Plánování cmg v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Pokud chcete zjednodušit správu internetových klientů, nejprve vytvořte plán pro bránu pro správu cloudu (CMG). Navrhněte, jak to bude vyhovovat vašemu prostředí, a připravte se na implementaci.
Další základní informace o scénářích a případech použití CMG najdete v tématu Přehled CMG.
Poznámka
Některé oddíly, které byly dříve v tomto článku, se přesunuly:
- Návrh hierarchie: Návrh hierarchie CMG
- Výkon a škálování: Výkon a škálování CMG
Kontrolní seznam pro plánování
Celkový proces plánování CMG je rozdělen do následujících částí:
Komponenty a požadavky: Tento článek shrnuje komponenty, které tvoří systém CMG. Obsahuje také seznam požadavků na systém.
Ověřování klientů: Určete, kterou metodu ověřování použijete pro klienty z potenciálně nedůvěryhodných sítí.
Návrh hierarchie: Naplánujte umístění cmg ve vašem prostředí.
Podporované konfigurace: Seznamte se s funkcemi Configuration Manager, které můžete podporovat u internetových klientů, kteří se připojují k CMG.
Výkon a škálování: Rozhodněte, kolik komponent služeb budete potřebovat, abyste co nejlépe podporovali svůj počet klientů.
Náklady: Seznamte se s náklady na komponenty založené na Azure.
Komponenty CMG
Nasazení a provoz cmg zahrnuje následující komponenty:
Cloudová služba CMG v Azure ověřuje a předává požadavky klientů Configuration Manager přes internet do místního spojovacího bodu CMG.
Role systému lokality spojovacího bodu CMG umožňuje konzistentní a vysoce výkonné připojení z místní sítě ke službě CMG v Azure. Publikuje také nastavení do CMG, včetně informací o připojení a nastavení zabezpečení. Spojovací bod CMG předává požadavky klientů z CMG do místních rolí podle mapování adres URL. Například bod správy a bod aktualizace softwaru.
Role systému lokality spojovacího bodu služby spouští komponentu správce cloudových služeb, která zpracovává všechny úlohy nasazení CMG. Kromě toho monitoruje a hlásí informace o stavu služby a protokolování z ID Microsoft Entra. Ujistěte se, že je spojovací bod služby v online režimu.
Bod správy a bod aktualizace softwaru role systému lokality požadavky klienta služby podle normálního stavu.
CmG používá k zabezpečení síťové komunikace s klienty webovou službu HTTPS založenou na certifikátech .
Internetoví klienti se připojují k CMG, aby mohli přistupovat k místním Configuration Manager komponentám. Existuje několik možností pro identitu a ověřování klienta:
- Microsoft Entra ID
- Certifikáty PKI
- Configuration Manager tokeny vystavené webem
Další informace najdete v tématu Plánování ověřování klientů CMG.
CmG vytvoří účet úložiště Azure, který používá ke svým standardním operacím. Ve výchozím nastavení má CMG také povolený obsah, aby poskytoval obsah nasazení internetovým klientům. Tento účet úložiště nepodporuje přizpůsobení, jako jsou omezení virtuální sítě.
Poznámka
Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu.
Azure Resource Manager
CmG vytvoříte pomocí nasazení Azure Resource Manager. Azure Resource Manager je moderní platforma pro správu všech prostředků řešení jako jedna entita označovaná jako skupina prostředků. Když nasadíte CMG s Azure Resource Manager, web použije Microsoft Entra ID k ověření a vytvoření potřebných cloudových prostředků.
Důležité
Od verze 2203 se odebere možnost nasadit cmg jako cloudovou službu (classic). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrání a zastaralé funkce.
Škálovací sady virtuálních počítačů
Poznámka
Tato funkce byla poprvé představena ve verzi 2010 jako předběžná verze. Od verze 2107 už to není předběžná verze.
Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.
Od verze 2010 můžou zákazníci s předplatným CSP (Cloud Solution Provider) nasadit CMG se škálovací sadou virtuálních počítačů v Azure. Tato podpora je pouze v případě, že v současné době nemají CMG nasazenou pomocí klasických cloudových služeb do jiného předplatného.
Od verze 2107 můžou všichni zákazníci nasadit cmg se škálovací sadou virtuálních počítačů. Pokud máte existující cmg nasazenou s klasickou cloudovou službou, převeďte cmg na použití škálovací sady virtuálních počítačů.
Až na několik výjimek zůstávají konfigurace, operace a funkce cmg stejné.
Další poskytovatelé prostředků Azure ve vašem předplatném Azure
Různé názvy nasazení, například GraniteFalls.EastUS.CloudApp.Azure.Com pro nasazení v oblasti Azure USA – východ . Tato změna názvu může ovlivnit způsob vytváření a správy ověřovacího certifikátu serveru CMG.
Spojovací bod CMG komunikuje pouze se škálovací sadou virtuálních počítačů v Azure přes PROTOKOL HTTPS. Nevyžaduje porty TCP-TLS.
Omezení pro cmg se škálovací sadou virtuálních počítačů
Omezení s verzemi 2107 a novějšími
Poznámka
Od verze 2111 podporují nasazení CMG se škálovací sadou virtuálních počítačů cloudová prostředí Azure US Government.
- U akcí v Centru softwaru můžou uživatelé zaznamenat zpoždění až tři sekundy.
- Žádosti o aplikaci nemůžete schválit nebo zamítnout prostřednictvím cmg.
- Verze 2107 nepodporuje cloudová prostředí Azure US Government.
Omezení verzí 2010 a 2103
- Pokud potřebujete více než jednu instanci CMG, musí všechny používat stejnou metodu nasazení.
- Podporovaný počet souběžných klientských připojení je 2 000 na instanci virtuálního počítače. Další informace najdete v tématu Výkon a škálování CMG.
- Podporuje se jenom se samostatnou primární lokalitou.
- Nepodporuje cloudová prostředí Azure US Government.
- U akcí v Centru softwaru můžou uživatelé zaznamenat zpoždění až tři sekundy.
- Configuration Manager aktuálně vytváří kontejner úložiště Azure na základě názvu skupiny prostředků. Azure má různé požadavky na pojmenování skupin prostředků a kontejnerů úložiště. Ujistěte se, že název skupiny prostředků pro tuto službu obsahuje pouze malá písmena, číslice a pomlčky. Pokud máte existující skupinu prostředků, která nefunguje, přejmenujte ji v Azure Portal nebo vytvořte novou skupinu prostředků.
- Pokud máte více než jeden bod správy HTTPS, nemůžete klienta Configuration Manager nainstalovat na zařízení přes internet. Pokud potřebujete nainstalovat offline klienty pomocí cmg, můžete mít jenom jeden bod správy HTTPS. Musíte také povolit cmg pro obsah.
- Žádosti o aplikaci nemůžete schválit nebo zamítnout prostřednictvím cmg.
Požadavky
Tip
Pro objasnění některých terminologií Azure:
- Tenant Microsoft Entra ID je adresář uživatelských účtů a registrací aplikací. Jeden tenant může mít několik předplatných.
- Předplatné Azure odděluje fakturaci, prostředky a služby. Je přidružená k jednomu tenantovi.
Další informace najdete v tématu Předplatná, licence, účty a tenanti cloudových nabídek Microsoftu.
Předplatné Azure pro hostování CMG. Toto předplatné může být v jednom z následujících prostředí:
- Globální cloud Azure
- Cloud Azure US Government
Zákazníci s předplatným CSP (Cloud Service Provider) musí s nasazením škálovací sady virtuálních počítačů používat verzi 2010 nebo novější.
Integrací lokality s ID Microsoft Entra nasaďte službu s Azure Resource Manager. Další informace najdete v tématu Konfigurace ID Microsoft Entra pro CMG.
Když nasadíte web do Microsoft Entra ID, můžete volitelně povolit zjišťování uživatelů Microsoft Entra. Není nutné vytvářet cmg, ale vyžaduje se, pokud plánujete používat Microsoft Entra ověřování s hybridními identitami. Další informace najdete v tématu Instalace klientů pomocí ID Microsoft Entra a informace o zjišťování uživatelů Microsoft Entra.
Správce Azure se musí podílet na počátečním vytváření určitých komponent. Tato osoba může být stejná jako správce Configuration Manager nebo může být oddělená. Pokud jsou samostatné, nevyžadují oprávnění v Configuration Manager.
Při integraci lokality s ID Microsoft Entra pro nasazení CMG pomocí Azure Resource Manager potřebujete globálního správce.
Při vytváření CMG potřebujete účet, který je vlastníkem předplatného Azure a globálním správcem Microsoft Entra ID.
Váš uživatelský účet musí být úplný správce nebo správce infrastruktury v Configuration Manager.
Alespoň jeden místní server Windows pro hostování spojovacího bodu CMG. Tuto roli můžete společně přidělit s dalšími Configuration Manager rolemi systému lokality.
Spojovací bod služby musí být v online režimu.
Nakonfigurujte bod správy tak, aby umožňoval provoz z CMG. Musí také vyžadovat protokol HTTPS nebo nakonfigurovat web pro rozšířený protokol HTTP.
Ověřovací certifikát serveru pro cmg.
Názvy CMG musí mít 3 až 24 alfanumerických znaků. Název musí začínat písmenem, končit písmenem nebo číslicí a nesmí obsahovat po sobě jdoucí spojovníky.
V závislosti na verzi vašeho operačního systému a modelu ověřování se můžou vyžadovat další certifikáty. Další informace najdete v tématu Konfigurace ověřování klientů.
Klienti musí používat protokol IPv4.
Ujistěte se, že jsou pro zařízení, která budou používat cmg, povolená následující nastavení klienta ve skupině Cloudové služby :
- Povolení klientům používat bránu pro správu cloudu
- Povolit přístup ke cloudovému distribučnímu bodu
Poznámka
Pokud povolíte nastavení klienta na Stahovat rozdílový obsah, pokud je k dispozici, obsah pro aktualizace třetích stran se do klientů nestáhne.
Další kroky
Dále určete, jak se klienti budou ověřovat pomocí cmg: