Een clouddistributiepunt gebruiken in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Waarschuwing

De implementatie voor het delen van inhoud vanuit Azure is gewijzigd. Gebruik een cloudbeheergateway met inhoud door de optie CMG toestaan als een clouddistributiepunt te laten functioneren en inhoud te leveren vanuit Azure Storage in te schakelen. Zie Een CMG wijzigen voor meer informatie.

Vanaf versie 2107 kunt u geen traditioneel clouddistributiepunt (CDP) maken.

Een clouddistributiepunt is een Configuration Manager-distributiepunt dat wordt gehost als PaaS (Platform-as-a-Service) in Microsoft Azure. Deze service ondersteunt de volgende scenario's:

• Software-inhoud bieden aan internetclients zonder extra on-premises infrastructuur

• Uw inhoudsdistributiesysteem in de cloud inschakelen

• De behoefte aan traditionele distributiepunten verminderen

Dit artikel helpt u meer te weten te komen over het clouddistributiepunt, het gebruik ervan te plannen en uw implementatie te ontwerpen. Het bevat de volgende secties:

• Functies en voordelen
• Topologieontwerp
• Vereisten
• Specificaties
• Kosten
• Prestaties en schaal
• Poorten en gegevensstroom
• Certificaten
• Veelgestelde vragen

Functies en voordelen

Kenmerken

Het clouddistributiepunt ondersteunt verschillende functies die ook worden aangeboden door on-premises distributiepunten:

• Clouddistributiepunten afzonderlijk of als leden van distributiepuntgroepen beheren

• Een clouddistributiepunt gebruiken als terugvallocatie voor inhoud

• Ondersteunt zowel intranet- als internetclients

Voordelen

Het clouddistributiepunt biedt de volgende extra voordelen:

• De site versleutelt de inhoud voordat deze naar het clouddistributiepunt in Azure wordt verzonden.

• Als u wilt voldoen aan veranderende eisen voor inhoudsaanvragen door clients, moet u de cloudservice handmatig schalen in Azure. Voor deze actie hoeft u geen extra distributiepunten in Configuration Manager te installeren en in te richten.

• Ondersteunt het downloaden van inhoud van clients die zijn geconfigureerd voor andere inhoudstechnologieën, zoals Windows BranchCache.

• Clouddistributiepunten gebruiken als bronlocaties voor pull-distributiepunten.

Topologieontwerp

De implementatie en werking van het clouddistributiepunt omvat de volgende onderdelen:

• Een cloudservice in Azure. De site distribueert inhoud naar deze service, die deze opslaat in Azure-cloudopslag. Het beheerpunt biedt clients deze inhoudslocatie aan in de lijst met beschikbare bronnen, indien van toepassing.

• Clientaanvragen voor een sitesysteemfunctie van een beheerpunt per normaal.

  • On-premises clients gebruiken doorgaans een on-premises beheerpunt.

  • Internetclients gebruiken een cloudbeheergateway of een beheerpunt op internet.

• Het clouddistributiepunt maakt gebruik van een https-webservice op basis van certificaten om netwerkcommunicatie met clients te beveiligen. Clients moeten dit certificaat vertrouwen.

Azure Resource Manager

Maak een clouddistributiepunt met behulp van een Azure Resource Manager-implementatie. Azure Resource Manager is een modern platform voor het beheren van alle oplossingsresources als één entiteit, een resourcegroep genoemd. Bij het implementeren van een clouddistributiepunt met Azure Resource Manager gebruikt de site Microsoft Entra ID om de benodigde cloudresources te verifiëren en te maken.

Opmerking

Deze functie biedt geen ondersteuning voor Azure Cloud Service Providers (CSP). De implementatie van het clouddistributiepunt met Azure Resource Manager blijft de klassieke cloudservice gebruiken, die niet door de CSP wordt ondersteund. Zie beschikbare Azure-services in Azure CSP voor meer informatie.

Azure Resource Manager is het enige implementatiemechanisme voor nieuwe exemplaren van het clouddistributiepunt. Bestaande implementaties blijven werken.

Hiërarchieontwerp

Waar u het clouddistributiepunt maakt, is afhankelijk van welke clients toegang nodig hebben tot de inhoud.

• Azure Resource Manager-implementatie: maak dit type op een primaire site of de centrale beheersite.

• De cloudbeheergateway (CMG) kan ook inhoud leveren aan clients. Deze functionaliteit vermindert de vereiste certificaten en kosten van Azure-VM's. Zie Overzicht van cloudbeheergateway voor meer informatie.

Als u wilt bepalen of clouddistributiepunten moeten worden opgenomen in grensgroepen, moet u rekening houden met het volgende gedrag:

• Internetclients zijn niet afhankelijk van grensgroepen. Ze gebruiken alleen internetgerichte distributiepunten of clouddistributiepunten. Als u alleen clouddistributiepunten gebruikt om deze typen clients te onderhouden, hoeft u deze niet op te nemen in grensgroepen.

• Als u wilt dat clients in uw interne netwerk een clouddistributiepunt gebruiken, moet dit zich in dezelfde grensgroep bevinden als de clients. Clients geven prioriteit aan clouddistributiepunten als laatste in hun lijst met inhoudsbronnen, omdat er kosten zijn verbonden aan het downloaden van inhoud uit Azure. Een clouddistributiepunt wordt dus meestal gebruikt als terugvalbron voor intranetclients. Als u een cloud-first ontwerp wilt, ontwerpt u uw grensgroepen om aan deze bedrijfsvereiste te voldoen. Zie Grensgroepen configureren voor meer informatie.

Hoewel u clouddistributiepunten in specifieke regio's van Azure installeert, zijn clients niet op de hoogte van de Azure-regio's. Ze selecteren willekeurig een clouddistributiepunt. Als u clouddistributiepunten in meerdere regio's installeert en een client meer dan één in de lijst met inhoudslocaties ontvangt, gebruikt de client mogelijk geen clouddistributiepunt uit dezelfde Azure-regio.

Back-up en herstel

Wanneer u een clouddistributiepunt in uw hiërarchie gebruikt, gebruikt u de volgende informatie om back-up en herstel te plannen:

• Wanneer u de onderhoudstaak Back-upsiteserver gebruikt, bevat Configuration Manager automatisch de configuraties voor het clouddistributiepunt.

• Maak een back-up van het serververificatiecertificaat en sla deze op. Wanneer u de Configuration Manager primaire site herstelt naar een andere server, moet u het certificaat opnieuw importeren.

Vereisten

• U hebt een Azure-abonnement nodig om de service te hosten.

  • Een Azure-beheerder moet deelnemen aan het maken van bepaalde onderdelen, afhankelijk van uw ontwerp. Voor deze persona zijn geen machtigingen vereist in Configuration Manager.

• De siteserver vereist internettoegang om de cloudservice te implementeren en te beheren.

• Wanneer u de Azure Resource Manager-implementatiemethode gebruikt, integreert u Configuration Manager met Microsoft Entra ID voor cloudbeheer. Microsoft Entra ID gebruikersdetectie is niet vereist.

• Een serververificatiecertificaat. Zie de sectie Certificaten hieronder voor meer informatie.

  • Gebruik een openbare certificaatprovider voor het serververificatiecertificaat om de complexiteit te verminderen. Wanneer u dit doet, hebt u ook een DNS CNAME-alias nodig voor clients om de naam van de cloudservice om te lossen.

• Stel de clientinstelling Toegang tot clouddistributiepunten toestaan in op Ja in de groep Cloud Services. Deze waarde is standaard ingesteld op Nee.

• Clientapparaten vereisen een internetverbinding en moeten gebruikmaken van IPv4.

Specificaties

• Het clouddistributiepunt ondersteunt alle Windows-versies die worden vermeld in Ondersteunde besturingssystemen voor clients en apparaten.

• Een beheerder distribueert de volgende typen ondersteunde software-inhoud:

  • Toepassingen

  • Pakketten

  • Upgradepakketten voor het besturingssysteem

  • Software-updates van derden

    Belangrijk

    • Hoewel de Configuration Manager-console de distributie van Microsoft-software-updates naar een clouddistributiepunt niet blokkeert, betaalt u Azure-kosten voor het opslaan van inhoud die clients niet gebruiken. Internetclients krijgen altijd Microsoft-software-update-inhoud van de Microsoft Update-cloudservice. Distribueer microsoft-software-updates niet naar een clouddistributiepunt.
    • Als de software-update wordt gedistribueerd naar het clouddistributiepunt, wordt er nog steeds een lokaal distributiepunt gebruikt voor het downloaden van inhoud wanneer de clients zich op intranet bevinden.
    • Wanneer u een CMG gebruikt voor inhoudsopslag, wordt de inhoud voor updates van derden niet gedownload naar clients als de instelling Delta-inhoud downloaden wanneer beschikbaarclient is ingeschakeld.

• Configureer een pull-distributiepunt om een clouddistributiepunt als bron te gebruiken. Zie Over brondistributiepunten voor meer informatie.

Implementatie-instellingen

• Download inhoud lokaal wanneer dat nodig is voor de actieve takenreeks. De takenreeksengine kan pakketten op aanvraag downloaden van een CMG met inhoud of een clouddistributiepunt. Deze optie biedt extra flexibiliteit met uw implementaties van in-place windows-upgrades op internetapparaten.

• Download alle inhoud lokaal voordat u de takenreeks start. Met deze optie downloadt de Configuration Manager-client de inhoud van de cloudbron voordat de takenreeks wordt gestart.

• Een clouddistributiepunt biedt geen ondersteuning voor pakketimplementaties met de optie Programma uitvoeren vanaf distributiepunt. Gebruik de implementatieoptie om inhoud van het distributiepunt te downloaden en lokaal uit te voeren.

Beperkingen

• U kunt geen clouddistributiepunt gebruiken voor PXE- of multicast-implementaties.

• Een clouddistributiepunt biedt geen ondersteuning voor App-V-streamingtoepassingen.

• Een clouddistributiepunt biedt geen ondersteuning voor inhoud voor Microsoft 365-apps updates.

• U kunt geen inhoud voorbereiden op een clouddistributiepunt. De distributiebeheerder van de primaire site die het clouddistributiepunt beheert, draagt alle inhoud over.

• U kunt een clouddistributiepunt niet configureren als een pull-distributiepunt.

Kosten

Belangrijk

De volgende kosteninformatie is alleen bedoeld voor schattingsdoeleinden. Uw omgeving kan andere variabelen hebben die van invloed zijn op de totale kosten van het gebruik van een clouddistributiepunt.

Configuration Manager bevat de volgende opties om de kosten te beheersen en de toegang tot gegevens te bewaken:

• Beheer en bewaak de hoeveelheid inhoud die u opslaat in een cloudservice. Zie Clouddistributiepunten bewaken voor meer informatie.

• Configureer Configuration Manager om u te waarschuwen wanneer drempelwaarden voor clientdownloads de maandelijkse limieten overschrijden of overschrijden. Zie Waarschuwingen voor drempelwaarden voor gegevensoverdracht voor meer informatie.

• Gebruik een van de volgende peercachingtechnologieën om het aantal gegevensoverdrachten van clouddistributiepunten door clients te verminderen:

  • Configuration Manager peercache

  • Windows BranchCache

  • Windows Delivery Optimization

    Zie Basisconcepten voor inhoudsbeheer voor meer informatie.

Onderdelen

Een clouddistributiepunt maakt gebruik van de volgende Azure-onderdelen, waarvoor kosten in rekening worden gebracht voor het Azure-abonnementsaccount:

Tip

De cloudbeheergateway kan ook inhoud leveren aan clients. Deze functionaliteit verlaagt de kosten door de Azure-VM's te consolideren. Zie Kosten voor cloudbeheergateway voor meer informatie.

Virtuele machine

• Het clouddistributiepunt maakt gebruik van Azure Cloud Services as Platform as a Service (PaaS). Deze service maakt gebruik van virtuele machines (VM's) die rekenkosten met zich meebrengen.

• Elke clouddistributiepuntservice maakt gebruik van twee Standard A0-VM's.

• Zie de Azure-prijscalculator om potentiële kosten te bepalen.

  Opmerking

  De kosten van virtuele machines verschillen per regio.

Uitgaande gegevensoverdracht

• Alle gegevensstromen naar Azure zijn gratis (inkomend of uploaden). Het distribueren van inhoud van de site naar het clouddistributiepunt wordt geüpload naar Azure.

• Kosten zijn gebaseerd op gegevens die vanuit Azure stromen (uitgaand of downloaden). Gegevensstromen van clouddistributiepunten uit Azure bestaan uit de software-inhoud die clients downloaden.

• Zie Clouddistributiepunten bewaken voor meer informatie.

• Zie de prijsinformatie voor Azure-bandbreedte om potentiële kosten te bepalen. De prijzen voor gegevensoverdracht zijn gelaagd. Hoe meer u gebruikt, hoe minder u per gigabyte betaalt.

Inhoudsopslag

• Internetclients krijgen gratis microsoft-software-update-inhoud van de Microsoft Update-cloudservice. Distribueer geen software-update-implementatiepakketten met Microsoft-software-updates naar een clouddistributiepunt. Anders maakt u kosten voor gegevensopslag voor inhoud die clients nooit gebruiken.

• Clouddistributiepunten met een Azure Resource Manager-implementatie maken gebruik van lokaal redundante opslag (LRS) van Azure. Zie Lokaal redundante opslag voor meer informatie.

Overige kosten

• Elke cloudservice heeft een dynamisch IP-adres. Elk afzonderlijk clouddistributiepunt maakt gebruik van een nieuw dynamisch IP-adres. Als u extra VM's per cloudservice toevoegt, worden deze adressen niet verhoogd.

Poorten en gegevensstroom

Er zijn twee primaire gegevensstromen voor het clouddistributiepunt:

• De siteserver maakt verbinding met Azure om de clouddistributiepuntservice in te stellen

• Een client maakt verbinding met het clouddistributiepunt om inhoud te downloaden

Siteserver naar Azure

U hoeft geen binnenkomende poorten naar uw on-premises netwerk te openen. De siteserver initieert alle communicatie met Azure en het clouddistributiepunt om de cloudservice te implementeren, bij te werken en te beheren. De siteserver moet uitgaande verbindingen maken met de Microsoft-cloud. Deze actie komt overeen met het installeren van de sitesysteemrol van het distributiepunt op een specifieke site.

Client-naar-clouddistributiepunt

U hoeft geen binnenkomende poorten naar uw on-premises netwerk te openen. Internetclients communiceren rechtstreeks met de Azure-service. Clients in uw interne netwerk die een clouddistributiepunt gebruiken, moeten verbinding maken met de Microsoft-cloud.

Zie Prioriteit van inhoudsbron voor meer informatie over prioriteit van inhoudslocatie en wanneer intranetclients een clouddistributiepunt gebruiken.

Wanneer een client een clouddistributiepunt als inhoudslocatie gebruikt:

1. Het beheerpunt geeft de client een toegangstoken, samen met de lijst met inhoudsbronnen. Dit token is 24 uur geldig en geeft de client toegang tot het clouddistributiepunt.

2. Het beheerpunt reageert op de locatieaanvraag van de client met de service-FQDN van het clouddistributiepunt. Deze eigenschap is hetzelfde als de algemene naam van het serververificatiecertificaat.

   Als u bijvoorbeeld uw domeinnaam gebruikt WallaceFalls.contoso.com, probeert de client eerst deze FQDN op te lossen. U hebt een CNAME-alias nodig in de internetgerichte DNS van uw domein voor clients om de Naam van de Azure-service om te kunnen omzetten, bijvoorbeeld: WallaceFalls.cloudapp.net.

3. De client zet vervolgens de naam van de Azure-service, bijvoorbeeld WallaceFalls.cloudapp.net, om in een geldig IP-adres. Dit antwoord moet worden verwerkt door de DNS van Azure.

4. De client maakt verbinding met het clouddistributiepunt. Azure load balancert de verbinding met een van de VM-exemplaren. De client verifieert zichzelf met behulp van het toegangstoken.

5. Het clouddistributiepunt verifieert het toegangstoken van de client en geeft de client vervolgens de exacte inhoudslocatie in Azure Storage.

6. Als de client het serververificatiecertificaat van het clouddistributiepunt vertrouwt, maakt deze verbinding met Azure Storage om de inhoud te downloaden.

Prestaties en schaal

Zoals bij elk distributiepuntontwerp, moet u rekening houden met de volgende factoren:

• Aantal gelijktijdige clientverbindingen
• De grootte van de inhoud die clients downloaden
• De tijdsduur die is toegestaan om te voldoen aan uw bedrijfsvereisten

Afhankelijk van uw topologieontwerp, als clients de optie hebben van meer dan één clouddistributiepunt voor een bepaalde inhoud, worden ze vanzelf willekeurig verdeeld over die cloudservices. Als u slechts een bepaald deel van de inhoud distribueert naar één clouddistributiepunt en een groot aantal clients deze inhoud tegelijkertijd probeert te downloaden, legt deze activiteit een hogere belasting op dat ene clouddistributiepunt. Het toevoegen van een extra clouddistributiepunt omvat ook een afzonderlijke Azure-opslagservice. Zie Poorten en gegevensstroom voor meer informatie over hoe de client communiceert met de onderdelen van het clouddistributiepunt en hoe inhoud wordt gedownload.

Het clouddistributiepunt gebruikt twee Azure-VM's als front-end voor de Azure-opslag. Deze standaardimplementatie voldoet aan de behoeften van de meeste klanten. In sommige extreme omstandigheden, met een groot aantal gelijktijdige clientverbindingen (bijvoorbeeld 150.000 clients), kan de verwerkingscapaciteit van de Azure-VM's de clientaanvragen niet bijhouden. U kunt het formaat van de Azure-VM's die worden gebruikt voor het clouddistributiepunt niet wijzigen. Hoewel u het aantal VM-exemplaren voor het clouddistributiepunt niet kunt configureren in Configuration Manager configureert u de cloudservice zo nodig opnieuw in de Azure Portal. Voeg handmatig meer VM-exemplaren toe of configureer de service om automatisch te schalen.

Belangrijk

Wanneer u Configuration Manager bijwerkt, implementeert de site de cloudservice opnieuw. Als u de cloudservice handmatig opnieuw configureert in de Azure Portal, wordt het aantal exemplaren opnieuw ingesteld op de standaardwaarde van twee.

De Azure Storage-service ondersteunt 500 aanvragen per seconde voor één bestand. Prestatietests van één clouddistributiepunt ondersteunden de distributie van één bestand van 100 MB naar 50.000 clients in 24 uur.

Certificaten

Afhankelijk van het ontwerp van uw clouddistributiepunt hebt u een of meer digitale certificaten nodig.

Algemene gegevens

Certificaten voor clouddistributiepunten ondersteunen de volgende configuraties:

• 4096-bits sleutellengte

• Versie 3-certificaten. Zie Overzicht van CNG-certificaten voor meer informatie.

• Wanneer u Windows configureert met het volgende beleid: Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening

• Ondersteuning voor TLS 1.2. Zie Technische naslaginformatie over cryptografische besturingselementen voor meer informatie.

Certificaat voor serververificatie

Dit certificaat is vereist voor alle implementaties van clouddistributiepunten.

Zie CMG-serververificatiecertificaat en de volgende subsecties voor meer informatie, indien nodig:

• Vertrouwd CMG-basiscertificaat voor clients
• Serververificatiecertificaat uitgegeven door openbare provider
• Serververificatiecertificaat dat is uitgegeven door PKI voor ondernemingen

Het clouddistributiepunt gebruikt dit type certificaat op dezelfde manier als de cloudbeheergateway. Clients moeten dit certificaat ook vertrouwen. Om de complexiteit te verminderen, raadt Microsoft aan een certificaat te gebruiken dat is uitgegeven door een openbare provider.

Gebruik hetzelfde certificaat niet opnieuw, tenzij u een jokertekencertificaat gebruikt. Elk exemplaar van het clouddistributiepunt en de cloudbeheergateway vereist een uniek serververificatiecertificaat.

Zie Het servicecertificaat implementeren voor clouddistributiepunten voor meer informatie over het maken van dit certificaat op basis van een PKI.

Veelgestelde vragen

Heeft een client een certificaat nodig om inhoud te downloaden van een clouddistributiepunt?

Er is geen clientverificatiecertificaat vereist. De client moet het serververificatiecertificaat vertrouwen dat wordt gebruikt door het clouddistributiepunt. Als dit certificaat is uitgegeven door een openbare certificaatprovider, bevatten de meeste Windows-apparaten al vertrouwde basiscertificaten voor deze providers. Als u een serververificatiecertificaat hebt uitgegeven vanuit de PKI van uw organisatie, moeten uw clients de uitgevende certificaten in de hele keten vertrouwen. Deze keten omvat de basiscertificeringsinstantie en eventuele tussenliggende certificeringsinstanties. Afhankelijk van uw PKI-ontwerp kan dit certificaat leiden tot extra complexiteit bij de implementatie van het clouddistributiepunt. Om deze complexiteit te voorkomen, raadt Microsoft aan een openbare certificaatprovider te gebruiken die uw klanten al vertrouwen.

Kunnen mijn on-premises clients een clouddistributiepunt gebruiken?

Ja. Als u wilt dat clients in uw interne netwerk een clouddistributiepunt gebruiken, moet dit zich in dezelfde grensgroep bevinden als de clients. Clients geven prioriteit aan clouddistributiepunten als laatste in hun lijst met inhoudsbronnen, omdat er kosten zijn verbonden aan het downloaden van inhoud uit Azure. Daarom wordt een clouddistributiepunt doorgaans gebruikt als terugvalbron voor intranetclients. Als u een cloud-first ontwerp wilt, ontwerpt u uw grensgroepen dienovereenkomstig. Zie Grensgroepen configureren voor meer informatie.

Heb ik Azure ExpressRoute nodig?

Met Azure ExpressRoute kunt u uw on-premises netwerk uitbreiden naar de Microsoft-cloud. ExpressRoute of andere dergelijke virtuele netwerkverbindingen zijn niet vereist voor het Configuration Manager clouddistributiepunt.

Als uw organisatie Gebruikmaakt van ExpressRoute, moet u het Azure-abonnement voor het clouddistributiepunt isoleren van het abonnement dat Gebruikmaakt van ExpressRoute. Deze configuratie zorgt ervoor dat het clouddistributiepunt niet per ongeluk op deze manier wordt verbonden.

Moet ik de virtuele Azure-machines onderhouden?

Er is geen onderhoud vereist. Het ontwerp van het clouddistributiepunt maakt gebruik van Azure Platform as a Service (PaaS). Met behulp van het abonnement dat u opgeeft, maakt Configuration Manager de benodigde VM's, opslag en netwerken. Azure beveiligt en werkt de virtuele machines bij. Deze VM's maken geen deel uit van uw on-premises omgeving, zoals het geval is met IaaS (Infrastructure as a Service). Het clouddistributiepunt is een PaaS waarmee uw Configuration Manager omgeving wordt uitgebreid naar de cloud. Zie Beveiligingsvoordelen van een PaaS-cloudservicemodel voor meer informatie.

Maakt het clouddistributiepunt gebruik van Azure CDN?

Het Azure Content Delivery Network (CDN) is een wereldwijde oplossing voor het snel leveren van inhoud met hoge bandbreedte door de inhoud in de cache op strategisch geplaatste fysieke knooppunten over de hele wereld in de cache te plaatsen. Zie Wat is Azure CDN? voor meer informatie.

Het Configuration Manager clouddistributiepunt biedt momenteel geen ondersteuning voor Azure CDN.

Volgende stappen

Clouddistributiepunten installeren