Zaplanuj bramę zarządzania chmurą w Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Ten artykuł zawiera informacje na temat bramy zarządzania chmurą (CMG) w celu zaprojektowania sposobu dopasowania w środowisku i zaplanowania wdrożenia.This article provides information about the cloud management gateway (CMG) to design how it fits in your environment and plan your implementation.

Aby uzyskać bardziej podstawną wiedzę na temat scenariuszy CMG i przypadków użycia, zobacz Omówienie CMG.For more foundational knowledge of CMG scenarios and use cases, see Overview of CMG.

Uwaga

Niektóre sekcje, które wcześniej znajdowały się w tym artykule, zostały przeniesione:Some sections that were previously in this article have moved:

Projekt topologiiTopology design

Składniki CMGCMG components

Wdrożenie i operacja CMG obejmują następujące składniki:Deployment and operation of the CMG includes the following components:

  • Usługa w chmurze CMG na platformie Azure uwierzytelnia i przesyła dalej Configuration Manager żądania klientów przez Internet do lokalnego punktu połączenia usługi CMG.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests over the internet to the on-premises CMG connection point.

  • Rola systemu lokacji punktu połączenia CMG umożliwia spójne i wysoce wydajne połączenie z sieci lokalnej do usługi CMG na platformie Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Publikuje także ustawienia w CMG, w tym informacje o połączeniu i ustawienia zabezpieczeń.It also publishes settings to the CMG including connection information and security settings. Punkt połączenia CMG przekazuje żądania klientów z CMG do ról lokalnych zgodnie z mapowaniami adresów URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings. Na przykład punkt zarządzania i punkt aktualizacji oprogramowania.For example, the management point and software update point.

  • Rola systemu lokacji punktu połączenia z usługą uruchamia składnik Menedżera usług w chmurze, który obsługuje wszystkie zadania wdrażania CMG.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Ponadto monitoruje i raportuje kondycję usługi oraz rejestruje informacje o usłudze Azure Active Directory (Azure AD).Additionally, it monitors and reports service health and logging information from Azure Active Directory (Azure AD). Upewnij się, że punkt połączenia usługi jest w trybie online.Make sure your service connection point is in online mode.

  • Liczba żądań klientów punktu zarządzania i punktu aktualizacji oprogramowania na normalną.The management point and software update point site system roles service client requests per normal.

  • CMG korzysta z usługi sieci Web https opartej na certyfikatach , aby pomóc w zabezpieczeniu komunikacji sieciowej z klientami.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • Klienci internetowi nawiązują połączenie z usługą CMG w celu uzyskania dostępu do lokalnych składników Configuration Manager.Internet-based clients connect to the CMG to access on-premises Configuration Manager components. Klienci mają wiele opcji tożsamości i uwierzytelniania:Clients have multiple options for identity and authentication:

    • Azure ADAzure AD
    • Certyfikaty PKIPKI certificates
    • Configuration Manager tokeny wystawione przez lokacjęConfiguration Manager site-issued tokens
  • CMG z obsługą zawartości lub punkt dystrybucji w chmurze udostępniają zawartość klientom internetowym w razie potrzeby.A content-enabled CMG or a cloud distribution point provides content to internet-based clients, as needed. Użycie CMG z włączoną obsługą zawartości powoduje zmniejszenie wymaganych certyfikatów i kosztów platformy Azure.Using a content-enabled CMG reduces the required certificates and Azure costs.

Azure Resource ManagerAzure Resource Manager

CMG można utworzyć przy użyciu wdrożenia Azure Resource Manager.You create the CMG using an Azure Resource Manager deployment. Azure Resource Manager jest nowoczesnej platformy do zarządzania wszystkimi zasobami rozwiązań jako pojedynczą jednostką, nazywaną grupą zasobów.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Podczas wdrażania CMG z Azure Resource Manager, lokacja programu używa usługi Azure Active Directory (Azure AD) do uwierzytelniania i tworzenia niezbędnych zasobów w chmurze.When you deploy CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources.

Uwaga

Ta funkcja nie umożliwia obsługi dostawców usług w chmurze platformy Azure.This capability doesn't enable support for Azure Cloud Service Providers (CSP). Wdrożenie CMG z Azure Resource Manager nadal korzysta z klasycznej usługi w chmurze, która nie jest obsługiwana przez dostawcę usług kryptograficznych.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Aby uzyskać więcej informacji, zobacz dostępne usługi platformy Azure w programie CSP platformy Azure.For more information, see available Azure services in Azure CSP.

Projekt hierarchiiHierarchy design

Utwórz CMG w lokacji najwyższego poziomu w hierarchii.Create the CMG at the top-tier site of your hierarchy. Jeśli jest to centralna lokacja administracyjna, Utwórz CMG punkty połączenia w podrzędnych lokacjach głównych.If that's a central administration site (CAS), then create CMG connection points at child primary sites. Składnik programu Cloud Service Manager znajduje się w punkcie połączenia z usługą, który również znajduje się w urzędach certyfikacji.The cloud service manager component is on the service connection point, which is also on the CAS. Ten projekt umożliwia udostępnianie usługi w różnych lokacjach głównych w razie konieczności.This design can share the service across different primary sites if needed.

Można utworzyć wiele usług CMG na platformie Azure i można utworzyć wiele punktów połączenia CMG.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. Wiele punktów połączenia CMG umożliwia Równoważenie obciążenia ruchu klienta z CMG do ról lokalnych.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles.

Można skojarzyć CMG z grupą granic.You can associate a CMG with a boundary group. Ta konfiguracja umożliwia klientom domyślne lub powracanie do CMG na potrzeby komunikacji z klientem zgodnie z relacjami grup granic.This configuration allows clients to default or fall back to the CMG for client communication according to boundary group relationships. To zachowanie jest szczególnie przydatne w scenariuszach biura oddziału i sieci VPN.This behavior is especially useful in branch office and VPN scenarios. Ruch klientów można skierować z kosztownych i wolnych linków sieci WAN, aby zamiast tego używać szybszych usług w Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Począwszy od wersji 2006, klienci w intranecie mogą uzyskać dostęp do punktu aktualizacji oprogramowania z włączoną obsługą CMG, gdy jest przypisany do grupy granic.Starting in version 2006, intranet clients can access a CMG-enabled software update point when it's assigned to a boundary group. Aby uzyskać więcej informacji, zobacz Konfigurowanie grup granic.For more information, see Configure boundary groups.

Uwaga

Klienci internetowi nie należą do żadnej grupy granic.Internet-based clients don't fall into any boundary group.

Inne czynniki, takie jak liczba klientów do zarządzania, wpływają również na projekt CMG.Other factors, such as the number of clients to manage, also impact your CMG design. Aby uzyskać więcej informacji, zobacz wydajność i skalowanie.For more information, see Performance and scale.

Przykład 1: autonomiczna lokacja głównaExample 1: Standalone primary site

Firma Contoso ma autonomiczną lokację główną w lokalnym centrum danych w siedzibie firmy w Nowym Jorku.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Tworzą one CMG w regionie świadczenia usługi Azure Wschodnie stany USA, aby zmniejszyć opóźnienie sieci.They create a CMG in the East US Azure region to reduce network latency.
  • Tworzą one dwa punkty połączenia CMG, połączone z pojedynczą usługą CMG.They create two CMG connection points, both linked to the single CMG service.

Gdy klienci przechodzą do Internetu, komunikują się z CMG w regionie usługi Azure Wschodnie stany USA.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. CMG przekazuje tę komunikację za pomocą obu punktów połączenia CMG.The CMG forwards this communication through both of the CMG connection points.

Przykład 2: hierarchiaExample 2: Hierarchy

Czwarta Kawa ma urzędy certyfikacji w lokalnym centrum danych w swojej siedzibie w Seattle.Fourth Coffee has a CAS in an on-premises datacenter at their headquarters in Seattle. Jedna lokacja główna znajduje się w tym samym centrum danych, a druga lokacja główna znajduje się w głównym urzędzie europejskim w Paryżu.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • W przypadku urzędów certyfikacji tworzą one usługę CMG w regionie usługi Azure zachodnie stany USA.On the CAS, they create a CMG service in the West US Azure region. Umożliwiają one skalowanie liczby maszyn wirtualnych na potrzeby oczekiwanego obciążenia klientów mobilnych w całej hierarchii.They scale the number of VMs for the expected load of roaming clients in the entire hierarchy.
  • W lokacji głównej opartej na Seattle tworzy punkt połączenia CMG połączony z pojedynczym CMGem.On the Seattle-based primary site, they create a CMG connection point linked to the single CMG.
  • W lokacji głównej opartej na Paryżu tworzy punkt połączenia CMG połączony z pojedynczym CMGem.On the Paris-based primary site, they create a CMG connection point linked to the single CMG.

Gdy klienci przechodzą do Internetu, komunikują się z CMG w regionie usługi Azure zachodnie stany USA.As clients roam onto the internet, they communicate with the CMG in the West US Azure region. CMG przekazuje tę komunikację do punktu połączenia CMG w lokacji głównej przypisanej do klienta.The CMG forwards this communication to the CMG connection point in the client's assigned primary site.

Porada

Nie musisz wdrażać więcej niż jednego CMG na potrzeby geolokalizacji.You don't need to deploy more than one CMG for the purposes of geolocation. Klient Configuration Manager w większości przypadków nie ma wpływ na niewielkie opóźnienia, które mogą wystąpić w przypadku usługi w chmurze, nawet w przypadku geograficznie odległej.The Configuration Manager client is mostly unaffected by the slight latency that can occur with the cloud service, even when geographically distant.

Środowiska testoweTest environments

Wiele organizacji ma oddzielne środowiska na potrzeby produkcji, testowania, programowania lub zapewnienia jakości.Many organizations have separate environments for production, test, development, or quality assurance. Planując wdrożenie CMG, należy wziąć pod uwagę następujące kwestie:When you plan your CMG deployment, consider the following questions:

  • Ilu dzierżawców usługi Azure AD posiada Twoja organizacja?How many Azure AD tenants does your organization have?

    • Czy istnieje oddzielna dzierżawa do testowania?Is there a separate tenant for testing?
    • Czy tożsamości użytkowników i urządzeń znajdują się w tej samej dzierżawie?Are user and device identities in the same tenant?
  • Ile subskrypcji znajduje się w każdej dzierżawie?How many subscriptions are in each tenant?

    • Czy istnieją subskrypcje, które są specyficzne dla testowania?Are there subscriptions that are specific for testing?

Usługa platformy Azure Configuration Manager dla zarządzania chmurą obsługuje wiele dzierżawców.Configuration Manager's Azure service for Cloud management supports multiple tenants. Wiele witryn Configuration Manager mogą łączyć się z tą samą dzierżawą.Multiple Configuration Manager sites can connect to the same tenant. Pojedyncza lokacja może wdrożyć wiele usług CMG w różnych subskrypcjach.A single site can deploy multiple CMG services into different subscriptions. Wiele witryn może wdrożyć usługi CMG w tej samej subskrypcji.Multiple sites can deploy CMG services into the same subscription. Configuration Manager zapewnia elastyczność w zależności od środowiska i wymagań firmy.Configuration Manager provides flexibility depending upon your environment and business requirements.

Aby uzyskać więcej informacji, zobacz następujące często zadawane pytania: czy konta użytkowników muszą znajdować się w tej samej dzierżawie usługi Azure AD, co dzierżawa skojarzona z subskrypcją, która hostuje usługę w chmurze CMG?For more information, see the following FAQ: Do the user accounts have to be in the same Azure AD tenant as the tenant associated with the subscription that hosts the CMG cloud service?

WymaganiaRequirements

Porada

Aby wyjaśnić niepewną terminologię platformy Azure:To clarify some Azure terminology:

  • Dzierżawca jest katalogiem kont użytkowników i rejestracji aplikacji.The tenant is the directory of user accounts and app registrations. Jedna dzierżawa może mieć wiele subskrypcji.One tenant can have multiple subscriptions.
  • Subskrypcja oddziela rozliczenia, zasoby i usługi.A subscription separates billing, resources, and services. Jest on skojarzony z jedną dzierżawą.It's associated with a single tenant.
  • Subskrypcja platformy Azure do hostowania CMG.An Azure subscription to host the CMG.

    Ważne

    Usługa CMG nie obsługuje subskrypcji z dostawcą usług w chmurze platformy Azure (CSP).CMG doesn't support subscriptions with an Azure Cloud Service Provider (CSP).

  • Twoje konto użytkownika musi być administratorem o pełnych uprawnieniach administratora lub infrastruktury w Configuration Manager.Your user account needs to be a Full administrator or Infrastructure administrator in Configuration Manager.

  • Administrator platformy Azure musi wziąć udział w początkowym tworzeniu niektórych składników.An Azure administrator needs to participate in the initial creation of certain components. Ta osoba może być taka sama jak administrator Configuration Manager lub oddzielnie.This persona can be the same as the Configuration Manager administrator, or separate. Jeśli nie, nie wymagają uprawnień w Configuration Manager.If separate, they don't require permissions in Configuration Manager.

    • Po zintegrowaniu witryny z usługą Azure AD w celu wdrożenia CMG przy użyciu Azure Resource Manager należy mieć uprawnienia administratora globalnego.When you integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Administrator.

    • Gdy utworzysz CMG, potrzebujesz właściciela subskrypcji.When you create the CMG, you need a Subscription Owner.

  • Co najmniej jeden lokalny serwer systemu Windows, który będzie hostować punkt połączenia usługi CMG.At least one on-premises Windows server to host the CMG connection point. Tę rolę można rozszukać z innymi Configuration Manager rolami systemu lokacji.You can colocate this role with other Configuration Manager site system roles.

  • Punkt połączenia z usługą musi być w trybie online.The service connection point must be in online mode.

  • Certyfikat uwierzytelniania serwera dla CMG.A server authentication certificate for the CMG.

  • Zintegruj lokację z usługą Azure AD , aby wdrożyć usługę za pomocą Azure Resource Manager.Integrate the site with Azure AD to deploy the service with Azure Resource Manager. Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Azure AD dla CMG.For more information, see Configure Azure AD for CMG.

  • Inne certyfikaty mogą być wymagane, w zależności od wersji systemu operacyjnego klienta i modelu uwierzytelniania.Other certificates may be required, depending upon your client OS version and authentication model. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klientów.For more information, see Configure client authentication.

  • Klienci muszą używać protokołu IPv4.Clients must use IPv4.

  • Configuration Manager domyślnie nie włącza tej funkcji opcjonalnej.Configuration Manager doesn't enable this optional feature by default. Tę funkcję należy włączyć przed jej użyciem.You must enable this feature before using it. Aby uzyskać więcej informacji, zobacz Enable optional features from updates.For more information, see Enable optional features from updates.

Wydajność i skalowaniePerformance and scale

Uwaga

Wskazówki dotyczące zmiany rozmiarów punktów zarządzania i punktów aktualizacji oprogramowania nie zmieniają się, czy korzystają z usług lokalnych czy klientów internetowych.Sizing guidance for management points and software update points doesn't change whether they service on-premises or internet-based clients. Aby uzyskać więcej informacji, zobacz rozmiar i skalowanie numerów.For more information, see Size and scale numbers.

Rozmiar i Skala dla bramy zarządzania chmurąSize and scale for cloud management gateway

  • Można zainstalować wiele wystąpień bramy zarządzania chmurą (CMG) w lokacjach głównych lub centralną lokację administracyjną.You can install multiple instances of the cloud management gateway (CMG) at primary sites, or the central administration site.

    Porada

    W hierarchii Utwórz CMG w centralnej lokacji administracyjnej.In a hierarchy, create the CMG at the central administration site.

  • Jedna CMG obsługuje jeden do 16 wystąpień maszyn wirtualnych w usłudze w chmurze platformy Azure.One CMG supports one to 16 virtual machine (VM) instances in the Azure cloud service.

  • Każde wystąpienie maszyny wirtualnej CMG obsługuje jednoczesne połączenia klienckie 6 000.Each CMG VM instance supports 6,000 simultaneous client connections. Gdy CMG jest w dużym obciążeniu z więcej niż obsługiwaną liczbą klientów, nadal obsługuje żądania, ale mogą występować opóźnienia.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Rozmiar i skala punktu połączenia bramy zarządzania chmurąSize and scale for cloud management gateway connection point

  • W lokacjach głównych można zainstalować wiele wystąpień punktu połączenia CMG.You can install multiple instances of the CMG connection point at primary sites.

  • Jeden punkt połączenia CMG może obsługiwać CMG z maksymalnie czterema wystąpieniami maszyn wirtualnych.One CMG connection point can support a CMG with up to four VM instances. Jeśli CMG ma więcej niż cztery wystąpienia maszyn wirtualnych, Dodaj drugi punkt połączenia CMG do równoważenia obciążenia.If the CMG has more than four VM instances, add a second CMG connection point for load balancing. CMG z 16 wystąpieniami maszyn wirtualnych należy połączyć z czterema punktami połączenia CMG.A CMG with 16 VM instances should be linked with four CMG connection points.

Uwaga

Podczas rozważania wymagań sprzętowych dla punktu połączenia CMG zobacz zalecany sprzęt dla serwerów zdalnego systemu lokacji.When considering hardware requirements for the CMG connection point, see Recommended hardware for remote site system servers.

Poprawa wydajności CMGImprove CMG performance

Poniższe zalecenia mogą pomóc w poprawieniu wydajności CMG:The following recommendations can help you improve CMG performance:

  • Połączenie między klientem Configuration Manager i CMG nie jest zależne od regionu.The connection between the Configuration Manager client and the CMG isn't region-aware. Komunikacja z klientem jest w dużym stopniu niezależna od opóźnienia i separacji geograficznej.Client communication is largely unaffected by latency and geographic separation. Nie trzeba wdrażać wielu CMG na potrzeby sąsiedztwa geograficznego.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Wdróż CMG w lokacji najwyższego poziomu w hierarchii.Deploy the CMG at the top-level site in your hierarchy. Aby zwiększyć skalę, Dodaj wystąpienia maszyn wirtualnych.To increase scale, add VM instances.

  • Aby zapewnić wysoką dostępność usługi, Utwórz CMG z co najmniej dwoma wystąpieniami maszyn wirtualnych i dwoma punktami połączenia CMG na lokację.For high availability of the service, create a CMG with at least two VM instances and two CMG connection points per site.

  • Skalowanie CMG w celu obsługi większej liczby klientów poprzez dodanie większej liczby wystąpień maszyn wirtualnych.Scale the CMG to support more clients by adding more VM instances. Moduł równoważenia obciążenia platformy Azure kontroluje połączenia klienckie z usługą.The Azure load balancer controls client connections to the service.

  • Utwórz więcej punktów połączenia CMG, aby rozpowszechnić obciążenie między nimi.Create more CMG connection points to distribute the load among them. CMG dystrybuuje ruch do łączących się punktów połączenia CMG w sposób okrężny.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

Uwaga

Chociaż Configuration Manager nie ma sztywnego limitu liczby klientów dla punktu połączenia CMG, system Windows Server ma domyślny maksymalny zakres portów dynamicznych TCP wynoszący 16 384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Jeśli lokacja Configuration Manager zarządza więcej niż 16 384 klientów z jednym punktem połączenia CMG, zwiększ limit systemu Windows Server.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, increase the Windows Server limit. Wszyscy klienci przechowują kanał powiadomień klienta, które przechowują port otwarty w punkcie połączenia CMG.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Aby uzyskać więcej informacji o tym, jak zwiększyć ten limit, zobacz Pomoc techniczna firmy Microsoft artykułu 929851.For more information on how to increase this limit, see Microsoft Support article 929851.

Następne krokiNext steps

Następnie zapoznaj się z funkcjami i konfiguracjami obsługiwanymi przez program CMG:Next, review the features and configurations that the CMG supports: