Flujo de datos para CMG
Se aplica a: Configuration Manager (rama actual)
Use este artículo para comprender cómo fluyen los datos entre los componentes de cloud management gateway (CMG). Requiere puertos de red específicos y puntos de conexión de Internet para funcionar. No es necesario abrir ningún puerto de entrada a la red local. Los roles de sistema de sitio punto de conexión de servicio y punto de conexión de CMG inician toda la comunicación con Azure y CMG. Estos dos roles deben crear conexiones salientes a la nube de Microsoft. El punto de conexión de servicio implementa y supervisa el servicio en Azure, por lo que debe estar en línea. El punto de conexión de CMG se conecta a CMG para administrar la comunicación entre cmg y roles de sistema de sitio locales.
Diagrama de flujo de datos
El diagrama siguiente es un flujo de datos conceptual básico para cmg:
El punto de conexión de servicio se conecta a Azure a través del puerto HTTPS 443. Se autentica mediante Microsoft Entra id. El punto de conexión de servicio implementa cmg en Azure. CMG crea el servicio HTTPS mediante el certificado de autenticación del servidor.
El punto de conexión de CMG se conecta a CMG en Azure. Mantiene abierta la conexión y compila el canal para futuras comunicaciones bidireccionales.
Al implementar CMG como un conjunto de escalado de máquinas virtuales, este flujo se realiza a través de HTTPS.
Si implementa CMG como un servicio en la nube clásica, primero intenta TCP-TLS. Si se produce un error en esa conexión, cambia a HTTPS.
Para obtener más información, vea Nota 2: Puertos HTTPS del punto de conexión DE CMG para una máquina virtual.
El cliente se conecta al CMG a través del puerto HTTPS 443. Se autentica mediante el identificador de Microsoft Entra, el certificado de autenticación de cliente o un token emitido por el sitio.
Nota:
Si habilita cmg para servir contenido, el cliente se conecta directamente a Azure Blob Storage a través del puerto HTTPS 443. Para obtener más información, consulte Flujo de datos de contenido.
CMG reenvía la comunicación del cliente a través de la conexión existente al punto de conexión de CMG local. No es necesario abrir ningún puerto de firewall de entrada.
El punto de conexión de CMG reenvía la comunicación del cliente al punto de administración local y al punto de actualización de software.
Para obtener más información al integrar con Microsoft Entra id., consulte Configuración de servicios de Azure: Flujo de datos de administración en la nube.
Flujo de datos de contenido
Cuando un cliente usa una instancia de CMG como ubicación de contenido:
El punto de administración proporciona al cliente un token de acceso junto con la lista de orígenes de contenido. Este token es válido durante 24 horas y proporciona al cliente acceso al origen de contenido basado en la nube.
El punto de administración responde a la solicitud de ubicación del cliente con el nombre de servicio de CMG. Esta propiedad es la misma que el nombre común del certificado de autenticación del servidor.
Si usa el nombre de dominio, por ejemplo,
WallaceFalls.contoso.com
, el cliente primero intenta resolver este FQDN. Los clientes usan el alias CNAME en el DNS accesible desde Internet del dominio para resolver el nombre de implementación de Azure.A continuación, el cliente resuelve el nombre de la implementación en una dirección IP válida. El DNS de Azure controla esta respuesta.
El cliente se conecta a CMG. Azure equilibra la conexión a una de las instancias de máquina virtual. El cliente se autentica mediante el token de acceso.
CMG autentica el token de acceso del cliente y, a continuación, proporciona al cliente la ubicación exacta del contenido en Azure Storage.
Si el cliente confía en el certificado de autenticación del servidor de CMG, se conecta a Azure Storage para descargar el contenido.
Puertos necesarios
En esta tabla se enumeran los puertos y protocolos de red necesarios. El cliente es el dispositivo que inicia la conexión, que requiere un puerto de salida. El servidor es el dispositivo que acepta la conexión, que requiere un puerto de entrada.
Cliente | Protocolo | Puerto | Servidor | Descripción |
---|---|---|---|---|
Punto de conexión de servicio | HTTPS | 443 | Azure | Implementación de CMG |
Punto de conexión de CMG (conjunto de escalado de máquinas virtuales) | HTTPS | 443 | Servicio CMG | Protocolo para compilar un canal de CMG en una sola instancia de máquina virtual Nota 2 |
Punto de conexión de CMG (conjunto de escalado de máquinas virtuales) | HTTPS | 10124-10139 | Servicio CMG | Protocolo para compilar un canal de CMG en dos o más instancias de máquina virtual Nota 3 |
Punto de conexión de CMG (servicio en la nube clásica) | TCP-TLS | 10140-10155 | Servicio CMG | Protocolo preferido para compilar el canal CMG Nota 1 |
Punto de conexión de CMG (servicio en la nube clásica) | HTTPS | 443 | Servicio CMG | Fall back protocol to build CMG channel to only vm instance Note 2 |
Punto de conexión de CMG (servicio en la nube clásica) | HTTPS | 10124-10139 | Servicio CMG | Fall back protocol to build CMG channel to two or more VM instances Note 3 |
Cliente | HTTPS | 443 | CMG | Comunicación general del cliente |
Cliente | HTTPS | 443 | Almacenamiento de blobs | Descarga de contenido basado en la nube |
Punto de conexión de CMG | HTTPS o HTTP | 443 u 80 | Punto de administración | El tráfico local, el puerto depende de la configuración del punto de administración |
Punto de conexión de CMG | HTTPS o HTTP | 443 o 80/8530 o 8531 | Punto de actualización de software | El tráfico local, el puerto depende de la configuración del punto de actualización de software |
Notas sobre los puertos
Nota 1: Puertos TCP-TLS del punto de conexión CMG
Estos puertos solo se aplican al implementar CMG como servicio en la nube (clásico), que era el único método disponible en la versión 2006 y versiones anteriores.
El punto de conexión de CMG primero intenta establecer una conexión TCP-TLS de larga duración con cada instancia de máquina virtual de CMG. Se conecta a la primera instancia de máquina virtual en el puerto 10140. La segunda instancia de máquina virtual usa el puerto 10141, hasta el 16 en el puerto 10155. Una conexión TCP-TLS tiene el mejor rendimiento, pero no admite el proxy de Internet. Si el punto de conexión de CMG no se puede conectar a través de TCP-TLS, vuelve a lanota 2 de HTTPS.
Nota 2: Puertos HTTPS del punto de conexión CMG para una máquina virtual
Si implementa cmg en un conjunto de escalado de máquinas virtuales, el punto de conexión de CMG solo se comunica con el servicio en Azure a través de HTTPS. No requiere puertos TCP-TLS para compilar el canal de comunicación de CMG.
Para un CMG implementado como un servicio en la nube clásica, solo usa este puerto si se produce un error en la conexión TCP-TLS. Si el punto de conexión de CMG no se puede conectar al CMG a través de lanota 1 de TCP-TLS, se conecta al equilibrador de carga de red de Azure a través de HTTPS 443. Este comportamiento es solo para una instancia de máquina virtual.
Nota 3: Puertos HTTPS del punto de conexión DE CMG para dos o más máquinas virtuales
Si hay dos o más instancias de máquina virtual, el punto de conexión de CMG usa HTTPS 10124 en la primera instancia de máquina virtual, no HTTPS 443. Se conecta a la segunda instancia de máquina virtual en HTTPS 10125, hasta el 16 en el puerto HTTPS 10139.
Requisitos de acceso a Internet
Si su organización restringe la comunicación de red con Internet mediante un firewall o dispositivo proxy, debe permitir que el punto de conexión de CMG y el punto de conexión de servicio accedan a los puntos de conexión de Internet.
Para obtener más información, consulte Requisitos de acceso a Internet.
En esta sección se tratan las siguientes características:
Cloud management gateway (CMG)
integración Microsoft Entra
Microsoft Entra detección basada en identificadores
Punto de distribución de nube (CDP)
Nota:
El punto de distribución basado en la nube (CDP) está en desuso. A partir de la versión 2107, no puede crear nuevas instancias de CDP. Para proporcionar contenido a dispositivos basados en Internet, habilite cmg para distribuir contenido.
En las secciones siguientes se enumeran los puntos de conexión por rol. Algunos puntos de conexión hacen referencia a un servicio por <prefix>
, que es el nombre de prefijo de CMG. Por ejemplo, si la instancia de CMG es GraniteFalls.WestUS.CloudApp.Azure.Com
, el punto de conexión de almacenamiento real es GraniteFalls.blob.core.windows.net
.
Sugerencia
Para aclarar cierta terminología:
Nombre del servicio CMG: nombre común (CN) del certificado de autenticación del servidor CMG. Los clientes y el rol de sistema de sitio de punto de conexión de CMG se comunican con este nombre de servicio. Por ejemplo,
GraniteFalls.contoso.com
oGraniteFalls.WestUS.CloudApp.Azure.Com
.Nombre de implementación de CMG: la primera parte del nombre del servicio más la ubicación de Azure para la implementación del servicio en la nube. El componente administrador de servicios en la nube del punto de conexión de servicio usa este nombre cuando implementa cmg en Azure. El nombre de implementación siempre está en un dominio de Azure. La ubicación de Azure depende del método de implementación, por ejemplo:
- Conjunto de escalado de máquinas virtuales:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Implementación clásica:
GraniteFalls.CloudApp.Net
- Conjunto de escalado de máquinas virtuales:
En este artículo se usan ejemplos con un conjunto de escalado de máquinas virtuales como método de implementación recomendado en la versión 2107 y versiones posteriores. Si usa una implementación clásica, tenga en cuenta la diferencia al leer este artículo y configurar el acceso a Internet.
Punto de conexión de servicio para servicios en la nube
Para Configuration Manager implementar el servicio CMG en Azure, el punto de conexión de servicio necesita acceso a:
Puntos de conexión de Azure específicos, que son diferentes por entorno en función de la configuración. Configuration Manager almacena estos puntos de conexión en la base de datos del sitio. Consulte la tabla AzureEnvironments de SQL Server para obtener la lista de puntos de conexión de Azure.
Servicios de Azure:
-
management.azure.com
(Nube pública de Azure) -
management.usgovcloudapi.net
(Nube de Azure US Government)
-
Para Microsoft Entra detección de usuarios: punto de conexión de Microsoft Graph
https://graph.microsoft.com/
Punto de conexión de CMG para servicios en la nube
El punto de conexión de CMG necesita acceso a los siguientes puntos de conexión:
Tipo | Nube pública de Azure | Nube de Azure US Government |
---|---|---|
Nombre del servicio | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Punto de conexión de almacenamiento 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Punto de conexión de almacenamiento 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Almacén de claves | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
El sistema de sitio de punto de conexión de CMG admite el uso de un proxy web. Para obtener más información sobre cómo configurar este rol para un proxy, consulte Compatibilidad con el servidor proxy.
El punto de conexión de CMG solo necesita conectarse a los puntos de conexión de servicio de CMG. No necesita acceso a otros puntos de conexión de Azure.
Configuration Manager cliente para servicios en la nube
Cualquier cliente Configuration Manager que necesite comunicarse con una instancia de CMG necesita acceso a los siguientes puntos de conexión:
Tipo | Nube pública de Azure | Nube de Azure US Government |
---|---|---|
Nombre de implementación | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Punto de conexión de almacenamiento | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
punto de conexión de Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager consola para servicios en la nube
Cualquier dispositivo con la consola de Configuration Manager necesita acceso a los siguientes puntos de conexión:
Tipo | Nube pública de Azure | Nube de Azure US Government |
---|---|---|
puntos de conexión de Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Encabezados y verbos HTTP
Cualquier dispositivo de red que administre la comunicación entre el cliente, cmg y los sistemas de sitio locales tiene que permitir los siguientes encabezados y verbos HTTP. Si estos elementos están bloqueados, afectará a la comunicación del cliente a través de CMG.
Encabezados HTTP
- Gama:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Verbos HTTP
- CABEZA
- CCM_POST
- BITS_POST
- GET
- PROPFIND