Planear para o gateway de gestão de nuvem no Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

A partir da versão 1610, o gateway de gestão de nuvem fornece uma forma simples de gerir clientes do Configuration Manager na Internet.Beginning in version 1610, cloud management gateway provides a simple way to manage Configuration Manager clients on the Internet. O serviço de gateway de gestão de nuvem é implementado no Microsoft Azure e requer uma subscrição do Azure.The cloud management gateway service is deployed to Microsoft Azure and requires an Azure subscription. Estabelece ligação à sua infraestrutura do Configuration Manager no local através de uma nova função de chamar o ponto de conector de gateway de gestão de nuvem.It connects to your on-premises Configuration Manager infrastructure using a new role called the cloud management gateway connector point. Assim que implementado e configurado, os clientes poderão aceder a funções de sistema de sites no local do Configuration Manager, independentemente se estão contidos no privada interna rede ou na Internet.Once deployed and configured, clients will be able to access on-premises Configuration Manager site system roles regardless of whether they're on the internal private network or on the Internet.

Dica

Introduzido com a versão 1610, o gateway de gestão de nuvem é uma funcionalidade de pré-lançamento.Introduced with version 1610, the cloud management gateway is a pre-release feature. Para ativá-la, consulte o artigo utilizar as funcionalidades de pré-lançamento das atualizações da.To enable it, see Use pre-release features from updates.

Utilize a consola do Configuration Manager para implementar o serviço no Azure, adicionar a função de ponto de conector de gateway de gestão de nuvem e configurar funções de sistema de sites para permitir tráfego de gateway de gestão de nuvem.Use the Configuration Manager console to deploy the service to Azure, add the cloud management gateway connector point role, and configure site system roles to allow cloud management gateway traffic. Gateway de gestão de nuvem só suporta atualmente os software e de ponto de atualização ponto funções de gestão.Cloud management gateway currently only supports the management point and software update point roles.

São necessários certificados de cliente e certificados de Secure Socket Layer (SSL) para autenticar computadores e encriptar comunicações entre as diferentes camadas do serviço.Client certificates and Secure Socket Layer (SSL) certificates are required to authenticate computers and encrypt communications between the different layers of the service. Computadores cliente recebem normalmente um certificado de cliente através da imposição de política de grupo.Client computers typically receive a client certificate through group policy enforcement. Para encriptar o tráfego entre clientes e servidor de sistema de sites que alojam as funções, terá de criar um certificado SSL personalizado da AC.To encrypt the traffic between clients and site system server hosting the roles, you need to create a custom SSL certificate from the CA. Também tem de configurar um certificado de gestão no Azure que permite ao Configuration Manager para implementar o serviço de gateway de gestão de nuvem.You also need set up a management certificate on Azure that allows Configuration Manager to deploy the cloud management gateway service.

Requisitos do gateway de gestão de nuvemRequirements for cloud management gateway

  • Ponto de computadores cliente e o servidor de sistema de sites que executa o conector de gateway de gestão de nuvem.Client computers and the site system server running the cloud management gateway connector point.

  • Certificados SSL personalizados da AC interna - utilizado para encriptar a comunicação entre os computadores cliente e autenticar a identidade do serviço de gateway de gestão de nuvem.Custom SSL certificates from the internal CA - used to encrypt communication from the client computers and authenticate the identity of the cloud management gateway service.

  • Subscrição do Azure para serviços em nuvem.Azure subscription for cloud services.

  • Certificado de gestão do Azure - utilizado para autenticar o Configuration Manager com o Azure.Azure management certificate - used to authenticate Configuration Manager with Azure.

Especificações para o gateway de gestão de nuvemSpecifications for cloud management gateway

  • Cada instância do gateway de gestão de nuvem suporta 4 000 clientes.Each instance of cloud management gateway supports 4,000 clients.
  • Recomendamos que crie, pelo menos, duas instâncias do gateway de gestão de nuvem para melhorar a disponibilidade.We recommend that you create at least two instances of cloud management gateway to improve availability.
  • Gateway de gestão de nuvem suporta apenas os software e de ponto de atualização ponto funções de gestão.Cloud management gateway only supports the management point and software update point roles.
  • As seguintes funcionalidades no Configuration Manager não são atualmente suportadas para o gateway de gestão de nuvem:The following features in Configuration Manager are currently unsupported for cloud management gateway:

    • Instalação push do clienteClient push
    • Atribuição automática de siteAutomatic site assignment
    • Catálogo de aplicações (incluindo pedidos de aprovação de software)Application catalog (including software approval requests)
    • Implementação completa do sistema operativo (OSD)Full operating system deployment (OSD)
    • Sequências de tarefas (todos)Task Sequences (all)
    • Consola do Configuration ManagerConfiguration Manager console
    • Ferramentas remotasRemote tools
    • Relatórios Web siteReporting website
    • Reativação por LANWake on LAN
    • Clientes Mac, Linux e UNIXMac, Linux, and UNIX clients
    • O Azure Resource ManagerAzure Resource Manager
    • Cache ponto a pontoPeer cache
    • Gestão de Dispositivos Móveis no LocalOn-premises Mobile Device Management

Custo de gateway de gestão de nuvemCost of cloud management gateway

Importante

Informação do custo que se segue para estimar apenas a fins.The following cost information is for estimating purposes only. O ambiente, poderá ter outras variáveis que afetam o custo global de utilizar o gateway de gestão de nuvem.Your environment may have other variables that affect the overall cost of using cloud management gateway.

Gateway de gestão de nuvem utiliza a seguinte funcionalidade Microsoft Azure, o que implica os encargos para a conta de subscrição do Azure:Cloud management gateway uses the following Microsoft Azure functionality, which incurs charges to the Azure subscription account:

  • Máquina virtualVirtual machine

    • Gateway de gestão na nuvem atualmente requer um padrão_A2 máquina.Cloud management gateway currently requires a Standard_A2 virtual machine. Ao criar o serviço, pode selecionar quantas VMs para suportar o serviço (um é a predefinição).When creating the service, you can select how many VMs to support the service (one is the default).

    • Para estimar apenas a fins, esperar que um único do Azure Standard_máquina virtual de A2 pode suportar aproximadamente 2.000 simultâneos baseado na Internet clientes.For estimating purposes only, expect that a single Azure Standard_A2 virtual machine can support approximately 2,000 simultaneous Internet-based clients.

    • Consulte o Calculadora de preços do Azure para ajudar a determinar os custos de potenciais.See the Azure pricing calculator to help determine potential costs.

      Nota

      Os custos de máquina virtual variam consoante a região.Virtual machine costs vary by region.

  • Transferência de dados de saídaOutbound data transfer

    • São cobradas taxas de dados que fluem fora de serviço.Charges are incurred for data flowing out of the service. Consulte o largura de banda do Azure, os detalhes de preços para ajudar a determinar os custos de potenciais.See the Azure bandwidth pricing details to help determine potential costs.

    • Para estimar apenas a fins, espere aproximadamente 100 MB por cliente por mês para clientes baseados na Internet fazer atualizações da política a cada hora.For estimating purposes only, expect approximately 100 MB per client per month for Internet-based clients doing policy refreshes every hour.

    Nota

    Efetuar outras ações suportadas através do gateway de gestão de nuvem (por exemplo, a implementação de atualizações de software ou aplicações) irá aumentar a quantidade de transferência de dados de saída a partir do Azure.Performing other actions supported via the cloud management gateway (for example, deploying software updates or applications) will increase the amount of outbound data transfer from Azure.

  • Armazenamento de conteúdosContent storage

    • Os clientes baseados na Internet geridos com o gateway de gestão de nuvem irão obter conteúdos de atualização de software do Windows Update, sem encargos.Internet-based clients managed with cloud management gateway will get software update content from Windows Update at no charge.

    • Qualquer outro conteúdo necessário (por exemplo, aplicações) têm de ser distribuído para um ponto de distribuição baseado na nuvem.Any other necessary content (for example, applications) must be distributed to a cloud-based distribution point. Atualmente, o gateway de gestão de nuvem suporta apenas o ponto de distribuição em nuvem para a enviar conteúdo para clientes.Currently, the cloud management gateway supports only Cloud Distribution Point for sending content to clients.

    • Consulte o custo de utilização um distribuição baseados na nuvem para obter mais detalhes.See the cost of using a cloud-based distribution for more details.

Perguntas mais frequentes sobre o gateway de gestão de nuvem (CMG)Frequently asked questions about the cloud management gateway (CMG)

Porquê utilizar o gateway de gestão da nuvem?Why use the cloud management gateway?

Utilize esta função para simplificar a gestão de clientes baseada na Internet em três passos a partir da consola do Configuration Manager.Use this role to simplify Internet-based client management in three steps from the Configuration Manager console.

  1. Implementar o CMG no Azure com o criar Gateway de gestão de nuvem assistente.Deploy the CMG to Azure using the Create Cloud Management Gateway wizard.
  2. Configurar o ponto de ligação de gateway de gestão de nuvem função do sistema de sites.Configure the cloud management gateway connection point site system role.
  3. Configurar funções para o tráfego de gateway de gestão de nuvem, como o ponto de gestão e atualização de software ponto.Configure roles for cloud management gateway traffic, like the management point, and software update point.

Como funciona o gateway de gestão da nuvem?How does the cloud management gateway work?

  • O ponto de ligação de gateway de gestão de nuvem permite uma ligação consistente e de elevado desempenho através da Internet para o gateway de gestão de nuvem.The cloud management gateway connection point enables a consistent and high-performance connection from the Internet to the cloud management gateway.
  • O Configuration Manager publica definições CMG, incluindo as definições de segurança e informações de ligação.Configuration Manager publishes settings to the CMG including connection information and security settings.
  • O CMG autentica e reencaminha os pedidos de cliente do Configuration Manager para o ponto de ligação de gateway de gestão de nuvem.The CMG authenticates and forwards Configuration Manager client requests to the cloud management gateway connection point. Estes pedidos são reencaminhados para funções na rede da empresa, de acordo com os mapeamentos de URL.These requests are forwarded to roles in the corporate network according to URL mappings.

Como é implementar o gateway de gestão da nuvem?How is the cloud management gateway deployed?

O componente de Gestor do serviço de nuvem no ponto de ligação de serviço processa todas as tarefas de implementação de CMG.The cloud service manager component on the service connection point handles all CMG deployment tasks. Além disso, monitoriza e comunica informações de estado de funcionamento e o registo de serviço do Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Certifique-se de que o ponto de ligação de serviço está no modo online.Ensure your service connection point is in online mode.

Requisitos de certificadosCertificate requirements

Terá dos seguintes certificados para proteger o CMG:You need the following certificates to secure the CMG:

  • Certificado de gestão -Isto pode ser qualquer certificado, incluindo certificados autoassinados.Management certificate - This can be any certificate including self-signed certificates. Pode utilizar um certificado público carregado para o Azure AD ou um PFX com chave privada importados para o Configuration Manager para autenticar com o Azure AD.You can use a public certificate uploaded to Azure AD or a PFX with private key imported into Configuration Manager to authenticate with Azure AD.
  • Certificado do serviço Web -Recomendamos que utilize um certificado de AC público ganhar confiança nativa pelos clientes.Web service certificate - We recommend that you use a public CA certificate to gain native trust by clients. Crie o CName na entidade de registo DNS pública.Create the CName in the public DNS registrar. Certificados de caráter universal não são suportados.Wild card certificates are not supported.
  • Certificados de raiz/SubCA carregar para CMG -CMG o tem completa a validação da cadeia no certificados PKI de cliente.Root/SubCA certificates upload to CMG - The CMG needs to do full chain validation on client PKI certificates. Se utilizar uma AC empresarial para emitir certificados PKI de cliente e os respetivos raiz ou AC subordinada não está disponível na internet, tem carregá-lo para o CMG.If you use an enterprise CA for issuing client PKI certificates and their root or subordinate CA is not available on the internet, then you must upload it to the CMG.

Processo de implementaçãoDeployment process

Existem duas fases para a implementação:There are two phases to the deployment:

Se alterar a configuração de CMG, uma implementação de configuração é iniciada para o CMG.If you change the configuration of the CMG, a configuration deployment is initiated to the CMG.

Onde posso configurar o gateway de gestão da nuvem?Where do I set up the cloud management gateway?

Pode criar o gateway de gestão de nuvem no site de nível superior da sua hierarquia.You can create the cloud management gateway at the top-tier site of your hierarchy. Se isto é um site de administração central, em seguida, pode criar pontos de ligação de CMG em sites primários subordinados.If that is a central administration site, you can then create CMG connection points at child primary sites.

Como é que o gateway de gestão de nuvem ajuda a garantir a segurança?How does the cloud management gateway help ensure security?

O CMG ajuda a garantir a segurança das seguintes formas:The CMG helps ensure security in the following ways:

  • Aceita e gere ligações a partir de pontos de ligação de CMG, incluindo a autenticação de SSL mútua utilizando certificados internos e os IDs de ligação.Accepts and manages connections from CMG connection points including mutual SSL authentication using internal certificates and connection IDs.
  • Aceita e encaminha os pedidos de clienteAccepts and forwards client requests

    • Pré-autentica ligações, utilizando SSL mútua no certificado PKI de cliente.Pre-authenticates connections using mutual SSL on the client PKI certificate.
    • A lista de fidedignidade de certificados verifica a raiz do certificado PKI de cliente.The certificate trust list checks the root of the client PKI certificate. Pode especificar esta definição no cliente comunicar as definições nas propriedades do site.You can specify this setting in the client communicate settings in site properties. Também efetua a validação do mesma como ponto de gestão para o cliente.Also performs the same validation as the management point for the client.
    • Valida URLs recebidosValidates received URLs
    • Filtros receberam URLs para verificar se qualquer ponto de ligação CMG ligação pode processar o pedido de URL.Filters received URLs to check if any connecting CMG connection point can service the URL request.
    • Verifica a verificação de comprimento do conteúdo para cada ponto final de publicação.Checks content length check for each publishing endpoint.
    • Utiliza o round-robin para equilibrar entre CMG pontos de ligação do mesmo site.Uses 'round-robin' to load balance between CMG connection points from the same site.
  • Protege o ponto de ligação CMGSecures the CMG connection point

    • Baseia-se consistente ligações HTTP/TCP para todas as instâncias virtuais CMG a ligação.Builds consistent HTTP/TCP connections to all virtual instances of the connecting CMG. Verifica e mantém as ligações a cada minuto.Checks and maintains connections every minute.
    • Autentica mutuamente autenticação de SSL com CMG utilizando certificados internos.Mutually authenticates SSL authentication with CMG using internal certificates.
    • Pedidos HTTP de reencaminhamentos com base nos mapeamentos de URL.Forwards HTTP requests based on URL mappings.
    • Relatórios de estado de ligação para mostrar o estado de funcionamento do serviço de administração.Reports connection status to show admin service health status.
    • Relatório de tráfego de ponto final de relatórios por ponto final a cada cinco minutos.Reports endpoint traffic report per endpoint every five minutes.
  • Proteger a publicação ponto final do Configuration Manager com clientes funções, como o ponto de gestão e o software update ponto anfitrião pontos finais no IIS para servir pedidos do cliente.Secure the publishing endpoint Configuration Manager client facing roles like the management point, and software update point host endpoints in IIS to service client requests. Cada ponto final publicado para o CMG tem um mapeamento de URL.Every endpoint published to the CMG has an URL mapping. O URL externo for um cliente utiliza para comunicar com o CMG.The external URL is the one the client uses to communicate with the CMG. O URL interno é o ponto de ligação de CMG utilizado para reencaminhar pedidos de servidor interno.The internal URL is the CMG connection point used to forward requests to the internal server.

Exemplo:Example:

Quando ativar o tráfego de CMG num ponto de gestão, o Configuration Manager cria um conjunto de mapeamentos de URL internamente para cada servidor de ponto de gestão, como ccm_system, ccm_incoming e sms_mp.When you enable CMG traffic on a management point, Configuration Manager creates a set of URL mappings internally for each management point server, like ccm_system, ccm_incoming, and sms_mp. O URL externo para o ponto final ccm_system de ponto de gestão aspeto que poderá ter https:///CCM_Proxy_MutualAuth//CCM_System.The external URL for the management point ccm_system endpoint might look like https:///CCM_Proxy_MutualAuth//CCM_System. O URL é exclusivo para cada ponto de gestão.The URL is unique for each management point. O cliente do Configuration Manager, em seguida, PUT o CMG ativado o nome do pacote de gestão como /CCM_Proxy_MutualAuth/ na respetiva lista de pontos de gestão de internet.The Configuration Manager client then puts the CMG enabled MP name like /CCM_Proxy_MutualAuth/ into its internet management point list. Todos os URLs externos publicados são carregados para o CMG automaticamente, em seguida, CMG é capaz de fazer a filtragem de URL.All published external URLs are uploaded to the CMG automatically then CMG is able to do URL filtering. Todos os mapeamentos de URL é replicado para o ponto de ligação de CMG para que possa reencaminhar para servidores internos, de acordo com o cliente solicitar o URL externo.All URL mapping replicates to CMG connection point so it can forward to internal servers according to client requesting external URL.

As portas que são utilizadas pelo gateway de gestão na nuvem?What ports are used by the cloud management gateway?

  • Nenhuma porta de entrada é necessária para a rede no local.No inbound ports are required for the on-premises network. Implementação de CMG criará um bunch em CMG automaticamente.Deployment of CMG will create a bunch on CMG automatically.
  • Para além de 443, algumas portas de saída são necessários pelo ponto de ligação de CMG.Besides 443, some outbound ports are required by the CMG connection point.
Fluxo de dadosData flow ServidorServer Portas de servidorServer ports ClienteClient
Implementação de CMGCMG deployment AzureAzure 443443 Ponto de ligação de serviço do Configuration ManagerConfiguration Manager service connection point
Criar o canal CMGBuild CMG channel CMGCMG Instância VM: 1 porta: 443VM instance: 1 Port: 443
Instância VM: N (N > = 2 e N < = 16) portas: 10124 ~ N 10140 ~ NVM instance: N (N>=2 and N<= 16) Ports: 10124~N 10140~N
Ponto de ligação de CMGCMG Connection point
Cliente CMGClient to CMG CMGCMG 443443 ClienteClient
Conector CMG à função de site (atualmente pontos de gestão e pontos de atualização de software)CMG connector to site role (currently management points and software update points) Função de siteSite role Protocolo/portas configuradas na função de siteProtocol/Ports configured on the site role Ponto de ligação de CMGCMG connection point

Como pode melhorar o desempenho do gateway de gestão na nuvem?How can you improve performance of the cloud management gateway?

  • Se possível, configure o CMG, CMG ponto de ligação e o servidor de site do Configuration Manager na mesma região de rede para reduzir a latência.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.
  • Atualmente, a ligação entre o cliente do Configuration Manager e o CMG não é com suporte para a região.Currently, the connection between the Configuration Manager client and the CMG is not region-aware.
  • Para obter elevada disponibilidade, recomendamos que, pelo menos, duas instâncias virtuais o CMG e dois pontos de ligação de CMG por siteTo gain high availability, we recommend at least two virtual instances of the CMG and two CMG connection points per site
  • Pode dimensionar o CMG para suportar mais clientes ao adicionar mais instâncias VM.You can scale the CMG to support more clients by adding more VM instances. São com pelo balanceador de carga do Azure AD de balanceamento de carga.They are load balanced by the Azure AD load balancer.
  • Crie mais pontos de ligação de CMG distribuir a carga entre elas.Create more CMG connection points to distribute the load among them. O CMG será round-robin o tráfego para os respetivos pontos de ligação CMG ligação.The CMG will 'round-robin' the traffic to its connecting CMG connection points.
  • Número de cliente de suporte por instância de CMG VM é 6k na versão 1702.Support client number per CMG VM instance is 6k in the 1702 release. Quando o canal CMG está sob carga elevada, o pedido irá ainda ser processado, mas poderá demorar mais do que o normal.When the CMG channel is under high load, the request will still be handled but might take longer than normal.

Como pode monitorizar o gateway de gestão da nuvem?How can you monitor the cloud management gateway?

Para resolução de problemas de implementação, utilize CloudMgr.log e CMGSetup.log.For troubleshooting deployment, use CloudMgr.log and CMGSetup.log. Para resolver problemas com o estado de funcionamento do serviço, utilize CMGService.log e SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting service health, use CMGService.log and SMS_CLOUD_PROXYCONNECTOR.log. Para resolver problemas com o tráfego de cliente, utilize CMGHttpHandler.log, CMGService.Log, e SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting client traffic, use CMGHttpHandler.log, CMGService.Log, and SMS_CLOUD_PROXYCONNECTOR.log.

Para obter uma lista de todos os ficheiros de registo relacionados com CMG, consulte ficheiros de registo no Configuration ManagerFor a list of all CMG-related log files, see Log files in Configuration Manager

Passos seguintesNext steps

Configurar o gateway de gestão na cloudSet up cloud management gateway