CMG에 대한 데이터 흐름
적용 대상: Configuration Manager(현재 분기)
이 문서를 사용하여 CMG(클라우드 관리 게이트웨이)의 구성 요소 간에 데이터가 흐르는 방식을 이해합니다. 작동하려면 특정 네트워크 포트 및 인터넷 엔드포인트가 필요합니다. 온-프레미스 네트워크에 대한 인바운드 포트를 열 필요가 없습니다. 서비스 연결 지점 및 CMG 연결 지점 사이트 시스템 역할은 Azure 및 CMG와의 모든 통신을 시작합니다. 이러한 두 역할은 Microsoft 클라우드에 대한 아웃바운드 연결을 만들어야 합니다. 서비스 연결 지점은 Azure에서 서비스를 배포하고 모니터링하므로 온라인 상태여야 합니다. CMG 연결 지점은 CMG와 온-프레미스 사이트 시스템 역할 간의 통신을 관리하기 위해 CMG에 연결합니다.
데이터 흐름 다이어그램
다음 다이어그램은 CMG에 대한 기본 개념적 데이터 흐름입니다.
서비스 연결 지점은 HTTPS 포트 443을 통해 Azure에 연결합니다. Microsoft Entra ID를 사용하여 인증합니다. 서비스 연결 지점은 Azure에서 CMG를 배포합니다. CMG는 서버 인증 인증서를 사용하여 HTTPS 서비스를 만듭니다.
CMG 연결점은 Azure의 CMG에 연결합니다. 연결을 열고 향후 양방향 통신을 위한 채널을 빌드합니다.
CMG를 가상 머신 확장 집합으로 배포하는 경우 이 흐름은 HTTPS를 통해 수행됩니다.
CMG를 클래식 클라우드 서비스로 배포하는 경우 먼저 TCP-TLS를 시도합니다. 연결이 실패하면 HTTPS로 전환됩니다.
클라이언트는 HTTPS 포트 443을 통해 CMG에 연결합니다. Microsoft Entra ID, 클라이언트 인증 인증서 또는 사이트에서 발급한 토큰을 사용하여 인증합니다.
참고
CMG가 콘텐츠를 제공할 수 있도록 설정하면 클라이언트는 HTTPS 포트 443을 통해 Azure Blob Storage에 직접 연결합니다. 자세한 내용은 콘텐츠 데이터 흐름을 참조하세요.
CMG는 기존 연결을 통해 클라이언트 통신을 온-프레미스 CMG 연결 지점으로 전달합니다. 인바운드 방화벽 포트를 열 필요가 없습니다.
CMG 연결 지점은 클라이언트 통신을 온-프레미스 관리 지점 및 소프트웨어 업데이트 지점으로 전달합니다.
Microsoft Entra ID와 통합하는 경우 자세한 내용은 Azure 서비스 구성: 클라우드 관리 데이터 흐름을 참조하세요.
콘텐츠 데이터 흐름
클라이언트가 CMG를 콘텐츠 위치로 사용하는 경우:
관리 지점은 클라이언트에 콘텐츠 원본 목록과 함께 액세스 토큰을 제공합니다. 이 토큰은 24시간 동안 유효하며 클라이언트가 클라우드 기반 콘텐츠 원본에 액세스할 수 있도록 합니다.
관리 지점은 CMG의 서비스 이름으로 클라이언트의 위치 요청에 응답합니다. 이 속성은 서버 인증 인증서의 일반 이름과 동일합니다.
도메인 이름(예
WallaceFalls.contoso.com
: )을 사용하는 경우 클라이언트는 먼저 이 FQDN을 resolve 시도합니다. 클라이언트는 도메인의 인터넷 연결 DNS에서 CNAME 별칭을 사용하여 Azure 배포 이름을 resolve.클라이언트는 다음으로 배포 이름을 유효한 IP 주소로 확인합니다. 이 응답은 Azure의 DNS에서 처리됩니다.
클라이언트가 CMG에 연결합니다. Azure는 VM 인스턴스 중 하나에 대한 연결 부하를 분산합니다. 클라이언트는 액세스 토큰을 사용하여 자체 인증합니다.
CMG는 클라이언트의 액세스 토큰을 인증한 다음 클라이언트에 Azure Storage의 정확한 콘텐츠 위치를 제공합니다.
클라이언트가 CMG의 서버 인증 인증서를 신뢰하는 경우 Azure Storage에 연결하여 콘텐츠를 다운로드합니다.
필수 포트
이 표에는 필요한 네트워크 포트 및 프로토콜이 나열되어 있습니다. 클라이언트는 아웃바운드 포트가 필요한 연결을 시작하는 디바이스입니다. 서버는 인바운드 포트가 필요한 연결을 허용하는 디바이스입니다.
클라이언트 | Protocol(프로토콜) | 포트 | 서버 | 설명 |
---|---|---|---|---|
서비스 연결 지점 | HTTPS | 443 | Azure | CMG 배포 |
CMG 연결 지점(가상 머신 확장 집합) | HTTPS | 443 | CMG 서비스 | 하나의 VM에만 CMG 채널을 빌드하는 프로토콜 instance 참고 2 |
CMG 연결 지점(가상 머신 확장 집합) | HTTPS | 10124-10139 | CMG 서비스 | 둘 이상의 VM 인스턴스에 CMG 채널을 빌드하는 프로토콜 참고 3 |
CMG 연결 지점(클래식 클라우드 서비스) | TCP-TLS | 10140-10155 | CMG 서비스 | CMG 채널을 빌드하는 기본 프로토콜 참고 1 |
CMG 연결 지점(클래식 클라우드 서비스) | HTTPS | 443 | CMG 서비스 | 프로토콜을 대체하여 CMG 채널을 하나의 VM으로만 빌드합니다instance 참고 2 |
CMG 연결 지점(클래식 클라우드 서비스) | HTTPS | 10124-10139 | CMG 서비스 | 프로토콜을 대체하여 둘 이상의 VM 인스턴스에 CMG 채널을 빌드 합니다. 참고 3 |
클라이언트 | HTTPS | 443 | CMG | 일반 클라이언트 통신 |
클라이언트 | HTTPS | 443 | Blob Storage | 클라우드 기반 콘텐츠 다운로드 |
CMG 연결 지점 | HTTPS 또는 HTTP | 443 또는 80 | 관리 포인트 | 온-프레미스 트래픽, 포트는 관리 지점 구성에 따라 달라집니다. |
CMG 연결 지점 | HTTPS 또는 HTTP | 443 또는 80/8530 또는 8531 | 소프트웨어 업데이트 지점 | 온-프레미스 트래픽, 포트는 소프트웨어 업데이트 지점 구성에 따라 달라집니다. |
포트에 대한 참고 사항
참고 1: CMG 연결 지점 TCP-TLS 포트
이러한 포트는 CMG를 2006 및 이전 버전에서 사용할 수 있는 유일한 방법인 클라우드 서비스(클래식)로 배포하는 경우에만 적용됩니다.
CMG 연결 지점은 먼저 각 CMG VM instance 수명이 긴 TCP-TLS 연결을 설정하려고 시도합니다. 포트 10140의 첫 번째 VM instance 연결합니다. 두 번째 VM instance 포트 10141을 사용하여 포트 10155의 16번째 포트까지 사용합니다. TCP-TLS 연결은 최상의 성능을 제공하지만 인터넷 프록시는 지원하지 않습니다. CMG 연결 지점이 TCP-TLS를 통해 연결할 수 없는 경우 HTTPS참고 2로 대체됩니다.
참고 2: 하나의 VM에 대한 CMG 연결 지점 HTTPS 포트
가상 머신 확장 집합에 CMG를 배포하는 경우 CMG 연결 지점은 HTTPS를 통해 Azure의 서비스와만 통신합니다. CMG 통신 채널을 빌드하기 위해 TCP-TLS 포트가 필요하지 않습니다.
클래식 클라우드 서비스로 배포된 CMG의 경우 TCP-TLS 연결이 실패하는 경우에만 이 포트를 사용합니다. CMG 연결 지점이 TCP-TLS참고 1을 통해 CMG에 연결할 수 없는 경우 HTTPS 443을 통해 Azure 네트워크 부하 분산 장치에 연결합니다. 이 동작은 하나의 VM instance 대해서만 수행됩니다.
참고 3: 둘 이상의 VM에 대한 CMG 연결 지점 HTTPS 포트
둘 이상의 VM 인스턴스가 있는 경우 CMG 연결 지점은 HTTPS 443이 아닌 첫 번째 VM instance HTTPS 10124를 사용합니다. HTTPS 포트 10139에서 16일까지 HTTPS 10125의 두 번째 VM instance 연결합니다.
인터넷 액세스 요구 사항
organization 방화벽 또는 프록시 디바이스를 사용하여 인터넷과의 네트워크 통신을 제한하는 경우 CMG 연결 지점 및 서비스 연결 지점이 인터넷 엔드포인트에 액세스하도록 허용해야 합니다.
자세한 내용은 인터넷 액세스 요구 사항을 참조하세요.
이 섹션에서는 다음 기능을 다룹니다.
CMG(클라우드 관리 게이트웨이)
Microsoft Entra 통합
ID 기반 검색 Microsoft Entra
CDP(클라우드 배포 지점)
참고
CDP(클라우드 기반 배포 지점)는 더 이상 사용되지 않습니다. 버전 2107부터는 새 CDP 인스턴스를 만들 수 없습니다. 인터넷 기반 디바이스에 콘텐츠를 제공하려면 CMG에서 콘텐츠를 배포할 수 있도록 설정합니다.
다음 섹션에서는 역할별 엔드포인트를 나열합니다. 일부 엔드포인트는 CMG의 접두사 이름인 의 서비스를 <prefix>
참조합니다. 예를 들어 CMG가 GraniteFalls.WestUS.CloudApp.Azure.Com
인 경우 실제 스토리지 엔드포인트는 입니다 GraniteFalls.blob.core.windows.net
.
팁
몇 가지 용어를 명확히 하려면 다음을 수행합니다.
CMG 서비스 이름: CMG 서버 인증 인증서의 CN(일반 이름)입니다. 클라이언트 및 CMG 연결 지점 사이트 시스템 역할은 이 서비스 이름과 통신합니다. 예를 들어
GraniteFalls.contoso.com
또는GraniteFalls.WestUS.CloudApp.Azure.Com
입니다.CMG 배포 이름: 서비스 이름의 첫 번째 부분과 클라우드 서비스 배포를 위한 Azure 위치입니다. 서비스 연결 지점의 클라우드 서비스 관리자 구성 요소는 Azure에서 CMG를 배포할 때 이 이름을 사용합니다. 배포 이름은 항상 Azure 도메인에 있습니다. Azure 위치는 배포 방법에 따라 달라집니다. 예를 들면 다음과 같습니다.
- 가상 머신 확장 집합:
GraniteFalls.WestUS.CloudApp.Azure.Com
- 클래식 배포:
GraniteFalls.CloudApp.Net
- 가상 머신 확장 집합:
이 문서에서는 버전 2107 이상에서 권장되는 배포 방법으로 가상 머신 확장 집합의 예제를 사용합니다. 클래식 배포를 사용하는 경우 이 문서를 읽고 인터넷 액세스를 구성할 때 차이점을 확인합니다.
클라우드 서비스에 대한 서비스 연결 지점
azure에서 CMG 서비스를 배포하려면 Configuration Manager 서비스 연결 지점에 액세스해야 합니다.
특정 Azure 엔드포인트는 구성에 따라 환경별로 다릅니다. Configuration Manager 이러한 엔드포인트를 사이트 데이터베이스에 저장합니다. azure 엔드포인트 목록을 SQL Server AzureEnvironments 테이블을 쿼리합니다.
Azure 서비스:
-
management.azure.com
(Azure 퍼블릭 클라우드) -
management.usgovcloudapi.net
(Azure 미국 정부 클라우드)
-
Microsoft Entra 사용자 검색의 경우: Microsoft Graph 엔드포인트
https://graph.microsoft.com/
클라우드 서비스에 대한 CMG 연결 지점
CMG 연결 지점은 다음 엔드포인트에 액세스해야 합니다.
유형 | Azure 퍼블릭 클라우드 | Azure 미국 정부 클라우드 |
---|---|---|
서비스 이름 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
스토리지 엔드포인트 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
스토리지 엔드포인트 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
키 자격 증명 모음 | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 연결 지점 사이트 시스템은 웹 프록시 사용을 지원합니다. 프록시에 대해 이 역할을 구성하는 방법에 대한 자세한 내용은 프록시 서버 지원을 참조하세요.
CMG 연결 지점은 CMG 서비스 엔드포인트에만 연결하면 됩니다. 다른 Azure 엔드포인트에 액세스할 필요가 없습니다.
클라우드 서비스에 대한 클라이언트 Configuration Manager
CMG와 통신해야 하는 모든 Configuration Manager 클라이언트는 다음 엔드포인트에 액세스해야 합니다.
유형 | Azure 퍼블릭 클라우드 | Azure 미국 정부 클라우드 |
---|---|---|
배포 이름 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
스토리지 엔드포인트 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
엔드포인트 Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
클라우드 서비스용 Configuration Manager 콘솔
Configuration Manager 콘솔이 있는 모든 디바이스는 다음 엔드포인트에 액세스해야 합니다.
유형 | Azure 퍼블릭 클라우드 | Azure 미국 정부 클라우드 |
---|---|---|
엔드포인트 Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
HTTP 헤더 및 동사
클라이언트, CMG 및 온-프레미스 사이트 시스템 간의 통신을 관리하는 모든 네트워킹 디바이스는 다음 HTTP 헤더와 동사를 허용해야 합니다. 이러한 항목이 차단되면 CMG를 통한 클라이언트 통신에 영향을 미칩니다.
HTTP 헤더
- 범위:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP 동사
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND