CMG için veri akışı
Uygulama hedefi: Configuration Manager (güncel dalı)
Bulut yönetimi ağ geçidi (CMG) bileşenleri arasında veri akışını anlamak için bu makaleyi kullanın. Belirli ağ bağlantı noktalarının ve İnternet uç noktalarının çalışması gerekir. Şirket içi ağınıza gelen bağlantı noktalarını açmanız gerekmez. Hizmet bağlantı noktası ve CMG bağlantı noktası site sistemi rolleri, Azure ve CMG ile tüm iletişimi başlatır. Bu iki rolün Microsoft bulutuyla giden bağlantılar oluşturması gerekir. Hizmet bağlantı noktası Azure'da hizmeti dağıtır ve izler, bu nedenle çevrimiçi olması gerekir. CMG bağlantı noktası, CMG ile şirket içi site sistemi rolleri arasındaki iletişimi yönetmek için CMG'ye bağlanır.
Veri akışı diyagramı
Aşağıdaki diyagram, CMG için temel, kavramsal bir veri akışıdır:
Hizmet bağlantı noktası, HTTPS bağlantı noktası 443 üzerinden Azure'a bağlanır. Microsoft Entra kimliği kullanarak kimlik doğrulaması yapar. Hizmet bağlantı noktası, CMG'yi Azure'da dağıtır. CMG, sunucu kimlik doğrulama sertifikasını kullanarak HTTPS hizmetini oluşturur.
CMG bağlantı noktası Azure'da CMG'ye bağlanır. Bağlantıyı açık tutar ve kanalı gelecekteki iki yönlü iletişim için oluşturur.
CMG'yi sanal makine ölçek kümesi olarak dağıttığınızda, bu akış HTTPS üzerinden yapılır.
CMG'yi klasik bir bulut hizmeti olarak dağıtırsanız, önce TCP-TLS'yi dener. Bu bağlantı başarısız olursa HTTPS'ye geçer.
Daha fazla bilgi için bkz . Not 2: Bir VM için CMG bağlantı noktası HTTPS bağlantı noktaları.
İstemci, HTTPS bağlantı noktası 443 üzerinden CMG'ye bağlanır. Microsoft Entra kimliğini, istemci kimlik doğrulama sertifikasını veya site tarafından verilen bir belirteci kullanarak kimlik doğrulaması yapar.
Not
CMG'nin içeriği sunmasını etkinleştirirseniz istemci, HTTPS bağlantı noktası 443 üzerinden doğrudan Azure blob depolamaya bağlanır. Daha fazla bilgi için bkz. İçerik veri akışı.
CMG, mevcut bağlantı üzerinden istemci iletişimini şirket içi CMG bağlantı noktasına iletir. Gelen güvenlik duvarı bağlantı noktalarını açmanız gerekmez.
CMG bağlantı noktası, istemci iletişimini şirket içi yönetim noktasına ve yazılım güncelleştirme noktasına iletir.
Microsoft Entra kimliğiyle tümleştirdiğinizde daha fazla bilgi için bkz. Azure hizmetlerini yapılandırma: Bulut yönetimi veri akışı.
İçerik veri akışı
İstemci içerik konumu olarak bir CMG kullandığında:
Yönetim noktası, istemciye içerik kaynaklarının listesiyle birlikte bir erişim belirteci verir. Bu belirteç 24 saat geçerlidir ve istemciye bulut tabanlı içerik kaynağına erişim verir.
Yönetim noktası istemcinin konum isteğine CMG'nin hizmet adıyla yanıt verir. Bu özellik, sunucu kimlik doğrulama sertifikasının ortak adıyla aynıdır.
Etki alanı adınızı kullanıyorsanız, örneğin,
WallaceFalls.contoso.comistemci önce bu FQDN'yi çözümlemeyi dener. İstemciler, Azure dağıtım adını çözümlemek için etki alanınızın İnternet'e yönelik DNS'sinde CNAME diğer adını kullanır.İstemci daha sonra dağıtım adını geçerli bir IP adresine çözümler. Bu yanıt Azure'ın DNS'i tarafından işlenir.
İstemci, CMG'ye bağlanır. Azure, VM örneklerinden biriyle bağlantıyı dengeler. İstemci, erişim belirtecini kullanarak kimliğini doğrular.
CMG, istemcinin erişim belirtecinin kimliğini doğrular ve ardından istemciye Azure depolamada tam içerik konumunu verir.
İstemci CMG'nin sunucu kimlik doğrulama sertifikasına güveniyorsa, içeriği indirmek için Azure depolamaya bağlanır.
Gerekli bağlantı noktaları
Bu tabloda gerekli ağ bağlantı noktaları ve protokoller listelenir. İstemci, bağlantıyı başlatan ve giden bağlantı noktası gerektiren cihazdır. Sunucu, gelen bağlantı noktası gerektiren bağlantıyı kabul eden cihazdır.
| İstemci | Protokol | Bağlantı noktası | Server | Açıklama |
|---|---|---|---|---|
| Hizmet bağlantı noktası | HTTPS | 443 | Azure | CMG dağıtımı |
| CMG bağlantı noktası (sanal makine ölçek kümesi) | HTTPS | 443 | CMG hizmeti | CmG kanalını tek bir VM örneğine derleme protokolü Not 2 |
| CMG bağlantı noktası (sanal makine ölçek kümesi) | HTTPS | 10124-10139 | CMG hizmeti | İki veya daha fazla VM örneğine CMG kanalı derleme protokolü Not 3 |
| CMG bağlantı noktası (klasik bulut hizmeti) | TCP-TLS | 10140-10155 | CMG hizmeti | CMG kanalı derlemek için tercih edilen protokol Not 1 |
| CMG bağlantı noktası (klasik bulut hizmeti) | HTTPS | 443 | CMG hizmeti | CMG kanalını yalnızca bir VM örneğine derleme protokolünü geri alma Not 2 |
| CMG bağlantı noktası (klasik bulut hizmeti) | HTTPS | 10124-10139 | CMG hizmeti | cmg kanalını iki veya daha fazla VM örneğine derleme protokolünü geri alma Not 3 |
| İstemci | HTTPS | 443 | CMG | Genel istemci iletişimi |
| İstemci | HTTPS | 443 | Blob depolama | Bulut tabanlı içeriği indirme |
| CMG bağlantı noktası | HTTPS veya HTTP | 443 veya 80 | Yönetim noktası | Şirket içi trafik, bağlantı noktası yönetim noktası yapılandırmasına bağlıdır |
| CMG bağlantı noktası | HTTPS veya HTTP | 443 veya 80 / 8530 veya 8531 | Yazılım güncelleştirme noktası | Şirket içi trafik, bağlantı noktası yazılım güncelleştirme noktası yapılandırmasına bağlıdır |
Bağlantı noktalarıyla ilgili notlar
Not 1: CMG bağlantı noktası TCP-TLS bağlantı noktaları
Bu bağlantı noktaları yalnızca CMG'yi 2006 ve önceki sürümlerde kullanılabilen tek yöntem olan bulut hizmeti (klasik) olarak dağıttığınızda geçerlidir.
CMG bağlantı noktası önce her CMG VM örneğiyle uzun ömürlü bir TCP-TLS bağlantısı kurmayı dener. 10140 numaralı bağlantı noktasındaki ilk VM örneğine bağlanır. İkinci VM örneği 10141 numaralı bağlantı noktasını 10155 numaralı bağlantı noktasından 16. bağlantı noktasına kadar kullanır. TCP-TLS bağlantısı en iyi performansa sahiptir ancak İnternet ara sunucusunu desteklemez. CMG bağlantı noktası TCP-TLS üzerinden bağlanamıyorsa, HTTPSNot 2'ye geri döner.
Not 2: Bir VM için CMG bağlantı noktası HTTPS bağlantı noktaları
CMG'yi bir sanal makine ölçek kümesine dağıtırsanız, CMG bağlantı noktası yalnızca AZURE'daki hizmetle HTTPS üzerinden iletişim kurar. CMG iletişim kanalını oluşturmak için TCP-TLS bağlantı noktalarını gerektirmez.
Klasik bulut hizmeti olarak dağıtılan bir CMG için bu bağlantı noktasını yalnızca TCP-TLS bağlantısı başarısız olursa kullanır. CMG bağlantı noktası TCP-TLSNot 1 aracılığıyla CMG'ye bağlanamıyorsa, HTTPS 443 üzerinden Azure ağ yük dengeleyicisine bağlanır. Bu davranış yalnızca bir VM örneği içindir.
Not 3: İki veya daha fazla VM için CMG bağlantı noktası HTTPS bağlantı noktaları
İki veya daha fazla VM örneği varsa, CMG bağlantı noktası HTTPS 443'e değil, ilk VM örneğine HTTPS 10124 kullanır. HTTPS 10125'te, HTTPS bağlantı noktası 10139'da 16'ya kadar olan ikinci VM örneğine bağlanır.
İnternet erişimi gereksinimleri
Kuruluşunuz bir güvenlik duvarı veya ara sunucu cihazı kullanarak İnternet ile ağ iletişimini kısıtlarsa, CMG bağlantı noktasının ve hizmet bağlantı noktasının İnternet uç noktalarına erişmesine izin vermeniz gerekir.
Daha fazla bilgi için bkz. İnternet erişimi gereksinimleri.
Bu bölüm aşağıdaki özellikleri kapsar:
Bulut yönetimi ağ geçidi (CMG)
Microsoft Entra tümleştirmesi
kimlik tabanlı bulma Microsoft Entra
Bulut dağıtım noktası (CDP)
Not
Bulut tabanlı dağıtım noktası (CDP) kullanım dışıdır. Sürüm 2107'den başlayarak yeni CDP örnekleri oluşturamazsınız. İnternet tabanlı cihazlara içerik sağlamak için CMG'yi etkinleştirerek içeriği dağıtın.
Aşağıdaki bölümlerde uç noktalar role göre listelemektedir. Bazı uç noktalar, CMG'nin ön ek adı olan tarafından bir hizmete <prefix>başvurur. Örneğin, CMG'niz ise GraniteFalls.WestUS.CloudApp.Azure.Comgerçek depolama uç noktası olur GraniteFalls.blob.core.windows.net.
İpucu
Bazı terminolojileri netleştirmek için:
CMG hizmet adı: CMG sunucusu kimlik doğrulama sertifikasının ortak adı (CN). İstemciler ve CMG bağlantı noktası site sistemi rolü bu hizmet adıyla iletişim kurar. Örneğin,
GraniteFalls.contoso.comveyaGraniteFalls.WestUS.CloudApp.Azure.Com.CMG dağıtım adı: Hizmet adının ilk bölümü ve bulut hizmeti dağıtımı için Azure konumu. Hizmet bağlantı noktasının bulut hizmet yöneticisi bileşeni, CMG'yi Azure'a dağıtırken bu adı kullanır. Dağıtım adı her zaman bir Azure etki alanındadır. Azure konumu dağıtım yöntemine bağlıdır, örneğin:
- Sanal makine ölçek kümesi:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klasik dağıtım:
GraniteFalls.CloudApp.Net
- Sanal makine ölçek kümesi:
Bu makalede, 2107 ve sonraki sürümlerde önerilen dağıtım yöntemi olarak sanal makine ölçek kümesine sahip örnekler kullanılmaktadır. Klasik dağıtım kullanıyorsanız, bu makaleyi okurken ve İnternet erişimini yapılandırdığınızda farkı not edin.
Bulut hizmetleri için hizmet bağlantı noktası
CMG hizmetinin Azure'da dağıtılması Configuration Manager için hizmet bağlantı noktasının şu erişime ihtiyacı vardır:
Yapılandırmaya bağlı olarak ortam başına farklı olan belirli Azure uç noktaları. Configuration Manager bu uç noktaları site veritabanında depolar. Azure uç noktalarının listesi için SQL Server'da AzureEnvironments tablosunu sorgula.
Azure hizmetleri:
-
management.azure.com(Azure genel bulutu) -
management.usgovcloudapi.net(Azure ABD Kamu bulutu)
-
Microsoft Entra kullanıcı bulma için: Microsoft Graph uç noktası
https://graph.microsoft.com/
Bulut hizmetleri için CMG bağlantı noktası
CMG bağlantı noktasının aşağıdaki uç noktalara erişmesi gerekir:
| Tür | Azure genel bulutu | Azure US Government bulutu |
|---|---|---|
| Hizmet adı | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Depolama uç noktası 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Depolama uç noktası 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Anahtar kasası | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG bağlantı noktası site sistemi, web proxy'si kullanmayı destekler. Bu rolü bir ara sunucu için yapılandırma hakkında daha fazla bilgi için bkz. Ara sunucu desteği.
CMG bağlantı noktasının yalnızca CMG hizmet uç noktalarına bağlanması gerekir. Diğer Azure uç noktalarına erişmesi gerekmez.
Bulut hizmetleri için Configuration Manager istemcisi
CMG ile iletişim kurması gereken tüm Configuration Manager istemcilerinin aşağıdaki uç noktalara erişmesi gerekir:
| Tür | Azure genel bulutu | Azure US Government bulutu |
|---|---|---|
| Dağıtım adı | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Depolama uç noktası | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| uç nokta Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
Bulut hizmetleri için Configuration Manager konsolu
Configuration Manager konsoluna sahip herhangi bir cihazın aşağıdaki uç noktalara erişmesi gerekir:
| Tür | Azure genel bulutu | Azure US Government bulutu |
|---|---|---|
| uç noktaları Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP üst bilgileri ve fiilleri
İstemci, CMG ve şirket içi site sistemleri arasındaki iletişimi yöneten tüm ağ cihazlarının aşağıdaki HTTP üst bilgilerine ve fiillerine izin vermeleri gerekir. Bu öğeler engellenirse, CMG aracılığıyla istemci iletişimini etkiler.
HTTP üst bilgileri
- Aralığı:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP fiilleri
- KAFA
- CCM_POST
- BITS_POST
- AL
- PROPFIND