Använda en molndistributionsplats i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Varning
Implementeringen för att dela innehåll från Azure har ändrats. Använd en innehållsaktiverad molnhanteringsgateway genom att aktivera alternativet Tillåt CMG att fungera som en molndistributionsplats och hantera innehåll från Azure Storage. Mer information finns i Ändra en CMG.
Från och med version 2107 kan du inte skapa en traditionell molndistributionsplats (CDP).
En molndistributionsplats är en Configuration Manager-distributionsplats som hanteras som PaaS (Platform-as-a-Service) i Microsoft Azure. Den här tjänsten stöder följande scenarier:
Tillhandahålla programvaruinnehåll till Internetbaserade klienter utan ytterligare lokal infrastruktur
Molnaktivera ditt innehållsdistributionssystem
Minska behovet av traditionella distributionsplatser
Den här artikeln hjälper dig att lära dig mer om molndistributionsplatsen, planera för dess användning och utforma implementeringen. Den innehåller följande avsnitt:
- Funktioner och fördelar
- Topologidesign
- Krav
- Specifikationer
- Kostnad
- Prestanda och skalning
- Portar och dataflöde
- Certifikaten
- Vanliga frågor (FAQ)
Funktioner och fördelar
Funktioner
Molndistributionsplatsen stöder flera funktioner som även erbjuds av lokala distributionsplatser:
Hantera molndistributionsplatser individuellt eller som medlemmar i distributionsplatsgrupper
Använda en molndistributionsplats som reservinnehållsplats
Stöder både intranät- och Internetbaserade klienter
Fördelar
Molndistributionsplatsen ger följande ytterligare fördelar:
Webbplatsen krypterar innehållet innan det skickas till molndistributionsplatsen i Azure.
Om du vill uppfylla föränderliga krav på innehållsbegäranden från klienter skalar du molntjänsten manuellt i Azure. Den här åtgärden kräver inte att du installerar och etablerar ytterligare distributionsplatser i Configuration Manager.
Stöder nedladdning av innehåll från klienter som konfigurerats för andra innehållstekniker, till exempel Windows BranchCache.
Använd molndistributionsplatser som källplatser för mottagardistributionsplatser.
Topologidesign
Distribution och drift av molndistributionsplatsen innehåller följande komponenter:
En molntjänst i Azure. Webbplatsen distribuerar innehåll till den här tjänsten, som lagrar det i Azure Cloud Storage. Hanteringsplatsen tillhandahåller den här innehållsplatsen till klienterna i listan över tillgängliga källor efter behov.
En hanteringsplats för platssystemrollen servar klientbegäranden per normal.
Lokala klienter använder vanligtvis en lokal hanteringsplats.
Internetbaserade klienter använder antingen en molnhanteringsgateway eller en Internetbaserad hanteringsplats.
Molndistributionsplatsen använder en certifikatbaserad HTTPS-webbtjänst för att skydda nätverkskommunikationen med klienter. Klienter måste lita på det här certifikatet.
Resurshanterare för Azure
Skapa en molndistributionsplats med hjälp av en Azure Resource Manager-distribution. Azure Resource Manager är en modern plattform för att hantera alla lösningsresurser som en enda entitet som kallas för en resursgrupp. När du distribuerar en molndistributionsplats med Azure Resource Manager använder webbplatsen Microsoft Entra-ID för att autentisera och skapa nödvändiga molnresurser.
Obs!
Den här funktionen aktiverar inte stöd för Azure Cloud Service Providers (CSP). Distributionen av molndistributionsplatsen med Azure Resource Manager fortsätter att använda den klassiska molntjänsten, som CSP inte stöder. Mer information finns i tillgängliga Azure-tjänster i Azure CSP.
Azure Resource Manager är den enda distributionsmekanismen för nya instanser av molndistributionsplatsen. Befintliga distributioner fortsätter att fungera.
Hierarkidesign
Var du skapar molndistributionsplatsen beror på vilka klienter som behöver komma åt innehållet.
Azure Resource Manager-distribution: Skapa den här typen på en primär plats eller på den centrala administrationsplatsen.
Molnhanteringsgatewayen (CMG) kan också hantera innehåll till klienter. Den här funktionen minskar de certifikat och kostnader som krävs för virtuella Azure-datorer. Mer information finns i Översikt över molnhanteringsgateway.
Tänk på följande för att avgöra om molndistributionsplatser ska inkluderas i gränsgrupper:
Internetbaserade klienter förlitar sig inte på gränsgrupper. De använder bara internetuppkopplade distributionsplatser eller molndistributionsplatser. Om du bara använder molndistributionsplatser för att betjäna dessa typer av klienter behöver du inte inkludera dem i gränsgrupper.
Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till nedladdning av innehåll från Azure. En molndistributionsplats används därför vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du dina gränsgrupper så att de uppfyller affärsbehovet. Mer information finns i Konfigurera gränsgrupper.
Även om du installerar molndistributionsplatser i specifika regioner i Azure är klienterna inte medvetna om Azure-regionerna. De väljer slumpmässigt en molndistributionsplats. Om du installerar molndistributionsplatser i flera regioner och en klient tar emot fler än en i innehållsplatslistan kanske klienten inte använder en molndistributionsplats från samma Azure-region.
Säkerhetskopiering och återställning
När du använder en molndistributionsplats i hierarkin använder du följande information för att planera säkerhetskopiering och återställning:
När du använder underhållsuppgiften Säkerhetskopieringsplatsserver innehåller Configuration Manager automatiskt konfigurationerna för molndistributionsplatsen.
Säkerhetskopiera och spara en kopia av certifikatet för serverautentisering. När du återställer den primära Configuration Manager-platsen till en annan server importerar du certifikatet igen.
Krav
Du behöver en Azure-prenumeration som värd för tjänsten.
- En Azure-administratör måste delta i skapandet av vissa komponenter, beroende på din design. Den här personen kräver inte behörigheter i Configuration Manager.
Platsservern kräver Internetåtkomst för att distribuera och hantera molntjänsten.
När du använder Azure Resource Manager-distributionsmetoden integrerar du Configuration Manager med Microsoft Entra ID för molnhantering. Användaridentifiering av Microsoft Entra-ID krävs inte.
Ett certifikat för serverautentisering. Mer information finns i avsnittet Certifikat nedan.
- Minska komplexiteten genom att använda en offentlig certifikatprovider för serverautentiseringscertifikatet. När du gör det behöver du även ett DNS CNAME-alias för klienter för att matcha namnet på molntjänsten.
Ange klientinställningen Tillåt åtkomst till molndistributionsplatser till Ja i gruppen Molntjänster . Som standard är det här värdet inställt på Nej.
Klientenheter kräver Internetanslutning och måste använda IPv4.
Specifikationer
Molndistributionsplatsen stöder alla Windows-versioner som anges i Operativsystem som stöds för klienter och enheter.
En administratör distribuerar följande typer av programvaruinnehåll som stöds:
Program
Paket
Uppgraderingspaket för operativsystem
Programuppdateringar från tredje part
Viktigt
- Configuration Manager-konsolen blockerar inte distributionen av Microsoft-programuppdateringar till en molndistributionsplats, men du betalar Azure-kostnader för att lagra innehåll som klienter inte använder. Internetbaserade klienter hämtar alltid Microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten. Distribuera inte Microsofts programuppdateringar till en molndistributionsplats.
- Om programuppdateringen distribueras till molndistributionsplatsen använder den fortfarande den lokala distributionsplatsen för nedladdning av innehåll när klienterna finns på intranätet.
- När du använder en CMG för innehållslagring laddas inte innehållet för uppdateringar från tredje part ned till klienter om inställningen Ladda ned deltainnehåll när tillgängligklient är aktiverad.
Konfigurera en mottagardistributionsplats för att använda en molndistributionsplats som källa. Mer information finns i Om källdistributionsplatser.
Distributionsinställningar
Ladda ned innehåll lokalt när det behövs av aktivitetssekvensen som körs. Aktivitetssekvensmotorn kan ladda ned paket på begäran från en innehållsaktiverad CMG eller en molndistributionsplats. Det här alternativet ger ytterligare flexibilitet med uppgraderingsdistributioner av Windows på plats till Internetbaserade enheter.
Ladda ned allt innehåll lokalt innan du startar aktivitetssekvensen. Med det här alternativet laddar Configuration Manager-klienten ned innehållet från molnkällan innan aktivitetssekvensen startas.
En molndistributionsplats stöder inte paketdistributioner med alternativet Att köra program från distributionsplats. Använd distributionsalternativet för att ladda ned innehåll från distributionsplatsen och köra lokalt.
Begränsningar
Du kan inte använda en molndistributionsplats för PXE- eller multicast-aktiverade distributioner.
En molndistributionsplats stöder inte App-V-strömningsprogram.
En molndistributionsplats stöder inte innehåll för Microsoft 365 Apps-uppdateringar.
Du kan inte förinstallera innehåll på en molndistributionsplats. Distributionshanteraren för den primära platsen som hanterar molndistributionsplatsen överför allt innehåll.
Du kan inte konfigurera en molndistributionsplats som en mottagardistributionsplats.
Kostnad
Viktigt
Följande kostnadsinformation är endast avsedd för beräkning. Din miljö kan ha andra variabler som påverkar den totala kostnaden för att använda en molndistributionsplats.
Configuration Manager innehåller följande alternativ för att kontrollera kostnader och övervaka dataåtkomst:
Kontrollera och övervaka mängden innehåll som du lagrar i en molntjänst. Mer information finns i Övervaka molndistributionsplatser.
Konfigurera Configuration Manager för att varna dig när tröskelvärden för klientnedladdningar uppfyller eller överskrider månadsgränserna. Mer information finns i Aviseringar om tröskelvärde för dataöverföring.
Använd någon av följande tekniker för peer-cachelagring för att minska antalet dataöverföringar från molndistributionsplatser av klienter:
Peer-cache för Configuration Manager
Windows BranchCache
Leveransoptimering för Windows
Mer information finns i Grundläggande begrepp för innehållshantering.
Komponenter
En molndistributionsplats använder följande Azure-komponenter, vilket medför avgifter för Azure-prenumerationskontot:
Tips
Molnhanteringsgatewayen kan också hantera innehåll till klienter. Den här funktionen minskar kostnaden genom att konsolidera de virtuella Azure-datorerna. Mer information finns i Kostnad för molnhanteringsgateway.
Virtuell dator
Molndistributionsplatsen använder Azure Cloud Services som plattform som en tjänst (PaaS). Den här tjänsten använder virtuella datorer (VM) som medför beräkningskostnader.
Varje molndistributionsplatstjänst använder två virtuella Standard A0-datorer.
Se priskalkylatorn för Azure för att fastställa potentiella kostnader.
Obs!
Kostnaderna för virtuella datorer varierar beroende på region.
Utgående dataöverföring
Alla dataflöden till Azure är kostnadsfria (inkommande eller uppladdning). Distribution av innehåll från webbplatsen till molndistributionsplatsen laddas upp till Azure.
Avgifter baseras på data som flödar ut från Azure (utgående eller nedladdning). Molndistributionsplatsdataflöden från Azure består av programvaruinnehållet som klienterna laddar ned.
Mer information finns i Övervaka molndistributionsplatser.
Se prisinformationen för Azure-bandbredd för att fastställa potentiella kostnader. Priser för dataöverföring är nivåindelade. Ju mer du använder, desto mindre betalar du per gigabyte.
Innehållslagring
Internetbaserade klienter får Microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten utan kostnad. Distribuera inte programuppdateringsdistributionspaket med Microsofts programuppdateringar till en molndistributionsplats. Annars medför du kostnader för datalagring för innehåll som klienter aldrig använder.
Molndistributionsplatser med en Azure Resource Manager-distribution använder Lokalt redundant lagring i Azure (LRS). Mer information finns i Lokalt redundant lagring.
Övriga kostnader
- Varje molntjänst har en dynamisk IP-adress. Varje distinkt molndistributionsplats använder en ny dynamisk IP-adress. Att lägga till ytterligare virtuella datorer per molntjänst ökar inte dessa adresser.
Portar och dataflöde
Det finns två primära dataflöden för molndistributionsplatsen:
Platsservern ansluter till Azure för att konfigurera molndistributionsplatstjänsten
En klient ansluter till molndistributionsplatsen för att ladda ned innehåll
Platsserver till Azure
Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Platsservern initierar all kommunikation med Azure och molndistributionsplatsen för att distribuera, uppdatera och hantera molntjänsten. Platsservern måste skapa utgående anslutningar till Microsoft-molnet. Den här åtgärden motsvarar installation av distributionsplatssystemrollen på en viss plats.
Distributionsplats från klient till moln
Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Internetbaserade klienter kommunicerar direkt med Azure-tjänsten. Klienter i ditt interna nätverk som använder en molndistributionsplats måste ansluta till Microsoft-molnet.
Mer information om prioritet för innehållsplats och när intranätbaserade klienter använder en molndistributionsplats finns i Prioritet för innehållskälla.
När en klient använder en molndistributionsplats som en innehållsplats:
Hanteringsplatsen ger klienten en åtkomsttoken tillsammans med listan över innehållskällor. Denna token är giltig i 24 timmar och ger klienten åtkomst till molndistributionsplatsen.
Hanteringsplatsen svarar på klientens platsbegäran med tjänst-FQDN för molndistributionsplatsen. Den här egenskapen är samma som namnet på certifikatet för serverautentisering.
Om du använder ditt domännamn, till exempel WallaceFalls.contoso.com, försöker klienten först lösa det här fullständiga domännamnet. Du behöver ett CNAME-alias i domänens Internetuppkopplade DNS för att klienter ska kunna matcha Azure-tjänstnamnet, till exempel: WallaceFalls.cloudapp.net.
Klienten löser sedan Azure-tjänstnamnet, till exempel WallaceFalls.cloudapp.net, till en giltig IP-adress. Det här svaret ska hanteras av Azures DNS.
Klienten ansluter till molndistributionsplatsen. Azure lastbalanserar anslutningen till en av de virtuella datorinstanserna. Klienten autentiserar sig själv med hjälp av åtkomsttoken.
Molndistributionsplatsen autentiserar klientens åtkomsttoken och ger sedan klienten den exakta innehållsplatsen i Azure Storage.
Om klienten litar på molndistributionsplatsens certifikat för serverautentisering ansluter den till Azure Storage för att ladda ned innehållet.
Prestanda och skalning
Som med all distributionsplatsdesign bör du tänka på följande faktorer:
- Antal samtidiga klientanslutningar
- Storleken på innehållet som klienter laddar ned
- Hur lång tid det tar att uppfylla dina affärskrav
Beroende på din topologidesign, om klienter har möjlighet att ha fler än en molndistributionsplats för ett visst innehåll, slumpmässigar de naturligt mellan dessa molntjänster. Om du bara distribuerar en viss del av innehållet till en enda molndistributionsplats, och ett stort antal klienter försöker ladda ned innehållet samtidigt, lägger den här aktiviteten högre belastning på distributionsplatsen för det enskilda molnet. Om du lägger till ytterligare en molndistributionsplats ingår även en separat Azure Storage-tjänst. Mer information om hur klienten kommunicerar med molndistributionsplatskomponenterna och laddar ned innehåll finns i Portar och dataflöde.
Molndistributionsplatsen använder två virtuella Azure-datorer som klientdel till Azure Storage. Den här standarddistributionen uppfyller de flesta kunders behov. Under vissa extrema omständigheter, med ett stort antal samtidiga klientanslutningar (till exempel 150 000 klienter), kan bearbetningskapaciteten för de virtuella Azure-datorerna inte hänga med klientbegäranden. Du kan inte ändra storlek på de virtuella Azure-datorer som används för molndistributionsplatsen. Du kan inte konfigurera antalet vm-instanser för molndistributionsplatsen i Configuration Manager, men om det behövs konfigurerar du om molntjänsten i Azure-portalen. Lägg antingen till fler VM-instanser manuellt eller konfigurera tjänsten så att den skalas automatiskt.
Viktigt
När du uppdaterar Configuration Manager distribuerar platsen om molntjänsten. Om du konfigurerar om molntjänsten manuellt i Azure-portalen återställs antalet instanser till standardvärdet två.
Azure Storage-tjänsten stöder 500 begäranden per sekund för en enda fil. Prestandatestning av en enda molndistributionsplats som stöds för distribution av en enda fil på 100 MB till 50 000 klienter på 24 timmar.
Certifikaten
Beroende på din molndistributionsplatsdesign behöver du ett eller flera digitala certifikat.
Allmän information
Certifikat för molndistributionsplatser stöder följande konfigurationer:
4096-bitars nyckellängd
Version 3-certifikat. Mer information finns i översikten över CNG-certifikat.
När du konfigurerar Windows med följande princip: Systemkryptering: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering
Stöd för TLS 1.2. Mer information finns i Teknisk referens för kryptografiska kontroller.
Certifikat för serverautentisering
Det här certifikatet krävs för alla distributioner av molndistributionsplatser.
Mer information finns i CERTIFIKAT för CMG-serverautentisering och följande underavsnitt efter behov:
- CMG-betrott rotcertifikat till klienter
- Certifikat för serverautentisering utfärdat av offentlig provider
- Certifikat för serverautentisering utfärdat från företags-PKI
Molndistributionsplatsen använder den här typen av certifikat på samma sätt som molnhanteringsgatewayen. Klienter måste också lita på det här certifikatet. För att minska komplexiteten rekommenderar Microsoft att du använder ett certifikat som utfärdats av en offentlig leverantör.
Om du inte använder ett jokerteckencertifikat ska du inte återanvända samma certifikat. Varje instans av molndistributionsplatsen och molnhanteringsgatewayen kräver ett unikt certifikat för serverautentisering.
Mer information om hur du skapar det här certifikatet från en PKI finns i Distribuera tjänstcertifikatet för molndistributionsplatser.
Vanliga frågor (FAQ)
Behöver en klient ett certifikat för att ladda ned innehåll från en molndistributionsplats?
Ett certifikat för klientautentisering krävs inte. Klienten måste lita på det serverautentiseringscertifikat som används av molndistributionsplatsen. Om det här certifikatet utfärdas av en offentlig certifikatleverantör innehåller de flesta Windows-enheter redan betrodda rotcertifikat för dessa leverantörer. Om du har utfärdat ett certifikat för serverautentisering från din organisations PKI måste dina klienter lita på de utfärdande certifikaten i hela kedjan. Den här kedjan innehåller rotcertifikatutfärdare och eventuella mellanliggande certifikatutfärdare. Beroende på din PKI-design kan det här certifikatet medföra ytterligare komplexitet för distributionen av molndistributionsplatsen. För att undvika den här komplexiteten rekommenderar Microsoft att du använder en offentlig certifikatprovider som dina klienter redan litar på.
Kan mina lokala klienter använda en molndistributionsplats?
Ja. Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till nedladdning av innehåll från Azure. Därför används en molndistributionsplats vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du dina gränsgrupper i enlighet med detta. Mer information finns i Konfigurera gränsgrupper.
Behöver jag Azure ExpressRoute?
Med Azure ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet. ExpressRoute eller andra sådana virtuella nätverksanslutningar krävs inte för Configuration Manager-molndistributionsplatsen.
Om din organisation använder ExpressRoute isolerar du Azure-prenumerationen för molndistributionsplatsen från prenumerationen som använder ExpressRoute. Den här konfigurationen säkerställer att molndistributionsplatsen inte är ansluten av misstag på det här sättet.
Behöver jag underhålla de virtuella Azure-datorerna?
Inget underhåll krävs. Utformningen av molndistributionsplatsen använder Azure Platform as a Service (PaaS). Med den prenumeration du anger skapar Configuration Manager nödvändiga virtuella datorer, lagring och nätverk. Azure skyddar och uppdaterar de virtuella datorerna. Dessa virtuella datorer är inte en del av din lokala miljö, vilket är fallet med infrastruktur som en tjänst (IaaS). Molndistributionsplatsen är en PaaS som utökar din Configuration Manager-miljö till molnet. Mer information finns i Säkerhetsfördelar med en PaaS-molntjänstmodell.
Använder molndistributionsplatsen Azure CDN?
Azure Content Delivery Network (CDN) är en global lösning för snabb leverans av innehåll med hög bandbredd genom att cachelagra innehållet på strategiskt placerade fysiska noder över hela världen. Mer information finns i Vad är Azure CDN?.
Configuration Manager-molndistributionsplatsen stöder för närvarande inte Azure CDN.