Упростите управление системами с помощью Cloud Management Gateway

Управление клиентскими системами через Интернет никогда не было легким для предприятий. Часто требуется дорогостоящая инфраструктура, и всегда существует риск того, что ваша корпоративная сеть займет больше места в Интернете. Теперь это изменилось в Current Branch Microsoft System Center Configuration Manager (SCCM) с введением новой функции под названием Cloud Management Gateway (CMG). Чтобы узнать больше об этом, я попросил Джерри Хэмпсона, эксперта в этой области, предоставить нам краткий обзор функций, преимуществ, вариантов использования и стоимости CMG. Джерри — старший консультант Ergo Group, базирующийся в Дублине, Ирландия, и специалист по консультированию и внедрению Microsoft, особенно в области управления корпоративными клиентами. Он является соавтором ряда книг по System Center Configuration Manager, последней из которых является последняя из серии ConfigMgr Unleashed. Джерри впервые был удостоен награды Microsoft MVP в 2015 году и регулярно выступает на MMS. У Джерри есть блог под названием Gerry Hampson Device Management, и вы также можете найти его в Твиттере @GerryHampson.

Преимущества и требования к SCCM Cloud Management Gateway

Microsoft System Center Configuration Manager (Current Branch) — лидер отрасли в области управления системами. Он позволяет организациям централизованно управлять своими серверами и настольными компьютерами и предоставляет такие функции, как развертывание операционной системы, исправление обновлений программного обеспечения, распространение и инвентаризация программного обеспечения.

В 2018 году Microsoft добавила роль Cloud Management Gateway в SCCM. Благодаря этой революционной новой функции организации теперь могут управлять клиентами SCCM через Интернет без необходимости обратного подключения VPN к корпоративной сети.

В этом нет ничего нового, я слышал, вы говорите. Мы можем сделать это уже с помощью SCCM управления клиентами через Интернет (IBCM). Это правда. IBCM существует уже много лет и в некотором роде является хорошей технологией. Для IBCM мы настроим безопасные системы сайтов с выходом в Интернет, чтобы интернет-клиенты могли общаться. К сожалению, у этого решения были некоторые недостатки:

• IBCM потребовала инвестиций в дополнительную инфраструктуру.
• Это привело к дополнительным накладным и эксплуатационным расходам.
• Инфраструктура SCCM должна была быть открыта для Интернета, хотя и с использованием HTTPS.

Теперь мы можем использовать Cloud Management Gateway для управления этими клиентами. Он состоит из облачной службы Microsoft Azure и роли системы сайта SCCM, которая взаимодействует с этой службой Azure. Затем интернет-клиенты могут использовать службу Azure для связи с SCCM. Это потрясающая технология, которая дает нам множество преимуществ по сравнению с традиционным управлением клиентами через Интернет.

• CMG проще в настройке и управлении.
• Никакой дополнительной инфраструктуры для CMG не требуется.
• Нет необходимости предоставлять локальную инфраструктуру для доступа в Интернет.
• Корпорация Майкрософт полностью управляет виртуальными машинами Azure, на которых выполняется компонент CMG, и обслуживает их.

Однако есть несколько моментов, на которые стоит обратить внимание.

• У вас должна быть подписка Azure.
• CMG будет генерировать некоторые затраты, хотя они относительно невелики — об этом позже.
• Важно помнить, что данные управления клиентами будут проходить через облако Microsoft.

Сценарии

Это три типичных сценария CMG. Первый — самый распространенный сценарий. Мы можем управлять нашими клиентами Windows, присоединенными к Active Directory, через Интернет. Поддерживаются устройства Windows 7, Windows 8.1 и Windows 10 с каналом связи, защищенным сертификатами PKI. Самый простой способ сделать это — использовать внутренний центр сертификации с устройствами, настроенными для автоматической регистрации.

Во-вторых, мы можем управлять устройствами Windows 10, присоединенными к Azure AD. В этом случае мы можем использовать Azure Active Directory для аутентификации, а не PKI. Этот сценарий проще настроить и поддерживать, но он поддерживает только Windows 10.

Наконец, CMG позволяет нам установить клиент Configuration Manager на устройства с Windows 10 через Интернет.

CMG позволяет нам управлять через Интернет следующим:

• Обновления программного обеспечения и защита конечных точек.
• Инвентарь и статус клиента.
• Параметры соответствия.
• Распространение программного обеспечения.
• Обновления Windows 10 на месте.

Вы можете развернуть несколько экземпляров CMG в иерархии SCCM. Microsoft рекомендует создать как минимум два экземпляра для обеспечения высокой доступности. Каждый экземпляр CMG поддерживает до 96 000 клиентов. Это не жесткое ограничение. Это одновременные соединения, и производительность начинает ухудшаться, если вы увеличиваете скорость.

В настоящее время Cloud Management Gateway поддерживает роли точки управления и точки обновления программного обеспечения. Но какое это прекрасное начало. Это позволит вам поддерживать все ваши интернет-клиенты полностью обновленными. В качестве бонуса в сочетании с облачной точкой распространения вы можете развертывать программное обеспечение на этих клиентах через Интернет. Облачный DP и CMG могут быть размещены вместе без дополнительных затрат.

Расходы

Стоимость — важный фактор, который следует учитывать при планировании развертывания CMG. За подписку Azure будет взиматься плата. Однако я развернул CMG для нескольких клиентов, и стоимость оказалась минимальной. На стоимость влияет несколько элементов.

Виртуальная машина. Первый элемент затрат относится к виртуальным машинам Azure. Виртуальная машина Azure Standard_A2 создается автоматически при развертывании CMG. По умолчанию — 1, но вы можете выбрать до 16 ВМ. Каждая виртуальная машина поддерживает до 6 000 клиентов, следовательно, общее число поддерживаемых клиентов составляет 96 000. Важно отметить, что стоимость виртуальной машины Azure зависит от региона. Microsoft публикует калькулятор цен Azure, чтобы помочь определить потенциальные затраты.

Исходящая передача данных — взимается плата за исходящие данные. Это данные, вытекающие из службы. По оценкам Microsoft, это составляет примерно от 100 МБ до 300 МБ на клиента в месяц для политики обновления клиента через Интернет каждый час. Другие действия, такие как развертывание приложений, увеличат объем исходящих данных, передаваемых из Azure.

Хранилище содержимого — интернет-клиенты, управляемые с помощью Cloud Management Gateway, получают содержимое обновлений программного обеспечения непосредственно из Центра обновления Windows, при этом плата за хранение содержимого не взимается. Все остальное содержимое (например, приложения) должно распространяться в облачную точку распространения. И если вы беспокоитесь о стоимости, вы также можете создавать оповещения, чтобы уведомлять вас, когда трафик CMG достигает определенного порога данных.

Панель управления облаком

В консоли SCCM можно отслеживать клиентов и сетевой трафик. Панель управления облаком обеспечивает централизованное представление использования CMG:

На приборной панели также отображаются данные об облачных пользователях и устройствах:

Заключительное слово о шлюзе управления облачными средами

Я настоятельно рекомендую Cloud Management Gateway, и мои клиенты любят его, потому что:

• Его легко настроить и управлять.
• В обслуживании не дорого.
• Это практично и обеспечивает богатое управление интернет-клиентами.
• Это отлично подходит для обеспечения безопасности, поскольку значительно увеличивает соответствие требованиям по установке исправлений.

Я надеюсь вы найдете эту информацию полезной.