:
Совет
Шлюз управления облачными клиентами также может предоставлять содержимое. Эта функция снижает затраты за счет консолидации виртуальных машин Azure. Дополнительные сведения см. в статье Стоимость шлюза управления облаком.
Виртуальная машина
Облачная точка распространения использует облачные службы Azure в качестве платформы как услуги (PaaS). Эта служба использует виртуальные машины, на которые взимается плата за вычислительные ресурсы.
Каждая облачная служба точек распространения использует две виртуальные машины A0 уровня "Стандартный".
Ознакомьтесь с калькулятором цен Azure , чтобы определить потенциальные затраты.
Примечание.
Затраты на виртуальные машины зависят от региона.
Передача исходящих данных
Любые потоки данных в Azure предоставляются бесплатно (входящий трафик или отправка). Распространение содержимого с сайта в облачную точку распространения выполняется в Azure.
Плата взимается за данные, исходящие из Azure (исходящие или скачиваемые). Потоки данных облачной точки распространения из Azure состоят из программного содержимого, скачиваемого клиентами.
Дополнительные сведения см. в разделе Мониторинг облачных точек распространения.
Ознакомьтесь со сведениями о ценах на пропускную способность Azure , чтобы определить потенциальные затраты. Цены на передачу данных по уровням. Чем больше вы используете, тем меньше вы платите за гигабайт.
Хранилище контента
Интернет-клиенты получают содержимое обновлений программного обеспечения Майкрософт из облачной службы Центра обновления Майкрософт бесплатно. Не распространяйте пакеты развертывания обновлений программного обеспечения с обновлениями программного обеспечения Майкрософт в облачную точку распространения. В противном случае вы понесете расходы на хранение данных для содержимого, которое клиенты никогда не используют.
Облачные точки распространения с развертыванием Azure Resource Manager используют локально избыточное хранилище Azure (LRS). Дополнительные сведения см. в разделе Локально избыточное хранилище.
Прочие затраты
- Каждая облачная служба имеет динамический IP-адрес. Каждая отдельная облачная точка распространения использует новый динамический IP-адрес. Добавление дополнительных виртуальных машин для каждой облачной службы не приводит к увеличению этих адресов.
Порты и поток данных
Существует два основных потока данных для облачной точки распространения:
Сервер сайта подключается к Azure для настройки службы облачной точки распространения.
Клиент подключается к облачной точке распространения для скачивания содержимого.
Сервер сайта в Azure
Вам не нужно открывать входящие порты в локальной сети. Сервер сайта инициирует все взаимодействие с Azure и облачной точкой распространения для развертывания, обновления и управления облачной службой. Серверу сайта необходимо создать исходящие подключения к облаку Майкрософт. Это действие эквивалентно установке роли системы сайта точки распространения на определенном сайте.
Клиент — облачная точка распространения
Вам не нужно открывать входящие порты в локальной сети. Интернет-клиенты напрямую взаимодействуют со службой Azure. Клиенты во внутренней сети, использующие облачную точку распространения, должны подключаться к облаку Майкрософт.
Дополнительные сведения о приоритете расположения контента и о том, когда клиенты на основе интрасети используют облачную точку распространения, см. в разделе Приоритет источника контента.
Если клиент использует облачную точку распространения в качестве расположения содержимого:
Точка управления предоставляет клиенту маркер доступа вместе со списком источников контента. Этот маркер действителен в течение 24 часов и предоставляет клиенту доступ к облачной точке распространения.
Точка управления отвечает на запрос о расположении клиента полным доменным именем службы облачной точки распространения. Это свойство совпадает с общим именем сертификата проверки подлинности сервера.
Если вы используете доменное имя, например WallaceFalls.contoso.com, клиент сначала пытается разрешить это полное доменное имя. Для разрешения имени службы Azure клиентам требуется псевдоним CNAME в DNS вашего домена с выходом в Интернет, например WallaceFalls.cloudapp.net.
Затем клиент разрешает имя службы Azure, например WallaceFalls.cloudapp.net, в допустимый IP-адрес. Этот ответ должен обрабатываться DNS Azure.
Клиент подключается к облачной точке распространения. Нагрузка Azure балансирует подключение к одному из экземпляров виртуальной машины. Клиент выполняет проверку подлинности с помощью маркера доступа.
Облачная точка распространения проверяет подлинность маркера доступа клиента, а затем предоставляет клиенту точное расположение содержимого в хранилище Azure.
Если клиент доверяет сертификату проверки подлинности сервера облачной точки распространения, он подключается к хранилищу Azure для скачивания содержимого.
Производительность и масштаб
Как и в случае с любой структурой точек распространения, учитывайте следующие факторы:
- Количество одновременных клиентских подключений
- Размер содержимого, скачиваемого клиентами
- Время, необходимое для удовлетворения бизнес-требований
В зависимости от структуры топологии, если клиенты имеют возможность использовать несколько облачных точек распространения для любого определенного содержимого, они естественным образом случайным образом используются в этих облачных службах. Если вы распространяете только определенный фрагмент содержимого в одну облачную точку распространения и большое количество клиентов пытаются скачать это содержимое одновременно, это действие оказывает большую нагрузку на одну облачную точку распространения. Добавление дополнительной облачной точки распространения также включает отдельную службу хранилища Azure. Дополнительные сведения о том, как клиент взаимодействует с компонентами облачной точки распространения и загружает содержимое, см. в разделе Порты и поток данных.
Облачная точка распространения использует две виртуальные машины Azure в качестве внешнего интерфейса для хранилища Azure. Это развертывание по умолчанию соответствует большинству потребностей клиента. В некоторых экстремальных случаях при большом количестве одновременных клиентских подключений (например, 150 000 клиентов) емкость обработки виртуальных машин Azure не может соответствовать клиентским запросам. Вы не можете изменить размер виртуальных машин Azure, используемых для облачной точки распространения. Хотя вы не можете настроить количество экземпляров виртуальных машин для облачной точки распространения в Configuration Manager, при необходимости перенастройте облачную службу на портале Azure. Добавьте дополнительные экземпляры виртуальных машин вручную или настройте службу для автоматического масштабирования.
Важно!
При обновлении Configuration Manager сайт повторно развертывает облачную службу. Если вы вручную перенастроили облачную службу на портале Azure, количество экземпляров по умолчанию будет сброшено до двух.
Служба хранилища Azure поддерживает 500 запросов в секунду для одного файла. Тестирование производительности одной облачной точки распространения поддерживает распространение одного файла размером 100 МБ до 50 000 клиентов за 24 часа.
Сертификаты
В зависимости от структуры облачной точки распространения вам потребуется один или несколько цифровых сертификатов.
Общие сведения
Сертификаты для облачных точек распространения поддерживают следующие конфигурации:
Длина ключа 4096 бит
Сертификаты версии 3. Дополнительные сведения см. в статье Общие сведения о сертификатах CNG.
При настройке Windows с помощью следующей политики: Системное шифрование: использование алгоритмов, совместимых с FIPS, для шифрования, хэширования и подписывания
Поддержка TLS 1.2. Дополнительные сведения см. в техническом справочнике по элементам управления шифрованием.
Сертификат проверки подлинности сервера
Этот сертификат необходим для всех развертываний облачных точек распространения.
Дополнительные сведения см. в разделе Сертификат проверки подлинности сервера CMG и следующие подразделы при необходимости:
- Доверенный корневой сертификат CMG для клиентов
- Сертификат проверки подлинности сервера, выданный общедоступным поставщиком
- Сертификат проверки подлинности сервера, выданный из PKI предприятия
Облачная точка распространения использует этот тип сертификата так же, как и шлюз управления облаком. Клиенты также должны доверять этому сертификату. Чтобы снизить сложность, корпорация Майкрософт рекомендует использовать сертификат, выданный общедоступным поставщиком.
Если вы не используете сертификат с подстановочными знаками, не используйте его повторно. Каждому экземпляру облачной точки распространения и шлюза управления облаком требуется уникальный сертификат проверки подлинности сервера.
Дополнительные сведения о создании этого сертификата из PKI см. в статье Развертывание сертификата службы для облачных точек распространения.
Вопросы и ответы
Требуется ли клиенту сертификат для загрузки содержимого из облачной точки распространения?
Сертификат проверки подлинности клиента не требуется. Клиент должен доверять сертификату проверки подлинности сервера, используемому облачной точкой распространения. Если этот сертификат выдан общедоступным поставщиком сертификатов, большинство устройств Windows уже включают доверенные корневые сертификаты для этих поставщиков. Если вы выдали сертификат проверки подлинности сервера из PKI вашей организации, клиенты должны доверять выданным сертификатам во всей цепочке. Эта цепочка включает корневой центр сертификации и все промежуточные центры сертификации. В зависимости от структуры PKI этот сертификат может усложнить развертывание облачной точки распространения. Чтобы избежать этой сложности, корпорация Майкрософт рекомендует использовать общедоступный поставщик сертификатов, которому клиенты уже доверяют.
Могут ли локальные клиенты использовать облачную точку распространения?
Да. Если вы хотите, чтобы клиенты во внутренней сети использовали облачную точку распространения, она должна находиться в той же группе границ, что и клиенты. Клиенты уделяют приоритетное внимание облачным точкам распространения в списке источников контента, так как скачивание содержимого из Azure сопряжено с затратами. Таким образом, облачная точка распространения обычно используется в качестве резервного источника для клиентов на основе интрасети. Если вам нужна облачная конструкция, создайте группы границ соответствующим образом. Дополнительные сведения см. в разделе Настройка групп границ.
Требуется ли Azure ExpressRoute?
Azure ExpressRoute позволяет расширить локальную сеть в облако Майкрософт. ExpressRoute или другие подключения к виртуальной сети не требуются для облачной точки распространения Configuration Manager.
Если ваша организация использует ExpressRoute, изолируйте подписку Azure для облачной точки распространения от подписки, которая использует ExpressRoute. Такая конфигурация гарантирует, что облачная точка распространения не будет случайно подключена таким образом.
Требуется ли обслуживание виртуальных машин Azure?
Обслуживание не требуется. При проектировании облачной точки распространения используется платформа Azure как услуга (PaaS). Используя предоставляемую подписку, Configuration Manager создает необходимые виртуальные машины, хранилище и сеть. Azure защищает и обновляет виртуальные машины. Эти виртуальные машины не являются частью локальной среды, как в случае с инфраструктурой как услугой (IaaS). Облачная точка распространения — это PaaS, которая расширяет среду Configuration Manager в облако. Дополнительные сведения см. в статье Преимущества безопасности модели облачной службы PaaS.
Использует ли облачная точка распространения Azure CDN?
Сеть доставки содержимого Azure (CDN) — это глобальное решение для быстрой доставки содержимого с высокой пропускной способностью путем кэширования содержимого на стратегически размещенных физических узлах по всему миру. Дополнительные сведения см. в статье Что такое Azure CDN?
Облачная точка распространения Configuration Manager в настоящее время не поддерживает Azure CDN.