Plano para o gateway de gerenciamento de nuvem no Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Aplica-se a: System Center Configuration Manager (ramificação atual)Applies to: System Center Configuration Manager (Current Branch)

Começando na versão 1610, o gateway de gerenciamento de nuvem fornece uma maneira simple de gerenciar clientes do Configuration Manager na Internet.Beginning in version 1610, cloud management gateway provides a simple way to manage Configuration Manager clients on the Internet. O serviço de gateway de gerenciamento de nuvem é implantado no Microsoft Azure e requer uma assinatura do Azure.The cloud management gateway service is deployed to Microsoft Azure and requires an Azure subscription. Ele se conecta à sua infraestrutura do Configuration Manager local usando uma nova função chamada o ponto de conector de gateway de gerenciamento de nuvem.It connects to your on-premises Configuration Manager infrastructure using a new role called the cloud management gateway connector point. Depois de implantado e configurado, os clientes poderão acessar o local do Configuration Manager site funções do sistema, independentemente de eles estarem em interno privado rede ou na Internet.Once deployed and configured, clients will be able to access on-premises Configuration Manager site system roles regardless of whether they're on the internal private network or on the Internet.

Dica

Introduzida com a versão 1610, o gateway de gerenciamento de nuvem é um recurso de pré-lançamento.Introduced with version 1610, the cloud management gateway is a pre-release feature. Para habilitá-lo, consulte usar recursos de pré-lançamento de atualizações.To enable it, see Use pre-release features from updates.

Use o console do Configuration Manager para implantar o serviço do Azure, adicione a função do ponto de conector do gateway de gerenciamento de nuvem e configurar funções de sistema de site para permitir o tráfego de gateway de gerenciamento de nuvem.Use the Configuration Manager console to deploy the service to Azure, add the cloud management gateway connector point role, and configure site system roles to allow cloud management gateway traffic. Gateway de gerenciamento de nuvem atualmente suporta apenas as ponto e software update point funções de gerenciamento.Cloud management gateway currently only supports the management point and software update point roles.

Certificados de cliente e certificados de Secure Socket Layer (SSL) são necessários para autenticar computadores e criptografar as comunicações entre as diferentes camadas do serviço.Client certificates and Secure Socket Layer (SSL) certificates are required to authenticate computers and encrypt communications between the different layers of the service. Normalmente, os computadores cliente recebem um certificado de cliente por meio da imposição de política de grupo.Client computers typically receive a client certificate through group policy enforcement. Para criptografar o tráfego entre clientes e servidor de sistema de site hospeda as funções, você precisa criar um certificado SSL personalizado da autoridade de certificação.To encrypt the traffic between clients and site system server hosting the roles, you need to create a custom SSL certificate from the CA. Você também precisa configurar um certificado de gerenciamento no Azure que permite que o Configuration Manager para implantar o serviço de gateway de gerenciamento de nuvem.You also need set up a management certificate on Azure that allows Configuration Manager to deploy the cloud management gateway service.

Requisitos do gateway de gerenciamento de nuvemRequirements for cloud management gateway

  • Computadores cliente e o servidor de sistema de site que executa o ponto de conector de gateway de gerenciamento de nuvem.Client computers and the site system server running the cloud management gateway connector point.

  • Certificados SSL personalizados da autoridade de certificação interna - usado para criptografar a comunicação de computadores cliente e autenticar a identidade do serviço de gateway de gerenciamento de nuvem.Custom SSL certificates from the internal CA - used to encrypt communication from the client computers and authenticate the identity of the cloud management gateway service.

  • Assinatura do Azure para serviços de nuvem.Azure subscription for cloud services.

  • Certificado de gerenciamento do Azure - usado para autenticar o Configuration Manager com o Azure.Azure management certificate - used to authenticate Configuration Manager with Azure.

Especificações do gateway de gerenciamento de nuvemSpecifications for cloud management gateway

  • Cada instância do gateway de gerenciamento de nuvem oferece suporte a 4.000 clientes.Each instance of cloud management gateway supports 4,000 clients.
  • É recomendável que você crie pelo menos duas instâncias de gateway de gerenciamento de nuvem para melhorar a disponibilidade.We recommend that you create at least two instances of cloud management gateway to improve availability.
  • Gateway de gerenciamento de nuvem só oferece suporte a funções do ponto de atualização de gerenciamento ponto e software.Cloud management gateway only supports the management point and software update point roles.
  • Os seguintes recursos no Configuration Manager estão atualmente não há suportados para o gateway de gerenciamento de nuvem:The following features in Configuration Manager are currently unsupported for cloud management gateway:

    • Implementação de clientesClient deployment
    • Atribuição automática de siteAutomatic site assignment
    • Políticas de usuárioUser policies
    • Catálogo de aplicativos (incluindo solicitações de aprovação de software)Application catalog (including software approval requests)
    • Implantação completa do sistema operacional (OSD)Full operating system deployment (OSD)
    • Consola do Configuration ManagerConfiguration Manager console
    • Ferramentas remotasRemote tools
    • Site de relatóriosReporting website
    • Reativação por LANWake on LAN
    • Clientes Mac, Linux e UNIXMac, Linux, and UNIX clients
    • Gerenciador de recursos do AzureAzure Resource Manager
    • Cache de mesmo nívelPeer cache
    • Gestão de Dispositivos Móveis no LocalOn-premises Mobile Device Management

Custo de gateway de gerenciamento de nuvemCost of cloud management gateway

Importante

As informações de custo fornecidas abaixo são para calcular a apenas para fins.The cost information provided below is for estimating purposes only. Seu ambiente pode ter outras variáveis que afetam o custo geral do uso de gateway de gerenciamento de nuvem.Your environment may have other variables that affect the overall cost of using cloud management gateway.

Gateway de gerenciamento de nuvem usa a seguinte funcionalidade do Microsoft Azure, que resulta em encargos para a conta de assinatura do Azure:Cloud management gateway uses the following Microsoft Azure functionality, which incurs charges to the Azure subscription account:

  • Máquina virtualVirtual machine

    • Gateway de gerenciamento de nuvem atualmente requer um padrão_A2 VM.Cloud management gateway currently requires a Standard_A2 virtual machine. Ao criar o serviço, você pode selecionar quantas máquinas virtuais para o suporte para o serviço (um é o padrão).When creating the service, you can select how many VMs to support the service (one is the default).

    • Para calcular a apenas para fins de esperar que um único padrão do Azure_A2 VM pode oferecer suporte a aproximadamente 2.000 baseado na Internet clientes simultâneos.For estimating purposes only, expect that a single Azure Standard_A2 virtual machine can support approximately 2,000 simultaneous Internet-based clients.

    • Consulte o Calculadora de preços do Azure para ajudar a determinar os custos potenciais.See the Azure pricing calculator to help determine potential costs.

      Nota

      Custos de máquina virtual variam por região.Virtual machine costs vary by region.

  • Transferência de dados de saídaOutbound data transfer

    • As cobranças incorrem para dados que fluem do serviço.Charges are incurred for data flowing out of the service.. Consulte o largura de banda do Azure, detalhes de preços para ajudar a determinar os custos potenciais.See the Azure bandwidth pricing details to help determine potential costs.

    • Para calcular a apenas para fins, Espere aproximadamente 100 MB por cliente por mês para clientes baseados na Internet, fazer atualizações de política a cada hora.For estimating purposes only, expect approximately 100 MB per client per month for Internet-based clients doing policy refreshes every hour.

    Nota

    Executar outras ações com suporte por meio do gateway de gerenciamento de nuvem (por exemplo, implantar atualizações de software ou aplicativos) aumenta a quantidade de transferência de dados de saída do Azure.Performing other actions supported via the cloud management gateway (for example, deploying software updates or applications) will increase the amount of outbound data transfer from Azure.

  • Armazenamento de conteúdoContent storage

    • Clientes baseados na Internet gerenciados com o gateway de gerenciamento de nuvem obterá o conteúdo de atualização de software do Windows Update sem custo adicional.Internet-based clients managed with cloud management gateway will get software update content from Windows Update at no charge.

    • Qualquer outro conteúdo necessário (por exemplo, aplicativos) deve ser distribuído para um ponto de distribuição baseado em nuvem.Any other necessary content (for example, applications) must be distributed to a cloud-based distribution point. Atualmente, o gateway de gerenciamento de nuvem oferece suporte a apenas o ponto de distribuição de nuvem para enviar conteúdo para clientes.Currently, the cloud management gateway supports only Cloud Distribution Point for sending content to clients.

    • Consulte o custo de usar um distribuição com base em nuvem para obter mais detalhes.See the cost of using a cloud-based distribution for more details.

Perguntas frequentes sobre o Gateway de gerenciamento de nuvem (CMG)Frequently asked questions about the Cloud Management Gateway (CMG)

Por que usar o gateway de gerenciamento de nuvem?Why use the cloud management gateway?

Use esta função para simplificar o gerenciamento de clientes baseados na Internet em três etapas do console do Configuration Manager.Use this role to simplify Internet-based client management in three steps from the Configuration Manager console.

  1. Implantar o CMG no Azure usando o criar Gateway de gerenciamento de nuvem assistente.Deploy the CMG to Azure using the Create Cloud Management Gateway wizard.
  2. Configurar o ponto de conexão de gateway de gerenciamento de nuvem função do sistema de site.Configure the cloud management gateway connection point site system role.
  3. Configurar funções para o tráfego de gateway de gerenciamento de nuvem, como o ponto de gerenciamento e o software de ponto de atualização.Configure roles for cloud management gateway traffic, like the management point, and software update point.

Como funciona o gateway de gerenciamento de nuvem?How does the cloud management gateway work?

  • O ponto de conexão de gateway de gerenciamento de nuvem permite que uma conexão da Internet em consistente e de alto desempenho para o gateway de gerenciamento de nuvem.The cloud management gateway connection point enables a consistent and high performance connection from the Internet to the cloud management gateway.
  • Configuration Manager publica as configurações para o CMG incluindo as configurações de segurança e informações de conexão.Configuration Manager publishes settings to the CMG including connection information and security settings.
  • O CMG autentica e encaminha as solicitações de cliente do Configuration Manager para o ponto de conexão de gateway de gerenciamento de nuvem.The CMG authenticates and forwards Configuration Manager client requests to the cloud management gateway connection point. Essas solicitações são encaminhadas para funções na rede corporativa de acordo com os mapeamentos de URL.These requests are forwarded to roles in the corporate network according to URL mappings.

Como o gateway de gerenciamento de nuvem é implantado?How is the cloud management gateway deployed?

O componente de Gerenciador de serviço de nuvem no ponto de conexão de serviço lida com todas as tarefas de implantação CMG.The cloud service manager component on the service connection point handles all CMG deployment tasks. Além disso, ele monitora e relata informações de integridade e o log de serviço do AD do Azure.Additionally, it monitors and reports service health and logging information from Azure AD.

Requisitos de certificadosCertificate requirements

Você precisará dos seguintes certificados para proteger o CMG:You'll need the following certificates to secure the CMG:

  • Certificado de gerenciamento -isso pode ser qualquer certificado, incluindo certificados autoassinados.Management certificate - This can be any certificate including self-signed certificates. Você pode usar um certificado público carregado para o Azure AD ou um PFX com chave privada importados para o Configuration Manager para autenticar com o AD do Azure.You can use a public certificate uploaded to Azure AD or a PFX with private key imported into Configuration Manager to authenticate with Azure AD.
  • Certificado de serviço Web -é recomendável que você usar um certificado de autoridade de certificação pública para ganhar confiança nativo pelos clientes.Web service certificate - We recommend that you use a public CA certificate to gain native trust by clients. O CName precisa ser criado na registar DNS público.The CName needs to be created in the public DNS registar. Não há suporte para certificados de caractere curinga.Wild card certificates are not supported.
  • Carregar certificados de raiz/SubCA CMG -CMG o precisa completo a validação da cadeia de certificados de PKI do cliente.Root/SubCA certificates upload to CMG - The CMG needs to do full chain validation on client PKI certificates. Se você usar uma autoridade de certificação corporativa para emitir certificados PKI de cliente e sua raiz ou autoridade de certificação subordinada não está disponível na internet, em seguida, você deve carregá-lo a CMG.If you use an enterprise CA for issuing client PKI certificates and their root or subordinate CA is not available on the internet, then you must upload it to the CMG.

Processo de implantaçãoDeployment process

Há duas fases de implantação:There two phases to the deployment:

Se você alterar a configuração do CMG, uma implantação de configuração é iniciada para o CMG.If you change the configuration of the CMG, a configuration deployment is initiated to the CMG.

Como o gateway de gerenciamento de nuvem ajuda a garantir a segurança?How does the cloud management gateway help ensure security?

O CMG ajuda a garantir a segurança das seguintes maneiras:The CMG helps ensure security in the following ways:

  • Aceita e gerencia conexões de pontos de conexão CMG incluindo autenticação mútua de SSL usando certificados internos e IDs de conexão.Accepts and manages connections from CMG connection points including mutual SSL authentication using internal certificates and connection IDs.
  • Aceita e encaminha as solicitações de clienteAccepts and forwards client requests

    • Pré-autentica as conexões usando SSL mútua no certificado PKI de cliente.Pre-authenticates connections using mutual SSL on the client PKI certificate.
    • Lista de certificados confiáveis verifica a raiz do certificado PKI do cliente.The certificate trust list checks the root of the client PKI certificate. Você pode especificar essa configuração no cliente se comunicar configurações nas propriedades do site.You can specify this setting in the client communicate settings in site properties. Também executa a mesma validação como ponto de gerenciamento para o cliente.Also performs the same validation as the management point for the client.
    • Valida URLs recebidasValidates received URLs
    • Filtros recebeu URLs para verificar se qualquer ponto de conexão CMG conexão pode atender à solicitação de URL.Filters received URLs to check if any connecting CMG connection point can service the URL request.
    • Verifica a seleção de comprimento de conteúdo para cada ponto de extremidade de publicação.Checks content length check for each publishing endpoint.
    • Usa 'round-robin' para carregar o equilíbrio entre os pontos de conexão CMG do mesmo site.Uses 'round-robin' to load balance between CMG connection points from the same site.
  • Protege o ponto de conexão CMGSecures the CMG connection point

    • Cria conexões de HTTP/TCP consistentes para todas as instâncias virtuais do CMG a conexão.Builds consistent HTTP/TCP connections to all virtual instances of the connecting CMG. Verifica e mantém conexões a cada minuto.Checks and maintains connections every minute.
    • Mutuamente autheticates autenticação SSL com CMG usando certificados internos.Mutually autheticates SSL authentication with CMG using internal certificates.
    • Encaminha HTTP solicitações com base nos mapeamentos de URL.Forwards HTTP requests based on URL mappings.
    • Relata o status de conexão para mostrar o status de integridade do serviço de administração.Reports connection status to show admin service health status.
    • Relatório de tráfego de ponto de extremidade de relatórios por ponto de extremidade a cada 5 minutos.Reports endpoint traffic report per endpoint every 5 minutes.
  • Proteger o cliente do Configuration Manager endpoint publicação voltados para funções como o ponto de gerenciamento e software update ponto host pontos de extremidade no IIS para atender a solicitações de cliente.Secure the publishing endpoint Configuration Manager client facing roles like the management point, and software update point host endpoints in IIS to service client requests. Cada ponto de extremidade publicado para o CMG tem um mapeamento de URL.Every endpoint published to the CMG has an URL mapping. A URL externa é aquele em que o cliente usa para se comunicar com o CMG.The external URL is the one the client uses to communicate with the CMG. A URL interna é o ponto de conexão de CMG usado para encaminhar solicitações para o servidor interno.The internal URL is the CMG connection point used to forward requests to the internal server.

Exemplo:Example:

Quando você habilita o tráfego CMG em um ponto de gerenciamento, o Configuration Manager cria um conjunto de mapeamentos de URL internamente para cada servidor de ponto de gerenciamento, como ccm_system, ccm_incoming e sms_mp.When you enable CMG traffic on a management point, Configuration Manager creates a set of URL mappings internally for each management point server, like ccm_system, ccm_incoming, and sms_mp. A URL externa para o ponto de extremidade de ccm_system de ponto de gerenciamento pode parecer https:///CCM_Proxy_MutualAuth//CCM_System.The external URL for the management point ccm_system endpoint might look like https:///CCM_Proxy_MutualAuth//CCM_System. A URL é exclusiva para cada ponto de gerenciamento.The URL is unique for each management point. Em seguida, o cliente do Configuration Manager coloca o CMG habilitado o nome do pacote de gerenciamento como /CCM_Proxy_MutualAuth/ em sua lista de pontos de gerenciamento da internet.The Configuration Manager client then puts the CMG enabled MP name like /CCM_Proxy_MutualAuth/ into its internet management point list. Todas as URLs externas publicados são carregados automaticamente para o CMG CMG é capaz de fazer a filtragem de URL.All published external URLs are uploaded to the CMG automatically then CMG is able to do URL filtering. Todo o mapeamento de URL replica para o ponto de conexão CMG para que se possa encaminhar para servidores internos de acordo com a URL externa de solicitação de cliente.All URL mapping replicates to CMG connection point so it can forward to internal servers according to client requesting external URL.

Quais portas são usadas pelo gateway de gerenciamento de nuvem?What ports are used by the cloud management gateway?

  • Nenhuma porta de entrada necessária na rede local.No inbound ports required on premise network. Implantação de CMG criar um grupo no CMG automaticamente.Deployment of CMG will create a bunch on CMG automatically.
  • Além de 443, algumas portas de saída são necessários para o ponto de conexão CMG.Besides 443, some outbound ports are required by the CMG connection point.
Fluxo de dadosData flow ServidorServer Portas do servidorServer ports ClienteClient
Implantação de CMGCMG deployment AzureAzure 443443 Ponto de conexão de serviço do Configuration ManagerConfiguration Manager service connection point
Criar o canal CMGBuild CMG channel CMGCMG Instância VM: 1 porta: 443VM instance: 1 Port: 443
Instância VM: N (N > = 2 e N < = 16) portas: 10124 ~ N 10140 ~ NVM instance: N (N>=2 and N<= 16) Ports: 10124~N 10140~N
Ponto de Conexão CMGCMG Connection point
Cliente CMGClient to CMG CMGCMG 443443 ClienteClient
Conector CMG a função de site (pontos de gerenciamento no momento e pontos de atualização de software)CMG connector to site role (currently management points and software update points) Função do siteSite role Protocolo/portas configuradas na função do siteProtocol/Ports configured on the site role Ponto de conexão CMGCMG connection point

Como você pode melhorar o desempenho do gateway de gerenciamento de nuvem?How can you improve performance of the cloud management gateway?

  • Se possível, configure o CMG, ponto de conexão CMG e o servidor de site do Configuration Manager na mesma região para reduzir a latência de rede.If possible, configure the CMG, CMG connection point and the Configuration Manager site server in same network region to reduce latency.
  • No momento, a conexão entre o cliente do Configuration Manager e o CMG não está ciente de região.Currently, the connection between the Configuration Manager client and the CMG is not region-aware.
  • Para obter alta disponibilidade, recomendamos pelo menos 2 instâncias virtuais do CMG e dois pontos de conexão CMG por siteTo gain high availability, we recommend at least 2 virtual instances of the CMG and two CMG connection points per site
  • Você pode dimensionar o CMG para dar suporte a mais clientes adicionando mais instâncias VM.You can scale the CMG to support more clients by adding more VM instances. Eles têm a carga balanceada pelo Balanceador de carga do AD do Azure.They are load balanced by the Azure AD load balancer.
  • Crie mais pontos de conexão CMG para distribuir a carga entre eles.Create more CMG connection points to distribute the load among them. O CMG será 'round-robin' o tráfego para os pontos de conexão CMG conexão.The CMG will 'round-robin' the traffic to its connecting CMG connection points.
  • Número de cliente de suporte por instância CMG VM é 6k na versão 1702.Support client number per CMG VM instance is 6k in the 1702 release. Quando o canal CMG está sob carga alta, a solicitação ainda será tratada, mas pode levar mais tempo do que o normal.When the CMG channel is under high load, the request will still be handled but might take longer than normal.

Como você pode monitorar o gateway de gerenciamento de nuvem?How can you monitor the cloud management gateway?

Para solucionar problemas de implantação, use CloudMgr.log e CMGSetup.log.For troubleshooting deployment, use CloudMgr.log and CMGSetup.log. Para solucionar problemas de integridade do serviço, use CMGService.log e SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting service health, use CMGService.log and SMS_CLOUD_PROXYCONNECTOR.log. Para solucionar problemas de tráfego do cliente, use CMGHttpHandler.log, CMGService.Log, e SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting client traffic, use CMGHttpHandler.log, CMGService.Log, and SMS_CLOUD_PROXYCONNECTOR.log.

Para obter uma lista de todos os arquivos de log relacionadas ao CMG, consulte arquivos de Log no Configuration ManagerFor a list of all CMG-related log files, see Log files in Configuration Manager

Passos seguintesNext steps

Configurar o gateway de gestão na cloudSet up cloud management gateway