Datenfluss für CMG
Gilt für: Configuration Manager (Current Branch)
In diesem Artikel erfahren Sie, wie Daten zwischen Komponenten des Cloudverwaltungsgateways (CLOUD Management Gateway, CMG) fließen. Für die Funktion sind bestimmte Netzwerkports und Internetendpunkte erforderlich. Sie müssen keine eingehenden Ports für Ihr lokales Netzwerk öffnen. Die Standortsystemrollen Dienstverbindungspunkt und CMG-Verbindungspunkt starten die gesamte Kommunikation mit Azure und dem CMG. Diese beiden Rollen müssen ausgehende Verbindungen mit der Microsoft-Cloud erstellen. Der Dienstverbindungspunkt stellt den Dienst in Azure bereit und überwacht diesen. Daher muss er online sein. Der CMG-Verbindungspunkt stellt eine Verbindung mit dem CMG her, um die Kommunikation zwischen dem CMG und den lokalen Standortsystemrollen zu verwalten.
Datenflussdiagramm
Das folgende Diagramm ist ein grundlegender, konzeptioneller Datenfluss für das CMG:
Der Dienstverbindungspunkt stellt über DEN HTTPS-Port 443 eine Verbindung mit Azure her. Die Authentifizierung erfolgt mit Microsoft Entra ID. Der Dienstverbindungspunkt stellt das CMG in Azure bereit. Das CMG erstellt den HTTPS-Dienst mithilfe des Serverauthentifizierungszertifikats.
Der CMG-Verbindungspunkt stellt eine Verbindung mit dem CMG in Azure her. Es hält die Verbindung offen und erstellt den Kanal für die zukünftige bidirektionale Kommunikation.
Wenn Sie das CMG als VM-Skalierungsgruppe bereitstellen, erfolgt dieser Flow über HTTPS.
Wenn Sie das CMG als klassischen Clouddienst bereitstellen, wird zunächst TCP-TLS verwendet. Wenn bei dieser Verbindung ein Fehler auftritt, wird zu HTTPS umgeschaltet.
Weitere Informationen finden Sie unter Hinweis 2: HTTPS-Ports des CMG-Verbindungspunkts für einen virtuellen Computer.
Der Client stellt über HTTPS-Port 443 eine Verbindung mit dem CMG her. Die Authentifizierung erfolgt mithilfe Microsoft Entra-ID, des Clientauthentifizierungszertifikats oder eines vom Standort ausgestellten Tokens.
Hinweis
Wenn Sie das CMG für die Bereitstellung von Inhalten aktivieren, stellt der Client eine direkte Verbindung mit Azure Blob Storage über HTTPS-Port 443 her. Weitere Informationen finden Sie unter Inhaltsdatenfluss.
Das CMG leitet die Clientkommunikation über die vorhandene Verbindung an den lokalen CMG-Verbindungspunkt weiter. Sie müssen keine eingehenden Firewallports öffnen.
Der CMG-Verbindungspunkt leitet die Clientkommunikation an den lokalen Verwaltungspunkt und den Softwareupdatepunkt weiter.
Weitere Informationen zur Integration mit Microsoft Entra-ID finden Sie unter Konfigurieren von Azure-Diensten: Cloudverwaltungsdatenfluss.
Inhaltsdatenfluss
Wenn ein Client ein CMG als Inhaltsspeicherort verwendet:
Der Verwaltungspunkt gibt dem Client ein Zugriffstoken zusammen mit der Liste der Inhaltsquellen. Dieses Token ist 24 Stunden lang gültig und gewährt dem Client Zugriff auf die cloudbasierte Inhaltsquelle.
Der Verwaltungspunkt antwortet auf die Standortanforderung des Clients mit dem Dienstnamen des CMG. Diese Eigenschaft entspricht dem allgemeinen Namen des Serverauthentifizierungszertifikats.
Wenn Sie Ihren Domänennamen verwenden, z. B. , versucht der Client zuerst,
WallaceFalls.contoso.comdiesen FQDN aufzulösen. Clients verwenden den CNAME-Alias im internetseitigen DNS Ihrer Domäne, um den Azure-Bereitstellungsnamen aufzulösen.Der Client löst als Nächstes den Bereitstellungsnamen in eine gültige IP-Adresse auf. Diese Antwort wird vom DNS von Azure verarbeitet.
Der Client stellt eine Verbindung mit dem CMG her. Azure stellt einen Lastenausgleich für die Verbindung mit einer der VM-Instanzen her. Der Client authentifiziert sich selbst mithilfe des Zugriffstokens.
Das CMG authentifiziert das Zugriffstoken des Clients und gibt dem Client dann den genauen Inhaltsspeicherort in Azure Storage.
Wenn der Client dem Serverauthentifizierungszertifikat des CMG vertraut, stellt er eine Verbindung mit Azure Storage her, um den Inhalt herunterzuladen.
Erforderliche Ports
In dieser Tabelle sind die erforderlichen Netzwerkports und Protokolle aufgeführt. Der Client ist das Gerät, das die Verbindung startet und einen ausgehenden Port erfordert. Der Server ist das Gerät, das die Verbindung akzeptiert und einen eingehenden Port erfordert.
| Client | Protokoll | Port | Server | Beschreibung |
|---|---|---|---|---|
| Dienstverbindungspunkt | HTTPS | 443 | Azure | CMG-Bereitstellung |
| CMG-Verbindungspunkt (VM-Skalierungsgruppe) | HTTPS | 443 | CMG-Dienst | Protokoll zum Erstellen eines CMG-Kanals für nur einen virtuellen Computer instance Hinweis 2 |
| CMG-Verbindungspunkt (VM-Skalierungsgruppe) | HTTPS | 10124-10139 | CMG-Dienst | Protokoll zum Erstellen eines CMG-Kanals für mindestens zwei VM-Instanzen Hinweis 3 |
| CMG-Verbindungspunkt (klassischer Clouddienst) | TCP-TLS | 10140-10155 | CMG-Dienst | Bevorzugtes Protokoll zum Erstellen des CMG-Kanals Hinweis 1 |
| CMG-Verbindungspunkt (klassischer Clouddienst) | HTTPS | 443 | CMG-Dienst | Fallbackprotokoll zum Erstellen eines CMG-Kanals für nur einen virtuellen Computer instance Hinweis 2 |
| CMG-Verbindungspunkt (klassischer Clouddienst) | HTTPS | 10124-10139 | CMG-Dienst | Fallbackprotokoll zum Erstellen eines CMG-Kanals für zwei oder mehr VM-Instanzen Hinweis 3 |
| Client | HTTPS | 443 | CMG | Allgemeine Clientkommunikation |
| Client | HTTPS | 443 | Blobspeicher | Herunterladen von cloudbasierten Inhalten |
| CMG-Verbindungspunkt | HTTPS oder HTTP | 443 oder 80 | Verwaltungspunkt | Lokaler Datenverkehr, Port hängt von der Konfiguration des Verwaltungspunkts ab |
| CMG-Verbindungspunkt | HTTPS oder HTTP | 443 oder 80 / 8530 oder 8531 | Softwareupdatepunkt | Lokaler Datenverkehr, Port hängt von der Konfiguration des Softwareupdatepunkts ab |
Hinweise zu Ports
Hinweis 1: TCP-TLS-Ports des CMG-Verbindungspunkts
Diese Ports gelten nur, wenn Sie cmG als Clouddienst (klassisch) bereitstellen, dies war die einzige Methode, die in Version 2006 und früher verfügbar war.
Der CMG-Verbindungspunkt versucht zunächst, eine langlebige TCP-TLS-Verbindung mit jeder CMG-VM instance herzustellen. Er stellt eine Verbindung mit der ersten VM instance an Port 10140 her. Die zweite VM instance verwendet Port 10141 bis zum 16. port 10155. Eine TCP-TLS-Verbindung bietet die beste Leistung, unterstützt aber keinen Internetproxy. Wenn der CMG-Verbindungspunkt keine Verbindung über TCP-TLS herstellen kann, greift er auf HTTPSHinweis 2 zurück.
Hinweis 2: HTTPS-Ports des CMG-Verbindungspunkts für einen virtuellen Computer
Wenn Sie das CMG in einer VM-Skalierungsgruppe bereitstellen, kommuniziert der CMG-Verbindungspunkt nur über HTTPS mit dem Dienst in Azure. Es sind keine TCP-TLS-Ports erforderlich, um den CMG-Kommunikationskanal zu erstellen.
Für ein CMG, das als klassischer Clouddienst bereitgestellt wird, wird dieser Port nur verwendet, wenn die TCP-TLS-Verbindung fehlschlägt. Wenn der CMG-Verbindungspunkt keine Verbindung mit dem CMG über TCP-TLSHinweis 1 herstellen kann, stellt er über HTTPS 443 eine Verbindung mit dem Azure-Netzwerklastenausgleich her. Dieses Verhalten gilt nur für eine VM instance.
Hinweis 3: HTTPS-Ports des CMG-Verbindungspunkts für mindestens zwei VMs
Wenn zwei oder mehr VM-Instanzen vorhanden sind, verwendet der CMG-Verbindungspunkt HTTPS 10124 für die erste VM instance und nicht HTTPS 443. Sie stellt eine Verbindung mit der zweiten VM instance unter HTTPS 10125 bis zum 16. auf HTTPS-Port 10139 her.
Internetzugriffsanforderungen
Wenn Ihre organization die Netzwerkkommunikation mit dem Internet über eine Firewall oder ein Proxygerät einschränkt, müssen Sie dem CMG-Verbindungspunkt und dem Dienstverbindungspunkt den Zugriff auf Internetendpunkte gestatten.
Weitere Informationen finden Sie unter Internetzugriffsanforderungen.
In diesem Abschnitt werden die folgenden Features behandelt:
Einrichten des Cloud-Management-Gateways (CMG)
Microsoft Entra Integration
Microsoft Entra ID-basierte Ermittlung
Cloudverteilungspunkt (Cloud Distribution Point, CDP)
Hinweis
Der cloudbasierte Verteilungspunkt (CDP) ist veraltet. Ab Version 2107 können Sie keine neuen CDP-Instanzen erstellen. Um Inhalte für internetbasierte Geräte bereitzustellen, aktivieren Sie das CMG zum Verteilen von Inhalten.
In den folgenden Abschnitten werden die Endpunkte nach Rolle aufgelistet. Einige Endpunkte verweisen auf einen Dienst durch <prefix>, bei dem es sich um den Präfixnamen des CMG handelt. Wenn Ihr CMG beispielsweise ist GraniteFalls.WestUS.CloudApp.Azure.Com, ist der tatsächliche Speicherendpunkt GraniteFalls.blob.core.windows.net.
Tipp
So klären Sie einige Begriffe:
CMG-Dienstname: Der allgemeine Name (Common Name, CN) des CMG-Serverauthentifizierungszertifikats. Clients und die CMG-Verbindungspunkt-Standortsystemrolle kommunizieren mit diesem Dienstnamen. Zum Beispiel
GraniteFalls.contoso.comoderGraniteFalls.WestUS.CloudApp.Azure.Com.CMG-Bereitstellungsname: Der erste Teil des Dienstnamens sowie der Azure-Standort für die Clouddienstbereitstellung. Die Clouddienst-Manager-Komponente des Dienstverbindungspunkts verwendet diesen Namen bei der Bereitstellung des CMG in Azure. Der Bereitstellungsname befindet sich immer in einer Azure-Domäne. Der Azure-Standort hängt von der Bereitstellungsmethode ab, z. B.:
- VM-Skalierungsgruppe:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klassische Bereitstellung:
GraniteFalls.CloudApp.Net
- VM-Skalierungsgruppe:
In diesem Artikel werden Beispiele mit einer VM-Skalierungsgruppe als empfohlene Bereitstellungsmethode in Version 2107 und höher verwendet. Wenn Sie eine klassische Bereitstellung verwenden, beachten Sie den Unterschied, wenn Sie diesen Artikel lesen und den Internetzugriff konfigurieren.
Dienstverbindungspunkt für Clouddienste
Damit Configuration Manager den CMG-Dienst in Azure bereitstellen kann, benötigt der Dienstverbindungspunkt Zugriff auf:
Bestimmte Azure-Endpunkte, die je nach Konfiguration je nach Umgebung unterschiedlich sind. Configuration Manager speichert diese Endpunkte in der Standortdatenbank. Fragen Sie die Tabelle AzureEnvironments in SQL Server nach der Liste der Azure-Endpunkte ab.
Azure-Dienste:
-
management.azure.com(Öffentliche Azure-Cloud) -
management.usgovcloudapi.net(Azure US Government-Cloud)
-
Für Microsoft Entra Benutzerermittlung: Microsoft Graph-Endpunkt
https://graph.microsoft.com/
CMG-Verbindungspunkt für Clouddienste
Der CMG-Verbindungspunkt benötigt Zugriff auf die folgenden Endpunkte:
| Typ | Öffentliche Azure-Cloud | Azure US Government-Cloud |
|---|---|---|
| Dienstname | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Speicherendpunkt 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Speicherendpunkt 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Schlüsseltresor | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Das CMG-Verbindungspunkt-Standortsystem unterstützt die Verwendung eines Webproxys. Weitere Informationen zum Konfigurieren dieser Rolle für einen Proxy finden Sie unter Proxyserverunterstützung.
Der CMG-Verbindungspunkt muss nur eine Verbindung mit den CMG-Dienstendpunkten herstellen. Sie benötigt keinen Zugriff auf andere Azure-Endpunkte.
Configuration Manager-Client für Clouddienste
Jeder Configuration Manager Client, der mit einem CMG kommunizieren muss, benötigt Zugriff auf die folgenden Endpunkte:
| Typ | Öffentliche Azure-Cloud | Azure US Government-Cloud |
|---|---|---|
| Bereitstellungsname | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Speicherendpunkt | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra-Endpunkt | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager-Konsole für Clouddienste
Jedes Gerät mit der Configuration Manager-Konsole benötigt Zugriff auf die folgenden Endpunkte:
| Typ | Öffentliche Azure-Cloud | Azure US Government-Cloud |
|---|---|---|
| Microsoft Entra-Endpunkte | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP-Header und Verben
Jedes Netzwerkgerät, das die Kommunikation zwischen dem Client, dem CMG und den lokalen Standortsystemen verwaltet, muss die folgenden HTTP-Header und Verben zulassen. Wenn diese Elemente blockiert werden, wirkt sich dies auf die Clientkommunikation über das CMG aus.
HTTP-Header
- Bereich:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP-Verben
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND