Plánování brány pro správu cloudu v Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Platí pro: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Brána pro správu cloudu (CMG) poskytuje jednoduchý způsob správy Configuration Manager klientů na internetu.The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Nasazením CMG jako cloudové služby v Microsoft Azure můžete spravovat tradiční klienty, kteří se přecházejí na Internet bez další místní infrastruktury.By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. Nemusíte také zveřejňovat místní infrastrukturu s internetem.You also don't need to expose your on-premises infrastructure to the internet.

Poznámka

Configuration Manager ve výchozím nastavení nepovolí tuto volitelnou funkci.Configuration Manager doesn't enable this optional feature by default. Tuto funkci musíte před použitím povolit.You must enable this feature before using it. Další informace naleznete v části Enable optional features from updates.For more information, see Enable optional features from updates.

Po vytvoření požadavků se vytváření CMG skládá z následujících tří kroků v konzole Configuration Manager:After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. Nasaďte cloudovou službu CMG do Azure.Deploy the CMG cloud service to Azure.
  2. Přidejte roli spojovacího bodu CMG.Add the CMG connection point role.
  3. Nakonfigurujte role lokality a lokality pro službu.Configure the site and site roles for the service. Po nasazení a konfiguraci budou klienti bezproblémově přistupovat k místním rolím lokality bez ohledu na to, jestli jsou na intranetu nebo na internetu.Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

Tento článek poskytuje základní informace o CMG, návrhu, jak se ve vašem prostředí hodí, a naplánujte implementaci.This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.

ScénářeScenarios

Existuje několik scénářů, u kterých je CMG užitečné.There are several scenarios for which a CMG is beneficial. Níže jsou uvedeny některé z častých scénářů:The following scenarios are some of the more common:

  • Spravujte tradiční klienty Windows pomocí identity připojené k doméně služby Active Directory.Manage traditional Windows clients with Active Directory domain-joined identity. Mezi tyto klienty patří Windows 7, Windows 8.1 a Windows 10.These clients include Windows 7, Windows 8.1, and Windows 10. Používá certifikáty PKI k zabezpečení komunikačního kanálu.It uses PKI certificates to secure the communication channel. Mezi aktivity správy patří:Management activities include:

    • Aktualizace softwaru a Endpoint ProtectionSoftware updates and endpoint protection
    • Stav inventáře a klientaInventory and client status
    • Nastavení dodržování předpisůCompliance settings
    • Distribuce softwaru do zařízeníSoftware distribution to the device
    • Pořadí úkolů místního upgradu Windows 10Windows 10 in-place upgrade task sequence
  • Spravujte tradiční klienty Windows 10 pomocí moderní identity, ať už je to hybridní nebo čistě cloudová doména – připojené k Azure Active Directory (Azure AD).Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). Klienti používají Azure AD k ověřování místo certifikátů PKI.Clients use Azure AD to authenticate rather than PKI certificates. Použití Azure AD je jednodušší k nastavení, konfiguraci a údržbě než složitější systémy PKI.Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. Aktivity správy jsou stejné jako první scénář a také:Management activities are the same as the first scenario, as well as:

    • Distribuce softwaru uživateliSoftware distribution to the user
  • Nainstalujte klienta Configuration Manager do zařízení s Windows 10 přes Internet.Install the Configuration Manager client on Windows 10 devices over the internet. Použití Azure AD umožňuje zařízení ověřit CMG pro registraci a přiřazení klienta.Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. Klienta můžete nainstalovat ručně nebo pomocí jiné metody distribuce softwaru, například Microsoft Intune.You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • Nové zřizování zařízení s spolusprávou.New device provisioning with co-management. Při automatickém zápisu stávajících klientů se CMG nevyžaduje pro spolusprávu.When auto-enrolling existing clients, CMG isn't required for co-management. Vyžaduje se pro nová zařízení, která zahrnují Windows autopilot, Azure AD, Microsoft Intune a Configuration Manager.It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. Další informace najdete v tématu věnovaném cestám ke společné správě.For more information, see Paths to co-management.

Konkrétní případy použitíSpecific use cases

V těchto scénářích mohou být uplatněny následující případy použití konkrétního zařízení:Across these scenarios the following specific device use cases may apply:

  • Roamingová zařízení, jako jsou laptopyRoaming devices such as laptops

  • Vzdálená zařízení nebo firemní pobočky, které jsou levnější a efektivnější pro správu přes Internet než přes síť WAN nebo přes síť VPN.Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • Fúze a akvizice, kde může být nejjednodušší připojit zařízení ke službě Azure AD a spravovat je prostřednictvím CMG.Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.

Důležité

Ve výchozím nastavení všichni klienti obdrží zásady pro CMG a začnou je používat, když se stanou na internetu.By default all clients receive policy for a CMG, and start using it when they become internet-based. V závislosti na scénáři a případu použití, který se vztahuje k vaší organizaci, možná budete muset určit rozsah používání CMG.Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. Další informace najdete v tématu Povolení použití klientského nastavení brány pro správu cloudu v klientech.For more information, see the Enable clients to use a cloud management gateway client setting.

Návrh topologieTopology design

Součásti CMGCMG components

Nasazení a provoz CMG zahrnuje následující komponenty:Deployment and operation of the CMG includes the following components:

  • Cloudová služba CMG v Azure ověřuje a přesměruje Configuration Manager požadavky klienta na bod připojení CMG.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • Role systému lokality spojovacího bodu CMG umožňuje konzistentní a vysoce výkonné připojení z místní sítě ke službě CMG v Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Publikuje také nastavení do CMG, včetně informací o připojení a nastavení zabezpečení.It also publishes settings to the CMG including connection information and security settings. Bod připojení CMG přesměruje požadavky klienta z CMG do místních rolí podle mapování adres URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • Role systému lokality spojovacího bodu služby spouští komponentu Cloud Service Manager, která zpracovává všechny úlohy nasazení CMG.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Kromě toho monitoruje a hlásí informace o stavu a protokolování služby z Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Ujistěte se, že je váš spojovací bod služby v online režimu.Make sure your service connection point is in online mode.

  • Požadavky klientů služby role systému lokality bodu správy na normální.The management point site system role services client requests per normal.

  • Požadavky klientů na službu role systému lokality bodu aktualizace softwaru na normální.The software update point site system role services client requests per normal.

  • Internetoví klienti se připojují k CMG pro přístup k místním součástem Configuration Manager.Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • CMG používá webovou službu https založenou na certifikátech k zabezpečení síťové komunikace s klienty.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • Internetoví klienti používají certifikáty PKI nebo Azure AD k ověřování identity a ověřování.Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • Distribuční bod cloudu poskytuje podle potřeby obsah pro internetové klienty.A cloud distribution point provides content to internet-based clients, as needed.

    • Od verze 1806 může CMG také poskytovat obsah klientům.Starting in version 1806, a CMG can also serve content to clients. Tato funkce snižuje nároky na požadované certifikáty a náklady na virtuální počítače Azure.This functionality reduces the required certificates and cost of Azure VMs. Další informace najdete v tématu Úprava CMG.For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Vytvořte CMG pomocí nasazení Azure Resource Manager.Create the CMG using an Azure Resource Manager deployment. Azure Resource Manager je moderní platforma pro správu všech prostředků řešení jako jedné entity, která se označuje jako Skupina prostředků.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Když nasazujete CMG s Azure Resource Manager, lokalita používá Azure Active Directory (Azure AD) k ověření a vytvoření potřebných cloudových prostředků.When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. Toto moderní nasazení nevyžaduje klasický certifikát pro správu Azure.This modernized deployment doesn't require the classic Azure management certificate.

Poznámka

Tato funkce nepovoluje podporu pro poskytovatele cloudových služeb Azure (CSP).This capability doesn't enable support for Azure Cloud Service Providers (CSP). Nasazení CMG s Azure Resource Manager nadále používá klasickou cloudovou službu, kterou CSP nepodporuje.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Další informace najdete v tématu dostupné služby Azure v CSP Azure.For more information, see available Azure services in Azure CSP.

Počínaje verzí 1902 Configuration Manager Azure Resource Manager je jediným mechanismem nasazení pro nové instance brány pro správu cloudu.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Existující nasazení budou fungovat i nadále.Existing deployments continue to work.

V Configuration Manager verze 1810 a starší podporuje Průvodce CMG i možnost nasazení klasické služby pomocí certifikátu pro správu Azure.In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. Pro zjednodušení nasazení a správy prostředků se doporučuje model nasazení Azure Resource Manager pro všechny nové instance CMG.To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. Pokud je to možné, znovu nasaďte existující instance CMG prostřednictvím Správce prostředků.If possible, redeploy existing CMG instances through Resource Manager. Další informace najdete v tématu Úprava CMG.For more information, see Modify a CMG.

Důležité

Počínaje verzí 1810 je nasazení klasické služby v Azure zastaralé pro použití v Configuration Manager.Starting in version 1810, the classic service deployment in Azure is deprecated for use in Configuration Manager. Tato verze je poslední, aby podporovala vytváření těchto nasazení Azure.This version is the last to support creation of these Azure deployments. Tato funkce bude odebrána v budoucí verzi Configuration Manager.This functionality will be removed in a future Configuration Manager version.

Návrh hierarchieHierarchy design

Vytvořte CMG v lokalitě nejvyšší úrovně ve vaší hierarchii.Create the CMG at the top-tier site of your hierarchy. Pokud se jedná o lokalitu centrální správy, vytvořte body připojení CMG v podřízených primárních lokalitách.If that's a central administration site, then create CMG connection points at child primary sites. Součást cloudového portálu Service Manager je ve spojovacím bodu služby, který je také v lokalitě centrální správy.The cloud service manager component is on the service connection point, which is also on the central administration site. V případě potřeby může tento návrh sdílet službu v různých primárních lokalitách.This design can share the service across different primary sites if needed.

V Azure můžete vytvořit několik služeb CMG a můžete vytvořit několik přípojných bodů CMG.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. Několik přípojných bodů CMG poskytuje vyrovnávání zatížení klientského provozu z CMG do místních rolí.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles. Chcete-li snížit latenci sítě, přiřaďte přidruženou CMG ke stejné geografické oblasti jako primární lokalita.To reduce network latency, assign the associated CMG to the same geographical region as the primary site.

Počínaje verzí 1902 můžete přidružit CMG k hraniční skupině.Starting in version 1902, you can associate a CMG with a boundary group. Tato konfigurace umožňuje klientům výchozí nebo záložní CMG pro komunikaci klientů podle vztahů skupin hranic.This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. Toto chování je užitečné hlavně v scénářích firemních poboček a VPN.This behavior is especially useful in branch office and VPN scenarios. Místo toho můžete směrovat klientský provoz z nákladných i pomalých připojení WAN, aby používal rychlejší služby v Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Poznámka

Internetoví klienti nespadají do žádné skupiny hranic.Internet-based clients don't fall into any boundary group.

V Configuration Manager verze 1810 a starší CMG nespadají do žádné skupiny hranic.In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

Další faktory, jako je třeba počet klientů, které se mají spravovat, mají vliv na návrh CMG.Other factors, such as the number of clients to manage, also impact your CMG design. Další informace najdete v tématu výkon a škálování.For more information, see Performance and scale.

Příklad 1: samostatná primární lokalitaExample 1: standalone primary site

Společnost Contoso má samostatnou primární lokalitu v místním datacentru v sídle v New York City.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Vytvářejí CMG v oblasti Východní USA Azure, aby se snížila latence sítě.They create a CMG in the East US Azure region to reduce network latency.
  • Vytvářejí dva spojovací body CMG, které jsou propojeny s jednou službou CMG.They create two CMG connection points, both linked to the single CMG service.

Když klienti přecházejí do Internetu, komunikují s CMG v oblasti Východní USA Azure.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. CMG předává tuto komunikaci prostřednictvím obou přípojných bodů CMG.The CMG forwards this communication through both of the CMG connection points.

Příklad 2: hierarchieExample 2: hierarchy

Čtvrtá káva má lokalitu centrální správy v místním datacentru v Seattlu.Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. Jedna primární lokalita je ve stejném datovém centru a druhá primární lokalita se nachází v hlavní evropské kanceláři v Paříži.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • V lokalitě centrální správy vytvoří služba CMG ve Západní USA oblasti Azure.On the central administration site, they create a CMG service in the West US Azure region. Škálují počet virtuálních počítačů pro očekávané zatížení cestovních klientů v celé hierarchii.They scale the number of VMs for the expected load of roaming clients in the entire hierarchy.
  • V primární lokalitě založené na Seattlu vytvoří bod připojení CMG propojený s jedním CMG.On the Seattle-based primary site, they create a CMG connection point linked to the single CMG.
  • V primární lokalitě založené na Paříži vytvoří spojovací bod CMG propojený s jedním CMG.On the Paris-based primary site, they create a CMG connection point linked to the single CMG.

Když klienti přecházejí do Internetu, komunikují s CMG v oblasti Západní USA Azure.As clients roam onto the internet, they communicate with the CMG in the West US Azure region. CMG předává tuto komunikaci do spojovacího bodu CMG v primární lokalitě přiřazené klientovi.The CMG forwards this communication to the CMG connection point in the client's assigned primary site.

Tip

Pro účely geografického umístění není nutné nasazovat více instancí CMG.You don't need to deploy multiple CMG instances for the purposes of geolocation. Klient Configuration Manager se většinou netýká mírné latence, která se vyskytuje u cloudové služby, a to i v případě geograficky vzdálené.The Configuration Manager client is mostly unaffected by the slightly latency that occurs with the cloud service, even when geographically distant.

požadavkyRequirements

  • Předplatné Azure , které bude HOSTOVAT službu CMG.An Azure subscription to host the CMG.

  • Správce Azure se musí zúčastnit prvotního vytváření určitých součástí v závislosti na vašem návrhu.An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. Tento uživatel nevyžaduje oprávnění v Configuration Manager.This persona doesn't require permissions in Configuration Manager.

    • K nasazení CMG potřebujete Správce předplatného .To deploy the CMG, you need a Subscription Admin
    • Pokud chcete web integrovat se službou Azure AD pro nasazení CMG pomocí Azure Resource Manager, budete potřebovat globální správce .To integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • Aspoň jeden místní Windows Server pro hostování spojovacího bodu CMG.At least one on-premises Windows server to host the CMG connection point. Tuto roli můžete společně najít pomocí jiných Configuration Manager rolí systému lokality.You can colocate this role with other Configuration Manager site system roles.

  • Spojovací bod služby musí být v online režimu.The service connection point must be in online mode.

  • Integrace se službou Azure AD pro nasazení služby pomocí Azure Resource Manager.Integration with Azure AD for deploying the service with Azure Resource Manager. Další informace najdete v tématu Konfigurace služeb Azure.For more information, see Configure Azure services.

  • Ověřovací certifikát serveru pro CMG.A server authentication certificate for the CMG.

  • V závislosti na verzi operačního systému klienta a modelu ověřování mohou být vyžadovány Další certifikáty .Other certificates may be required, depending upon your client OS version and authentication model. Další informace najdete v tématu certifikáty CMG.For more information, see CMG certificates.

    Počínaje verzí 1806 platí, že při použití možnosti web k použití Configuration Manager generované certifikáty pro systémy lokality httpmůže být bod správy http.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Další informace najdete v tématu Rozšířená http.For more information, see Enhanced HTTP.

  • Pokud používáte metodu nasazení Azure Classic, musíte v Configuration Manager verze 1810 nebo starší použít certifikát pro správu Azure.In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.

    Tip

    Použijte model nasazení Azure Resource Manager .Use the Azure Resource Manager deployment model. Nevyžaduje tento certifikát pro správu.It doesn't require this management certificate.

    Metoda klasického nasazení je zastaralá od verze 1810.The classic deployment method is deprecated as of version 1810.

  • Klienti musí používat protokol IPv4.Clients must use IPv4.

SpecifikaceSpecifications

  • Všechny verze systému Windows uvedené v podporovaných operačních systémech pro klienty a zařízení jsou podporovány pro CMG.All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • CMG podporuje pouze role bodu správy a bodu aktualizace softwaru.CMG only supports the management point and software update point roles.

  • CMG nepodporuje klienty, kteří komunikují pouze s adresami IPv6.CMG doesn't support clients that only communicate with IPv6 addresses.

  • Body aktualizace softwaru používající nástroj pro vyrovnávání zatížení sítě nefungují s CMG.Software update points using a network load balancer don't work with CMG.

  • CMG nasazení pomocí modelu prostředků Azure nepovolí podporu pro poskytovatele cloudových služeb Azure (CSP).CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). Nasazení CMG s Azure Resource Manager nadále používá klasickou cloudovou službu, kterou CSP nepodporuje.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Další informace najdete v tématu dostupné služby Azure ve zprostředkovateli CSP Azure .For more information, see available Azure services in Azure CSP

Podpora funkcí Configuration ManagerSupport for Configuration Manager features

V následující tabulce jsou uvedeny CMG podpora pro funkce Configuration Manager:The following table lists CMG support for Configuration Manager features:

FunkceFeature SupportSupport
Aktualizace softwaruSoftware updates Podporováno
Ochrana koncového boduEndpoint protection Podporováno
Inventář hardwaru a softwaruHardware and software inventory Podporováno
Stav klienta a oznámeníClient status and notifications Podporováno
Spustit skriptyRun scripts Podporováno
Nastavení dodržování předpisůCompliance settings Podporováno
Instalace klientaClient install
(s integrací Azure AD)(with Azure AD integration)
Podporováno
Distribuce softwaru (zaměřená na zařízení)Software distribution (device-targeted) Podporováno
Distribuce softwaru (vyžaduje se pro uživatele)Software distribution (user-targeted, required)
(s integrací Azure AD)(with Azure AD integration)
Podporováno
Distribuce softwaru (cílová a dostupná pro uživatele)Software distribution (user-targeted, available)
(všechny požadavky)(all requirements)
Podporováno
Pořadí úkolů místního upgradu Windows 10Windows 10 in-place upgrade task sequence Podporováno
Sekvence úloh, které nepoužívají spouštěcí image a jsou nasazené s možností: před spuštěním pořadí úloh stáhnout veškerý obsah místněTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence Podporováno
CMPivotCMPivot Podporováno (1806)(1806)
Jakýkoli jiný scénář pořadí úkolůAny other task sequence scenario Není podporované
Klientská nabízená instalaceClient push Není podporované
Automatické přiřazení lokalityAutomatic site assignment Není podporované
Žádosti o schválení softwaruSoftware approval requests Není podporované
Konzola nástroje Configuration ManagerConfiguration Manager console Není podporované
Vzdálené nástrojeRemote tools Není podporované
Web vytváření sestavReporting website Není podporované
Funkce vzdáleného probuzení Wake on LANWake on LAN Není podporované
Klienti se systémem Mac, Linux a UNIXMac, Linux, and UNIX clients Není podporované
Sdílená mezipaměťPeer cache Není podporované
Místní MDMOn-premises MDM Není podporované
KlíčKey
Podporováno = Tato funkce je podporována u CMG pro všechny podporované verze Configuration Manager= This feature is supported with CMG by all supported versions of Configuration Manager
podporované (YYMM) = Tato funkce je podporována u CMG počínaje verzí YYMM Configuration ManagerSupported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
Není podporované = Tato funkce není u CMG podporována.= This feature isn't supported with CMG

NákladyCost

Důležité

Následující informace o nákladech slouží pouze k odhadování účelu.The following cost information is for estimating purposes only. Vaše prostředí může mít jiné proměnné, které mají vliv na celkové náklady na používání CMG.Your environment may have other variables that affect the overall cost of using CMG.

CMG používá následující komponenty Azure, které se účtují za účet předplatného Azure:CMG uses the following Azure components, which incur charges to the Azure subscription account:

Virtuální počítačVirtual machine

  • CMG používá Azure Cloud Services jako službu (PaaS).CMG uses Azure Cloud Services as platform as a service (PaaS). Tato služba používá virtuální počítače, které účtují výpočetní náklady.This service uses virtual machines (VMs) that incur compute costs.

  • CMG používá standardní virtuální počítač a2 v2.CMG uses a Standard A2 V2 VM.

  • Vyberte, kolik instancí virtuálních počítačů podporuje CMG.You select how many VM instances support the CMG. Jedna je výchozí hodnota a 16 je maximum.One is the default, and 16 is the maximum. Toto číslo se nastaví při vytváření CMG a později se dá změnit, aby se služba mohla podle potřeby škálovat.This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • Další informace o tom, kolik virtuálních počítačů potřebujete pro podporu klientů, najdete v tématu výkon a škálování.For more information on how many VMs you need to support your clients, see Performance and scale.

  • Podívejte se na cenové kalkulačky Azure , které vám pomůžou určit možné náklady.See the Azure pricing calculator to help determine potential costs.

    Poznámka

    Náklady na virtuální počítač se liší podle oblasti.Virtual machine costs vary by region.

Přenos odchozích datOutbound data transfer

  • Poplatky se účtují na základě toku dat z Azure (výstup nebo stažení).Charges are based on data flowing out of Azure (egress or download). Veškerá data toků do Azure jsou volná (příchozí nebo odesílací).Any data flows into Azure are free (ingress or upload). CMG data z Azure zahrnují zásady pro klienta, oznámení klientů a odpovědi klientů předané CMG do lokality.CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. Mezi tyto odpovědi patří sestavy inventáře, stavové zprávy a stav dodržování předpisů.These responses include inventory reports, status messages, and compliance status.

  • I bez jakýchkoli klientů, kteří komunikují s CMG, způsobí některá komunikace na pozadí síťový provoz mezi CMG a místní lokalitou.Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Zobrazení odchozích přenosů dat (GB) v konzole Configuration Manager.View the Outbound data transfer (GB) in the Configuration Manager console. Další informace najdete v tématu monitorování klientů v CMG.For more information, see Monitor clients on CMG.

  • Další informace o cenách najdete v podrobnostech o cenách šířky pásma Azure .See the Azure bandwidth pricing details to help determine potential costs. Ceny za přenos dat jsou vrstveny.Pricing for data transfer is tiered. Tím více využijete, tím méně platíte za gigabajt.The more you use, the less you pay per gigabyte.

  • Pro účely odhadováníje pro internetové klienty očekáváno přibližně 100-300 MB na klienta za měsíc.For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. Nižší odhad je pro výchozí konfiguraci klienta.The lower estimate is for a default client configuration. Horní odhad je pro účinnější konfiguraci klienta.The upper estimate is for a more aggressive client configuration. Vaše skutečné využití se může lišit v závislosti na tom, jak konfigurujete nastavení klienta.Your actual usage may vary depending upon how you configure client settings.

    Poznámka

    Provádění dalších akcí, jako je nasazení aktualizací softwaru nebo aplikací, zvyšuje objem odchozích přenosů dat z Azure.Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • Nespravovaná konfigurace možnosti CMG pro ověření odvolání klientského certifikátu může způsobit další provoz od klientů až po CMG.Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. Tento další provoz může zvýšit objem dat Azure pro výstup, což může zvýšit náklady na Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs. Další informace najdete v tématu publikování seznamu odvolaných certifikátů.For more information, see Publish the certificate revocation list.

Úložiště obsahuContent storage

  • Internetoví klienti získají obsah aktualizace softwaru společnosti Microsoft od web Windows Update zdarma.Internet-based clients get Microsoft software update content from Windows Update at no charge. Nedistribuujte balíčky aktualizací pomocí obsahu služby Microsoft Update do distribučního bodu cloudu, jinak můžete účtovat náklady na úložiště a výstup dat.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • Pro jakýkoliv jiný nezbytný obsah, jako jsou aplikace nebo aktualizace softwaru třetích stran, musíte distribuovat do cloudového distribučního bodu.For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. V současné době CMG podporuje pouze distribuční bod cloudu pro posílání obsahu klientům.Currently, the CMG supports only the cloud distribution point for sending content to clients.

  • Další informace najdete v tématu náklady na používání cloudových distribučních bodů.For more information, see the cost of using cloud distribution points.

  • Od verze 1806 může být CMG také distribučním bodem cloudu pro poskytování obsahu klientům.Starting in version 1806, a CMG can also be a cloud distribution point to serve content to clients. Tato funkce snižuje nároky na požadované certifikáty a náklady na virtuální počítače Azure.This functionality reduces the required certificates and cost of Azure VMs. Další informace najdete v tématu Úprava CMG.For more information, see Modify a CMG.

Další nákladyOther costs

  • Každá cloudová služba má dynamickou IP adresu.Each cloud service has a dynamic IP address. Každý jedinečný CMG používá novou dynamickou IP adresu.Each distinct CMG uses a new dynamic IP address. Přidání dalších virtuálních počítačů na CMG tyto adresy nezvyšuje.Adding additional VMs per CMG doesn't increase these addresses.

Výkon a škálováníPerformance and scale

Další informace o škále CMG najdete v tématu věnovaném velikostem a škálováním čísel.For more information on CMG scale, see Size and scale numbers.

Následující doporučení vám pomohou zlepšit výkon CMG:The following recommendations can help you improve CMG performance:

  • Pokud je to možné, nakonfigurujte CMG spojovací bod CMG Configuration Manager a server lokality ve stejné oblasti sítě, aby se snížila latence.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.

  • Spojení mezi klientem Configuration Manager a CMGem nezohledňuje oblast.The connection between the Configuration Manager client and the CMG isn't region-aware. Komunikace klientů je z velké části neovlivněna latencí nebo geografickým oddělením.Client communication is largely unaffected by latency / geographic separation. Pro účely geografické blízkosti není nutné nasazovat víc CMG.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Nasaďte CMG v lokalitě nejvyšší úrovně ve vaší hierarchii a přidejte instance pro zvýšení měřítka.Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • Pro zajištění vysoké dostupnosti služby vytvořte CMG s alespoň dvěma instancemi CMG a dvěma body připojení CMG pro každý web.For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • Škálujte CMG tak, aby podporoval více klientů přidáním dalších instancí virtuálních počítačů.Scale the CMG to support more clients by adding more VM instances. Nástroj pro vyrovnávání zatížení Azure řídí připojení klientů ke službě.The Azure load balancer controls client connections to the service.

  • Vytvořte další spojovací body CMG k distribuci zatížení mezi nimi.Create more CMG connection points to distribute the load among them. CMG distribuuje provoz na jeho propojení spojovacími body CMG v kruhovém dotazování.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • Pokud je CMG s vysokým zatížením s více než podporovaným počtem klientů, stále zpracovává požadavky, ale může dojít ke zpoždění.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Poznámka

I když Configuration Manager nemá žádný pevný limit počtu klientů pro bod připojení CMG, má Windows Server výchozí maximální rozsah dynamického portu TCP 16 384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Pokud Configuration Manager lokalita spravuje více než 16 384 klientů s jedním přípojným bodem CMG, je nutné zvýšit limit Windows serveru.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. Všichni klienti udržují kanál pro oznámení klientů, který obsahuje port otevřený v bodu připojení CMG.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Další informace o tom, jak tento limit zvýšit pomocí příkazu netsh, najdete v článku 929851 podpora Microsoftu.For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

Porty a tok datPorts and data flow

Nemusíte otevírat žádné příchozí porty v místní síti.You don't need to open any inbound ports to your on-premises network. Bod připojení služby a bod připojení CMG zahájí veškerou komunikaci s Azure a CMG.The service connection point and CMG connection point initiate all communication with Azure and the CMG. Tyto dvě role systému lokality potřebují vytvořit odchozí připojení ke cloudu Microsoftu.These two site system roles need to create outbound connections to the Microsoft cloud. Bod připojení služby nasadí a monitoruje službu v Azure, proto musí být online režim.The service connection point deploys and monitors the service in Azure, thus must be online mode. Bod připojení CMG se připojuje k CMG za účelem správy komunikace mezi CMG a místními rolemi systému lokality.The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

Následující diagram je základní koncepční datový tok pro CMG:The following diagram is a basic, conceptual data flow for the CMG:

Tok dat CMG

  1. Spojovací bod služby se připojuje k Azure přes port HTTPS 443.The service connection point connects to Azure over HTTPS port 443. Ověřuje se pomocí Azure AD nebo certifikátu pro správu Azure.It authenticates using Azure AD or the Azure management certificate. Spojovací bod služby nasadí CMG do Azure.The service connection point deploys the CMG in Azure. CMG vytvoří cloudovou službu HTTPS pomocí ověřovacího certifikátu serveru.The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. Bod připojení CMG se připojuje k CMG v Azure prostřednictvím TCP-TLS nebo HTTPS.The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. Obsahuje otevřené připojení a vytváří kanál pro budoucí obousměrnou komunikaci.It holds the connection open, and builds the channel for future two-way communication.

  3. Klient se připojí k CMG přes port HTTPS 443.The client connects to the CMG over HTTPS port 443. Ověřuje se pomocí služby Azure AD nebo certifikátu pro ověřování klientů.It authenticates using Azure AD or the client authentication certificate.

  4. CMG předává komunikaci klienta přes existující připojení k místnímu spojovacímu bodu CMG.The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. Nemusíte otevírat žádné porty brány firewall pro příchozí spojení.You don't need to open any inbound firewall ports.

  5. Bod připojení CMG předává komunikaci klienta s místním bodem správy a bodem aktualizace softwaru.The CMG connection point forwards the client communication to the on-premises management point and software update point.

Další informace o hostování obsahu v Azure najdete v tématu Použití cloudového distribučního bodu.For more information when you host content in Azure, see Use a cloud-based distribution point.

Požadované portyRequired ports

V této tabulce jsou uvedené požadované síťové porty a protokoly.This table lists the required network ports and protocols. Klient je zařízení iniciované připojením a vyžaduje odchozí port.The Client is the device initiating the connection, requiring an outbound port. Server je zařízení, které přijímá připojení, vyžaduje port pro příchozí spojení.The Server is the device accepting the connection, requiring an inbound port.

KlientClient ProtokolProtocol PortPort ServerServer DescriptionDescription
Spojovací bod službyService connection point HTTPSHTTPS 443443 AzureAzure Nasazení CMGCMG deployment
Bod připojení CMGCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 Služba CMGCMG service Upřednostňovaný protokol pro sestavení kanálu CMG 1Preferred protocol to build CMG channel 1
Bod připojení CMGCMG connection point HTTPSHTTPS 443443 Služba CMGCMG service Záložní protokol pro sestavení kanálu CMG jenom na jednu instanci virtuálního počítače2Fallback protocol to build CMG channel to only one VM instance2
Bod připojení CMGCMG connection point HTTPSHTTPS 10124-1013910124-10139 Služba CMGCMG service Záložní protokol pro sestavení kanálu CMG na dvě nebo víc instancí virtuálních počítačů3Fallback protocol to build CMG channel to two or more VM instances3
KlientClient HTTPSHTTPS 443443 CMGCMG Obecná komunikace s klientemGeneral client communication
Bod připojení CMGCMG connection point HTTPS nebo HTTPHTTPS or HTTP 443 nebo 80443 or 80 Bod správyManagement point
(verze 1710)(version 1710)
Místní provoz, port závisí na konfiguraci bodu správy.On-premises traffic, port depends upon management point configuration
Bod připojení CMGCMG connection point HTTPSHTTPS 443443 Bod správyManagement point
(verze 1802)(version 1802)
Místní provoz musí být HTTPS.On-premises traffic must be HTTPS
Bod připojení CMGCMG connection point HTTPS nebo HTTPHTTPS or HTTP 443 nebo 80443 or 80 Bod aktualizace softwaruSoftware update point Místní provoz, port závisí na konfiguraci bodu aktualizace softwaru.On-premises traffic, port depends upon software update point configuration

1 bod připojení CMG se nejdřív pokusí zřídit dlouhotrvající připojení TCP-TLS ke každé instanci virtuálního počítače s CMG.1 The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. Připojuje se k první instanci virtuálního počítače na portu 10140.It connects to the first VM instance on port 10140. Druhá instance virtuálního počítače používá port 10141 až šestnáct na portu 10155.The second VM instance uses port 10141, up to the 16th on port 10155. Připojení TCP-TLS to vykoná nejlépe, ale nepodporuje internetový proxy server.A TCP-TLS connection performs the best, but it doesn’t support internet proxy. Pokud spojovací bod CMG se nemůže připojit přes TCP-TLS, pak se vrátí k HTTPS2.If the CMG connection point can’t connect via TCP-TLS, then it falls back to HTTPS2.

2 Pokud spojovací bod CMG se nemůže připojit k CMG prostřednictvím protokolu TCP-TLS1, připojí se k nástroji Azure Network Load Balancer přes protokol HTTPS 443 pouze pro jednu instanci virtuálního počítače.2 If the CMG connection point can’t connect to the CMG via TCP-TLS1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

3 Pokud existují dvě nebo víc instancí virtuálních počítačů, spojovací bod CMG používá k první instanci virtuálního počítače https 10124, nikoli https 443.3 If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. Připojí se k druhé instanci virtuálního počítače na HTTPS 10125, až šestnáctě na portu HTTPS 10139.It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

Požadavky na přístup k internetuInternet access requirements

Pokud vaše organizace omezuje síťovou komunikaci s Internetem pomocí brány firewall nebo proxy zařízení, je nutné povolit spojovacímu bodu CMG a spojovacímu bodu služby přístup k internetovým koncovým bodům.If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

Další informace najdete v tématu požadavky na přístup k Internetu.For more information, see Internet access requirements.

Další krokyNext steps