Tok dat pro CMG
Platí pro: Configuration Manager (Current Branch)
V tomto článku se dozvíte, jak tok dat mezi komponentami brány pro správu cloudu (CMG). Aby fungovala, vyžaduje konkrétní síťové porty a internetové koncové body. Do místní sítě nemusíte otevírat žádné příchozí porty. Role systému lokality spojovacího bodu služby a spojovacího bodu CMG zahájí veškerou komunikaci s Azure a CMG. Tyto dvě role musí vytvořit odchozí připojení ke cloudu Microsoftu. Spojovací bod služby nasazuje a monitoruje službu v Azure, takže musí být online. Spojovací bod CMG se připojí k cmg a spravuje komunikaci mezi CMG a místními rolemi systému lokality.
Diagram toku dat
Následující diagram je základní koncepční tok dat pro CMG:
Spojovací bod služby se připojuje k Azure přes port HTTPS 443. Ověřuje se pomocí ID Microsoft Entra. Spojovací bod služby nasadí cmg v Azure. CmG vytvoří službu HTTPS pomocí ověřovacího certifikátu serveru.
Spojovací bod CMG se připojí k cmg v Azure. Udržuje připojení otevřené a sestavuje kanál pro budoucí obousměrnou komunikaci.
Když nasadíte CMG jako škálovací sadu virtuálních počítačů, je tento tok přes HTTPS.
Pokud nasadíte CMG jako klasickou cloudovou službu, nejprve se pokusí o protokol TCP-TLS. Pokud se připojení nezdaří, přepne se na HTTPS.
Další informace najdete v tématu Poznámka 2: Porty HTTPS spojovacího bodu CMG pro jeden virtuální počítač.
Klient se připojí ke cmg přes port HTTPS 443. Ověřuje se pomocí id Microsoft Entra, ověřovacího certifikátu klienta nebo tokenu vystaveného lokalitou.
Poznámka
Pokud povolíte cmg obsluhovat obsah, klient se připojí přímo ke službě Azure Blob Storage přes port HTTPS 443. Další informace najdete v tématu Tok dat obsahu.
CmG přesměruje komunikaci klienta přes existující připojení do místního spojovacího bodu CMG. Nemusíte otevírat žádné příchozí porty brány firewall.
Spojovací bod CMG předává komunikaci klienta do místního bodu správy a bodu aktualizace softwaru.
Další informace o integraci s ID Microsoft Entra najdete v tématu Konfigurace služeb Azure: Tok dat správy cloudu.
Tok dat obsahu
Když klient používá cmg jako umístění obsahu:
Bod správy poskytne klientovi přístupový token spolu se seznamem zdrojů obsahu. Tento token je platný po dobu 24 hodin a poskytuje klientovi přístup ke cloudovému zdroji obsahu.
Bod správy odpoví na žádost klienta o umístění názvem služby cmg. Tato vlastnost je stejná jako běžný název ověřovacího certifikátu serveru.
Pokud používáte název domény,
WallaceFalls.contoso.comnapříklad , klient se nejprve pokusí přeložit tento plně kvalifikovaný název domény. Klienti používají alias CNAME v internetovém DNS vaší domény k překladu názvu nasazení Azure.Klient dále přeloží název nasazení na platnou IP adresu. Tuto odpověď zpracovává dns Azure.
Klient se připojí k CMG. Azure vyrovnává zatížení připojení k jedné z instancí virtuálních počítačů. Klient se ověří pomocí přístupového tokenu.
CmG ověří přístupový token klienta a pak klientovi poskytne přesné umístění obsahu ve službě Azure Storage.
Pokud klient důvěřuje ověřovacímu certifikátu serveru CMG, připojí se ke službě Azure Storage a stáhne obsah.
Požadované porty
Tato tabulka obsahuje seznam požadovaných síťových portů a protokolů. Klient je zařízení, které spouští připojení, které vyžaduje odchozí port. Server je zařízení, které přijímá připojení a vyžaduje příchozí port.
| Client | Protocol (Protokol) | Port | Server | Popis |
|---|---|---|---|---|
| Spojovací bod služby | HTTPS | 443 | Azure | Nasazení CMG |
| Spojovací bod CMG (škálovací sada virtuálních počítačů) | HTTPS | 443 | Služba CMG | Protokol pro sestavení kanálu CMG pouze pro jednu instanci virtuálního počítače – poznámka 2 |
| Spojovací bod CMG (škálovací sada virtuálních počítačů) | HTTPS | 10124-10139 | Služba CMG | Protokol pro sestavení kanálu CMG na dvě nebo více instancí virtuálních počítačů – poznámka 3 |
| Spojovací bod CMG (klasická cloudová služba) | TCP-TLS | 10140-10155 | Služba CMG | Upřednostňovaný protokol pro sestavení kanálu CMG – poznámka 1 |
| Spojovací bod CMG (klasická cloudová služba) | HTTPS | 443 | Služba CMG | Návrat protokolu k sestavení kanálu CMG pouze do jedné instance virtuálního počítače – poznámka 2 |
| Spojovací bod CMG (klasická cloudová služba) | HTTPS | 10124-10139 | Služba CMG | Návrat protokolu k sestavení kanálu CMG na dvě nebo více instancí virtuálních počítačů – poznámka 3 |
| Client | HTTPS | 443 | CMG | Obecná komunikace s klientem |
| Client | HTTPS | 443 | Blob Storage | Stažení cloudového obsahu |
| Spojovací bod CMG | HTTPS nebo HTTP | 443 nebo 80 | Bod správy | Místní provoz, port závisí na konfiguraci bodu správy |
| Spojovací bod CMG | HTTPS nebo HTTP | 443 nebo 80 / 8530 nebo 8531 | Bod aktualizace softwaru | Místní provoz, port závisí na konfiguraci bodu aktualizace softwaru |
Poznámky k portům
Poznámka 1: Porty TCP-TLS spojovacího bodu CMG
Tyto porty platí pouze v případě, že nasadíte CMG jako cloudovou službu (classic), což byla jediná metoda dostupná ve verzi 2006 a starších verzích.
Spojovací bod CMG se nejprve pokusí navázat dlouhodobé připojení TCP-TLS s každou instancí virtuálních počítačů CMG. Připojí se k první instanci virtuálního počítače na portu 10140. Druhá instance virtuálního počítače používá port 10141 až 16. na portu 10155. Připojení TCP-TLS má nejlepší výkon, ale nepodporuje internetový proxy server. Pokud se spojovací bod CMG nemůže připojit přes protokol TCP-TLS, vrátí se zpět dopoznámky HTTPS 2.
Poznámka 2: Porty HTTPS spojovacího bodu CMG pro jeden virtuální počítač
Pokud nasadíte CMG ve škálovací sadě virtuálních počítačů, spojovací bod CMG komunikuje se službou v Azure pouze přes HTTPS. K sestavení komunikačního kanálu CMG nevyžaduje porty TCP-TLS.
V případě cmg nasazené jako klasická cloudová služba používá tento port pouze v případě, že selže připojení TCP-TLS. Pokud se spojovací bod CMG nemůže připojit k CMG přes PROTOKOL TCP-TLSPoznámka 1, připojí se k nástroji pro vyrovnávání zatížení sítě Azure přes https 443. Toto chování platí pouze pro jednu instanci virtuálního počítače.
Poznámka 3: Porty HTTPS spojovacího bodu CMG pro dva nebo více virtuálních počítačů
Pokud existují dvě nebo více instancí virtuálních počítačů, používá spojovací bod CMG pro první instanci virtuálního počítače HTTPS 10124, nikoli HTTPS 443. Připojí se k druhé instanci virtuálního počítače na https 10125 až do 16. dne na portu HTTPS 10139.
Požadavky na přístup k internetu
Pokud vaše organizace omezuje síťovou komunikaci s internetem pomocí brány firewall nebo proxy zařízení, musíte spojovacímu bodu CMG a spojovacímu bodu služby povolit přístup ke koncovým bodům internetu.
Další informace najdete v tématu Požadavky na přístup k internetu.
Tato část se věnuje následujícím funkcím:
Brána pro správu cloudu (CMG)
integrace Microsoft Entra
Microsoft Entra zjišťování na základě ID
Cloudový distribuční bod (CDP)
Poznámka
Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu.
V následujících částech jsou uvedeny koncové body podle rolí. Některé koncové body odkazují na službu pomocí <prefix>, což je název předpony cmg. Pokud je GraniteFalls.WestUS.CloudApp.Azure.Comnapříklad cmg , pak skutečný koncový bod úložiště je GraniteFalls.blob.core.windows.net.
Tip
Pro upřesnění terminologie:
Název služby CMG: Běžný název ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například
GraniteFalls.contoso.comneboGraniteFalls.WestUS.CloudApp.Azure.Com.Název nasazení CMG: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:
- Škálovací sada virtuálních počítačů:
GraniteFalls.WestUS.CloudApp.Azure.Com - Nasazení Classic:
GraniteFalls.CloudApp.Net
- Škálovací sada virtuálních počítačů:
Tento článek používá příklady se škálovací sadou virtuálních počítačů jako doporučenou metodou nasazení ve verzi 2107 a novější. Pokud používáte klasické nasazení, všimněte si rozdílu při čtení tohoto článku a konfiguraci přístupu k internetu.
Spojovací bod služby pro cloudové služby
Aby Configuration Manager nasadit službu CMG v Azure, potřebuje spojovací bod služby přístup k:
Konkrétní koncové body Azure, které se liší podle prostředí v závislosti na konfiguraci. Configuration Manager tyto koncové body ukládá do databáze lokality. V SQL Server zadejte dotaz na seznam koncových bodů Azure v tabulce AzureEnvironments.
Služby Azure:
management.azure.com(Veřejný cloud Azure)management.usgovcloudapi.net(Cloud Azure US Government)
Pro Microsoft Entra zjišťování uživatelů: Koncový bod Microsoft Graphu
https://graph.microsoft.com/
Spojovací bod CMG pro cloudové služby
Spojovací bod CMG potřebuje přístup k následujícím koncovým bodům:
| Typ | Veřejný cloud Azure | Cloud Azure US Government |
|---|---|---|
| Název služby | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Koncový bod úložiště 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Koncový bod úložiště 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Trezor klíčů | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Systém lokality spojovacího bodu CMG podporuje použití webového proxy serveru. Další informace o konfiguraci této role pro proxy server najdete v tématu Podpora proxy serveru.
Spojovací bod CMG se musí připojit jenom ke koncovým bodům služby CMG. Nepotřebuje přístup k jiným koncovým bodům Azure.
Configuration Manager klienta pro cloudové služby
Každý klient Configuration Manager, který potřebuje komunikovat s cmg, potřebuje přístup k následujícím koncovým bodům:
| Typ | Veřejný cloud Azure | Cloud Azure US Government |
|---|---|---|
| Název nasazení | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Koncový bod úložiště | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| koncový bod Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
konzola Configuration Manager pro cloudové služby
Každé zařízení s konzolou Configuration Manager potřebuje přístup k následujícím koncovým bodům:
| Typ | Veřejný cloud Azure | Cloud Azure US Government |
|---|---|---|
| koncové body Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Hlavičky a příkazy HTTP
Každé síťové zařízení, které spravuje komunikaci mezi klientem, cmg a místními systémy lokality, musí povolit následující hlavičky http a příkazy. Pokud jsou tyto položky blokované, ovlivní to komunikaci klienta prostřednictvím CMG.
Hlavičky HTTP
- Rozsah:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Příkazy HTTP
- HLAVY
- CCM_POST
- BITS_POST
- DOSTAT
- PROPFIND
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro