Usar um ponto de distribuição de nuvem no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Aviso
A implementação para compartilhamento de conteúdo do Azure foi alterada. Use um gateway de gerenciamento de nuvem habilitado para conteúdo, permitindo que o CMG funcione como um ponto de distribuição de nuvem e sirva conteúdo do armazenamento do Azure. Para obter mais informações, consulte Modificar um CMG.
A partir da versão 2107, você não pode criar um CDP (ponto de distribuição de nuvem tradicional).
Um ponto de distribuição de nuvem é um ponto de distribuição Configuration Manager hospedado como PaaS (Plataforma como serviço) no Microsoft Azure. Esse serviço dá suporte aos seguintes cenários:
Fornecer conteúdo de software para clientes baseados na Internet sem infraestrutura local adicional
Habilitar o sistema de distribuição de conteúdo na nuvem
Reduzir a necessidade de pontos de distribuição tradicionais
Este artigo ajuda você a aprender sobre o ponto de distribuição de nuvem, planejar seu uso e projetar sua implementação. Ele inclui as seguintes seções:
- Recursos e benefícios
- Design de topologia
- Requisitos
- Especificações
- Custo
- Desempenho e escala
- Portas e fluxo de dados
- Certificados
- Perguntas frequentes (FAQ)
Recursos e benefícios
Recursos
O ponto de distribuição de nuvem dá suporte a vários recursos que também são oferecidos por pontos de distribuição locais:
Gerenciar pontos de distribuição de nuvem individualmente ou como membros de grupos de pontos de distribuição
Usar um ponto de distribuição de nuvem como local de conteúdo de fallback
Dá suporte a clientes baseados em intranet e internet
Benefícios
O ponto de distribuição de nuvem fornece os seguintes benefícios adicionais:
O site criptografa o conteúdo antes de enviá-lo para o ponto de distribuição de nuvem no Azure.
Para atender às demandas de alteração de solicitações de conteúdo por clientes, dimensione manualmente o serviço de nuvem no Azure. Essa ação não exige que você instale e provisione pontos de distribuição adicionais no Configuration Manager.
Dá suporte ao download de conteúdo de clientes configurados para outras tecnologias de conteúdo, como o Windows BranchCache.
Use pontos de distribuição de nuvem como locais de origem para pontos de distribuição de pull.
Design de topologia
A implantação e a operação do ponto de distribuição de nuvem incluem os seguintes componentes:
Um serviço de nuvem no Azure. O site distribui conteúdo para esse serviço, que o armazena no armazenamento em nuvem do Azure. O ponto de gerenciamento fornece aos clientes esse local de conteúdo na lista de fontes disponíveis conforme apropriado.
Uma função de sistema de ponto de gerenciamento atende solicitações de cliente por normal.
Os clientes locais normalmente usam um ponto de gerenciamento local.
Os clientes baseados na Internet usam um gateway de gerenciamento de nuvem ou um ponto de gerenciamento baseado na Internet.
O ponto de distribuição de nuvem usa um serviço Web HTTPS baseado em certificado para ajudar a proteger a comunicação de rede com clientes. Os clientes devem confiar nesse certificado.
Azure Resource Manager
Crie um ponto de distribuição de nuvem usando uma implantação do Azure Resource Manager. O Azure Resource Manager é uma plataforma moderna para gerenciar todos os recursos de solução como uma única entidade, chamada de grupo de recursos. Ao implantar um ponto de distribuição de nuvem com o Azure Resource Manager, o site usa Microsoft Entra ID para autenticar e criar os recursos de nuvem necessários.
Observação
Esse recurso não habilita o suporte para CSP (Provedores de Serviços de Nuvem) do Azure. A implantação do ponto de distribuição de nuvem com o Azure Resource Manager continua a usar o serviço de nuvem clássico, que o CSP não dá suporte. Para obter mais informações, confira Serviços disponíveis do Azure no CSP do Azure.
O Azure Resource Manager é o único mecanismo de implantação para novas instâncias do ponto de distribuição de nuvem. As implantações existentes continuam funcionando.
Design de hierarquia
Onde você cria o ponto de distribuição de nuvem depende de quais clientes precisam acessar o conteúdo.
Implantação do Azure Resource Manager: crie esse tipo em um site primário ou no site de administração central.
O CMG (gateway de gerenciamento de nuvem) também pode servir conteúdo para clientes. Essa funcionalidade reduz os certificados e o custo necessários das VMs do Azure. Para obter mais informações, consulte Visão geral do gateway de gerenciamento de nuvem.
Para determinar se deve incluir pontos de distribuição de nuvem em grupos de limites, considere os seguintes comportamentos:
Os clientes baseados na Internet não dependem de grupos de limites. Eles usam apenas pontos de distribuição voltados para a Internet ou pontos de distribuição na nuvem. Se você estiver usando apenas pontos de distribuição de nuvem para atender a esses tipos de clientes, não precisará incluí-los em grupos de limites.
Se você deseja que os clientes em sua rede interna usem um ponto de distribuição de nuvem, ele precisa estar no mesmo grupo de limites que os clientes. Os clientes priorizam os pontos de distribuição de nuvem por último em sua lista de fontes de conteúdo, pois há um custo associado ao download de conteúdo do Azure. Portanto, um ponto de distribuição de nuvem normalmente é usado como uma fonte de fallback para clientes baseados em intranet. Se você quiser um design na nuvem primeiro, crie seus grupos de limites para atender a esse requisito de negócios. Para obter mais informações, consulte Configurar grupos de limites.
Mesmo que você instale pontos de distribuição de nuvem em regiões específicas do Azure, os clientes não estão cientes das regiões do Azure. Eles selecionam aleatoriamente um ponto de distribuição de nuvem. Se você instalar pontos de distribuição de nuvem em várias regiões e um cliente receber mais de um na lista de locais de conteúdo, o cliente poderá não usar um ponto de distribuição de nuvem da mesma região do Azure.
Backup e recuperação
Ao usar um ponto de distribuição de nuvem em sua hierarquia, use as seguintes informações para ajudá-lo a planejar o backup e a recuperação:
Quando você usa a tarefa de manutenção do Servidor de Site de Backup, Configuration Manager inclui automaticamente as configurações para o ponto de distribuição de nuvem.
Faça backup e salve uma cópia do certificado de autenticação do servidor. Quando você restaura o Configuration Manager site primário para um servidor diferente, reimporte o certificado.
Requisitos
Você precisa de uma assinatura do Azure para hospedar o serviço.
- Um administrador do Azure precisa participar da criação inicial de determinados componentes, dependendo do design. Essa persona não requer permissões no Configuration Manager.
O servidor do site requer acesso à Internet para implantar e gerenciar o serviço de nuvem.
Ao usar o método de implantação do Azure Resource Manager, integre Configuration Manager ao Microsoft Entra ID para Gerenciamento de Nuvem. Microsoft Entra ID descoberta de usuário não é necessária.
Um certificado de autenticação de servidor. Para obter mais informações, confira a seção Certificados abaixo.
- Para reduzir a complexidade, use um provedor de certificado público para o certificado de autenticação do servidor. Ao fazer isso, você também precisa de um alias DNS CNAME para que os clientes resolve o nome do serviço de nuvem.
Defina a configuração do cliente, Permitir acesso a pontos de distribuição de nuvem, como Sim no grupo Serviços de Nuvem. Por padrão, esse valor é definido como No.
Os dispositivos cliente exigem conectividade com a Internet e devem usar o IPv4.
Especificações
O ponto de distribuição de nuvem dá suporte a todas as versões do Windows listadas em sistemas operacionais com suporte para clientes e dispositivos.
Um administrador distribui os seguintes tipos de conteúdo de software com suporte:
Aplicativos
Pacotes
Pacotes de atualização do sistema operacional
Atualizações de software de terceiros
Importante
- Embora o console Configuration Manager não bloqueie a distribuição de atualizações de software da Microsoft para um ponto de distribuição de nuvem, você está pagando custos do Azure para armazenar conteúdo que os clientes não usam. Os clientes baseados na Internet sempre obtêm conteúdo de atualização de software da Microsoft do serviço de nuvem do Microsoft Update. Não distribua atualizações de software da Microsoft para um ponto de distribuição de nuvem.
- Se a atualização de software for distribuída ao ponto de distribuição de nuvem, ela ainda usará o ponto de distribuição local para download de conteúdo quando os clientes estiverem na Intranet.
- Ao usar um CMG para armazenamento de conteúdo, o conteúdo para atualizações de terceiros não será baixado para clientes se o conteúdo delta baixar quando a configuração do cliente disponível estiver habilitada.
Configure um ponto de distribuição de pull para usar um ponto de distribuição de nuvem como fonte. Para obter mais informações, consulte Sobre pontos de distribuição de origem.
Configurações de Implantação
Baixe conteúdo localmente quando necessário pela sequência de tarefas em execução. O mecanismo de sequência de tarefas pode baixar pacotes sob demanda de um CMG habilitado para conteúdo ou de um ponto de distribuição de nuvem. Essa opção fornece flexibilidade adicional com suas implantações de atualização in loco do Windows para dispositivos baseados na Internet.
Baixe todo o conteúdo localmente antes de iniciar a sequência de tarefas. Com essa opção, o cliente Configuration Manager baixa o conteúdo da fonte de nuvem antes de iniciar a sequência de tarefas.
Um ponto de distribuição de nuvem não dá suporte a implantações de pacote com a opção de executar o programa do ponto de distribuição. Use a opção de implantação para Baixar conteúdo do ponto de distribuição e executar localmente.
Limitações
Você não pode usar um ponto de distribuição de nuvem para implantações habilitadas para PXE ou multicast.
Um ponto de distribuição de nuvem não dá suporte a aplicativos de streaming do App-V.
Um ponto de distribuição de nuvem não dá suporte ao conteúdo para atualizações de Microsoft 365 Apps.
Não é possível obter conteúdo em um ponto de distribuição de nuvem. O gerenciador de distribuição do site primário que gerencia o ponto de distribuição de nuvem transfere todo o conteúdo.
Você não pode configurar um ponto de distribuição de nuvem como um ponto de distribuição de pull.
Custo
Importante
As informações de custo a seguir são apenas para fins de estimativa. Seu ambiente pode ter outras variáveis que afetam o custo geral de usar um ponto de distribuição de nuvem.
Configuration Manager inclui as seguintes opções para ajudar a controlar os custos e monitorar o acesso aos dados:
Controlar e monitorar a quantidade de conteúdo que você armazena em um serviço de nuvem. Para obter mais informações, consulte Monitorar pontos de distribuição de nuvem.
Configure Configuration Manager para alertá-lo quando os limites para downloads de clientes atenderem ou excederem os limites mensais. Para obter mais informações, confira Alertas de limite de transferência de dados.
Para ajudar a reduzir o número de transferências de dados de pontos de distribuição de nuvem por clientes, use uma das seguintes tecnologias de cache par:
cache par Configuration Manager
Windows BranchCache
Otimização de Entrega do Windows
Para obter mais informações, confira Conceitos fundamentais para o gerenciamento de conteúdo.
Componentes
Um ponto de distribuição de nuvem usa os seguintes componentes do Azure, que incorrem em encargos para a conta de assinatura do Azure:
Dica
O gateway de gerenciamento de nuvem também pode servir conteúdo para clientes. Essa funcionalidade reduz o custo consolidando as VMs do Azure. Para obter mais informações, consulte Custo para gateway de gerenciamento de nuvem.
Máquina virtual
O ponto de distribuição de nuvem usa o Azure Serviços de Nuvem como plataforma como serviço (PaaS). Esse serviço usa máquinas virtuais (VMs) que incorrem em custos de computação.
Cada serviço de ponto de distribuição de nuvem usa duas VMs Standard A0.
Consulte a calculadora de preços do Azure para ajudar a determinar os custos potenciais.
Observação
Os custos da máquina virtual variam de acordo com a região.
Transferência de dados de saída
Todos os fluxos de dados no Azure são gratuitos (entrada ou carregamento). A distribuição de conteúdo do site para o ponto de distribuição de nuvem está sendo carregada no Azure.
Os encargos são baseados em dados que fluem do Azure (saída ou download). Os fluxos de dados de ponto de distribuição de nuvem do Azure consistem no conteúdo de software que os clientes baixam.
Para obter mais informações, consulte Monitorar pontos de distribuição de nuvem.
Consulte os detalhes de preço da largura de banda do Azure para ajudar a determinar os custos potenciais. O preço da transferência de dados está em camadas. Quanto mais você usa, menos você paga por gigabyte.
Repositório de conteúdo
Clientes baseados na Internet obtêm conteúdo de atualização de software da Microsoft do serviço de nuvem do Microsoft Update sem custo. Não distribua pacotes de implantação de atualização de software com atualizações de software da Microsoft para um ponto de distribuição de nuvem. Caso contrário, você incorrerá em custos de armazenamento de dados para conteúdo que os clientes nunca usam.
Os pontos de distribuição de nuvem com uma implantação do Azure Resource Manager usam o LRS (armazenamento com redundância local) do Azure. Para obter mais informações, consulte Armazenamento com redundância local.
Outros custos
- Cada serviço de nuvem tem um endereço IP dinâmico. Cada ponto de distribuição de nuvem distinto usa um novo endereço IP dinâmico. Adicionar VMs adicionais por serviço de nuvem não aumenta esses endereços.
Portas e fluxo de dados
Há dois fluxos de dados primários para o ponto de distribuição de nuvem:
O servidor do site se conecta ao Azure para configurar o serviço de ponto de distribuição de nuvem
Um cliente se conecta ao ponto de distribuição de nuvem para baixar conteúdo
Servidor de site para o Azure
Você não precisa abrir nenhuma porta de entrada para sua rede local. O servidor do site inicia toda a comunicação com o Azure e o ponto de distribuição de nuvem para implantar, atualizar e gerenciar o serviço de nuvem. O servidor do site precisa criar conexões de saída com a nuvem da Microsoft. Essa ação é equivalente à instalação da função do sistema do site de ponto de distribuição em um site específico.
Ponto de distribuição cliente a nuvem
Você não precisa abrir nenhuma porta de entrada para sua rede local. Clientes baseados na Internet se comunicam diretamente com o serviço do Azure. Os clientes em sua rede interna que usam um ponto de distribuição de nuvem precisam se conectar à nuvem da Microsoft.
Para obter mais informações sobre a prioridade do local de conteúdo e quando os clientes baseados em intranet usarem um ponto de distribuição de nuvem, consulte Prioridade de fonte de conteúdo.
Quando um cliente usa um ponto de distribuição de nuvem como local de conteúdo:
O ponto de gerenciamento fornece ao cliente um token de acesso junto com a lista de fontes de conteúdo. Esse token é válido por 24 horas e dá ao cliente acesso ao ponto de distribuição de nuvem.
O ponto de gerenciamento responde à solicitação de localização do cliente com o FQDN de Serviço do ponto de distribuição de nuvem. Essa propriedade é a mesma que o nome comum do certificado de autenticação do servidor.
Se você estiver usando seu nome de domínio, por exemplo, WallaceFalls.contoso.com, o cliente primeiro tentará resolve esse FQDN. Você precisa de um alias CNAME no DNS voltado para a Internet do domínio para que os clientes resolve o nome do serviço do Azure, por exemplo: WallaceFalls.cloudapp.net.
O próximo cliente resolve o nome do serviço do Azure, por exemplo, WallaceFalls.cloudapp.net, para um endereço IP válido. Essa resposta deve ser tratada pelo DNS do Azure.
O cliente se conecta ao ponto de distribuição de nuvem. A carga do Azure equilibra a conexão com uma das instâncias da VM. O cliente se autentica usando o token de acesso.
O ponto de distribuição de nuvem autentica o token de acesso do cliente e, em seguida, fornece ao cliente o local de conteúdo exato no armazenamento do Azure.
Se o cliente confiar no certificado de autenticação do servidor do ponto de distribuição de nuvem, ele se conectará ao armazenamento do Azure para baixar o conteúdo.
Desempenho e escala
Como acontece com qualquer design de ponto de distribuição, considere os seguintes fatores:
- Número de conexões simultâneas de cliente
- O tamanho do conteúdo que os clientes baixam
- O tempo permitido para atender aos seus requisitos de negócios
Dependendo do design de topologia, se os clientes tiverem a opção de mais de um ponto de distribuição de nuvem para qualquer conteúdo, eles naturalmente serão randomizados entre esses serviços de nuvem. Se você distribuir apenas um determinado conteúdo para um único ponto de distribuição de nuvem e um grande número de clientes tentar baixar esse conteúdo ao mesmo tempo, essa atividade colocará uma carga maior nesse único ponto de distribuição de nuvem. Adicionar um ponto de distribuição de nuvem adicional também inclui um serviço de armazenamento do Azure separado. Para obter mais informações sobre como o cliente se comunica com os componentes do ponto de distribuição de nuvem e baixa conteúdo, consulte Portas e fluxo de dados.
O ponto de distribuição de nuvem usa duas VMs do Azure como front-end para o armazenamento do Azure. Essa implantação padrão atende à maioria das necessidades do cliente. Em algumas circunstâncias extremas, com um grande número de conexões simultâneas de cliente (por exemplo, 150.000 clientes), a capacidade de processamento das VMs do Azure não consegue acompanhar as solicitações do cliente. Não é possível redimensionar as VMs do Azure usadas para o ponto de distribuição de nuvem. Embora você não possa configurar o número de instâncias de VM para o ponto de distribuição de nuvem no Configuration Manager, se necessário, reconfigure o serviço de nuvem no portal do Azure. Adicione manualmente mais instâncias de VM ou configure o serviço para dimensionar automaticamente.
Importante
Quando você atualiza Configuration Manager, o site reimplanta o serviço de nuvem. Se você reconfigurar manualmente o serviço de nuvem no portal do Azure, o número de instâncias será redefinido para o padrão de dois.
O serviço de armazenamento do Azure dá suporte a 500 solicitações por segundo para um único arquivo. O teste de desempenho de um único ponto de distribuição de nuvem deu suporte à distribuição de um único arquivo de 100 MB para 50.000 clientes em 24 horas.
Certificados
Dependendo do design do ponto de distribuição de nuvem, você precisa de um ou mais certificados digitais.
Informações gerais
Os certificados para pontos de distribuição de nuvem dão suporte às seguintes configurações:
Comprimento da chave de 4096 bits
Certificados da versão 3. Para obter mais informações, confira Visão geral dos certificados de GNV.
Ao configurar o Windows com a seguinte política: criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura
Suporte para TLS 1.2. Para obter mais informações, consulte Referência técnica de controles criptográficos.
Certificado de autenticação do servidor
Esse certificado é necessário para todas as implantações de ponto de distribuição de nuvem.
Para obter mais informações, consulte certificado de autenticação do servidor CMG e as seguintes subseções, conforme necessário:
- Certificado raiz confiável cmg para clientes
- Certificado de autenticação de servidor emitido pelo provedor público
- Certificado de autenticação de servidor emitido do PKI da empresa
O ponto de distribuição de nuvem usa esse tipo de certificado da mesma forma que o gateway de gerenciamento de nuvem. Os clientes também precisam confiar nesse certificado. Para reduzir a complexidade, a Microsoft recomenda usar um certificado emitido por um provedor público.
A menos que você use um certificado curinga, não reutilize o mesmo certificado. Cada instância do ponto de distribuição de nuvem e do gateway de gerenciamento de nuvem requer um certificado de autenticação de servidor exclusivo.
Para obter mais informações sobre como criar esse certificado de um PKI, consulte Implantar o certificado de serviço para pontos de distribuição de nuvem.
Perguntas frequentes (FAQ)
Um cliente precisa de um certificado para baixar conteúdo de um ponto de distribuição de nuvem?
Um certificado de autenticação do cliente não é necessário. O cliente precisa confiar no certificado de autenticação do servidor usado pelo ponto de distribuição de nuvem. Se esse certificado for emitido por um provedor de certificado público, a maioria dos dispositivos Windows já inclui certificados raiz confiáveis para esses provedores. Se você emitiu um certificado de autenticação de servidor do PKI da sua organização, seus clientes precisarão confiar nos certificados emissores em toda a cadeia. Essa cadeia inclui a autoridade de certificado raiz e quaisquer autoridades de certificado intermediárias. Dependendo do design do PKI, esse certificado pode introduzir complexidade adicional à implantação do ponto de distribuição de nuvem. Para evitar essa complexidade, a Microsoft recomenda usar um provedor de certificados público em que seus clientes já confiam.
Meus clientes locais podem usar um ponto de distribuição de nuvem?
Sim. Se você deseja que os clientes em sua rede interna usem um ponto de distribuição de nuvem, ele precisa estar no mesmo grupo de limites que os clientes. Os clientes priorizam os pontos de distribuição de nuvem por último em sua lista de fontes de conteúdo, pois há um custo associado ao download de conteúdo do Azure. Assim, um ponto de distribuição de nuvem normalmente é usado como uma fonte de fallback para clientes baseados em intranet. Se você quiser um design na nuvem primeiro, projete seus grupos de limites de acordo. Para obter mais informações, consulte Configurar grupos de limites.
Preciso do Azure ExpressRoute?
O Azure ExpressRoute permite estender sua rede local para a nuvem da Microsoft. O ExpressRoute ou outras conexões de rede virtual não são necessárias para o ponto de distribuição de nuvem Configuration Manager.
Se sua organização usar o ExpressRoute, isole a assinatura do Azure para o ponto de distribuição de nuvem da assinatura que usa o ExpressRoute. Essa configuração garante que o ponto de distribuição de nuvem não esteja conectado acidentalmente dessa maneira.
Preciso manter as máquinas virtuais do Azure?
Nenhuma manutenção é necessária. O design do ponto de distribuição de nuvem usa a plataforma do Azure como serviço (PaaS). Usando a assinatura fornecida, Configuration Manager cria as VMs, o armazenamento e a rede necessários. O Azure protege e atualiza as máquinas virtuais. Essas VMs não fazem parte do ambiente local, como é o caso da infraestrutura como serviço (IaaS). O ponto de distribuição de nuvem é um PaaS que estende seu ambiente de Configuration Manager para a nuvem. Para obter mais informações, confira Vantagens de segurança de um modelo de serviço de nuvem paaS.
O ponto de distribuição de nuvem usa a CDN do Azure?
A CDN (Rede de Entrega de Conteúdo) do Azure é uma solução global para fornecer rapidamente conteúdo de alta largura de banda, armazenando o conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para obter mais informações, confira O que é a CDN do Azure?.
O Configuration Manager ponto de distribuição de nuvem atualmente não dá suporte à CDN do Azure.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de