Použití cloudového distribučního bodu v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Upozornění

Implementace sdílení obsahu z Azure se změnila. Použijte bránu pro správu cloudu s podporou obsahu tak, že povolíte možnost Povolit CMG fungovat jako cloudový distribuční bod a obsluhovat obsah z úložiště Azure. Další informace najdete v tématu Úprava cmg.

Od verze 2107 nemůžete vytvořit tradiční cloudový distribuční bod (CDP).

Cloudový distribuční bod je Configuration Manager distribuční bod hostovaný jako platforma jako služba (PaaS) v Microsoft Azure. Tato služba podporuje následující scénáře:

• Poskytování softwarového obsahu internetovým klientům bez další místní infrastruktury

• Povolení cloudového systému distribuce obsahu

• Snížení potřeby tradičních distribučních bodů

Tento článek vám pomůže seznámit se s distribučním bodem cloudu, naplánovat jeho použití a navrhnout implementaci. Obsahuje následující části:

• Funkce a výhody
• Návrh topologie
• Požadavky
• Specifikace
• Cena
• Výkon a škálování
• Porty a tok dat
• Certifikáty
• Nejčastější dotazy

Funkce a výhody

Funkce

Cloudový distribuční bod podporuje několik funkcí, které také nabízejí místní distribuční body:

• Správa cloudových distribučních bodů jednotlivě nebo jako členy skupin distribučních bodů

• Použití cloudového distribučního bodu jako záložního umístění obsahu

• Podporuje intranetové i internetové klienty.

Výhody

Cloudový distribuční bod poskytuje následující další výhody:

• Web před odesláním do distribučního bodu cloudu v Azure obsah zašifruje.

• Pokud chcete splnit měnící se požadavky klientů na požadavky na obsah, ručně škálujte cloudovou službu v Azure. Tato akce nevyžaduje instalaci a zřízení dalších distribučních bodů v Configuration Manager.

• Podporuje stahování obsahu z klientů nakonfigurovaných pro jiné technologie obsahu, jako je windows BranchCache.

• Použijte cloudové distribuční body jako zdrojová umístění pro distribuční body pro vyžádání obsahu.

Návrh topologie

Nasazení a provoz cloudového distribučního bodu zahrnuje následující komponenty:

• Cloudová služba v Azure. Web distribuuje obsah do této služby, která ho ukládá do cloudového úložiště Azure. Bod správy poskytuje klientům toto umístění obsahu v seznamu dostupných zdrojů podle potřeby.

• Role role lokality bodu správy obsluhuje požadavky klienta podle normálního nastavení.

  • Místní klienti obvykle používají místní bod správy.

  • Internetoví klienti používají buď bránu pro správu cloudu, nebo internetový bod správy.

• Cloudový distribuční bod používá k zabezpečení síťové komunikace s klienty webovou službu HTTPS založenou na certifikátech . Klienti musí tomuto certifikátu důvěřovat.

Azure Resource Manager

Vytvořte cloudový distribuční bod pomocí nasazení Azure Resource Manager. Azure Resource Manager je moderní platforma pro správu všech prostředků řešení jako jedna entita označovaná jako skupina prostředků. Při nasazování cloudového distribučního bodu pomocí Azure Resource Manager používá lokalita Microsoft Entra ID k ověření a vytvoření potřebných cloudových prostředků.

Poznámka

Tato funkce neumožňuje podporu pro poskytovatele cloudových služeb Azure (CSP). Nasazení cloudového distribučního bodu s Azure Resource Manager nadále používá klasickou cloudovou službu, kterou poskytovatel CSP nepodporuje. Další informace najdete v tématu dostupné služby Azure v Azure CSP.

Azure Resource Manager je jediným mechanismem nasazení pro nové instance cloudového distribučního bodu. Stávající nasazení budou dál fungovat.

Návrh hierarchie

To, kde vytvoříte cloudový distribuční bod, závisí na tom, kteří klienti potřebují přístup k obsahu.

• Nasazení Azure Resource Manager: Tento typ vytvořte v primární lokalitě nebo v lokalitě centrální správy.

• Brána pro správu cloudu (CMG) může také poskytovat obsah klientům. Tato funkce snižuje požadované certifikáty a snižuje náklady na virtuální počítače Azure. Další informace najdete v tématu Přehled brány pro správu cloudu.

Pokud chcete zjistit, jestli zahrnout distribuční body cloudu do skupin hranic, zvažte následující chování:

• Internetoví klienti nespoléhá na skupiny hranic. Používají pouze internetové distribuční body nebo cloudové distribuční body. Pokud ke službě těchto typů klientů používáte jenom cloudové distribuční body, nemusíte je zahrnout do skupin hranic.

• Pokud chcete, aby klienti ve vaší interní síti používali cloudový distribuční bod, musí být ve stejné skupině hranic jako klienti. Klienti upřednostňují cloudové distribuční body ve svém seznamu zdrojů obsahu jako poslední, protože stahování obsahu z Azure je spojené s náklady. Cloudový distribuční bod se proto obvykle používá jako záložní zdroj pro intranetové klienty. Pokud chcete návrh založený na cloudu, navrhněte skupiny hranic tak, aby splňovaly tento obchodní požadavek. Další informace najdete v tématu Konfigurace skupin hranic.

I když instalujete cloudové distribuční body v konkrétních oblastech Azure, klienti o oblastech Azure nevědí. Náhodně vyberou cloudový distribuční bod. Pokud nainstalujete cloudové distribuční body ve více oblastech a klient obdrží v seznamu umístění obsahu více než jeden, nemusí klient používat cloudový distribuční bod ze stejné oblasti Azure.

Zálohování a obnovování

Pokud používáte cloudový distribuční bod v hierarchii, použijte následující informace, které vám pomůžou naplánovat zálohování a obnovení:

• Když použijete úlohu údržby zálohovat server lokality, Configuration Manager automaticky zahrne konfigurace cloudového distribučního bodu.

• Zálohujte a uložte kopii ověřovacího certifikátu serveru. Když obnovíte Configuration Manager primární lokalitu na jiný server, znovu naimportujte certifikát.

Požadavky

• K hostování služby potřebujete předplatné Azure .

  • Správce Azure se musí v závislosti na vašem návrhu podílet na počátečním vytváření určitých komponent. Tato osoba nevyžaduje oprávnění v Configuration Manager.

• Server lokality vyžaduje k nasazení a správě cloudové služby přístup k internetu .

• Při použití metody nasazení Azure Resource Manager integrujte Configuration Manager s Microsoft Entra ID pro správu cloudu. Microsoft Entra ID zjišťování uživatelů se nevyžaduje.

• Ověřovací certifikát serveru. Další informace najdete v části Certifikáty níže.

  • Pokud chcete snížit složitost, použijte veřejného zprostředkovatele certifikátu pro ověřování serveru. K překladu názvu cloudové služby potřebujete také alias DNS CNAME pro klienty.

• Nastavení klienta Povolit přístup ke cloudovým distribučním bodům nastavte ve skupině Cloud Services na Ano. Ve výchozím nastavení je tato hodnota nastavená na Ne.

• Klientská zařízení vyžadují připojení k internetu a musí používat protokol IPv4.

Specifikace

• Cloudový distribuční bod podporuje všechny verze Windows uvedené v části Podporované operační systémy pro klienty a zařízení.

• Správce distribuuje následující typy podporovaného softwarového obsahu:

  • Aplikace

  • Balíčky

  • Balíčky upgradu operačního systému

  • Aktualizace softwaru třetích stran

    Důležité

    • I když konzola Configuration Manager neblokuje distribuci aktualizací softwaru Microsoftu do cloudového distribučního bodu, platíte náklady na Azure za ukládání obsahu, který klienti nepoužívají. Internetoví klienti vždy získají obsah aktualizace softwaru Microsoftu z cloudové služby Microsoft Update. Nedistribuujte aktualizace softwaru Microsoftu do cloudového distribučního bodu.
    • Pokud je aktualizace softwaru distribuovaná do cloudového distribučního bodu, stále používá místní distribuční bod ke stažení obsahu, i když jsou klienti v intranetu.
    • Pokud používáte cmg pro úložiště obsahu, obsah pro aktualizace třetích stran se nestahuje do klientů, pokud je povolené nastavení klientaStahovat rozdílový obsah, pokud je k dispozici.

• Nakonfigurujte distribuční bod pro vyžádání obsahu tak, aby jako zdroj používal cloudový distribuční bod. Další informace najdete v tématu Informace o zdrojových distribučních bodech.

Nastavení nasazení

• V případě potřeby spuštěného pořadí úloh stáhněte obsah místně. Modul pořadí úkolů může stahovat balíčky na vyžádání z cmg s podporou obsahu nebo cloudového distribučního bodu. Tato možnost poskytuje větší flexibilitu při nasazení místního upgradu Windows na internetová zařízení.

• Před spuštěním pořadí úkolů stáhněte veškerý obsah místně. Při této možnosti klient Configuration Manager stáhne obsah z cloudového zdroje před spuštěním pořadí úkolů.

• Cloudový distribuční bod nepodporuje nasazení balíčků s možností Spustit program z distribučního bodu. Pomocí možnosti nasazení stáhněte obsah z distribučního bodu a spusťte místně.

Omezení

• Cloudový distribuční bod nemůžete použít pro nasazení s podporou PXE nebo vícesměrového vysílání.

• Cloudový distribuční bod nepodporuje streamované aplikace App-V.

• Cloudový distribuční bod nepodporuje obsah pro Microsoft 365 Apps aktualizace.

• V cloudovém distribučním bodě není možné předem připravit obsah . Správce distribuce primární lokality, která spravuje cloudový distribuční bod, přenese veškerý obsah.

• Cloudový distribuční bod nemůžete nakonfigurovat jako distribuční bod pro vyžádání změn.

Cena

Důležité

Následující informace o nákladech jsou určené pouze pro účely odhadu. Vaše prostředí může mít další proměnné, které ovlivňují celkové náklady na používání cloudového distribučního bodu.

Configuration Manager obsahuje následující možnosti, které vám pomůžou řídit náklady a monitorovat přístup k datům:

• Ovládejte a monitorujte množství obsahu, který ukládáte v cloudové službě. Další informace najdete v tématu Monitorování cloudových distribučních bodů.

• Nakonfigurujte Configuration Manager tak, aby vás upozorňovaly, když prahové hodnoty pro stahování klientů překročí nebo překročí měsíční limity. Další informace najdete v tématu Upozornění prahové hodnoty přenosu dat.

• Pokud chcete snížit počet přenosů dat z cloudových distribučních bodů klienty, použijte jednu z následujících technologií peer cache:

  • Configuration Manager peer cache

  • Windows BranchCache

  • Optimalizace doručení ve Windows

    Další informace najdete v tématu Základní koncepty správy obsahu.

Součásti

Cloudový distribuční bod používá následující komponenty Azure, za které se účtují poplatky za účet předplatného Azure:

Tip

Brána pro správu cloudu může také poskytovat obsah klientům. Tato funkce snižuje náklady konsolidací virtuálních počítačů Azure. Další informace najdete v tématu Náklady na bránu pro správu cloudu.

Virtuální počítač

• Cloudový distribuční bod používá Azure Cloud Services jako platforma jako služba (PaaS). Tato služba používá virtuální počítače, na které se účtují náklady na výpočetní prostředky.

• Každá služba distribučního bodu cloudu používá dva virtuální počítače Standard A0.

• S určením potenciálních nákladů vám pomůže cenová kalkulačka Azure .

  Poznámka

  Náklady na virtuální počítače se liší podle oblasti.

Odchozí přenos dat

• Všechny toky dat do Azure jsou bezplatné (příchozí přenos dat nebo nahrávání). Distribuce obsahu z webu do cloudového distribučního bodu se nahrává do Azure.

• Poplatky jsou založené na datech, která odtékají z Azure (výchozí přenos dat nebo stahování). Toky dat cloudového distribučního bodu z Azure se skládají ze softwarového obsahu, který si klienti stahují.

• Další informace najdete v tématu Monitorování cloudových distribučních bodů.

• Informace o cenách šířky pásma Azure vám pomůžou určit potenciální náklady. Ceny za přenos dat jsou vrstvené. Čím více využijete, tím méně platíte za gigabajt.

Úložiště obsahu

• Internetoví klienti získají obsah aktualizací softwaru Microsoftu z cloudové služby Microsoft Update zdarma. Nedistribuujte balíčky pro nasazení aktualizací softwaru s aktualizacemi softwaru Microsoftu do cloudového distribučního bodu. Jinak se vám budou účtovat náklady na úložiště dat pro obsah, který klienti nikdy nepoužívají.

• Cloudové distribuční body s nasazením Azure Resource Manager používají místně redundantní úložiště Azure (LRS). Další informace najdete v tématu Místně redundantní úložiště.

Další náklady

• Každá cloudová služba má dynamickou IP adresu. Každý odlišný distribuční bod cloudu používá novou dynamickou IP adresu. Přidáním dalších virtuálních počítačů na cloudovou službu se tyto adresy nezvětší.

Porty a tok dat

Existují dva primární toky dat pro cloudový distribuční bod:

• Server lokality se připojí k Azure a nastaví službu cloudového distribučního bodu.

• Klient se připojí ke cloudovému distribučnímu bodu a stáhne obsah.

Server lokality do Azure

Do místní sítě nemusíte otevírat žádné příchozí porty. Server lokality zahájí veškerou komunikaci s Azure a cloudovým distribučním bodem za účelem nasazení, aktualizace a správy cloudové služby. Server lokality musí vytvořit odchozí připojení ke cloudu Microsoftu. Tato akce je ekvivalentní instalaci role systému lokality distribučního bodu v konkrétní lokalitě.

Distribuční bod klienta do cloudu

Do místní sítě nemusíte otevírat žádné příchozí porty. Internetoví klienti komunikují přímo se službou Azure. Klienti ve vaší interní síti, kteří používají cloudový distribuční bod, se musí připojit ke cloudu Microsoftu.

Další informace o prioritě umístění obsahu a o tom, kdy intranetoví klienti používají cloudový distribuční bod, najdete v tématu Priorita zdroje obsahu.

Když klient používá cloudový distribuční bod jako umístění obsahu:

1. Bod správy poskytne klientovi přístupový token spolu se seznamem zdrojů obsahu. Tento token je platný 24 hodin a poskytuje klientovi přístup ke cloudovému distribučnímu bodu.

2. Bod správy odpoví na žádost klienta o umístění pomocí plně kvalifikovaného názvu domény služby cloudového distribučního bodu. Tato vlastnost je stejná jako běžný název ověřovacího certifikátu serveru.

   Pokud používáte název domény, například WallaceFalls.contoso.com, klient se nejprve pokusí tento plně kvalifikovaný název domény přeložit. V internetovém DNS vaší domény potřebujete alias CNAME, aby klienti mohli přeložit název služby Azure, například: WallaceFalls.cloudapp.net.

3. Klient dále přeloží název služby Azure, například WallaceFalls.cloudapp.net, na platnou IP adresu. Tuto odpověď by měl zpracovávat DNS Azure.

4. Klient se připojí ke cloudovému distribučnímu bodu. Azure vyrovnává zatížení připojení k jedné z instancí virtuálních počítačů. Klient se ověří pomocí přístupového tokenu.

5. Cloudový distribuční bod ověří přístupový token klienta a pak klientovi poskytne přesné umístění obsahu ve službě Azure Storage.

6. Pokud klient důvěřuje ověřovacímu certifikátu serveru cloudového distribučního bodu, připojí se ke službě Azure Storage a stáhne obsah.

Výkon a škálování

Stejně jako u každého návrhu distribučního bodu zvažte následující faktory:

• Počet souběžných klientských připojení
• Velikost obsahu, který klienti stahujou
• Doba potřebná ke splnění vašich obchodních požadavků

V závislosti na návrhu topologie platí, že pokud mají klienti možnost více než jednoho cloudového distribučního bodu pro jakýkoli daný obsah, pak v těchto cloudových službách přirozeně náhodně nahodí. Pokud distribuujete jenom určitou část obsahu do jednoho cloudového distribučního bodu a velký počet klientů se pokusí stáhnout tento obsah současně, znamená tato aktivita vyšší zatížení tohoto jednoho cloudového distribučního bodu. Přidání dalšího cloudového distribučního bodu zahrnuje také samostatnou službu úložiště Azure. Další informace o tom, jak klient komunikuje se součástmi cloudového distribučního bodu a stahuje obsah, najdete v tématu Porty a tok dat.

Cloudový distribuční bod používá dva virtuální počítače Azure jako front-end úložiště Azure. Toto výchozí nasazení splňuje potřeby většiny zákazníků. V některých extrémních případech, kdy je velký počet souběžných připojení klientů (například 150 000 klientů), kapacita zpracování virtuálních počítačů Azure nemůže držet krok s požadavky klientů. Nemůžete změnit velikost virtuálních počítačů Azure používaných pro cloudový distribuční bod. I když nemůžete nakonfigurovat počet instancí virtuálních počítačů pro cloudový distribuční bod v Configuration Manager v případě potřeby překonfigurujte cloudovou službu v Azure Portal. Buď ručně přidejte další instance virtuálních počítačů, nebo nakonfigurujte službu na automatické škálování.

Důležité

Při aktualizaci Configuration Manager web znovu nasadí cloudovou službu. Pokud ručně překonfigurujete cloudovou službu v Azure Portal, počet instancí se obnoví na výchozí hodnotu dvou instancí.

Služba Azure Storage podporuje 500 požadavků za sekundu pro jeden soubor. Testování výkonu jednoho cloudového distribučního bodu podporuje distribuci jednoho souboru o velikosti 100 MB do 50 000 klientů za 24 hodin.

Certifikáty

V závislosti na návrhu cloudového distribučního bodu potřebujete jeden nebo více digitálních certifikátů.

Obecné informace

Certifikáty pro cloudové distribuční body podporují následující konfigurace:

• Délka klíče 4096 bitů

• Certifikáty verze 3. Další informace najdete v tématu Přehled certifikátů CNG.

• Když nakonfigurujete Windows pomocí následujících zásad: Kryptografie systému: Použití algoritmů kompatibilních s FIPS pro šifrování, hashování a podepisování

• Podpora protokolu TLS 1.2. Další informace najdete v tématu Technické reference k kryptografickým ovládacím prvkům.

Ověřovací certifikát serveru

Tento certifikát se vyžaduje pro všechna nasazení cloudových distribučních bodů.

Další informace najdete v tématu Ověřovací certifikát serveru CMG a podle potřeby v následujících pododdílech:

• Důvěryhodný kořenový certifikát CMG pro klienty
• Ověřovací certifikát serveru vydaný veřejným poskytovatelem
• Certifikát pro ověřování serveru vydaný z podnikové infrastruktury veřejných klíčů

Cloudový distribuční bod používá tento typ certifikátu stejným způsobem jako brána pro správu cloudu. Klienti také musí tomuto certifikátu důvěřovat. V zájmu snížení složitosti Microsoft doporučuje používat certifikát vystavený veřejným poskytovatelem.

Pokud nepoužíváte zástupný certifikát, nepoužívejte stejný certifikát opakovaně. Každá instance cloudového distribučního bodu a brány pro správu cloudu vyžaduje jedinečný ověřovací certifikát serveru.

Další informace o vytvoření tohoto certifikátu z infrastruktury veřejných klíčů najdete v tématu Nasazení certifikátu služby pro cloudové distribuční body.

Nejčastější dotazy

Potřebuje klient certifikát ke stažení obsahu z cloudového distribučního bodu?

Certifikát pro ověřování klienta se nevyžaduje. Klient musí důvěřovat ověřovacímu certifikátu serveru používanému cloudovým distribučním bodem. Pokud je tento certifikát vydaný veřejným poskytovatelem certifikátů, pak většina zařízení s Windows už obsahuje důvěryhodné kořenové certifikáty pro tyto zprostředkovatele. Pokud jste vydali ověřovací certifikát serveru z infrastruktury veřejných klíčů vaší organizace, musí vaši klienti důvěřovat vydávajícím certifikátům v celém řetězci. Tento řetěz zahrnuje kořenovou certifikační autoritu a všechny zprostředkující certifikační autority. V závislosti na návrhu infrastruktury veřejných klíčů může tento certifikát komplikovat nasazení cloudového distribučního bodu. Aby se této složitosti zabránilo, doporučuje Microsoft používat veřejného poskytovatele certifikátů, kterému už vaši klienti důvěřují.

Můžou moji místní klienti používat cloudový distribuční bod?

Ano. Pokud chcete, aby klienti ve vaší interní síti používali cloudový distribuční bod, musí být ve stejné skupině hranic jako klienti. Klienti upřednostňují cloudové distribuční body ve svém seznamu zdrojů obsahu jako poslední, protože stahování obsahu z Azure je spojené s náklady. Proto se cloudový distribuční bod obvykle používá jako záložní zdroj pro intranetové klienty. Pokud chcete návrh založený na cloudu, pak odpovídajícím způsobem navrhněte skupiny hranic. Další informace najdete v tématu Konfigurace skupin hranic.

Potřebuji Azure ExpressRoute?

Azure ExpressRoute umožňuje rozšířit místní síť do cloudu Microsoftu. ExpressRoute ani jiná taková připojení virtuálních sítí se pro Configuration Manager distribuční bod cloudu nevyžadují.

Pokud vaše organizace používá ExpressRoute, izolujte předplatné Azure pro cloudový distribuční bod od předplatného, které používá ExpressRoute. Tato konfigurace zajišťuje, že cloudový distribuční bod nebude tímto způsobem náhodně připojený.

Musím udržovat virtuální počítače Azure?

Nevyžaduje se žádná údržba. Návrh cloudového distribučního bodu používá platformu Azure jako službu (PaaS). Pomocí předplatného, které zadáte, Configuration Manager vytvoří potřebné virtuální počítače, úložiště a sítě. Azure zabezpečuje a aktualizuje virtuální počítače. Tyto virtuální počítače nejsou součástí místního prostředí, jako je tomu u infrastruktury jako služby (IaaS). Cloudový distribuční bod je PaaS, který rozšiřuje vaše Configuration Manager prostředí do cloudu. Další informace najdete v tématu Výhody zabezpečení modelu cloudové služby PaaS.

Používá cloudový distribuční bod Azure CDN?

Azure Content Delivery Network (CDN) je globální řešení pro rychlé doručování obsahu s velkou šířkou pásma prostřednictvím ukládání obsahu do mezipaměti na strategicky umístěných fyzických uzlech po celém světě. Další informace najdete v tématu Co je Azure CDN?.

Configuration Manager cloudový distribuční bod v současné době nepodporuje Azure CDN.

Další kroky

Instalace cloudových distribučních bodů