A CMG megtervezése Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az internetalapú ügyfelek felügyeletének egyszerűsítése érdekében először dolgozzon ki egy tervet a felhőfelügyeleti átjáróhoz (CMG). Tervezzen úgy, ahogyan illeszkedik a környezetébe, és készüljön fel az implementálásra.

A CMG-forgatókönyvek és használati esetek alaposabb megismeréséhez tekintse meg a CMG áttekintését.

Megjegyzés:

A cikk korábbi szakaszai a következőt helyezték át:

Tervezési ellenőrzőlista

A CMG teljes tervezési folyamata a következő részekre oszlik:

  • Összetevők és követelmények: Ez a cikk a CMG-rendszert alkotó összetevőket foglalja össze. Emellett felsorolja a rendszerkövetelményeket is.

  • Ügyfél-hitelesítés: Határozza meg, hogy melyik hitelesítési módszert fogja használni a potenciálisan nem megbízható hálózatokból származó ügyfelekhez.

  • Hierarchia kialakítása: Tervezze meg, hol helyezze el a CMG-t a környezetben.

  • Támogatott konfigurációk: Ismerje meg, hogy mely Configuration Manager szolgáltatásokat támogathatja a CMG-hez csatlakozó internetes ügyfeleken.

  • Teljesítmény és skálázás: Döntse el, hány szolgáltatásösszetevőre lesz szüksége az ügyfelek számának legjobb támogatásához.

  • Költség: Az Azure-alapú összetevők költségeinek megismerése.

CMG-összetevők

A CMG üzembe helyezése és működése a következő összetevőket tartalmazza:

  • Az Azure CMG felhőszolgáltatása hitelesíti és továbbítja Configuration Manager ügyfélkéréseket az interneten keresztül a helyszíni CMG csatlakozási pontjára.

  • A CMG csatlakozási pont helyrendszerszerepköre konzisztens és nagy teljesítményű kapcsolatot tesz lehetővé a helyszíni hálózat és az Azure CMG szolgáltatása között. Emellett a CMG-ben is közzéteszi a beállításokat, beleértve a kapcsolati információkat és a biztonsági beállításokat. A CMG csatlakozási pontja az URL-leképezések alapján továbbítja az ügyfélkéréseket a CMG-ből a helyszíni szerepkörökbe. Például a felügyeleti pont és a szoftverfrissítési pont.

  • A szolgáltatáskapcsolódási pont helyrendszerszerepkör a felhőszolgáltatás-kezelő összetevőt futtatja, amely az összes CMG üzembehelyezési feladatot kezeli. Emellett figyeli és jelenti a szolgáltatás állapotát és naplózási adatait Microsoft Entra azonosítóból. Győződjön meg arról, hogy a szolgáltatáskapcsolódási pont online módban van.

  • A felügyeleti pont és a szoftverfrissítési pont helyrendszerszerepkörei szolgáltatás ügyfélkérései normál esetben.

  • A CMG tanúsítványalapú HTTPS-webszolgáltatást használ az ügyfelekkel folytatott hálózati kommunikáció biztonságossá tételéhez.

  • Az internetalapú ügyfelek a CMG-hez csatlakozva férnek hozzá a helyszíni Configuration Manager összetevőkhöz. Az ügyfélidentitás és a hitelesítés több lehetőség közül is választhat:

    • Microsoft Entra ID
    • PKI-tanúsítványok
    • webhely által kibocsátott jogkivonatok Configuration Manager

    További információ: Plan for CMG client authentication (CMG-ügyfélhitelesítés tervezése).

  • A CMG létrehoz egy Azure Storage-fiókot, amelyet a standard műveleteihez használ. Alapértelmezés szerint a CMG tartalommal is rendelkezik, hogy üzembehelyezési tartalmat biztosítson az internetalapú ügyfelek számára. Ez a tárfiók nem támogatja a testreszabásokat, például a virtuális hálózati korlátozásokat.

    Megjegyzés:

    A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését.

Azure Resource Manager

A CMG-t egy Azure Resource Manager üzemelő példány használatával hozhatja létre. Az Azure Resource Manager egy modern platform az összes megoldáserőforrás egyetlen entitásként, úgynevezett erőforráscsoportként való kezelésére. Amikor üzembe helyez egy CMG-t az Azure Resource Manager használatával, a hely Microsoft Entra azonosítót használ a szükséges felhőerőforrások hitelesítéséhez és létrehozásához.

Fontos

A 2203-as verziótól kezdődően a CMG felhőszolgáltatásként (klasszikus) való üzembe helyezésének lehetősége el lesz távolítva. Minden CMG-telepítésnek virtuálisgép-méretezési csoportot kell használnia. További információ: Eltávolított és elavult funkciók.

Virtuálisgép-méretezési csoportok

Megjegyzés:

Ez a funkció először a 2010-es verzióban jelent meg kiadás előtti funkcióként. A 2107-es verziótól kezdődően ez már nem egy előzetes funkció.

Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.

A 2010-es verziótól kezdődően a felhőszolgáltatói (CSP-) előfizetéssel rendelkező ügyfelek üzembe helyezhetik a CMG-t egy virtuálisgép-méretezési csoporttal az Azure-ban. Ez a támogatás csak akkor érhető el, ha jelenleg nincs üzembe helyezve CMG klasszikus felhőszolgáltatásokkal egy másik előfizetésben.

A 2107-es verziótól kezdve minden ügyfél üzembe helyezhet egy CMG-t egy virtuálisgép-méretezési csoporttal. Ha a klasszikus felhőszolgáltatással már üzembe helyezett CMG-vel rendelkezik, konvertálja a CMG-t virtuálisgép-méretezési csoport használatára.

Néhány kivételtől eltekintve a CMG konfigurációja, működése és működése változatlan marad.

A virtuálisgép-méretezési csoporttal rendelkező CMG-k korlátozásai

A 2107-s és újabb verziók korlátozásai

Megjegyzés:

A 2111-es verziótól kezdődően a virtuálisgép-méretezési csoporttal rendelkező CMG-üzemelő példányok támogatják az Azure US Government felhőkörnyezeteit.

  • A felhasználók legfeljebb három másodperces késést tapasztalhatnak a Szoftverközpontban végzett műveleteknél.
  • A CMG-vel nem hagyhatja jóvá/tilthatja le az alkalmazáskéréseket.
  • A 2107-es verzió nem támogatja az Azure US Government felhőalapú környezeteit.

Korlátozások a 2010-ben és 2103-ben

  • Ha több CMG-példányra van szüksége, mindegyiknek ugyanazt az üzembehelyezési módszert kell használnia.
  • Az egyidejű ügyfélkapcsolatok támogatott száma virtuálisgép-példányonként 2000. További információ: CMG teljesítménye és skálázása.
  • Csak önálló elsődleges hely esetén támogatott.
  • Nem támogatja az Azure US Government felhőkörnyezeteit.
  • A felhasználók legfeljebb három másodperces késést tapasztalhatnak a Szoftverközpontban végzett műveleteknél.
  • Configuration Manager jelenleg az erőforráscsoport neve alapján hozza létre az Azure Storage-tárolót. Az Azure különböző elnevezési követelményekkel rendelkezik az erőforráscsoportokhoz és a tárolókhoz. Győződjön meg arról, hogy a szolgáltatás erőforráscsoportjának neve csak kisbetűket, számokat és kötőjeleket tartalmaz. Ha egy meglévő erőforráscsoportja nem működik, nevezze át a Azure Portal, vagy hozzon létre egy új erőforráscsoportot.
  • Ha egynél több HTTPS felügyeleti ponttal rendelkezik, akkor nem telepítheti a Configuration Manager-ügyfelet az interneten keresztüli eszközökre. Ha a helyszíni ügyfeleket CMG-vel kell telepítenie, akkor csak egy HTTPS felügyeleti ponttal rendelkezhet. Emellett engedélyeznie kell a CMG-t a tartalomhoz.
  • A CMG-vel nem hagyhatja jóvá/tilthatja le az alkalmazáskéréseket.

Követelmények

Tipp

Néhány Azure-terminológia tisztázása:

  • A Microsoft Entra-azonosító bérlője a felhasználói fiókok és alkalmazásregisztrációk könyvtára. Egy bérlő több előfizetéssel is rendelkezhet.
  • Az Azure-előfizetések elkülönítik a számlázást, az erőforrásokat és a szolgáltatásokat. Egyetlen bérlőhöz van társítva.

További információ: Előfizetések, licencek, fiókok és bérlők a Microsoft felhőajánlataihoz.

  • Egy Azure-előfizetés a CMG üzemeltetéséhez. Ez az előfizetés a következő környezetek egyikében lehet:

    • Globális Azure-felhő
    • Azure US Government-felhő

    A felhőszolgáltatói (CSP-) előfizetéssel rendelkező ügyfeleknek a 2010-es vagy újabb verziót kell használniuk egy virtuálisgép-méretezési csoport üzembe helyezésével.

  • Integrálja a webhelyet Microsoft Entra azonosítóval a szolgáltatás Azure Resource Manager való üzembe helyezéséhez. További információ: Microsoft Entra ID konfigurálása CMG-hez.

    Amikor a webhelyet Microsoft Entra azonosítóra készíti fel, engedélyezheti Microsoft Entra felhasználófelderítést. Nem szükséges létrehozni a CMG-t, de szükséges, ha Microsoft Entra hitelesítést tervez használni hibrid identitásokkal. További információkért lásd: Ügyfelek telepítése Microsoft Entra azonosítóval, és további információ Microsoft Entra felhasználófelderítésről.

  • Az Azure-rendszergazdának részt kell vennie bizonyos összetevők kezdeti létrehozásában. Ez a személy lehet ugyanaz, mint a Configuration Manager rendszergazda, vagy külön. Ha külön van, nem igényelnek engedélyeket a Configuration Manager.

    • Ha a webhelyet Microsoft Entra azonosítóval integrálja a CMG Azure Resource Manager használatával történő üzembe helyezéséhez, globális rendszergazdára lesz szüksége.

    • A CMG létrehozásakor szüksége lesz egy Azure-előfizetés-tulajdonosi fiókra és egy Microsoft Entra-azonosítójú globális rendszergazdára.

  • A felhasználói fióknak teljes körű rendszergazdának vagy infrastruktúra-rendszergazdának kell lennie Configuration Manager.

  • Legalább egy helyszíni Windows-kiszolgáló a CMG csatlakozási pontjának üzemeltetéséhez. Ezt a szerepkört más Configuration Manager helyrendszerszerepkörökkel is együtt helyezheti el.

  • A szolgáltatáskapcsolódási pontnakonline módban kell lennie.

  • Konfigurálja a felügyeleti pontot úgy, hogy engedélyezze a CMG-ből érkező forgalmat. Emellett HTTPS-t kell igényelnie, vagy konfigurálnia kell a webhelyet a bővített HTTP-hez.

  • A CMG kiszolgálói hitelesítési tanúsítványa .

  • A CMG-neveknek 3–24 alfanumerikus karakterből kell állniuk. A névnek betűvel kell kezdődnie, betűvel vagy számjegygel kell végződnie, és nem tartalmazhat egymást követő kötőjeleket.

  • Az ügyfél operációs rendszerének verziójától és hitelesítési modelljétől függően további tanúsítványokra is szükség lehet. További információ: Ügyfél-hitelesítés konfigurálása.

  • Az ügyfeleknek IPv4-et kell használniuk.

  • Győződjön meg arról, hogy a Felhőszolgáltatások csoportban az alábbi ügyfélbeállítások engedélyezve vannak a CMG-t használó eszközökön:

    • Felhőfelügyeleti átjáró használatának engedélyezése az ügyfelek számára
    • Felhőbeli terjesztési ponthoz való hozzáférés engedélyezése

    Megjegyzés:

    Ha engedélyezi a Változástartalom letöltése, ha elérhető ügyfélbeállítást, a külső frissítések tartalma nem tölthető le az ügyfelekre.

Következő lépések

Ezután határozza meg, hogy az ügyfelek hogyan hitelesítsék magukat a CMG-vel:

CMG-ügyfélhitelesítés tervezése