Azure

Mit SD-WAN Release 9.3 wurden die Zero-Touch-Bereitstellungsfunktionen auf Cloud-Instanzen erweitert. Das Verfahren zur Bereitstellung des Zero-Touch-Bereitstellungsprozesses für Cloud-Instanzen unterscheidet sich geringfügig von der Appliance-Bereitstellung für den Zero-Touch-Dienst.

Aktualisieren der Konfiguration zum Hinzufügen eines neuen Remotestandorts mit einem ZTD-fähigen SD-WAN-Cloud-Gerät mithilfe der SD-WAN Center-Netzwerkkonfiguration

Wenn die SD-WAN-Konfiguration nicht mithilfe der SD-WAN Center-Netzwerkkonfiguration erstellt wurde, importieren Sie die aktive Konfiguration vom MCN und beginnen Sie mit der Änderung der Konfiguration mithilfe des SD-WAN Centers. Für die Zero-Touch-Bereitstellungsfunktion muss der SD-WAN-Administrator die Konfiguration mithilfe des SD-WAN Centers erstellen. Das folgende Verfahren sollte verwendet werden, um einen neuen Cloud-Knoten hinzuzufügen, der für die Zero-Touch-Bereitstellung vorgesehen ist.

1. Entwerfen Sie den neuen Standort für die SD-WAN-Cloud-Bereitstellung, indem Sie zunächst die Details des neuen Standorts skizzieren (d. h. VPX-Größe, Nutzung von Schnittstellengruppen, virtuelle IP-Adressen, WAN-Verbindung(en) mit Bandbreite und deren jeweilige Gateways).

   Hinweis

   • In der Cloud bereitgestellte SD-WAN-Instanzen müssen im Edge-/Gateway-Modus bereitgestellt werden.
   • Die Vorlage für die Cloud-Instanz ist auf drei Schnittstellen beschränkt: Management, LAN und WAN (in dieser Reihenfolge).
   • Die verfügbaren Azure-Cloud-Vorlagen für SD-WAN VPX sind derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt. Die SD-WAN-Konfiguration für den Azure-Knoten, der für Zero Touch vorgesehen ist, muss diesem Layout entsprechen.
   • Der Azure-Standortname in der Konfiguration muss ausschließlich Kleinbuchstaben enthalten und darf keine Sonderzeichen aufweisen (z. B. ztdazure).

   

   Dies ist ein Beispiel für die Bereitstellung eines in der Cloud bereitgestellten SD-WAN-Standorts. Das Citrix SD-WAN™-Gerät wird als Edge-Gerät eingesetzt, das eine einzelne Internet-WAN-Verbindung in diesem Cloud-Netzwerk bedient. Remotestandorte können mehrere separate Internet-WAN-Verbindungen nutzen, die mit demselben Internet-Gateway für die Cloud verbunden sind, was Ausfallsicherheit und aggregierte Bandbreitenkonnektivität von jedem SD-WAN-Bereitstellungsstandort zur Cloud-Infrastruktur bietet. Dies ermöglicht eine kostengünstige und hochzuverlässige Konnektivität zur Cloud.

2. Öffnen Sie die Webverwaltungsoberfläche des SD-WAN Centers und navigieren Sie zur Seite Configuration > Network Configuration.

   

3. Stellen Sie sicher, dass bereits eine funktionierende Konfiguration vorhanden ist, oder importieren Sie die Konfiguration vom MCN.

4. Navigieren Sie zur Registerkarte „Basic“, um einen neuen Standort zu erstellen.

5. Öffnen Sie die Kachel „Sites“, um die aktuell konfigurierten Standorte anzuzeigen.

6. Erstellen Sie schnell die Konfiguration für den neuen Cloud-Standort, indem Sie die Klonfunktion eines vorhandenen Standorts nutzen oder manuell einen neuen Standort erstellen.

   

7. Füllen Sie alle erforderlichen Felder aus der zuvor für diesen neuen Cloud-Standort entworfenen Topologie aus.

   Beachten Sie, dass die für Azure Cloud ZTD-Bereitstellungen verfügbare Vorlage derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt ist. Wenn die Konfiguration nicht so eingestellt ist, dass sie der erwarteten VIP-Adresse für jede Schnittstelle entspricht, kann das Gerät keine ordnungsgemäße ARP-Verbindung zu den Cloud-Umgebungs-Gateways und keine IP-Konnektivität zum virtuellen Pfad des MCN herstellen.

   Es ist wichtig, dass der Standortname den Erwartungen von Azure entspricht. Der Standortname muss ausschließlich Kleinbuchstaben enthalten, mindestens 6 Zeichen lang sein, keine Sonderzeichen aufweisen und der folgenden regulären Expression entsprechen: ^[a-z][a-z0-9-]{1,61}[a-z0-9]$.

   

8. Nach dem Klonen eines neuen Standorts navigieren Sie zu den Basic Settings des Standorts und überprüfen Sie, ob das SD-WAN-Modell korrekt ausgewählt ist, das den Zero-Touch-Dienst unterstützt.

   

9. Speichern Sie die neue Konfiguration im SD-WAN Center und verwenden Sie die Option „Export to Change Management inbox“, um die Konfiguration mithilfe des Change Managements zu übertragen.

10. Befolgen Sie das Change-Management-Verfahren, um die neue Konfiguration ordnungsgemäß bereitzustellen. Dadurch werden die vorhandenen SD-WAN-Geräte über den neuen Standort informiert, der per Zero Touch bereitgestellt werden soll. Sie müssen die Option „Ignore Incomplete“ verwenden, um den Versuch zu überspringen, die Konfiguration an den neuen Standort zu übertragen, der noch den ZTD-Workflow durchlaufen muss.

    

Navigieren Sie zur Zero Touch Deployment-Seite des SD-WAN Centers, und bei laufender neuer aktiver Konfiguration steht der neue Standort für die SD-WAN Center-Bereitstellung und Azure-Bereitstellung zur Verfügung (Schritt 1 von 2)

1. Melden Sie sich auf der Zero Touch Deployment-Seite mit Ihren Citrix®-Kontodaten an. Wählen Sie unter der Registerkarte Deploy New Site die aktive Netzwerkkonfigurationsdatei aus.

2. Nachdem die aktive Konfigurationsdatei ausgewählt wurde, wird eine Liste aller Zweigstellen mit ZTD-fähigen Citrix SD-WAN-Geräten angezeigt.

   

3. Wählen Sie den Ziel-Cloud-Standort aus, den Sie mit dem Zero-Touch-Dienst bereitstellen möchten, klicken Sie auf Enable und dann auf Provision and Deploy.

   

4. Es erscheint ein Pop-up-Fenster, in dem der Citrix SD-WAN-Administrator die Bereitstellung für Zero Touch initiieren kann. Überprüfen Sie, ob der Standortname den Anforderungen von Azure entspricht (Kleinbuchstaben ohne Sonderzeichen). Geben Sie eine E-Mail-Adresse ein, an die die Aktivierungs-URL gesendet werden soll, und wählen Sie Azure als Provision Type für die gewünschte Cloud aus, bevor Sie auf Next klicken.

   

5. Nachdem Sie auf Next geklickt haben, erfordert das Fenster „Provision and Deploy Azure (Schritt 1 von 2)“ die Eingabe von Informationen, die Sie aus Ihrem Azure-Konto erhalten haben.

   Kopieren Sie jedes erforderliche Feld und fügen Sie es ein, nachdem Sie die Informationen aus Ihrem Azure-Konto erhalten haben. Die folgenden Schritte beschreiben, wie Sie die erforderliche Abonnement-ID (Subscription ID), Anwendungs-ID (Application ID), geheimen Schlüssel (Secret Key) und Mandanten-ID (Tenant ID) aus Ihrem Azure-Konto erhalten. Fahren Sie dann fort, indem Sie auf Next klicken.

   

   1. Im Azure-Konto können wir die erforderliche Abonnement-ID identifizieren, indem wir zu „More Services“ navigieren und Subscriptions auswählen.

      

   2. Um die erforderliche Anwendungs-ID zu identifizieren, navigieren Sie zu Azure Active Directory, Application registrations, und klicken Sie auf New application registration.

      

   3. Geben Sie im Menü zur Erstellung der App-Registrierung einen Namen und eine Anmelde-URL ein (dies kann eine beliebige URL sein, die einzige Anforderung ist, dass sie gültig sein muss), und klicken Sie dann auf Create.

      

   4. Suchen und öffnen Sie die neu erstellte registrierte App und notieren Sie die Anwendungs-ID.

      

   5. Öffnen Sie erneut die neu erstellte Registrierungs-App, und um den erforderlichen Sicherheitsschlüssel zu identifizieren, wählen Sie unter API Access die Option Required permissions, um einem Drittanbieter die Bereitstellung einer Instanz zu ermöglichen. Wählen Sie dann Add.

      

   6. Beim Hinzufügen der erforderlichen Berechtigungen wählen Sie Select an API und markieren dann Windows Azure Service Management API.

      

   7. Aktivieren Sie Delegate Permissions, um Instanzen bereitzustellen, und klicken Sie dann auf Select und Done.

      

   8. Wählen Sie für diese registrierte App unter API Access die Option Keys aus und erstellen Sie eine geheime Schlüsselbeschreibung sowie die gewünschte Gültigkeitsdauer für den Schlüssel. Klicken Sie dann auf Save, wodurch ein geheimer Schlüssel generiert wird (der Schlüssel wird nur für den Bereitstellungsprozess benötigt und kann gelöscht werden, nachdem die Instanz verfügbar gemacht wurde).

      

   9. Kopieren und speichern Sie den geheimen Schlüssel (beachten Sie, dass Sie diesen später nicht mehr abrufen können).

      

   10. Um die erforderliche Mandanten-ID zu identifizieren, navigieren Sie zurück zum Bereich „App registration“ und wählen Sie Endpoints aus.

       

   11. Kopieren Sie das Federation Metadata Document, um Ihre Mandanten-ID zu identifizieren (beachten Sie, dass die Mandanten-ID eine 36-stellige Zeichenfolge ist, die sich zwischen „online.com/“ und „/federation“ in der URL befindet).

       

   12. Der letzte erforderliche Punkt ist der öffentliche SSH-Schlüssel. Dieser kann mit Putty Key Generator oder ssh-keygen erstellt werden und wird zur Authentifizierung verwendet, wodurch die Notwendigkeit von Passwörtern für die Anmeldung entfällt. Der öffentliche SSH-Schlüssel kann kopiert werden (einschließlich der Kopfzeile ssh-rsa und der nachfolgenden rsa-key-Zeichenfolgen). Dieser öffentliche Schlüssel wird über die SD-WAN Center-Eingabe an den Citrix Zero Touch Deployment Service weitergegeben.

       

   13. Zusätzliche Schritte sind erforderlich, um der Anwendung eine Rolle zuzuweisen. Navigieren Sie zurück zu „More Services“ und dann zu „Subscriptions“.

       

   14. Wählen Sie das aktive Abonnement aus, dann Access control (AIM), und klicken Sie anschließend auf Add.

       

   15. Wählen Sie im Bereich „Berechtigungen hinzufügen“ die Rolle „Owner“ aus, weisen Sie den Zugriff auf „Azure AD user, group, or application“ zu und suchen Sie im Feld Select nach der registrierten App, um dem Zero Touch Deployment Cloud Service das Erstellen und Konfigurieren der Instanz im Azure-Abonnement zu ermöglichen. Sobald die App identifiziert wurde, wählen Sie sie aus und stellen Sie sicher, dass sie als ausgewähltes Mitglied angezeigt wird, bevor Sie auf Save klicken.

       

   16. Nachdem Sie die erforderlichen Eingaben gesammelt und in das SD-WAN Center eingegeben haben, klicken Sie auf Next. Wenn die Eingaben nicht korrekt sind, tritt ein Authentifizierungsfehler auf.

       

SD-WAN Center: Azure bereitstellen und bereitstellen (Schritt 2 von 2)

1. Sobald die Azure-Authentifizierung erfolgreich war, füllen Sie die entsprechenden Felder aus, um die gewünschte Azure-Region und die passende Instanzgröße auszuwählen, und klicken Sie dann auf Deploy.

   

2. Das Navigieren zur Registerkarte Pending Activation im SD-WAN Center hilft Ihnen, den aktuellen Status der Bereitstellung zu verfolgen.

   

3. Eine E-Mail mit einem Aktivierungscode wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Vorgang auszulösen und den Aktivierungsstatus zu überprüfen.

   

4. Eine E-Mail mit einer Aktivierungs-URL wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Vorgang auszulösen und den Aktivierungsstatus zu überprüfen.

   

5. Es dauert einige Minuten, bis die Instanz vom SD-WAN Cloud Service bereitgestellt wird. Sie können die Aktivität im Azure-Portal unter Activity log für die automatisch erstellte Resource Group überwachen. Alle Probleme oder Fehler bei der Bereitstellung werden hier angezeigt und auch im SD-WAN Center im Aktivierungsstatus repliziert.

   

6. Im Azure-Portal ist die erfolgreich gestartete Instanz unter Virtual Machines verfügbar. Um die zugewiesene öffentliche IP-Adresse zu erhalten, navigieren Sie zur Übersicht der Instanz.

   

7. Nachdem die VM den Status „running“ erreicht hat, warten Sie eine Minute, bevor der Dienst die Konfiguration, Software und Lizenz herunterlädt.

   

8. Nachdem jeder der Schritte des SD-WAN Cloud Service automatisch abgeschlossen wurde, melden Sie sich über die im Azure-Portal erhaltene öffentliche IP-Adresse bei der Weboberfläche der SD-WAN-Instanzen an.

   

9. Die Seite „Citrix SD-WAN Monitoring Statistics“ zeigt eine erfolgreiche Konnektivität vom MCN zur SD-WAN-Instanz in Azure an.

   

10. Darüber hinaus wird der erfolgreiche (oder erfolglose) Bereitstellungsversuch auf der Seite „Activation History“ des SD-WAN Centers protokolliert.