Fluxo de dados para CMG
Aplica-se a: Configuration Manager (ramo atual)
Utilize este artigo para entender como os dados fluem entre os componentes do gateway de gestão de nuvem (CMG). Requer o funcionamento de portas de rede específicas e pontos finais de internet. Não precisa de abrir portas de entrada para a sua rede no local. As funções do ponto de ligação de serviço e do sistema de ponto de ligação CMG iniciam toda a comunicação com o Azure e a CMG. Estas duas funções precisam de criar ligações de saída para a nuvem da Microsoft. O ponto de ligação de serviço implementa e monitoriza o serviço em Azure, pelo que tem de estar online. O ponto de ligação CMG liga-se ao CMG para gerir a comunicação entre as funções do sistema de instalação cmg e no local.
Diagrama de fluxo de dados
O diagrama a seguir é um fluxo básico de dados conceptuais para o CMG:
O ponto de ligação de serviço liga-se ao Azure sobre a porta HTTPS 443. Autentica-se utilizando Azure Ative Directory (Azure AD). O ponto de ligação de serviço implanta o CMG em Azure. O CMG cria o serviço HTTPS utilizando o certificado de autenticação do servidor.
O ponto de ligação CMG liga-se ao CMG em Azure. Mantém a ligação aberta e constrói o canal para futura comunicação bidirecional.
Quando implanta o CMG como um conjunto de escala de máquina virtual, este fluxo é sobre HTTPS.
Se implementar o CMG como um serviço de nuvem clássico, primeiro tenta o TCP-TLS. Se esta ligação falhar, muda para HTTPS.
Para obter mais informações, consulte a Nota 2: Ponto de ligação CMG PORTAS HTTPS para um VM.
O cliente liga-se à CMG sobre a porta HTTPS 443. Autentica-se utilizando a Azure AD, o certificado de autenticação do cliente ou um token emitido pelo site.
Nota
Se ativar o CONTEÚDO para servir conteúdo, o cliente liga-se diretamente ao armazenamento de blob Azure sobre a porta HTTPS 443. Para obter mais informações, consulte o fluxo de dados de conteúdo.
A CMG remete a comunicação do cliente sobre a ligação existente ao ponto de ligação CMG no local. Não precisa abrir portas de firewall de entrada.
O ponto de ligação CMG encaminha a comunicação do cliente para o ponto de gestão e ponto de atualização de software no local.
Para obter mais informações quando se integrar com a Azure AD, consulte os serviços Configure Azure: Fluxo de dados de gestão de nuvem.
Fluxo de dados de conteúdo
Quando um cliente usa um CMG como localização de conteúdo:
O ponto de gestão dá ao cliente um sinal de acesso juntamente com a lista de fontes de conteúdo. Este token é válido por 24 horas, e dá ao cliente acesso à fonte de conteúdo baseada na nuvem.
O ponto de gestão responde ao pedido de localização do cliente com o nome de serviço da CMG. Esta propriedade é o mesmo que o nome comum do certificado de autenticação do servidor.
Se estiver a usar o seu nome de domínio, por exemplo,
WallaceFalls.contoso.comentão o cliente primeiro tenta resolver este FQDN. Os clientes usam o pseudónimo CNAME no DNS virado para a Internet do seu domínio para resolver o nome de implementação Azure.O cliente em seguida resolve o nome de implantação para um endereço IP válido. Esta resposta é tratada pelo DNS da Azure.
O cliente liga-se à CMG. A carga Azure equilibra a ligação a uma das instâncias VM. O cliente autentica-se usando o token de acesso.
A CMG autentica o token de acesso do cliente e, em seguida, dá ao cliente a localização exata do conteúdo no armazenamento Azure.
Se o cliente confiar no certificado de autenticação do servidor da CMG, ele conecta-se ao armazenamento Azure para descarregar o conteúdo.
Portos necessários
Esta tabela lista as portas e protocolos de rede necessários. O Cliente é o dispositivo que inicia a ligação, requerendo uma porta de saída. O Servidor é o dispositivo que aceita a ligação, requerendo uma porta de entrada.
| Cliente | Protocolo | Porta | Servidor | Description |
|---|---|---|---|---|
| Ponto de ligação de serviço | HTTPS | 443 | Azure | Implantação cmg |
| Ponto de ligação CMG (conjunto de escala de máquina virtual) | HTTPS | 443 | Serviço CMG | Protocolo para construir canal CMG para apenas uma instância VM Nota 2 |
| Ponto de ligação CMG (conjunto de escala de máquina virtual) | HTTPS | 10124-10139 | Serviço CMG | Protocolo para a construção de canal CMG para duas ou mais instâncias VM Nota 3 |
| Ponto de ligação CMG (serviço clássico de nuvem) | TCP-TLS | 10140-10155 | Serviço CMG | Protocolo preferido para construir o canal CMG Nota 1 |
| Ponto de ligação CMG (serviço clássico de nuvem) | HTTPS | 443 | Serviço CMG | Recue o protocolo para construir canal CMG para apenas uma instância VM Nota 2 |
| Ponto de ligação CMG (serviço clássico de nuvem) | HTTPS | 10124-10139 | Serviço CMG | Protocolo de recuo para construir canal CMG para duas ou mais instâncias VM Nota 3 |
| Cliente | HTTPS | 443 | CMG | Comunicação geral do cliente |
| Cliente | HTTPS | 443 | Armazenamento de blobs | Descarregue conteúdo baseado na nuvem |
| Ponto de ligação CMG | HTTPS OU HTTP | 443 ou 80 | Ponto de gestão | Tráfego no local, porto depende da configuração do ponto de gestão |
| Ponto de ligação CMG | HTTPS OU HTTP | 443 ou 80 / 8530 ou 8531 | Ponto de atualização de software | Tráfego no local, porta depende da configuração do ponto de atualização de software |
Notas sobre portos
Nota 1: Ponto de ligação CMG Portas TCP-TLS
Estas portas só se aplicam quando se implanta o CMG como um serviço de nuvem (clássico), que era o único método disponível na versão 2006 e mais cedo.
O ponto de ligação CMG tenta primeiro estabelecer uma ligação TCP-TLS de longa duração com cada instância CMG VM. Liga-se à primeira instância VM na porta 10140. A segunda instância VM utiliza a porta 10141, até à 16ª no porto 10155. Uma ligação TCP-TLS tem o melhor desempenho, mas não suporta procuração na Internet. Se o ponto de ligação CMG não conseguir ligar através do TCP-TLS, então volta a ser HTTPSNota 2.
Nota 2: Ponto de ligação CMG PORTAS HTTPS para um VM
Se colocar o CMG num conjunto de escala de máquina virtual, o ponto de ligação CMG só comunica com o serviço em Azure sobre HTTPS. Não requer portas TCP-TLS para construir o canal de comunicação CMG.
Para um CMG implantado como um serviço de nuvem clássica, só utiliza esta porta se a ligação TCP-TLS falhar. Se o ponto de ligação CMG não conseguir ligar-se ao CMG via TCP-TLSNota 1,liga-se ao equilibrador de carga de rede Azure sobre HTTPS 443. Este comportamento é apenas para um exemplo de VM.
Nota 3: Ponto de ligação CMG Portas HTTPS para dois ou mais VMs
Se existirem duas ou mais instâncias VM, o ponto de ligação CMG utiliza HTTPS 10124 para a primeira instância VM, e não HTTPS 443. Liga-se à segunda instância VM em HTTPS 10125, até à 16ª na porta HTTPS 10139.
Requisitos de acesso à Internet
Se a sua organização restringir a comunicação de rede com a internet utilizando um dispositivo de firewall ou proxy, tem de permitir que o ponto de ligação CMG e o ponto de ligação de serviço tenham acesso aos pontos finais da Internet.
Para mais informações, consulte os requisitos de acesso à Internet.
Esta secção abrange as seguintes características:
CMG (gateway de gestão da cloud)
Azure Ative Directory (Azure AD) integração
Descoberta baseada em Azure AD
Ponto de distribuição em nuvem (CDP)
Nota
O ponto de distribuição baseado na nuvem (CDP) é depreciado. A partir da versão 2107, não é possível criar novos casos de CDP. Para fornecer conteúdo a dispositivos baseados na Internet, permita que o CMG distribua conteúdo.
As secções seguintes listam os pontos finais por função. Alguns pontos finais referem-se a um serviço <prefix> por, que é o nome prefixo da CMG. Por exemplo, se o seu CMG GraniteFalls.WestUS.CloudApp.Azure.Com for, então o ponto final de armazenamento real é GraniteFalls.blob.core.windows.net .
Dica
Para clarificar alguma terminologia:
Nome de serviço CMG : O nome comum (CN) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de ligação CMG comunicam com este nome de serviço. Por exemplo,
GraniteFalls.contoso.comouGraniteFalls.WestUS.CloudApp.Azure.Com.Nome de implantação CMG : A primeira parte do nome de serviço mais a localização Azure para a implementação do serviço de nuvem. O componente do gestor de serviço de nuvem do ponto de ligação de serviço utiliza este nome quando implementa o CMG em Azure. O nome de implantação está sempre num domínio Azure. A localização Azure depende do método de implantação, por exemplo:
- Conjunto de escala de máquina virtual:
GraniteFalls.WestUS.CloudApp.Azure.Com - Implantação clássica:
GraniteFalls.CloudApp.Net
- Conjunto de escala de máquina virtual:
Este artigo utiliza exemplos com uma escala de máquina virtual definida como o método de implementação recomendado na versão 2107 e posteriormente. Se utilizar uma versão clássica, note a diferença ao ler este artigo e configuure o acesso à Internet.
Ponto de ligação de serviço para serviços na nuvem
Para o Gestor de Configuração implementar o serviço CMG em Azure, o ponto de ligação de serviço precisa de acesso a:
Pontos finais específicos do Azure, que são diferentes por ambiente dependendo da configuração. O Gestor de Configuração armazena estes pontos finais na base de dados do site. Consultar a tabela AzureEnvironments em SQL Server para a lista de pontos finais do Azure.
Serviços Azure:
management.azure.com(Nuvem pública azul)management.usgovcloudapi.net(nuvem do governo dos EUA)
Para a descoberta do utilizador AZure AD: Microsoft Graph ponto final
https://graph.microsoft.com/
Ponto de ligação CMG para serviços na nuvem
O ponto de ligação CMG necessita de acesso aos seguintes pontos finais:
| Tipo | Nuvem pública azul | Nuvem do governo dos EUA Azure |
|---|---|---|
| Nome de serviço | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Armazenamento ponto final 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Armazenamento ponto final 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
O sistema de site de ponto de ligação CMG suporta usando um representante web. Para obter mais informações sobre a configuração deste papel para um representante, consulte o suporte do servidor Proxy.
O ponto de ligação CMG só precisa de ser ligado aos pontos finais do serviço CMG. Não precisa de acesso a outros pontos finais do Azure.
Cliente do Gestor de Configuração para serviços na nuvem
Qualquer cliente Gestor de Configuração que necessite de comunicar com um CMG precisa de acesso aos seguintes pontos finais:
| Tipo | Nuvem pública azul | Nuvem do governo dos EUA Azure |
|---|---|---|
| Nome de implantação | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Armazenamento ponto final | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Ponto final Azure AD | login.microsoftonline.com |
login.microsoftonline.us |
Consola do Gestor de Configuração para serviços na nuvem
Qualquer dispositivo com a consola Do Gestor de Configuração necessita de acesso aos seguintes pontos finais:
| Tipo | Nuvem pública azul | Nuvem do governo dos EUA Azure |
|---|---|---|
| Pontos finais da AD AZure | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Cabeçalhos e verbos HTTP
Qualquer dispositivo de networking que gere a comunicação entre o cliente, o CMG e os sistemas de site no local tem de permitir os seguintes cabeçalhos e verbos HTTP. Se estes itens estiverem bloqueados, afetará a comunicação do cliente através da CMG.
Cabeçalhos HTTP
- Intervalo:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Verbos HTTP
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND