Compartilhar via


Fluxo de dados para CMG

Aplica-se a: Configuration Manager (branch atual)

Use este artigo para entender como os dados fluem entre componentes do CMG (gateway de gerenciamento de nuvem). Ele requer portas de rede específicas e pontos de extremidade da Internet para funcionar. Você não precisa abrir nenhuma porta de entrada para sua rede local. O ponto de conexão de serviço e as funções do sistema do site do ponto de conexão CMG iniciam toda a comunicação com o Azure e o CMG. Essas duas funções precisam criar conexões de saída com a nuvem da Microsoft. O ponto de conexão de serviço implanta e monitora o serviço no Azure, portanto, precisa estar online. O ponto de conexão CMG se conecta ao CMG para gerenciar a comunicação entre o CMG e as funções do sistema de sites local.

Diagrama de fluxo de dados

O diagrama a seguir é um fluxo de dados básico e conceitual para o CMG:

Diagrama de fluxo de dados para CMG (gateway de gerenciamento de nuvem).

  1. O ponto de conexão de serviço se conecta ao Azure pela porta HTTPS 443. Ele se autentica usando Microsoft Entra ID. O ponto de conexão de serviço implanta o CMG no Azure. O CMG cria o serviço HTTPS usando o certificado de autenticação do servidor.

  2. O ponto de conexão CMG se conecta ao CMG no Azure. Ela mantém a conexão aberta e cria o canal para futura comunicação bidirecional.

    • Quando você implanta o CMG como um conjunto de dimensionamento de máquinas virtuais, esse fluxo é sobre HTTPS.

    • Se você implantar o CMG como um serviço de nuvem clássico, ele primeiro tentará TCP-TLS. Se essa conexão falhar, ela mudará para HTTPS.

    Para obter mais informações, consulte Observação 2: portas HTTPS do ponto de conexão CMG para uma VM.

  3. O cliente se conecta ao CMG pela porta HTTPS 443. Ele autentica usando Microsoft Entra ID, o certificado de autenticação do cliente ou um token emitido pelo site.

    Observação

    Se você habilitar o CMG para servir conteúdo, o cliente se conectará diretamente ao armazenamento de blobs do Azure pela porta HTTPS 443. Para obter mais informações, consulte Fluxo de dados de conteúdo.

  4. O CMG encaminha a comunicação do cliente sobre a conexão existente com o ponto de conexão cmg local. Você não precisa abrir nenhuma porta de firewall de entrada.

  5. O ponto de conexão CMG encaminha a comunicação do cliente para o ponto de gerenciamento local e o ponto de atualização de software.

Para obter mais informações ao integrar com Microsoft Entra ID, consulte Configurar serviços do Azure: fluxo de dados de gerenciamento de nuvem.

Fluxo de dados de conteúdo

Quando um cliente usa um CMG como local de conteúdo:

  1. O ponto de gerenciamento fornece ao cliente um token de acesso junto com a lista de fontes de conteúdo. Esse token é válido por 24 horas e dá ao cliente acesso à fonte de conteúdo baseada em nuvem.

  2. O ponto de gerenciamento responde à solicitação de localização do cliente com o nome do serviço do CMG. Essa propriedade é a mesma que o nome comum do certificado de autenticação do servidor.

    Se você estiver usando seu nome de domínio, por exemplo, WallaceFalls.contoso.com, o cliente primeiro tentará resolve esse FQDN. Os clientes usam o alias CNAME no DNS voltado para a Internet do domínio para resolve o nome da implantação do Azure.

  3. O próximo cliente resolve o nome da implantação para um endereço IP válido. Essa resposta é tratada pelo DNS do Azure.

  4. O cliente se conecta ao CMG. A carga do Azure equilibra a conexão com uma das instâncias da VM. O cliente se autentica usando o token de acesso.

  5. O CMG autentica o token de acesso do cliente e, em seguida, fornece ao cliente o local exato de conteúdo no armazenamento do Azure.

  6. Se o cliente confiar no certificado de autenticação de servidor do CMG, ele se conectará ao armazenamento do Azure para baixar o conteúdo.

Portas necessárias

Esta tabela lista as portas e protocolos de rede necessários. O Cliente é o dispositivo que inicia a conexão, exigindo uma porta de saída. O Server é o dispositivo que aceita a conexão, exigindo uma porta de entrada.

Cliente Protocolo Porta Servidor Descrição
Ponto de conexão de serviço HTTPS 443 Azure Implantação do CMG
Ponto de conexão CMG (conjunto de dimensionamento de máquinas virtuais) HTTPS 443 Serviço CMG Protocolo para criar canal CMG para apenas uma instância de VM Observação 2
Ponto de conexão CMG (conjunto de dimensionamento de máquinas virtuais) HTTPS 10124-10139 Serviço CMG Protocolo para criar canal CMG para duas ou mais instâncias de VM Observação 3
Ponto de conexão CMG (serviço de nuvem clássico) TCP-TLS 10140-10155 Serviço CMG Protocolo preferencial para criar o canal CMG Observação 1
Ponto de conexão CMG (serviço de nuvem clássico) HTTPS 443 Serviço CMG Protocolo de recuo para criar canal CMG para apenas uma instância de VM Observação 2
Ponto de conexão CMG (serviço de nuvem clássico) HTTPS 10124-10139 Serviço CMG Protocolo de recuo para criar canal CMG para duas ou mais instâncias de VM Observação 3
Cliente HTTPS 443 CMG Comunicação geral do cliente
Cliente HTTPS 443 Armazenamento de blobs Baixar conteúdo baseado em nuvem
Ponto de conexão CMG HTTPS ou HTTP 443 ou 80 Ponto de gerenciamento Tráfego local, a porta depende da configuração do ponto de gerenciamento
Ponto de conexão CMG HTTPS ou HTTP 443 ou 80 / 8530 ou 8531 Ponto de atualização de software Tráfego local, a porta depende da configuração do ponto de atualização de software

Anotações sobre portas

Observação 1: portas TCP-TLS do ponto de conexão CMG

Essas portas só se aplicam quando você implanta o CMG como um serviço de nuvem (clássico), que era o único método disponível na versão 2006 e anterior.

O ponto de conexão CMG primeiro tenta estabelecer uma conexão TCP-TLS de longa duração com cada instância de VM CMG. Ele se conecta à primeira instância de VM na porta 10140. A segunda instância de VM usa a porta 10141, até a 16ª na porta 10155. Uma conexão TCP-TLS tem o melhor desempenho, mas não dá suporte ao proxy da Internet. Se o ponto de conexão CMG não puder se conectar por meio do TCP-TLS, ele retornará ao HTTPSNote 2.

Observação 2: portas HTTPS do ponto de conexão CMG para uma VM

Se você implantar o CMG em um conjunto de dimensionamento de máquinas virtuais, o ponto de conexão CMG só se comunicará com o serviço no Azure por HTTPS. Não requer portas TCP-TLS para criar o canal de comunicação CMG.

Para um CMG implantado como um serviço de nuvem clássico, ele só usa essa porta se a conexão TCP-TLS falhar. Se o ponto de conexão CMG não puder se conectar ao CMG por meio do TCP-TLSNote 1, ele se conectará ao balanceador de carga de rede do Azure pelo HTTPS 443. Esse comportamento é apenas para uma instância de VM.

Observação 3: portas HTTPS do ponto de conexão CMG para duas ou mais VMs

Se houver duas ou mais instâncias de VM, o ponto de conexão CMG usará HTTPS 10124 para a primeira instância de VM, não HTTPS 443. Ele se conecta à segunda instância de VM no HTTPS 10125, até o dia 16 na porta HTTPS 10139.

Requisitos de acesso à Internet

Se sua organização restringir a comunicação de rede com a Internet usando um firewall ou dispositivo proxy, você precisará permitir que o ponto de conexão CMG e o ponto de conexão de serviço acessem pontos de extremidade da Internet.

Para obter mais informações, consulte Requisitos de acesso à Internet.

Esta seção aborda os seguintes recursos:

  • CMG (gateway de gerenciamento de nuvem)

  • integração Microsoft Entra

  • Microsoft Entra descoberta baseada em ID

  • CdP (ponto de distribuição de nuvem)

    Observação

    O CDP (ponto de distribuição baseado em nuvem) é preterido. A partir da versão 2107, você não pode criar novas instâncias de CDP. Para fornecer conteúdo para dispositivos baseados na Internet, habilite o CMG para distribuir conteúdo.

As seções a seguir listam os pontos de extremidade por função. Alguns pontos de extremidade referem-se a um serviço por <prefix>, que é o nome do prefixo do CMG. Por exemplo, se o CMG for GraniteFalls.WestUS.CloudApp.Azure.Com, o ponto de extremidade de armazenamento real será GraniteFalls.blob.core.windows.net.

Dica

Para esclarecer alguma terminologia:

  • Nome do serviço CMG: o CN (nome comum) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de conexão CMG se comunicam com esse nome de serviço. Por exemplo: GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome da implantação do CMG: a primeira parte do nome do serviço mais o local do Azure para a implantação do serviço de nuvem. O componente do gerenciador de serviços de nuvem do ponto de conexão de serviço usa esse nome quando implanta o CMG no Azure. O nome da implantação está sempre em um domínio do Azure. O local do Azure depende do método de implantação, por exemplo:

    • Conjunto de dimensionamento de máquinas virtuais: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Implantação clássica: GraniteFalls.CloudApp.Net

Este artigo usa exemplos com um conjunto de dimensionamento de máquinas virtuais como o método de implantação recomendado na versão 2107 e posterior. Se você usar uma implantação clássica, observe a diferença ao ler este artigo e configurar o acesso à Internet.

Ponto de conexão de serviço para serviços de nuvem

Para Configuration Manager implantar o serviço CMG no Azure, o ponto de conexão de serviço precisa de acesso a:

  • Pontos de extremidade específicos do Azure, que são diferentes por ambiente, dependendo da configuração. Configuration Manager armazena esses pontos de extremidade no banco de dados do site. Consulte a tabela AzureEnvironments no SQL Server para a lista de pontos de extremidade do Azure.

  • Serviços do Azure:

    • management.azure.com (Nuvem pública do Azure)
    • management.usgovcloudapi.net (Nuvem do Governo dos EUA do Azure)
  • Para Microsoft Entra descoberta de usuário: ponto de extremidade do Microsoft Graphhttps://graph.microsoft.com/

Ponto de conexão CMG para serviços de nuvem

O ponto de conexão CMG precisa de acesso aos seguintes pontos de extremidade:

Tipo Nuvem pública do Azure Nuvem do Governo dos EUA do Azure
Nome do serviço <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Ponto de extremidade de armazenamento 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Ponto de extremidade de armazenamento 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Cofre de chaves <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

O sistema de site de ponto de conexão CMG é compatível com o uso de um proxy Web. Para obter mais informações sobre como configurar essa função para um proxy, consulte Suporte ao servidor proxy.

O ponto de conexão CMG só precisa se conectar aos pontos de extremidade do serviço CMG. Ele não precisa de acesso a outros pontos de extremidade do Azure.

Configuration Manager cliente para serviços de nuvem

Qualquer cliente Configuration Manager que precise se comunicar com um CMG precisa de acesso aos seguintes pontos de extremidade:

Tipo Nuvem pública do Azure Nuvem do Governo dos EUA do Azure
Nome da implantação <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Ponto de extremidade de armazenamento <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
ponto de extremidade Microsoft Entra login.microsoftonline.com login.microsoftonline.us

console Configuration Manager para serviços de nuvem

Qualquer dispositivo com o console Configuration Manager precisa de acesso aos seguintes pontos de extremidade:

Tipo Nuvem pública do Azure Nuvem do Governo dos EUA do Azure
Microsoft Entra pontos de extremidade login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Cabeçalhos HTTP e verbos

Qualquer dispositivo de rede que gerencie a comunicação entre o cliente, o CMG e os sistemas de site locais deve permitir os seguintes cabeçalhos HTTP e verbos. Se esses itens forem bloqueados, isso afetará a comunicação do cliente por meio do CMG.

Cabeçalhos HTTP

  • Gama:
  • CCMClientID:
  • CCMClientIDSignature:
  • CCMClientTimestamp:
  • CCMClientTimestampsSignature:

Verbos HTTP

  • HEAD
  • CCM_POST
  • BITS_POST
  • OBTER
  • PROPFIND