Dataflöde för CMG
Gäller för: Configuration Manager (aktuell gren)
Använd den här artikeln för att förstå hur data flödar mellan komponenter i molnhanteringsgatewayen (CMG). Det krävs specifika nätverksportar och Internetslutpunkter för att fungera. Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Platssystemrollerna tjänstanslutningspunkt och CMG-anslutningspunkt startar all kommunikation med Azure och CMG. Dessa två roller måste skapa utgående anslutningar till Microsoft-molnet. Tjänstanslutningspunkten distribuerar och övervakar tjänsten i Azure, så den måste vara online. CMG-anslutningspunkten ansluter till CMG:en för att hantera kommunikationen mellan CMG och lokala platssystemroller.
Dataflödesdiagram
Följande diagram är ett grundläggande konceptuellt dataflöde för CMG:
Tjänstanslutningspunkten ansluter till Azure via HTTPS-port 443. Den autentiserar med hjälp av Microsoft Entra-ID. Tjänstanslutningspunkten distribuerar CMG:en i Azure. CMG skapar HTTPS-tjänsten med hjälp av certifikatet för serverautentisering.
CMG-anslutningspunkten ansluter till CMG:en i Azure. Den håller anslutningen öppen och skapar kanalen för framtida dubbelriktad kommunikation.
När du distribuerar CMG som en VM-skalningsuppsättning är det här flödet över HTTPS.
Om du distribuerar CMG som en klassisk molntjänst försöker den först med TCP-TLS. Om anslutningen misslyckas växlar den till HTTPS.
Mer information finns i Anmärkning 2: HTTPS-portar för CMG-anslutningspunkt för en virtuell dator.
Klienten ansluter till CMG via HTTPS-port 443. Den autentiserar med hjälp av Microsoft Entra-ID, klientautentiseringscertifikatet eller en platsutfärdad token.
Obs!
Om du aktiverar CMG för att hantera innehåll ansluter klienten direkt till Azure Blob Storage via HTTPS-port 443. Mer information finns i Innehållsdataflöde.
CMG vidarebefordrar klientkommunikationen via den befintliga anslutningen till den lokala CMG-anslutningspunkten. Du behöver inte öppna några inkommande brandväggsportar.
CMG-anslutningspunkten vidarebefordrar klientkommunikationen till den lokala hanteringsplatsen och programuppdateringsplatsen.
Mer information när du integrerar med Microsoft Entra-ID finns i Konfigurera Azure-tjänster: Dataflöde för molnhantering.
Innehållsdataflöde
När en klient använder en CMG som en innehållsplats:
Hanteringsplatsen ger klienten en åtkomsttoken tillsammans med listan över innehållskällor. Denna token är giltig i 24 timmar och ger klienten åtkomst till den molnbaserade innehållskällan.
Hanteringsplatsen svarar på klientens platsbegäran med tjänstnamnet för CMG:en. Den här egenskapen är samma som namnet på certifikatet för serverautentisering.
Om du använder ditt domännamn, till exempel
WallaceFalls.contoso.com, försöker klienten först lösa detta FQDN. Klienter använder CNAME-aliaset i domänens Internetuppkopplade DNS för att matcha Azure-distributionsnamnet.Därefter löser klienten distributionsnamnet till en giltig IP-adress. Det här svaret hanteras av Azures DNS.
Klienten ansluter till CMG:en. Azure lastbalanserar anslutningen till en av de virtuella datorinstanserna. Klienten autentiserar sig själv med hjälp av åtkomsttoken.
CMG autentiserar klientens åtkomsttoken och ger sedan klienten den exakta innehållsplatsen i Azure Storage.
Om klienten litar på CMG:s serverautentiseringscertifikat ansluter den till Azure Storage för att ladda ned innehållet.
Nödvändiga portar
I den här tabellen visas de nätverksportar och protokoll som krävs. Klienten är den enhet som startar anslutningen, vilket kräver en utgående port. Servern är den enhet som accepterar anslutningen, vilket kräver en inkommande port.
| Klient | Protokoll | Port | Server | Beskrivning |
|---|---|---|---|---|
| Tjänstanslutningspunkt | HTTPS | 443 | Azure | CMG-distribution |
| CMG-anslutningspunkt (VM-skalningsuppsättning) | HTTPS | 443 | CMG-tjänst | Protokoll för att skapa CMG-kanal till endast en VM-instans Note 2 |
| CMG-anslutningspunkt (VM-skalningsuppsättning) | HTTPS | 10124-10139 | CMG-tjänst | Protokoll för att skapa CMG-kanal till två eller flera VM-instanser Anmärkning 3 |
| CMG-anslutningspunkt (klassisk molntjänst) | TCP-TLS | 10140-10155 | CMG-tjänst | Föredraget protokoll för att skapa CMG-kanal Anmärkning 1 |
| CMG-anslutningspunkt (klassisk molntjänst) | HTTPS | 443 | CMG-tjänst | Fall back-protokoll för att skapa CMG-kanal till endast en VM-instans Note 2 |
| CMG-anslutningspunkt (klassisk molntjänst) | HTTPS | 10124-10139 | CMG-tjänst | Fall back-protokoll för att skapa CMG-kanal till två eller flera VM-instanser Anmärkning 3 |
| Klient | HTTPS | 443 | CMG | Allmän klientkommunikation |
| Klient | HTTPS | 443 | Blob Storage | Ladda ned molnbaserat innehåll |
| CMG-anslutningspunkt | HTTPS eller HTTP | 443 eller 80 | Hanteringsplats | Lokal trafik, porten är beroende av konfiguration av hanteringsplatser |
| CMG-anslutningspunkt | HTTPS eller HTTP | 443 eller 80 / 8530 eller 8531 | Programuppdateringsplats | Lokal trafik, porten är beroende av konfiguration av programuppdateringsplats |
Anteckningar om portar
Anmärkning 1: CMG-anslutningspunktens TCP-TLS-portar
Dessa portar gäller endast när du distribuerar CMG som en molntjänst (klassisk), som var den enda metoden som var tillgänglig i version 2006 och tidigare.
CMG-anslutningspunkten försöker först upprätta en långlivad TCP-TLS-anslutning med varje CMG VM-instans. Den ansluter till den första vm-instansen på port 10140. Den andra VM-instansen använder port 10141, upp till den 16:e på port 10155. En TCP-TLS-anslutning har bästa prestanda, men den stöder inte Internetproxy. Om CMG-anslutningspunkten inte kan ansluta via TCP-TLS återgår den tillHTTPS-anmärkning 2.
Obs! 2: HTTPS-portar för CMG-anslutningspunkt för en virtuell dator
Om du distribuerar CMG i en VM-skalningsuppsättning kommunicerar CMG-anslutningspunkten endast med tjänsten i Azure via HTTPS. Det krävs inte TCP-TLS-portar för att skapa CMG-kommunikationskanalen.
För en CMG som distribueras som en klassisk molntjänst använder den bara den här porten om TCP-TLS-anslutningen misslyckas. Om CMG-anslutningspunkten inte kan ansluta till CMG via TCP-TLSNote 1 ansluter den till Azure-nätverkslastbalanseraren via HTTPS 443. Det här beteendet gäller bara för en virtuell datorinstans.
Anmärkning 3: HTTPS-portar för CMG-anslutningspunkt för två eller flera virtuella datorer
Om det finns två eller flera VM-instanser använder CMG-anslutningspunkten HTTPS 10124 till den första virtuella datorinstansen, inte HTTPS 443. Den ansluter till den andra vm-instansen på HTTPS 10125, upp till den 16:e på HTTPS-port 10139.
Krav för Internetåtkomst
Om din organisation begränsar nätverkskommunikationen med Internet med hjälp av en brandvägg eller proxyenhet måste du tillåta att CMG-anslutningspunkten och tjänstanslutningspunkten får åtkomst till Internetslutpunkter.
Mer information finns i Internetåtkomstkrav.
Det här avsnittet beskriver följande funktioner:
CMG (Cloud management gateway)
Microsoft Entra integrering
Microsoft Entra ID-baserad identifiering
Molndistributionsplats (CDP)
Obs!
Den molnbaserade distributionsplatsen (CDP) är inaktuell. Från och med version 2107 kan du inte skapa nya CDP-instanser. Om du vill tillhandahålla innehåll till Internetbaserade enheter aktiverar du CMG:en för att distribuera innehåll.
I följande avsnitt visas slutpunkterna efter roll. Vissa slutpunkter refererar till en tjänst av <prefix>, som är prefixnamnet för CMG. Om din CMG till exempel är GraniteFalls.WestUS.CloudApp.Azure.Comär GraniteFalls.blob.core.windows.netden faktiska lagringsslutpunkten .
Tips
För att förtydliga viss terminologi:
CMG-tjänstnamn: Eget namn (CN) för CMG-serverns autentiseringscertifikat. Klienter och platssystemrollen cmg-anslutningspunkt kommunicerar med det här tjänstnamnet. Till exempel eller
GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com.CMG-distributionsnamn: Den första delen av tjänstnamnet plus Azure-platsen för molntjänstdistributionen. Molntjänsthanterarkomponenten i tjänstanslutningspunkten använder det här namnet när cmg-filen distribueras i Azure. Distributionsnamnet finns alltid i en Azure-domän. Azure-platsen beror på distributionsmetoden, till exempel:
- Vm-skalningsuppsättning:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klassisk distribution:
GraniteFalls.CloudApp.Net
- Vm-skalningsuppsättning:
Den här artikeln använder exempel med en VM-skalningsuppsättning som rekommenderad distributionsmetod i version 2107 och senare. Om du använder en klassisk distribution bör du notera skillnaden när du läser den här artikeln och konfigurerar Internetåtkomst.
Tjänstanslutningspunkt för molntjänster
För Configuration Manager för att distribuera CMG-tjänsten i Azure behöver tjänstanslutningspunkten åtkomst till:
Specifika Azure-slutpunkter, som skiljer sig åt per miljö beroende på konfigurationen. Configuration Manager lagrar dessa slutpunkter i platsdatabasen. Fråga tabellen AzureEnvironments i SQL Server för listan över Azure-slutpunkter.
Azure-tjänster:
-
management.azure.com(Offentligt Azure-moln) -
management.usgovcloudapi.net(Azure US Government-moln)
-
För Microsoft Entra användaridentifiering: Microsoft Graph-slutpunkt
https://graph.microsoft.com/
CMG-anslutningspunkt för molntjänster
CMG-anslutningspunkten behöver åtkomst till följande slutpunkter:
| Typ | Offentligt Azure-moln | Azure US Government-moln |
|---|---|---|
| Tjänstnamn | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Lagringsslutpunkt 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Lagringsslutpunkt 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Nyckelvalv | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG-anslutningsplatsplatssystemet stöder användning av en webbproxy. Mer information om hur du konfigurerar den här rollen för en proxy finns i Stöd för proxyserver.
CMG-anslutningspunkten behöver bara ansluta till CMG-tjänstslutpunkterna. Den behöver inte åtkomst till andra Azure-slutpunkter.
Configuration Manager klient för molntjänster
Alla Configuration Manager klient som behöver kommunicera med en CMG behöver åtkomst till följande slutpunkter:
| Typ | Offentligt Azure-moln | Azure US Government-moln |
|---|---|---|
| Distributionsnamn | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Lagringsslutpunkt | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra slutpunkt | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager-konsolen för molntjänster
Alla enheter med Configuration Manager-konsolen behöver åtkomst till följande slutpunkter:
| Typ | Offentligt Azure-moln | Azure US Government-moln |
|---|---|---|
| Microsoft Entra slutpunkter | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP-huvuden och verb
Alla nätverksenheter som hanterar kommunikationen mellan klienten, CMG och de lokala platssystemen måste tillåta följande HTTP-huvuden och verb. Om dessa objekt blockeras påverkar det klientkommunikationen via CMG.
HTTP-huvuden
- Utbud:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP-verb
- HUVUD
- CCM_POST
- BITS_POST
- FÅ
- PROPFIND