修改 CMG

  • 项目

适用于: Configuration Manager(current branch)

如果需要更改配置,可以修改云管理网关 (CMG) 。

配置属性

创建 CMG 后,可以修改其某些设置。 在Configuration Manager控制台中选择 CMG,然后选择“属性”。 在以下选项卡上配置设置:

“设置”选项卡

  • 证书文件:更改 CMG 的服务器身份验证证书。 在证书过期之前续订证书时,此选项很有用。 获取新证书时,请确保其公用名称相同。

    注意

    续订 CMG 的服务器身份验证证书时,为证书的公用名 (CN) 指定的 FQDN 区分大小写。 例如,如果当前证书的 CN 为 granitefalls.contoso.com,则使用相同的小写 CN 创建新证书。 向导不接受具有 CN GRANITEFALLS.CONTOSO.COM的证书。

    如果对证书进行了重大更改,可能需要 重新部署服务。 例如,更改证书上的组织名称。

  • 说明:指定可选说明,以在Configuration Manager控制台中进一步标识此 CMG。

  • VM 实例:更改服务在 Azure 中使用的虚拟机数。 此设置允许你根据使用情况或成本注意事项动态扩展或缩减服务。

  • 证书:添加或删除受信任的根或中间 CA 证书。 在添加新 CA 或停用过期证书时,此选项很有用。

  • 验证客户端证书吊销:如果最初在创建 CMG 时未启用此设置,则可以在发布 CRL 后启用此设置。 有关详细信息,请参阅 发布证书吊销列表

  • 强制实施 TLS 1.2:CMG 默认启用此选项。 要求它使用 TLS 1.2 加密协议。 从 更新汇总版本 2107 开始,此设置也适用于 CMG 存储帐户。 有关详细信息,请参阅 如何启用 TLS 1.2

  • 允许 CMG 充当云分发点并提供 Azure 存储中的内容:CMG 默认启用此选项。 如果计划将包含内容的部署定向到客户端,则需要将 CMG 配置为提供内容。

“警报”选项卡

创建 CMG 后,随时重新配置警报。 有关详细信息,请参阅 监视 CMG:设置出站流量警报

“内容”选项卡

查看分配给此 CMG 的云存储帐户的包。 查看每个包在存储帐户中占用的空间量。 选择包时,可以重新分发或删除内容文件。

若要验证包的内容文件是否在已启用内容的 CMG 上可用,请转到“监视”工作区中的“内容状态”节点。 有关详细信息,请参阅 监视分发的内容

转换

注意

默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅启用更新中的可选功能

从版本 2107 开始,如果有使用经典云服务的 CMG,请将其转换为使用虚拟机规模集。

提示

此过程重用基础存储帐户。

转换 CMG 时,无法更改所有设置:

Setting 转换
VM 大小 支持。
VM 实例 支持。
验证 CRL 支持。
需要 TLS 支持。
提供内容 支持。
Azure 环境 不支持。
订阅 不支持。
Microsoft Entra应用 不支持。
地区 不支持。
资源组 不支持。

若要进行转换过程不支持的更改,需要 重新部署服务

重要

如果 CMG 的服务名称 位于 cloudapp.net 域中,则无法将其转换为虚拟机规模集。 例如,你从内部 PKI 颁发了一个公用名称为 的服务器 GraniteFalls.cloudapp.net身份验证证书。 由于 Microsoft 拥有域 cloudapp.net ,因此无法创建 DNS CNAME 将此服务名称映射到域中的新部署名称 cloudapp.azure.com

  1. 使用新的服务名称从内部 PKI 颁发新的服务器身份验证证书。 请考虑使用域名而不是 Microsoft 域。 有关详细信息,请参阅 使用企业 PKI 证书
  2. 使用新证书将新的 CMG 部署为虚拟机规模集。
  3. 客户端刷新策略以获取此新 CMG 后,请删除旧的 CMG。

有关详细信息,请参阅 将 CMG 替换为新的服务名称

将 CMG 转换为虚拟机规模集的过程

重要

首先查看 虚拟机规模集的先决条件。 例如,请确保在订阅中注册必要的 Azure 资源提供程序。 还需要关联订阅的订阅所有者权限和关联租户的全局管理员权限。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“云管理网关”节点。

  2. 选择 状态“就绪”的 CMG 实例。 在功能区中,选择“ 转换”。 此操作将打开“转换 CMG”向导。

  3. 在“常规”页上,选择“ 下一步”。 无法更改这些设置中的任何一个。

  4. 在“设置”页上,记下带有虚拟机规模集后缀的新 部署名称

  5. 根据需要进行其他配置更改。 然后选择“ 下一步 ”并完成向导。

监视转换过程与新部署相同。 例如,在控制台中查看状态,并查看 cloudmgr.log。 有关详细信息,请参阅 监视 CMG

更新或创建 DNS CNAME

由于部署名称已更改,因此需要更新或创建 DNS 规范名称记录 (CNAME) 。 此别名将服务名称映射到部署名称。 有关详细信息,请参阅 创建 DNS CNAME 别名

例如:

  • CMG 的服务名称GraniteFalls.contoso.com

  • 对于 部署名称

    • 经典: GraniteFalls.cloudapp.net

    • 虚拟机规模集: GraniteFalls.EastUS.CloudApp.Azure.Com

重新部署服务

更重大的更改(如以下配置)要求重新部署服务:

  • 订阅
  • 服务名称
  • 地区
  • 资源组
  • 服务器身份验证证书的重大更改

始终至少保留一个活动 CMG,以便基于 Internet 的客户端接收更新的策略。 基于 Internet 的客户端无法与已删除的 CMG 通信。 客户端在刷新策略之前不知道新策略。 创建第二个 CMG 实例以删除第一个实例时,还要创建另一个 CMG 连接点。

默认情况下,客户端每 24 小时刷新一次策略。 在删除旧 CMG 之前,请在创建新 CMG 后至少等待一天。 如果客户端已关闭或没有 Internet 连接,则可能需要等待更长时间。

如果已有版本 1810 或更低版本的 CMG,它将使用 Azure Service Manager 部署方法。 此方法使用 Azure 管理证书。 此方法已弃用,在更高版本的 Configuration Manager 中将删除支持。 重新部署新的 CMG 以使用 Azure 资源管理器 部署方法。

重新部署服务的过程取决于服务名称以及是否要重复使用它。

注意

在版本 2107 及更高版本中,可以有多个使用不同部署方法的 CMG。 还可以将 云服务 (经典) CMG 转换为 虚拟机规模集。 有关详细信息,请参阅 转换

在版本 2010 和 2103 中,如果已使用 云服务 (经典) 方法部署了 CMG,则不能将另一个 CMG 部署为 虚拟机规模集,反之亦然。 首先 删除现有 CMG,然后使用另一个部署方法创建一个新 CMG。 站点的所有 CMG 实例都需要使用相同的部署方法。 有关详细信息,请参阅 规划 CMG:虚拟机规模集

替换 CMG 并重复使用相同的服务名称

重要

此过程假定你已至少有两个 CMG 服务,并且一次替换其中一个。 对于基于 Internet 的客户端,需要至少有一个活动 CMG。

  1. 删除旧的 CMG。

  2. 使用相同的服务器身份验证证书创建新的 CMG。

  3. 重新配置 CMG 连接点以使用新的 CMG。

将 CMG 替换为新的服务名称

  1. 获取新的服务器身份验证证书。

  2. 创建新的 CMG。

  3. 创建新的 CMG 连接点并将其与新的 CMG 链接。

  4. 请至少等待一天,以便基于 Internet 的客户端接收有关新 CMG 的策略。 如果客户端已关闭或没有 Internet 连接,则可能需要等待更长时间。

  5. 删除旧的 CMG 和关联的 CMG 连接点。

停止和启动服务

如果需要,请使用Configuration Manager控制台停止和启动服务。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“云管理网关”节点。

  2. 选择 CMG 实例。

  3. 在功能区中,选择以下操作之一:

    • 若要停止正在运行的 CMG,请选择“ 停止服务”。
    • 若要启动已停止的 CMG,请选择“ 启动服务”。

当总数据传输超过限制时,Configuration Manager可以停止 CMG 服务。 有关详细信息,请参阅 在 CMG 超过阈值时停止 CMG

重要

即使服务未运行,仍存在与云服务相关的成本。 停止服务并不能消除所有关联的 Azure 成本。 若要删除云服务的所有成本, 请删除 CMG

停止 CMG 服务时,基于 Internet 的客户端无法与Configuration Manager通信。

还可以使用 PowerShell 停止和启动 CMG:

确定部署模型

若要确定 CMG 的当前部署模型,请执行以下操作:

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“云管理网关”节点。

  2. 选择 CMG 实例。

  3. 在窗口底部的“详细信息”窗格中,查找 “部署模型 ”属性。

    从版本 2010 开始,你将看到 云服务 (经典) 虚拟机规模集

    在版本 2006 及更早版本中,对于资源管理器部署,此属性为 Azure 资源管理器。 具有 Azure 管理证书的旧部署模型显示为 Azure Service Manager

    重要

    已弃用使用 Azure Service Manager的 CMG 部署。 更高版本的 Configuration Manager 中将删除支持。 重新部署新的 CMG 以使用 Azure 资源管理器 部署方法。

还可以将 部署模型 属性作为列添加到列表视图。

Azure 门户中的修改

仅从Configuration Manager控制台修改 CMG。 不支持直接在 Azure 中对服务或基础 VM 进行修改。 任何更改都可能丢失,无需通知。 与 PaaS) (任何平台即服务一样,该服务可以随时重新生成 VM。 这些重新生成可能用于后端硬件维护或将更新应用到 VM OS。

续订 Azure 服务密钥

首次为 CMG 配置Microsoft Entra ID 以创建 Cloud Management Azure 服务时,可以在应用注册) web (服务器上指定密钥有效期。 默认情况下,密钥的有效期为一年,也可以指定两年。 在密钥过期之前,请确保续订密钥。 有关详细信息,请参阅 续订密钥

删除服务

如果需要删除 CMG,请仅从 Configuration Manager 控制台执行此操作。 手动删除 Azure 中的任何组件会导致系统不一致。 此状态会留下孤立的信息,并可能发生意外行为。