Använda en molndistributionsplats i Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

En molndistributionsplats är en Configuration Manager-distributionsplats som finns som PaaS (Platform-as-a-Service) i Microsoft Azure. Den här tjänsten stöder följande scenarier:

• Tillhandahålla programvaruinnehåll till Internetbaserade klienter utan ytterligare lokal infrastruktur

• Molnaktivera ditt innehållsdistributionssystem

• Minska behovet av traditionella distributionsplatser

Den här artikeln hjälper dig att lära dig mer om molndistributionsplatsen, planera för dess användning och utforma implementeringen. Den innehåller följande avsnitt:

• Funktioner och fördelar
• Topologidesign
• Kravspecifikationer
• Specifikationer
• Kostnad
• Prestanda och skalning
• Portar och dataflöde
• certifikat
• Vanliga frågor och svar (FAQ)

Funktioner och erbjudanden

Funktionen

Molndistributionsplatsen stöder flera funktioner som också erbjuds av lokala distributionsplatser:

• Hantera molndistributionsplatser individuellt eller som medlemmar i distributionsplatsgrupper

• Använda en molndistributionsplats som reservinnehållsplats

• Stöder både intranät- och Internetbaserade klienter

Fördelar

Molndistributionsplatsen ger följande ytterligare fördelar:

• Webbplatsen krypterar innehållet innan det skickas till molndistributionsplatsen i Azure.

• Om du vill uppfylla ändrade krav på innehållsbegäranden från klienter skalar du molntjänsten manuellt i Azure. Den här åtgärden kräver inte att du installerar och etablerar ytterligare distributionsplatser i Configuration Manager.

• Stöder nedladdning av innehåll från klienter som konfigurerats för andra innehållstekniker, till exempel Windows BranchCache.

• Använd molndistributionsplatser som källplatser för mottagardistributionsplatser.

Topologidesign

Distribution och drift av molndistributionsplatsen innehåller följande komponenter:

• En molntjänst i Azure. Webbplatsen distribuerar innehåll till den här tjänsten, som lagrar det i Azure Cloud Storage. Hanteringsplatsen tillhandahåller till klienter den här innehållsplatsen i listan över tillgängliga källor efter behov.

• En hanteringspunkt för platsens systemrollstjänster behandlar klientbegäranden som vanligt.

  • Lokala klienter använder vanligtvis en lokal hanteringsplats.

  • Internetbaserade klienter använder antingen en molnhanteringsgateway eller en Internetbaserad hanteringsplats.

• Molndistributionsplatsen använder en certifikatbaserad HTTPS-webbtjänst för att skydda nätverkskommunikationen med klienter. Klienter måste lita på det här certifikatet.

Azure Resource Manager

Skapa en molndistributionsplats med hjälp av en Azure Resource Manager-distribution. Azure Resource Manager är en modern plattform för att hantera alla lösningsresurser som en enda entitet som kallas resursgrupp. När du distribuerar en molndistributionsplats med Azure Resource Manager använder webbplatsen Microsoft Entra ID för att autentisera och skapa nödvändiga molnresurser.

Azure Resource Manager är den enda distributionsmekanismen för nya instanser av molndistributionsplatsen. Befintliga distributioner fortsätter att fungera.

Hierarkidesign

Var du skapar molndistributionsplatsen beror på vilka klienter som behöver komma åt innehållet.

• Azure Resource Manager-distribution: Skapa den här typen på en primär plats eller på den centrala administrationsplatsen.

• Molnhanteringsgatewayen (CMG) kan också hantera innehåll till klienter. Den här funktionen minskar de certifikat och kostnader som krävs för virtuella Azure-datorer. Mer information finns i Översikt över molnhanteringsgateway.

Om du vill ta med molndistributionsplatser i gränsgrupper bör du tänka på följande:

• Internetbaserade klienter förlitar sig inte på gränsgrupper. De använder endast internetuppkopplade distributionsplatser eller molndistributionsplatser. Om du bara använder molndistributionsplatser för att betjäna dessa typer av klienter behöver du inte inkludera dem i gränsgrupper.

• Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till att ladda ned innehåll från Azure. En molndistributionsplats används därför vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du dina gränsgrupper så att de uppfyller affärsbehovet. Mer information finns i Konfigurera gränsgrupper.

Även om du installerar molndistributionsplatser i specifika regioner i Azure är klienterna inte medvetna om Azure-regionerna. De väljer slumpmässigt en molndistributionsplats. Om du installerar molndistributionsplatser i flera regioner och en klient tar emot mer än en i innehållsplatslistan kanske klienten inte använder en molndistributionsplats från samma Azure-region.

Säkerhetskopiering och återställning

När du använder en molndistributionsplats i hierarkin använder du följande information för att planera säkerhetskopiering och återställning:

• När du använder underhållsuppgiften Säkerhetskopieringsplatsserver innehåller Configuration Manager automatiskt konfigurationerna för molndistributionsplatsen.

• Säkerhetskopiera och spara en kopia av certifikatet för serverautentisering. När du återställer den primära Configuration Manager-platsen till en annan server importerar du certifikatet igen.

Krav

• Du behöver en Azure-prenumeration som värd för tjänsten.

  • En Azure-administratör måste delta i det första skapandet av vissa komponenter, beroende på din design. Den här personen kräver inte behörigheter i Configuration Manager.

• Platsservern kräver Internetåtkomst för att distribuera och hantera molntjänsten.

• När du använder Azure Resource Manager-distributionsmetoden integrerar du Configuration Manager med Microsoft Entra ID för Cloud Management. Microsoft Entra ID användarupptäckt är inte nödvändigt.

• Ett certifikat för serverautentisering. Mer information finns i avsnittet Certifikat nedan.

  • För att minska komplexiteten använder du en offentlig certifikatprovider för serverautentiseringscertifikatet. När du gör det behöver du även ett DNS CNAME-alias för klienter för att matcha namnet på molntjänsten.

• Ange klientinställningen Tillåt åtkomst till molndistributionsplatser till Ja i gruppen Molntjänster . Som standard är det här värdet inställt på Nej.

• Klientenheter kräver internetanslutning och måste använda IPv4.

Specifikationer

• Molndistributionsplatsen stöder alla Windows-versioner som anges i Operativsystem som stöds för klienter och enheter.

• En administratör distribuerar följande typer av programvaruinnehåll som stöds:

  • Ansökningar

  • Paket

  • Uppgraderingspaket för operativsystem

  • Programuppdateringar från tredje part

    Viktigt!

    • Även om Configuration Manager-konsolen inte blockerar distributionen av Microsoft-programuppdateringar till en molndistributionsplats betalar du Azure-kostnader för att lagra innehåll som klienter inte använder. Internetbaserade klienter hämtar alltid Microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten. Distribuera inte Microsofts programuppdateringar till en molndistributionsplats.
    • Om programuppdateringen distribueras till molndistributionsplatsen använder den fortfarande lokal distributionsplats för nedladdning av innehåll när klienterna finns i intranätet.
    • När du använder en CMG för innehållslagring laddas inte innehållet för uppdateringar från tredje part ned till klienter om inställningen Ladda ned deltainnehåll när tillgängligklient är aktiverad.

• Konfigurera en mottagardistributionsplats för att använda en molndistributionsplats som källa. Mer information finns i Om källdistributionsplatser.

Distributionsinställningar

• Ladda ned innehåll lokalt när det behövs av aktivitetssekvensen som körs. Aktivitetssekvensmotorn kan ladda ned paket på begäran från en innehållsaktiverad CMG eller en molndistributionsplats. Det här alternativet ger ytterligare flexibilitet med uppgraderingsdistributioner av Windows på plats till Internetbaserade enheter.

• Ladda ned allt innehåll lokalt innan du startar aktivitetssekvensen. Med det här alternativet laddar Configuration Manager-klienten ned innehållet från molnkällan innan aktivitetssekvensen startas.

• En molndistributionsplats stöder inte paketdistributioner med alternativet Att köra program från distributionsplats. Använd distributionsalternativet för att ladda ned innehåll från distributionsplatsen och köra lokalt.

Begränsningar

• Du kan inte använda en molndistributionsplats för PXE- eller multicast-aktiverade distributioner.

• En molndistributionsplats stöder inte App-V strömmande program.

• En molndistributionsplats stöder inte innehåll för Microsoft 365 Apps-uppdateringar.

• Du kan inte förinstallera innehåll på en molndistributionsplats. Distributionshanteraren för den primära platsen som hanterar molndistributionsplatsen överför allt innehåll.

• Du kan inte konfigurera en molndistributionsplats som en mottagardistributionsplats.

Kostnad

Configuration Manager innehåller följande alternativ för att kontrollera kostnader och övervaka dataåtkomst:

• Kontrollera och övervaka mängden innehåll som du lagrar i en molntjänst. Mer information finns i Övervaka molndistributionsplatser.

• Konfigurera Configuration Manager för att varna dig när tröskelvärdena för klientnedladdningar uppfyller eller överskrider månadsgränserna. Mer information finns i Aviseringar om tröskelvärde för dataöverföring.

• Om du vill minska antalet dataöverföringar från molndistributionsplatser av klienter använder du någon av följande tekniker för peer-cachelagring:

  • Configuration Manager peercache

  • Windows BranchCache

  • Leveransoptimering för Windows

    Mer information finns i Grundläggande begrepp för innehållshantering.

Komponenter

En molndistributionsplats använder följande Azure-komponenter, vilket medför avgifter för Azure-prenumerationskontot:

Virtuell dator

• Molndistributionsplatsen använder Azure Cloud Services som plattform som en tjänst (PaaS). Den här tjänsten använder virtuella datorer som medför beräkningskostnader.

• Varje molndistributionsplatstjänst använder två virtuella Standard A0-datorer.

• Se priskalkylatorn för Azure för att fastställa potentiella kostnader.

  Anmärkning

  Kostnaderna för virtuella datorer varierar beroende på region.

Utgående dataöverföring

• Alla dataflöden till Azure är kostnadsfria (inkommande eller uppladdning). Innehållsdistribution från webbplatsen till molndistributionspunkten innebär att ladda upp till Azure.

• Avgifter baseras på data som flödar ut ur Azure (utgående eller nedladdning). Molndistributionsplatsdataflöden från Azure består av programvaruinnehållet som klienter laddar ned.

• Mer information finns i Övervaka molndistributionsplatser.

• Se prisinformationen för Azure-bandbredd för att fastställa potentiella kostnader. Priser för dataöverföring är nivåindelade. Ju mer du använder, desto mindre betalar du per gigabyte.

Innehållslagring

• Internetbaserade klienter får microsofts programuppdateringsinnehåll från Microsoft Update-molntjänsten utan kostnad. Distribuera inte programuppdateringsdistributionspaket med Microsofts programuppdateringar till en molndistributionsplats. Annars medför du kostnader för datalagring för innehåll som klienter aldrig använder.

• Molndistributionsplatser med en Azure Resource Manager-distribution använder Azure lokalt redundant lagring (LRS). Mer information finns i Lokalt redundant lagring.

Övriga kostnader

• Varje molntjänst har en dynamisk IP-adress. Varje distinkt molndistributionsplats använder en ny dynamisk IP-adress. Att lägga till ytterligare virtuella datorer per molntjänst ökar inte dessa adresser.

Portar och dataflöde

Det finns två primära dataflöden för molndistributionsplatsen:

• Platsservern ansluter till Azure för att konfigurera molndistributionsplatstjänsten

• En klient ansluter till molndistributionsplatsen för att ladda ned innehåll

Webbserver till Azure

Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Platsservern initierar all kommunikation med Azure och molndistributionsplatsen för att distribuera, uppdatera och hantera molntjänsten. Platsservern måste skapa utgående anslutningar till Microsoft-molnet. Den här åtgärden motsvarar installation av rollen för distributionsplatsens system på en specifik plats.

Distributionsplats för klient till moln

Du behöver inte öppna några inkommande portar till ditt lokala nätverk. Internetbaserade klienter kommunicerar direkt med Azure-tjänsten. Klienter i ditt interna nätverk som använder en molndistributionsplats måste ansluta till Microsoft-molnet.

Mer information om prioritet för innehållsplats och när intranätbaserade klienter använder en molndistributionsplats finns i Prioritet för innehållskälla.

När en klient använder en molndistributionsplats som en innehållsplats:

1. Hanteringsplatsen ger klienten en åtkomsttoken tillsammans med listan över innehållskällor. Den här token är giltig i 24 timmar och ger klienten åtkomst till molndistributionsplatsen.

2. Hanteringsplatsen svarar på klientens platsbegäran med tjänst-FQDN för molndistributionsplatsen. Den här egenskapen är samma som det gemensamma namnet på serverautentiseringscertifikatet.

   Om du använder ditt domännamn, till exempel WallaceFalls.contoso.com, försöker klienten först att upplösa det här fullständiga domännamnet. Du behöver ett CNAME-alias i domänens Internetuppkopplade DNS för klienter för att matcha Azure-tjänstnamnet, till exempel: WallaceFalls.cloudapp.net.

3. Klienten löser sedan Azure-tjänstnamnet, till exempel WallaceFalls.cloudapp.net, till en giltig IP-adress. Det här svaret ska hanteras av Azures DNS.

4. Klienten ansluter till molndistributionsplatsen. Azure-belastningen balanserar anslutningen till en av de virtuella datorinstanserna. Klienten autentiserar sig själv med hjälp av åtkomsttoken.

5. Molndistributionsplatsen autentiserar klientens åtkomsttoken och ger sedan klienten den exakta innehållsplatsen i Azure Storage.

6. Om klienten litar på molndistributionsplatsens serverautentiseringscertifikat ansluter den till Azure Storage för att ladda ned innehållet.

Prestanda och skalning

Som med all distributionsplatsdesign bör du tänka på följande faktorer:

• Antal samtidiga klientanslutningar
• Storleken på innehållet som klienter laddar ned
• Hur lång tid det tar att uppfylla dina affärskrav

Beroende på din topologidesign, om klienter har möjlighet att ha fler än en molndistributionsplats för ett visst innehåll, så slumpmässigar de naturligt över dessa molntjänster. Om du bara distribuerar ett visst innehåll till en enda molndistributionsplats, och ett stort antal klienter försöker ladda ned innehållet samtidigt, lägger den här aktiviteten högre belastning på den enda molndistributionsplatsen. Att lägga till ytterligare en molndistributionsplats innehåller även en separat Azure-lagringstjänst. Mer information om hur klienten kommunicerar med molndistributionsplatskomponenterna och laddar ned innehåll finns i Portar och dataflöde.

Molndistributionsplatsen använder två virtuella Azure-datorer som klientdel till Azure Storage. Den här standarddistributionen uppfyller de flesta kunders behov. Under vissa extrema omständigheter, med ett stort antal samtidiga klientanslutningar (till exempel 150 000 klienter), kan bearbetningskapaciteten för de virtuella Azure-datorerna inte hänga med i klientbegäranden. Du kan inte ändra storlek på de virtuella Azure-datorer som används för molndistributionsplatsen. Du kan inte konfigurera antalet virtuella datorinstanser för molndistributionsplatsen i Configuration Manager, men om det behövs konfigurerar du om molntjänsten i Azure-portalen. Lägg antingen till fler vm-instanser manuellt eller konfigurera tjänsten så att den skalas automatiskt.

Azure Storage-tjänsten stöder 500 begäranden per sekund för en enda fil. Prestandatestning av en enda molndistributionsplats som stöder distributionen av en enda 100 MB-fil till 50 000 klienter på 24 timmar.

Certifikaten

Beroende på din molndistributionsplatsdesign behöver du ett eller flera digitala certifikat.

Allmän information

Certifikat för molndistributionsplatser stöder följande konfigurationer:

• 4096-bitars nyckellängd

• Version 3-certifikat. Mer information finns i översikten över CNG-certifikat.

• När du konfigurerar Windows med följande princip: Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering

• Stöd för TLS 1.2. Mer information finns i Teknisk referens för kryptografiska kontroller.

Certifikat för serverautentisering

Det här certifikatet krävs för alla distributioner av molndistributionsplatser.

Mer information finns i CMG-serverautentiseringscertifikat och följande underavsnitt efter behov:

• CMG pålitligt rotcertifikat till klienter
• Certifikat för serverautentisering som utfärdats av en offentlig provider
• Certifikat för serverautentisering som utfärdats från företagets PKI

Molndistributionsplatsen använder den här typen av certifikat på samma sätt som molnhanteringsgatewayen. Klienter måste också lita på det här certifikatet. För att minska komplexiteten rekommenderar Microsoft att du använder ett certifikat som utfärdats av en offentlig provider.

Om du inte använder ett jokerteckencertifikat ska du inte återanvända samma certifikat. Varje instans av molndistributionsplatsen och molnhanteringsgatewayen kräver ett unikt certifikat för serverautentisering.

Mer information om hur du skapar det här certifikatet från en PKI finns i Distribuera tjänstcertifikatet för molndistributionsplatser.

Vanliga frågor och svar

Behöver en klient ett certifikat för att ladda ned innehåll från en molndistributionsplats?

Ett certifikat för klientautentisering krävs inte. Klienten måste lita på det serverautentiseringscertifikat som används av molndistributionsplatsen. Om det här certifikatet utfärdas av en offentlig certifikatleverantör innehåller de flesta Windows-enheter redan betrodda rotcertifikat för dessa leverantörer. Om du har utfärdat ett serverautentiseringscertifikat från din organisations PKI måste dina klienter lita på de utfärdande certifikaten i hela kedjan. Den här kedjan innehåller rotcertifikatutfärdare och eventuella mellanliggande certifikatutfärdare. Beroende på din PKI-design kan det här certifikatet ge ytterligare komplexitet i distributionen av molndistributionsplatsen. För att undvika den här komplexiteten rekommenderar Microsoft att du använder en offentlig certifikatprovider som dina klienter redan litar på.

Kan mina lokala klienter använda en molndistributionsplats?

Ja. Om du vill att klienter i ditt interna nätverk ska använda en molndistributionsplats måste de finnas i samma gränsgrupp som klienterna. Klienter prioriterar molndistributionsplatser sist i sin lista över innehållskällor, eftersom det finns en kostnad som är kopplad till att ladda ned innehåll från Azure. Därför används en molndistributionsplats vanligtvis som reservkälla för intranätbaserade klienter. Om du vill ha en molnbaserad design utformar du sedan dina gränsgrupper i enlighet med detta. Mer information finns i Konfigurera gränsgrupper.

Behöver jag Azure ExpressRoute?

Med Azure ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet. ExpressRoute eller andra sådana virtuella nätverksanslutningar krävs inte för Configuration Manager-molndistributionsplatsen.

Om din organisation använder ExpressRoute isolerar du Azure-prenumerationen för molndistributionsplatsen från den prenumeration som använder ExpressRoute. Den här konfigurationen säkerställer att molndistributionsplatsen inte oavsiktligt ansluts på det här sättet.

Behöver jag underhålla de virtuella Azure-datorerna?

Inget underhåll krävs. Utformningen av molndistributionsplatsen använder Azure Platform as a Service (PaaS). Med den prenumeration du anger skapar Configuration Manager nödvändiga virtuella datorer, lagring och nätverk. Azure skyddar och uppdaterar de virtuella datorerna. Dessa virtuella datorer är inte en del av din lokala miljö, vilket är fallet med infrastruktur som en tjänst (IaaS). Molndistributionsplatsen är en PaaS som utökar din Configuration Manager-miljö till molnet. Mer information finns i Säkerhetsfördelar med en PaaS-molntjänstmodell.

Använder molndistributionsplatsen Azure CDN?

Azure Content Delivery Network (CDN) är en global lösning för att snabbt leverera innehåll med hög bandbredd genom att cachelagra innehållet på strategiskt placerade fysiska noder över hela världen. Mer information finns i Vad är Azure CDN?.

Configuration Manager-molndistributionsplatsen stöder för närvarande inte Azure CDN.

Nästa steg

Installera molndistributionsplatser