Flusso di dati per CMG
Si applica a: Configuration Manager (Current Branch)
Usare questo articolo per comprendere il flusso di dati tra i componenti del gateway di gestione cloud.Use this article to understand how data flows between components of the cloud management gateway (CMG). Per il funzionamento sono necessarie porte di rete e endpoint Internet specifici. Non è necessario aprire porte in ingresso alla rete locale. I ruoli del sistema del sito del punto di connessione del servizio e del punto di connessione cmg avviano tutte le comunicazioni con Azure e cmg. Questi due ruoli devono creare connessioni in uscita al cloud Microsoft. Il punto di connessione del servizio distribuisce e monitora il servizio in Azure, quindi deve essere online. Il punto di connessione cmg si connette al cmg per gestire la comunicazione tra il cmg e i ruoli del sistema del sito locale.
Diagramma del flusso di dati
Il diagramma seguente è un flusso di dati concettuale di base per cmg:
Il punto di connessione del servizio si connette ad Azure tramite la porta HTTPS 443. Esegue l'autenticazione usando Microsoft Entra ID. Il punto di connessione del servizio distribuisce il cmg in Azure. Il cmg crea il servizio HTTPS usando il certificato di autenticazione del server.
Il punto di connessione cmg si connette al cmg in Azure. Mantiene aperta la connessione e crea il canale per la comunicazione bidirezionale futura.
Quando si distribuisce cmg come set di scalabilità di macchine virtuali, questo flusso è su HTTPS.
Se si distribuisce il gateway di gestione cloud come servizio cloud classico, prova prima TCP-TLS. Se la connessione non riesce, passa a HTTPS.
Per altre informazioni, vedere Nota 2: Porte HTTPS del punto di connessione CMG per una macchina virtuale.
Il client si connette al cmg tramite la porta HTTPS 443. Esegue l'autenticazione usando Microsoft Entra ID, il certificato di autenticazione client o un token rilasciato dal sito.
Nota
Se si abilita cmg per gestire il contenuto, il client si connette direttamente all'archiviazione BLOB di Azure tramite la porta HTTPS 443. Per altre informazioni, vedere Flusso di dati del contenuto.
Il cmg inoltra la comunicazione client tramite la connessione esistente al punto di connessione cmg locale. Non è necessario aprire porte del firewall in ingresso.
Il punto di connessione cmg inoltra la comunicazione client al punto di gestione locale e al punto di aggiornamento software.
Per altre informazioni sull'integrazione con Microsoft Entra ID, vedere Configurare i servizi di Azure: Flusso di dati di gestione cloud.
Flusso di dati del contenuto
Quando un client usa un cmg come percorso del contenuto:
Il punto di gestione fornisce al client un token di accesso insieme all'elenco di origini contenuto. Questo token è valido per 24 ore e offre al client l'accesso all'origine del contenuto basata sul cloud.
Il punto di gestione risponde alla richiesta di posizione del client con il nome del servizio del cmg. Questa proprietà corrisponde al nome comune del certificato di autenticazione del server.
Se si usa il nome di dominio, ad esempio ,
WallaceFalls.contoso.com
il client tenta prima di tutto di risolvere il nome di dominio completo. I client usano l'alias CNAME nel DNS con connessione Internet del dominio per risolvere il nome della distribuzione di Azure.Il client risolve quindi il nome della distribuzione in un indirizzo IP valido. Questa risposta viene gestita dal DNS di Azure.
Il client si connette al cmg. Azure bilancia la connessione a una delle istanze di macchina virtuale. Il client si autentica usando il token di accesso.
Il cmg autentica il token di accesso del client e quindi fornisce al client la posizione esatta del contenuto nell'archiviazione di Azure.
Se il client considera attendibile il certificato di autenticazione server del cmg, si connette all'archiviazione di Azure per scaricare il contenuto.
Porte necessarie
Questa tabella elenca le porte e i protocolli di rete necessari. Il client è il dispositivo che avvia la connessione, che richiede una porta in uscita. Il server è il dispositivo che accetta la connessione, che richiede una porta in ingresso.
Client | Protocollo | Porta | Server | Descrizione |
---|---|---|---|---|
Punto di connessione del servizio | HTTPS | 443 | Azure | Distribuzione di CMG |
Punto di connessione CMG (set di scalabilità di macchine virtuali) | HTTPS | 443 | Servizio CMG | Protocollo per compilare un canale CMG in una sola istanza di macchina virtuale Nota 2 |
Punto di connessione CMG (set di scalabilità di macchine virtuali) | HTTPS | 10124-10139 | Servizio CMG | Protocollo per compilare un canale CMG in due o più istanze di VM Nota 3 |
Punto di connessione CMG (servizio cloud classico) | TCP-TLS | 10140-10155 | Servizio CMG | Protocollo preferito per la compilazione del canale CMG Nota 1 |
Punto di connessione CMG (servizio cloud classico) | HTTPS | 443 | Servizio CMG | Eseguire il fallback del protocollo per compilare il canale CMG in una sola istanza di macchina virtuale Nota 2 |
Punto di connessione CMG (servizio cloud classico) | HTTPS | 10124-10139 | Servizio CMG | Eseguire il fallback del protocollo per compilare il canale CMG in due o più istanze di VM Nota 3 |
Client | HTTPS | 443 | CMG | Comunicazione client generale |
Client | HTTPS | 443 | Archiviazione BLOB | Scaricare contenuto basato sul cloud |
Punto di connessione cmg | HTTPS o HTTP | 443 o 80 | Punto di gestione | Traffico locale, la porta dipende dalla configurazione del punto di gestione |
Punto di connessione cmg | HTTPS o HTTP | 443 o 80 / 8530 o 8531 | Punto di aggiornamento software | Traffico locale, la porta dipende dalla configurazione del punto di aggiornamento software |
Note sulle porte
Nota 1: Porte TCP-TLS del punto di connessione CMG
Queste porte si applicano solo quando si distribuisce cmg come servizio cloud (versione classica), che era l'unico metodo disponibile nella versione 2006 e versioni precedenti.
Il punto di connessione cmg tenta innanzitutto di stabilire una connessione TCP-TLS di lunga durata con ogni istanza di macchina virtuale cmg. Si connette alla prima istanza di macchina virtuale sulla porta 10140. La seconda istanza di macchina virtuale usa la porta 10141, fino alla 16a sulla porta 10155. Una connessione TCP-TLS offre prestazioni ottimali, ma non supporta il proxy Internet. Se il punto di connessione cmg non è in grado di connettersi tramite TCP-TLS, torna allanota HTTPS 2.
Nota 2: Porte HTTPS del punto di connessione CMG per una macchina virtuale
Se si distribuisce il cmg in un set di scalabilità di macchine virtuali, il punto di connessione cmg comunica solo con il servizio in Azure tramite HTTPS. Non richiede porte TCP-TLS per compilare il canale di comunicazione CMG.
Per un cmg distribuito come servizio cloud classico, usa questa porta solo se la connessione TCP-TLS ha esito negativo. Se il punto di connessione cmg non riesce a connettersi al cmg tramite TCP-TLSNota 1, si connette al servizio di bilanciamento del carico di rete di Azure tramite HTTPS 443. Questo comportamento si verifica solo per un'istanza di macchina virtuale.
Nota 3: Porte HTTPS del punto di connessione CMG per due o più macchine virtuali
Se sono presenti due o più istanze di VM, il punto di connessione cmg usa HTTPS 10124 per la prima istanza di macchina virtuale, non HTTPS 443. Si connette alla seconda istanza di macchina virtuale in HTTPS 10125, fino alla sedicesima sulla porta HTTPS 10139.
Requisiti di accesso a Internet
Se l'organizzazione limita la comunicazione di rete con Internet usando un firewall o un dispositivo proxy, è necessario consentire al punto di connessione e al punto di connessione del servizio CMG di accedere agli endpoint Internet.
Per altre informazioni, vedere Requisiti di accesso a Internet.
Questa sezione illustra le funzionalità seguenti:
Cloud Management Gateway (CMG)
integrazione Microsoft Entra
Microsoft Entra individuazione basata su ID
Punto di distribuzione cloud (CDP)
Nota
Il punto di distribuzione basato sul cloud (CDP) è deprecato. A partire dalla versione 2107, non è possibile creare nuove istanze CDP. Per fornire contenuto ai dispositivi basati su Internet, abilitare cmg per distribuire il contenuto.
Le sezioni seguenti elencano gli endpoint in base al ruolo. Alcuni endpoint fanno riferimento a un servizio di <prefix>
, che è il nome del prefisso del cmg. Ad esempio, se il cmg è GraniteFalls.WestUS.CloudApp.Azure.Com
, l'endpoint di archiviazione effettivo è GraniteFalls.blob.core.windows.net
.
Consiglio
Per chiarire alcuni termini:
Nome del servizio CMG: nome comune (CN) del certificato di autenticazione del server CMG. I client e il ruolo del sistema del sito del punto di connessione cmg comunicano con questo nome di servizio. Ad esempio,
GraniteFalls.contoso.com
oGraniteFalls.WestUS.CloudApp.Azure.Com
.Nome distribuzione cmg: la prima parte del nome del servizio più la posizione di Azure per la distribuzione del servizio cloud. Il componente di Gestione servizi cloud del punto di connessione del servizio usa questo nome quando distribuisce il cmg in Azure. Il nome della distribuzione è sempre in un dominio di Azure. La posizione di Azure dipende dal metodo di distribuzione, ad esempio:
- Set di scalabilità di macchine virtuali:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Distribuzione classica:
GraniteFalls.CloudApp.Net
- Set di scalabilità di macchine virtuali:
Questo articolo usa esempi con un set di scalabilità di macchine virtuali come metodo di distribuzione consigliato nella versione 2107 e successive. Se si usa una distribuzione classica, tenere presente la differenza durante la lettura di questo articolo e la configurazione dell'accesso a Internet.
Punto di connessione del servizio per i servizi cloud
Per Configuration Manager per distribuire il servizio CMG in Azure, il punto di connessione del servizio deve accedere a:
Endpoint di Azure specifici, diversi per ambiente a seconda della configurazione. Configuration Manager archivia questi endpoint nel database del sito. Eseguire una query sulla tabella AzureEnvironments in SQL Server per l'elenco degli endpoint di Azure.
Servizi di Azure:
-
management.azure.com
(Cloud pubblico di Azure) -
management.usgovcloudapi.net
(Cloud di Azure US Government)
-
Per Microsoft Entra'individuazione utente: endpoint Microsoft Graph
https://graph.microsoft.com/
Punto di connessione cmg per i servizi cloud
Il punto di connessione cmg deve accedere agli endpoint seguenti:
Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
---|---|---|
Nome servizio | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Endpoint di archiviazione 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Endpoint di archiviazione 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Insieme di credenziali delle chiavi | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Il sistema del sito del punto di connessione cmg supporta l'uso di un proxy Web. Per altre informazioni sulla configurazione di questo ruolo per un proxy, vedere Supporto del server proxy.
Il punto di connessione cmg deve connettersi solo agli endpoint del servizio CMG. Non richiede l'accesso ad altri endpoint di Azure.
client Configuration Manager per i servizi cloud
Qualsiasi client Configuration Manager che deve comunicare con un cmg deve accedere agli endpoint seguenti:
Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
---|---|---|
Nome distribuzione | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Endpoint di archiviazione | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
endpoint Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager console per i servizi cloud
Qualsiasi dispositivo con la console Configuration Manager deve accedere agli endpoint seguenti:
Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
---|---|---|
endpoint Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Intestazioni e verbi HTTP
Qualsiasi dispositivo di rete che gestisce la comunicazione tra il client, il cmg e i sistemi del sito locale deve consentire le intestazioni e i verbi HTTP seguenti. Se questi elementi sono bloccati, influiranno sulla comunicazione client tramite cmg.
Intestazioni HTTP
- Gamma:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Verbi HTTP
- TESTA
- CCM_POST
- BITS_POST
- GET
- PROPFIND