Utilizar um ponto de distribuição na cloud no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Aviso
A implementação da partilha de conteúdos do Azure foi alterada. Utilize um gateway de gestão da cloud compatível com conteúdo ao ativar a opção Permitir que o CMG funcione como um ponto de distribuição na cloud e sirva conteúdos do armazenamento do Azure. Para obter mais informações, veja Modificar um CMG.
A partir da versão 2107, não pode criar um ponto de distribuição de nuvem (CDP) tradicional.
Um ponto de distribuição na nuvem é um ponto de distribuição do Configuration Manager alojado como Plataforma como Serviço (PaaS) no Microsoft Azure. Este serviço suporta os seguintes cenários:
Fornecer conteúdo de software a clientes baseados na Internet sem uma infraestrutura no local adicional
Ativar o sistema de distribuição de conteúdos na cloud
Reduzir a necessidade de pontos de distribuição tradicionais
Este artigo ajuda-o a saber mais sobre o ponto de distribuição da cloud, planear a sua utilização e estruturar a sua implementação. Inclui as seguintes secções:
- Funcionalidades e benefícios
- Estrutura da topologia
- Requisitos
- Especificações
- Custo
- Desempenho e escala
- Portas e fluxo de dados
- Certificados
- Perguntas frequentes (FAQ)
Funcionalidades e benefícios
Recursos
O ponto de distribuição da cloud suporta várias funcionalidades que também são oferecidas por pontos de distribuição no local:
Gerir pontos de distribuição da cloud individualmente ou como membros de grupos de pontos de distribuição
Utilizar um ponto de distribuição na cloud como uma localização de conteúdo de contingência
Suporta clientes baseados na Intranet e na Internet
Benefícios
O ponto de distribuição da cloud fornece os seguintes benefícios adicionais:
O site encripta o conteúdo antes de o enviar para o ponto de distribuição da cloud no Azure.
Para satisfazer as exigências em constante mudança de pedidos de conteúdo por parte dos clientes, dimensione manualmente o serviço cloud no Azure. Esta ação não requer que instale e aprovisione pontos de distribuição adicionais no Configuration Manager.
Suporta a transferência de conteúdos de clientes configurados para outras tecnologias de conteúdo, como o Windows BranchCache.
Utilize pontos de distribuição da cloud como localizações de origem para pontos de distribuição de extração.
Estrutura da topologia
A implementação e o funcionamento do ponto de distribuição da cloud incluem os seguintes componentes:
Um serviço cloud no Azure. O site distribui conteúdos para este serviço, que o armazena no armazenamento na cloud do Azure. O ponto de gestão fornece aos clientes esta localização de conteúdo na lista de origens disponíveis conforme adequado.
Um ponto de gestão de serviços de função de sistema de sites pedidos de cliente de acordo com o normal.
Normalmente, os clientes no local utilizam um ponto de gestão no local.
Os clientes baseados na Internet utilizam um gateway de gestão da cloud ou um ponto de gestão baseado na Internet.
O ponto de distribuição da cloud utiliza um serviço Web HTTPS baseado em certificado para ajudar a proteger a comunicação de rede com os clientes. Os clientes têm de confiar neste certificado.
Azure Resource Manager
Crie um ponto de distribuição na cloud com uma implementação do Azure Resource Manager. O Azure Resource Manager é uma plataforma moderna para gerir todos os recursos da solução como uma única entidade, denominada grupo de recursos. Ao implementar um ponto de distribuição na cloud com o Azure Resource Manager, o site utiliza o ID do Microsoft Entra para autenticar e criar os recursos da cloud necessários.
Observação
Esta funcionalidade não ativa o suporte para Fornecedores de Serviços Cloud (CSP) do Azure. A implementação do ponto de distribuição na cloud com o Azure Resource Manager continua a utilizar o serviço cloud clássico, que o CSP não suporta. Para obter mais informações, veja serviços do Azure disponíveis no Azure CSP.
O Azure Resource Manager é o único mecanismo de implementação para novas instâncias do ponto de distribuição da cloud. As implementações existentes continuam a funcionar.
Estrutura da hierarquia
O local onde cria o ponto de distribuição da cloud depende dos clientes que precisam de aceder ao conteúdo.
Implementação do Azure Resource Manager: crie este tipo num site primário ou no site de administração central.
O gateway de gestão da cloud (CMG) também pode servir conteúdo aos clientes. Esta funcionalidade reduz os certificados e o custo necessários das VMs do Azure. Para obter mais informações, veja Descrição geral do gateway de gestão da cloud.
Para determinar se pretende incluir pontos de distribuição na cloud em grupos de limites, considere os seguintes comportamentos:
Os clientes baseados na Internet não dependem de grupos de limites. Utilizam apenas pontos de distribuição com acesso à Internet ou pontos de distribuição na cloud. Se estiver a utilizar apenas pontos de distribuição da cloud para atender a estes tipos de clientes, não precisa de os incluir em grupos de limites.
Se quiser que os clientes na sua rede interna utilizem um ponto de distribuição na cloud, tem de estar no mesmo grupo de limites que os clientes. Os clientes priorizam os pontos de distribuição da cloud em último lugar na respetiva lista de origens de conteúdo, porque existe um custo associado à transferência de conteúdos para fora do Azure. Assim, um ponto de distribuição da cloud é normalmente utilizado como uma origem de contingência para clientes baseados na intranet. Se quiser uma estrutura em primeiro lugar na cloud, crie os seus grupos de limites para cumprir este requisito empresarial. Para obter mais informações, veja Configurar grupos de limites.
Apesar de instalar pontos de distribuição na cloud em regiões específicas do Azure, os clientes não têm conhecimento das regiões do Azure. Selecionam aleatoriamente um ponto de distribuição da cloud. Se instalar pontos de distribuição na cloud em várias regiões e um cliente receber mais do que um na lista de localização de conteúdos, o cliente poderá não utilizar um ponto de distribuição na cloud da mesma região do Azure.
Backup e recuperação
Quando utilizar um ponto de distribuição na cloud na hierarquia, utilize as seguintes informações para o ajudar a planear a cópia de segurança e a recuperação:
Quando utiliza a tarefa de manutenção Cópia de Segurança do Servidor do Site , o Configuration Manager inclui automaticamente as configurações do ponto de distribuição da cloud.
Faça uma cópia de segurança e guarde uma cópia do certificado de autenticação do servidor. Quando restaura o site primário do Configuration Manager para um servidor diferente, reimporte o certificado.
Requisitos
Precisa de uma subscrição do Azure para alojar o serviço.
- Um administrador do Azure tem de participar na criação inicial de determinados componentes, consoante a sua estrutura. Esta persona não requer permissões no Configuration Manager.
O servidor do site requer acesso à Internet para implementar e gerir o serviço cloud.
Ao utilizar o método de implementação do Azure Resource Manager , integre o Configuration Manager com o Microsoft Entra ID para a Gestão da Cloud. A deteção de utilizadores do Microsoft Entra ID não é necessária.
Um certificado de autenticação de servidor. Para obter mais informações, veja a secção Certificados abaixo.
- Para reduzir a complexidade, utilize um fornecedor de certificados público para o certificado de autenticação de servidor. Ao fazê-lo, também precisa de um alias CNAME DNS para os clientes resolverem o nome do serviço cloud.
Defina a definição de cliente, Permitir acesso a pontos de distribuição na cloud, como Sim no grupo Serviços Cloud . Por predefinição, este valor está definido como Não.
Os dispositivos cliente necessitam de conectividade à Internet e têm de utilizar IPv4.
Especificações
O ponto de distribuição da cloud suporta todas as versões do Windows listadas em Sistemas operativos suportados para clientes e dispositivos.
Um administrador distribui os seguintes tipos de conteúdo de software suportado:
Aplicativos
Pacotes
Pacotes de atualização do SO
Atualizações de software de terceiros
Importante
- Embora a consola do Configuration Manager não bloqueie a distribuição de atualizações de software da Microsoft para um ponto de distribuição na cloud, está a pagar os custos do Azure para armazenar conteúdos que os clientes não utilizam. Os clientes baseados na Internet obtêm sempre conteúdo de atualização de software da Microsoft a partir do serviço cloud Microsoft Update. Não distribua as atualizações de software da Microsoft para um ponto de distribuição na cloud.
- Se a atualização de software for distribuída para o ponto de distribuição da cloud, continuará a utilizar o ponto de distribuição local para transferência de conteúdo quando os clientes estiverem na Intranet.
- Ao utilizar um CMG para armazenamento de conteúdos, o conteúdo das atualizações de terceiros não será transferido para os clientes se a definiçãoTransferir conteúdo delta quando disponível estiver ativada.
Configure um ponto de distribuição de solicitação para utilizar um ponto de distribuição da cloud como origem. Para obter mais informações, veja Acerca dos pontos de distribuição de origem.
Configurações de Implantação
Transfira conteúdo localmente quando necessário pela sequência de tarefas em execução. O motor de sequência de tarefas pode transferir pacotes a pedido a partir de um CMG compatível com conteúdo ou de um ponto de distribuição na cloud. Esta opção proporciona flexibilidade adicional com as implementações de atualização no local do Windows para dispositivos baseados na Internet.
Transfira todos os conteúdos localmente antes de iniciar a sequência de tarefas. Com esta opção, o cliente do Configuration Manager transfere o conteúdo da origem da cloud antes de iniciar a sequência de tarefas.
Um ponto de distribuição na cloud não suporta implementações de pacotes com a opção Executar programa a partir do ponto de distribuição. Utilize a opção de implementação para Transferir conteúdo do ponto de distribuição e executar localmente.
Limitações
Não pode utilizar um ponto de distribuição na cloud para implementações com PXE ou multicast ativado.
Um ponto de distribuição na cloud não suporta aplicações de transmissão em fluxo app-V.
Um ponto de distribuição na cloud não suporta conteúdo para atualizações do Microsoft 365 Apps.
Não pode pré-configurar conteúdo num ponto de distribuição da cloud. O gestor de distribuição do site primário que gere o ponto de distribuição da cloud transfere todo o conteúdo.
Não pode configurar um ponto de distribuição de nuvem como um ponto de distribuição de solicitação.
Custo
Importante
As seguintes informações de custos destinam-se apenas a fins de estimativa. O seu ambiente pode ter outras variáveis que afetam o custo geral da utilização de um ponto de distribuição na cloud.
O Configuration Manager inclui as seguintes opções para ajudar a controlar os custos e monitorizar o acesso aos dados:
Controlar e monitorizar a quantidade de conteúdo que armazena num serviço cloud. Para obter mais informações, veja Monitorizar pontos de distribuição da cloud.
Configure o Configuration Manager para alertá-lo quando os limiares para transferências de clientes cumprirem ou excederem os limites mensais. Para obter mais informações, veja Alertas de limiar de transferência de dados.
Para ajudar a reduzir o número de transferências de dados de pontos de distribuição na cloud por clientes, utilize uma das seguintes tecnologias de colocação em cache ponto a ponto:
Cache ponto a ponto do Configuration Manager
Windows BranchCache
Otimização da Entrega do Windows
Para obter mais informações, veja Conceitos fundamentais para a gestão de conteúdos.
Componentes
Um ponto de distribuição na cloud utiliza os seguintes componentes do Azure, que incorrem em custos para a conta de subscrição do Azure:
Dica
O gateway de gestão da cloud também pode servir conteúdo aos clientes. Esta funcionalidade reduz os custos ao consolidar as VMs do Azure. Para obter mais informações, veja Custo do gateway de gestão da cloud.
Máquina virtual
O ponto de distribuição na cloud utiliza os Serviços Cloud do Azure como plataforma como serviço (PaaS). Este serviço utiliza máquinas virtuais (VMs) que incorrem em custos de computação.
Cada serviço de ponto de distribuição na cloud utiliza duas VMs Standard A0.
Veja a calculadora de preços do Azure para ajudar a determinar os potenciais custos.
Observação
Os custos da máquina virtual variam consoante a região.
Transferência de dados de saída
Todos os fluxos de dados para o Azure são gratuitos (entrada ou carregamento). A distribuição de conteúdos do site para o ponto de distribuição da cloud está a ser carregada para o Azure.
Os custos baseiam-se nos dados que saem do Azure (saída ou transferência). Os fluxos de dados do ponto de distribuição da cloud a partir do Azure consistem no conteúdo de software que os clientes transferem.
Para obter mais informações, veja Monitorizar pontos de distribuição da cloud.
Veja os detalhes dos preços da largura de banda do Azure para ajudar a determinar os custos potenciais. Os preços da transferência de dados estão em camadas. Quanto mais utiliza, menos paga por gigabyte.
Repositório de conteúdo
Os clientes baseados na Internet obtêm conteúdos de atualização de software da Microsoft a partir do serviço cloud Microsoft Update gratuitamente. Não distribua pacotes de implementação de atualizações de software com atualizações de software da Microsoft para um ponto de distribuição na cloud. Caso contrário, irá incorrer em custos de armazenamento de dados para conteúdo que os clientes nunca utilizam.
Os pontos de distribuição na cloud com uma implementação do Azure Resource Manager utilizam o armazenamento localmente redundante (LRS) do Azure. Para obter mais informações, veja Armazenamento localmente redundante.
Outros custos
- Cada serviço cloud tem um endereço IP dinâmico. Cada ponto de distribuição de cloud distinto utiliza um novo endereço IP dinâmico. A adição de VMs adicionais por serviço cloud não aumenta estes endereços.
Portas e fluxo de dados
Existem dois fluxos de dados principais para o ponto de distribuição da cloud:
O servidor do site liga-se ao Azure para configurar o serviço de ponto de distribuição na cloud
Um cliente liga-se ao ponto de distribuição da cloud para transferir conteúdo
Servidor do site para o Azure
Não precisa de abrir portas de entrada para a sua rede no local. O servidor do site inicia toda a comunicação com o Azure e o ponto de distribuição da cloud para implementar, atualizar e gerir o serviço cloud. O servidor do site tem de criar ligações de saída para a cloud da Microsoft. Esta ação é equivalente à instalação da função do sistema de sites do ponto de distribuição num site específico.
Cliente para ponto de distribuição na cloud
Não precisa de abrir portas de entrada para a sua rede no local. Os clientes baseados na Internet comunicam diretamente com o serviço do Azure. Os clientes na sua rede interna que utilizam um ponto de distribuição na cloud precisam de se ligar à cloud da Microsoft.
Para obter mais informações sobre a prioridade de localização de conteúdos e quando os clientes baseados na intranet utilizam um ponto de distribuição na cloud, veja Prioridade da origem de conteúdo.
Quando um cliente utiliza um ponto de distribuição da cloud como uma localização de conteúdo:
O ponto de gestão dá ao cliente um token de acesso juntamente com a lista de origens de conteúdo. Este token é válido durante 24 horas e dá ao cliente acesso ao ponto de distribuição da cloud.
O ponto de gestão responde ao pedido de localização do cliente com o FQDN de Serviço do ponto de distribuição da cloud. Esta propriedade é igual ao nome comum do certificado de autenticação de servidor.
Se estiver a utilizar o seu nome de domínio, por exemplo, WallaceFalls.contoso.com, o cliente tenta primeiro resolver este FQDN. Precisa de um alias CNAME no DNS com acesso à Internet do seu domínio para que os clientes resolvam o nome do serviço do Azure, por exemplo: WallaceFalls.cloudapp.net.
Em seguida, o cliente resolve o nome do serviço do Azure, por exemplo, WallaceFalls.cloudapp.net, para um endereço IP válido. Esta resposta deve ser processada pelo DNS do Azure.
O cliente liga-se ao ponto de distribuição da cloud. A carga do Azure equilibra a ligação a uma das instâncias da VM. O cliente autentica-se utilizando o token de acesso.
O ponto de distribuição da cloud autentica o token de acesso do cliente e, em seguida, dá ao cliente a localização exata do conteúdo no armazenamento do Azure.
Se o cliente confiar no certificado de autenticação do servidor do ponto de distribuição da cloud, liga-se ao armazenamento do Azure para transferir o conteúdo.
Desempenho e escala
Tal como acontece com qualquer design de ponto de distribuição, considere os seguintes fatores:
- Número de ligações de cliente simultâneas
- O tamanho do conteúdo que os clientes transferem
- O período de tempo permitido para cumprir os seus requisitos empresariais
Consoante o design da topologia, se os clientes tiverem a opção de mais do que um ponto de distribuição na cloud para qualquer conteúdo, serão naturalmente aleatórios nesses serviços cloud. Se distribuir apenas um determinado conteúdo para um único ponto de distribuição na cloud e um grande número de clientes tentar transferir este conteúdo ao mesmo tempo, esta atividade coloca uma carga mais elevada nesse ponto de distribuição de nuvem individual. A adição de um ponto de distribuição da cloud adicional também inclui um serviço de armazenamento do Azure separado. Para obter mais informações sobre como o cliente comunica com os componentes do ponto de distribuição da cloud e transfere o conteúdo, veja Portas e fluxo de dados.
O ponto de distribuição da cloud utiliza duas VMs do Azure como front-end para o armazenamento do Azure. Esta implementação predefinida satisfaz a maioria das necessidades do cliente. Em algumas circunstâncias extremas, com um grande número de ligações de cliente simultâneas (por exemplo, 150 000 clientes), a capacidade de processamento das VMs do Azure não consegue acompanhar os pedidos do cliente. Não pode redimensionar as VMs do Azure utilizadas para o ponto de distribuição da cloud. Embora não possa configurar o número de instâncias de VM para o ponto de distribuição na cloud no Configuration Manager, se necessário, reconfigure o serviço cloud no portal do Azure. Adicione manualmente mais instâncias de VM ou configure o serviço para dimensionar automaticamente.
Importante
Quando atualiza o Configuration Manager, o site reimplementa o serviço cloud. Se reconfigurar manualmente o serviço cloud no portal do Azure, o número de instâncias será reposto para a predefinição de duas.
O serviço de armazenamento do Azure suporta 500 pedidos por segundo para um único ficheiro. O teste de desempenho de um único ponto de distribuição na nuvem suporta a distribuição de um único ficheiro de 100 MB para 50 000 clientes em 24 horas.
Certificados
Consoante a estrutura do ponto de distribuição na cloud, precisa de um ou mais certificados digitais.
Informações gerais
Os certificados para pontos de distribuição na cloud suportam as seguintes configurações:
Comprimento da chave de 4096 bits
Certificados da versão 3. Para obter mais informações, veja Descrição geral dos certificados CNG.
Quando configura o Windows com a seguinte política: Criptografia do sistema: Utilize algoritmos compatíveis com FIPS para encriptação, hash e assinatura
Suporte para TLS 1.2. Para obter mais informações, veja Referência técnica dos controlos criptográficos.
Certificado de autenticação do servidor
Este certificado é necessário para todas as implementações de pontos de distribuição na cloud.
Para obter mais informações, veja Certificado de autenticação do servidor CMG e as seguintes subsecções, conforme necessário:
- Certificado de raiz fidedigna CMG para clientes
- Certificado de autenticação de servidor emitido pelo fornecedor público
- Certificado de autenticação de servidor emitido a partir de PKI empresarial
O ponto de distribuição da cloud utiliza este tipo de certificado da mesma forma que o gateway de gestão da cloud. Os clientes também precisam de confiar neste certificado. Para reduzir a complexidade, a Microsoft recomenda a utilização de um certificado emitido por um fornecedor público.
A menos que utilize um certificado de caráter universal, não reutilize o mesmo certificado. Cada instância do ponto de distribuição da cloud e do gateway de gestão da cloud requer um certificado de autenticação de servidor exclusivo.
Para obter mais informações sobre como criar este certificado a partir de um PKI, veja Implementar o certificado de serviço para pontos de distribuição na cloud.
Perguntas frequentes (FAQ)
Um cliente precisa de um certificado para transferir conteúdo a partir de um ponto de distribuição na cloud?
Não é necessário um certificado de autenticação de cliente. O cliente tem de confiar no certificado de autenticação do servidor utilizado pelo ponto de distribuição da cloud. Se este certificado for emitido por um fornecedor de certificados público, a maioria dos dispositivos Windows já inclui certificados de raiz fidedigna para estes fornecedores. Se emitiu um certificado de autenticação de servidor a partir da PKI da sua organização, os clientes terão de confiar nos certificados emissores em toda a cadeia. Esta cadeia inclui a autoridade de certificação de raiz e quaisquer autoridades de certificação intermédias. Consoante o design de PKI, este certificado pode introduzir complexidade adicional na implementação do ponto de distribuição da cloud. Para evitar esta complexidade, a Microsoft recomenda a utilização de um fornecedor de certificados público em que os seus clientes já confiam.
Os meus clientes no local podem utilizar um ponto de distribuição na cloud?
Sim. Se quiser que os clientes na sua rede interna utilizem um ponto de distribuição na cloud, tem de estar no mesmo grupo de limites que os clientes. Os clientes priorizam os pontos de distribuição da cloud em último lugar na respetiva lista de origens de conteúdo, porque existe um custo associado à transferência de conteúdos para fora do Azure. Assim, um ponto de distribuição da cloud é normalmente utilizado como uma origem de contingência para clientes baseados na intranet. Se quiser uma estrutura em primeiro lugar na cloud, crie os seus grupos de limites em conformidade. Para obter mais informações, veja Configurar grupos de limites.
Preciso do Azure ExpressRoute?
O Azure ExpressRoute permite-lhe expandir a sua rede no local para a microsoft cloud. O ExpressRoute ou outras ligações de rede virtual não são necessárias para o ponto de distribuição da cloud do Configuration Manager.
Se a sua organização utilizar o ExpressRoute, isole a subscrição do Azure para o ponto de distribuição da cloud da subscrição que utiliza o ExpressRoute. Esta configuração garante que o ponto de distribuição da cloud não está ligado acidentalmente desta forma.
Preciso de manter as máquinas virtuais do Azure?
Não é necessária manutenção. A conceção do ponto de distribuição na cloud utiliza a plataforma como um serviço (PaaS) do Azure. Com a subscrição que fornecer, o Configuration Manager cria as VMs, o armazenamento e a rede necessários. O Azure protege e atualiza as máquinas virtuais. Estas VMs não fazem parte do seu ambiente no local, como é o caso da infraestrutura como um serviço (IaaS). O ponto de distribuição da cloud é um PaaS que expande o ambiente do Configuration Manager para a cloud. Para obter mais informações, veja Vantagens de segurança de um modelo de serviço cloud PaaS.
O ponto de distribuição da cloud utiliza a CDN do Azure?
A Rede de Entrega de Conteúdos (CDN) do Azure é uma solução global para fornecer rapidamente conteúdo de largura de banda elevada ao colocar em cache o conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para obter mais informações, veja O que é a CDN do Azure?.
Atualmente, o ponto de distribuição da cloud do Configuration Manager não suporta a CDN do Azure.