Fluxo de dados para CMG
Aplica-se a: Configuration Manager (branch atual)
Use este artigo para entender como os dados fluem entre componentes do CMG (gateway de gerenciamento de nuvem). Ele requer portas de rede específicas e pontos de extremidade da Internet para funcionar. Você não precisa abrir nenhuma porta de entrada para sua rede local. O ponto de conexão de serviço e as funções do sistema do site do ponto de conexão CMG iniciam toda a comunicação com o Azure e o CMG. Essas duas funções precisam criar conexões de saída com a nuvem da Microsoft. O ponto de conexão de serviço implanta e monitora o serviço no Azure, portanto, precisa estar online. O ponto de conexão CMG se conecta ao CMG para gerenciar a comunicação entre o CMG e as funções do sistema de sites local.
O diagrama a seguir é um fluxo de dados básico e conceitual para o CMG:
O ponto de conexão de serviço se conecta ao Azure pela porta HTTPS 443. Ele se autentica usando Microsoft Entra ID. O ponto de conexão de serviço implanta o CMG no Azure. O CMG cria o serviço HTTPS usando o certificado de autenticação do servidor.
O ponto de conexão CMG se conecta ao CMG no Azure. Ela mantém a conexão aberta e cria o canal para futura comunicação bidirecional.
Quando você implanta o CMG como um conjunto de dimensionamento de máquinas virtuais, esse fluxo é sobre HTTPS.
Se você implantar o CMG como um serviço de nuvem clássico, ele primeiro tentará TCP-TLS. Se essa conexão falhar, ela mudará para HTTPS.
Para obter mais informações, consulte Observação 2: portas HTTPS do ponto de conexão CMG para uma VM.
O cliente se conecta ao CMG pela porta HTTPS 443. Ele autentica usando Microsoft Entra ID, o certificado de autenticação do cliente ou um token emitido pelo site.
Observação
Se você habilitar o CMG para servir conteúdo, o cliente se conectará diretamente ao armazenamento de blobs do Azure pela porta HTTPS 443. Para obter mais informações, consulte Fluxo de dados de conteúdo.
O CMG encaminha a comunicação do cliente sobre a conexão existente com o ponto de conexão cmg local. Você não precisa abrir nenhuma porta de firewall de entrada.
O ponto de conexão CMG encaminha a comunicação do cliente para o ponto de gerenciamento local e o ponto de atualização de software.
Para obter mais informações ao integrar com Microsoft Entra ID, consulte Configurar serviços do Azure: fluxo de dados de gerenciamento de nuvem.
Quando um cliente usa um CMG como local de conteúdo:
O ponto de gerenciamento fornece ao cliente um token de acesso junto com a lista de fontes de conteúdo. Esse token é válido por 24 horas e dá ao cliente acesso à fonte de conteúdo baseada em nuvem.
O ponto de gerenciamento responde à solicitação de localização do cliente com o nome do serviço do CMG. Essa propriedade é a mesma que o nome comum do certificado de autenticação do servidor.
Se você estiver usando seu nome de domínio, por exemplo,
WallaceFalls.contoso.com, o cliente primeiro tentará resolve esse FQDN. Os clientes usam o alias CNAME no DNS voltado para a Internet do domínio para resolve o nome da implantação do Azure.O próximo cliente resolve o nome da implantação para um endereço IP válido. Essa resposta é tratada pelo DNS do Azure.
O cliente se conecta ao CMG. A carga do Azure equilibra a conexão com uma das instâncias da VM. O cliente se autentica usando o token de acesso.
O CMG autentica o token de acesso do cliente e, em seguida, fornece ao cliente o local exato de conteúdo no armazenamento do Azure.
Se o cliente confiar no certificado de autenticação de servidor do CMG, ele se conectará ao armazenamento do Azure para baixar o conteúdo.
Esta tabela lista as portas e protocolos de rede necessários. O Cliente é o dispositivo que inicia a conexão, exigindo uma porta de saída. O Server é o dispositivo que aceita a conexão, exigindo uma porta de entrada.
| Cliente | Protocolo | Porta | Servidor | Descrição |
|---|---|---|---|---|
| Ponto de conexão de serviço | HTTPS | 443 | Azure | Implantação do CMG |
| Ponto de conexão CMG (conjunto de dimensionamento de máquinas virtuais) | HTTPS | 443 | Serviço CMG | Protocolo para criar canal CMG para apenas uma instância de VM Observação 2 |
| Ponto de conexão CMG (conjunto de dimensionamento de máquinas virtuais) | HTTPS | 10124-10139 | Serviço CMG | Protocolo para criar canal CMG para duas ou mais instâncias de VM Observação 3 |
| Ponto de conexão CMG (serviço de nuvem clássico) | TCP-TLS | 10140-10155 | Serviço CMG | Protocolo preferencial para criar o canal CMG Observação 1 |
| Ponto de conexão CMG (serviço de nuvem clássico) | HTTPS | 443 | Serviço CMG | Protocolo de recuo para criar canal CMG para apenas uma instância de VM Observação 2 |
| Ponto de conexão CMG (serviço de nuvem clássico) | HTTPS | 10124-10139 | Serviço CMG | Protocolo de recuo para criar canal CMG para duas ou mais instâncias de VM Observação 3 |
| Cliente | HTTPS | 443 | CMG | Comunicação geral do cliente |
| Cliente | HTTPS | 443 | Armazenamento de blobs | Baixar conteúdo baseado em nuvem |
| Ponto de conexão CMG | HTTPS ou HTTP | 443 ou 80 | Ponto de gerenciamento | Tráfego local, a porta depende da configuração do ponto de gerenciamento |
| Ponto de conexão CMG | HTTPS ou HTTP | 443 ou 80 / 8530 ou 8531 | Ponto de atualização de software | Tráfego local, a porta depende da configuração do ponto de atualização de software |
Essas portas só se aplicam quando você implanta o CMG como um serviço de nuvem (clássico), que era o único método disponível na versão 2006 e anterior.
O ponto de conexão CMG primeiro tenta estabelecer uma conexão TCP-TLS de longa duração com cada instância de VM CMG. Ele se conecta à primeira instância de VM na porta 10140. A segunda instância de VM usa a porta 10141, até a 16ª na porta 10155. Uma conexão TCP-TLS tem o melhor desempenho, mas não dá suporte ao proxy da Internet. Se o ponto de conexão CMG não puder se conectar por meio do TCP-TLS, ele retornará ao HTTPSNote 2.
Se você implantar o CMG em um conjunto de dimensionamento de máquinas virtuais, o ponto de conexão CMG só se comunicará com o serviço no Azure por HTTPS. Não requer portas TCP-TLS para criar o canal de comunicação CMG.
Para um CMG implantado como um serviço de nuvem clássico, ele só usa essa porta se a conexão TCP-TLS falhar. Se o ponto de conexão CMG não puder se conectar ao CMG por meio do TCP-TLSNote 1, ele se conectará ao balanceador de carga de rede do Azure pelo HTTPS 443. Esse comportamento é apenas para uma instância de VM.
Se houver duas ou mais instâncias de VM, o ponto de conexão CMG usará HTTPS 10124 para a primeira instância de VM, não HTTPS 443. Ele se conecta à segunda instância de VM no HTTPS 10125, até o dia 16 na porta HTTPS 10139.
Se sua organização restringir a comunicação de rede com a Internet usando um firewall ou dispositivo proxy, você precisará permitir que o ponto de conexão CMG e o ponto de conexão de serviço acessem pontos de extremidade da Internet.
Para obter mais informações, consulte Requisitos de acesso à Internet.
Esta seção aborda os seguintes recursos:
CMG (gateway de gerenciamento de nuvem)
integração Microsoft Entra
Microsoft Entra descoberta baseada em ID
CdP (ponto de distribuição de nuvem)
Observação
O CDP (ponto de distribuição baseado em nuvem) é preterido. A partir da versão 2107, você não pode criar novas instâncias de CDP. Para fornecer conteúdo para dispositivos baseados na Internet, habilite o CMG para distribuir conteúdo.
As seções a seguir listam os pontos de extremidade por função. Alguns pontos de extremidade referem-se a um serviço por <prefix>, que é o nome do prefixo do CMG. Por exemplo, se o CMG for GraniteFalls.WestUS.CloudApp.Azure.Com, o ponto de extremidade de armazenamento real será GraniteFalls.blob.core.windows.net.
Dica
Para esclarecer alguma terminologia:
Nome do serviço CMG: o CN (nome comum) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de conexão CMG se comunicam com esse nome de serviço. Por exemplo:
GraniteFalls.contoso.comouGraniteFalls.WestUS.CloudApp.Azure.Com.Nome da implantação do CMG: a primeira parte do nome do serviço mais o local do Azure para a implantação do serviço de nuvem. O componente do gerenciador de serviços de nuvem do ponto de conexão de serviço usa esse nome quando implanta o CMG no Azure. O nome da implantação está sempre em um domínio do Azure. O local do Azure depende do método de implantação, por exemplo:
- Conjunto de dimensionamento de máquinas virtuais:
GraniteFalls.WestUS.CloudApp.Azure.Com - Implantação clássica:
GraniteFalls.CloudApp.Net
- Conjunto de dimensionamento de máquinas virtuais:
Este artigo usa exemplos com um conjunto de dimensionamento de máquinas virtuais como o método de implantação recomendado na versão 2107 e posterior. Se você usar uma implantação clássica, observe a diferença ao ler este artigo e configurar o acesso à Internet.
Para Configuration Manager implantar o serviço CMG no Azure, o ponto de conexão de serviço precisa de acesso a:
Pontos de extremidade específicos do Azure, que são diferentes por ambiente, dependendo da configuração. Configuration Manager armazena esses pontos de extremidade no banco de dados do site. Consulte a tabela AzureEnvironments no SQL Server para a lista de pontos de extremidade do Azure.
Serviços do Azure:
-
management.azure.com(Nuvem pública do Azure) -
management.usgovcloudapi.net(Nuvem do Governo dos EUA do Azure)
-
Para Microsoft Entra descoberta de usuário: ponto de extremidade do Microsoft Graph
https://graph.microsoft.com/
O ponto de conexão CMG precisa de acesso aos seguintes pontos de extremidade:
| Tipo | Nuvem pública do Azure | Nuvem do Governo dos EUA do Azure |
|---|---|---|
| Nome do serviço | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Ponto de extremidade de armazenamento 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Ponto de extremidade de armazenamento 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Cofre de chaves | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
O sistema de site de ponto de conexão CMG é compatível com o uso de um proxy Web. Para obter mais informações sobre como configurar essa função para um proxy, consulte Suporte ao servidor proxy.
O ponto de conexão CMG só precisa se conectar aos pontos de extremidade do serviço CMG. Ele não precisa de acesso a outros pontos de extremidade do Azure.
Qualquer cliente Configuration Manager que precise se comunicar com um CMG precisa de acesso aos seguintes pontos de extremidade:
| Tipo | Nuvem pública do Azure | Nuvem do Governo dos EUA do Azure |
|---|---|---|
| Nome da implantação | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Ponto de extremidade de armazenamento | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| ponto de extremidade Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
Qualquer dispositivo com o console Configuration Manager precisa de acesso aos seguintes pontos de extremidade:
| Tipo | Nuvem pública do Azure | Nuvem do Governo dos EUA do Azure |
|---|---|---|
| Microsoft Entra pontos de extremidade | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Qualquer dispositivo de rede que gerencie a comunicação entre o cliente, o CMG e os sistemas de site locais deve permitir os seguintes cabeçalhos HTTP e verbos. Se esses itens forem bloqueados, isso afetará a comunicação do cliente por meio do CMG.
- Gama:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
- HEAD
- CCM_POST
- BITS_POST
- OBTER
- PROPFIND