Azure

Mit SD-WAN Release 9.3 wurden die Zero-Touch-Bereitstellungsfunktionen auf Cloud-Instanzen erweitert. Das Verfahren zur Bereitstellung des Zero-Touch-Bereitstellungsprozesses für Cloud-Instanzen unterscheidet sich geringfügig von der Appliance-Bereitstellung für den Zero-Touch-Dienst.

Aktualisieren der Konfiguration zum Hinzufügen eines neuen Remote-Standorts mit einem ZTD-fähigen SD-WAN Cloud-Gerät mithilfe der SD-WAN Center Netzwerkkonfiguration

Wenn die SD-WAN-Konfiguration nicht mit der SD-WAN Center Netzwerkkonfiguration erstellt wurde, importieren Sie die aktive Konfiguration vom MCN und beginnen Sie mit der Änderung der Konfiguration mithilfe des SD-WAN Centers. Für die Zero-Touch-Bereitstellungsfunktion muss der SD-WAN-Administrator die Konfiguration mithilfe des SD-WAN Centers erstellen. Das folgende Verfahren sollte verwendet werden, um einen neuen Cloud-Knoten hinzuzufügen, der für die Zero-Touch-Bereitstellung vorgesehen ist.

1. Entwerfen Sie den neuen Standort für die SD-WAN Cloud-Bereitstellung, indem Sie zunächst die Details des neuen Standorts skizzieren (d. h. VPX-Größe, Verwendung von Schnittstellengruppen, virtuelle IP-Adressen, WAN-Verbindung(en) mit Bandbreite und deren jeweilige Gateways).

   Hinweis

   • Cloud-bereitgestellte SD-WAN-Instanzen müssen im Edge-/Gateway-Modus bereitgestellt werden.

   • Die Vorlage für die Cloud-Instanz ist auf drei Schnittstellen beschränkt: Management, LAN und WAN (in dieser Reihenfolge).

   • Die verfügbaren Azure Cloud-Vorlagen für SD-WAN VPX sind derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt. Die SD-WAN-Konfiguration für den Azure-Knoten, der für Zero Touch vorgesehen ist, muss diesem Layout entsprechen.

   • Der Azure-Standortname in der Konfiguration muss ausschließlich Kleinbuchstaben ohne Sonderzeichen enthalten (z. B. ztdazure).

   

   Dies ist ein Beispiel für die Bereitstellung eines SD-WAN Cloud-Standorts. Das Citrix SD-WAN™-Gerät wird als Edge-Gerät bereitgestellt, das eine einzelne Internet-WAN-Verbindung in diesem Cloud-Netzwerk bedient. Remote-Standorte können mehrere separate Internet-WAN-Verbindungen nutzen, die mit demselben Internet-Gateway für die Cloud verbunden sind, was Redundanz und aggregierte Bandbreitenkonnektivität von jedem SD-WAN-Bereitstellungsstandort zur Cloud-Infrastruktur bietet. Dies ermöglicht eine kostengünstige und hochzuverlässige Konnektivität zur Cloud.

2. Öffnen Sie die SD-WAN Center Web-Management-Oberfläche und navigieren Sie zur Seite Konfiguration > Netzwerkkonfiguration.

   

3. Stellen Sie sicher, dass bereits eine funktionierende Konfiguration vorhanden ist, oder importieren Sie die Konfiguration vom MCN.

4. Navigieren Sie zur Registerkarte „Basic“, um einen neuen Standort zu erstellen.

5. Öffnen Sie die Kachel „Sites“, um die aktuell konfigurierten Standorte anzuzeigen.

6. Erstellen Sie schnell die Konfiguration für den neuen Cloud-Standort, indem Sie die Klonfunktion eines vorhandenen Standorts nutzen oder manuell einen neuen Standort erstellen.

   

7. Füllen Sie alle erforderlichen Felder aus der zuvor für diesen neuen Cloud-Standort entworfenen Topologie aus.

   Beachten Sie, dass die für Azure Cloud ZTD-Bereitstellungen verfügbare Vorlage derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt ist. Wenn die Konfiguration nicht so eingestellt ist, dass sie der erwarteten VIP-Adresse für jede Schnittstelle entspricht, kann das Gerät keine ordnungsgemäße ARP-Verbindung zu den Cloud-Umgebungs-Gateways und keine IP-Konnektivität zum virtuellen Pfad des MCN herstellen.

   Es ist wichtig, dass der Standortname den Erwartungen von Azure entspricht. Der Standortname muss ausschließlich aus Kleinbuchstaben bestehen, mindestens 6 Zeichen lang sein, keine Sonderzeichen enthalten und der folgenden regulären Expression entsprechen: ^[a-z][a-z0-9-]{1,61}[a-z0-9]$.

   

8. Navigieren Sie nach dem Klonen eines neuen Standorts zu den Basiseinstellungen des Standorts und überprüfen Sie, ob das SD-WAN-Modell korrekt ausgewählt ist, das den Zero-Touch-Dienst unterstützt.

   

9. Speichern Sie die neue Konfiguration im SD-WAN Center und verwenden Sie die Option „Export to Change Management inbox“, um die Konfiguration mithilfe des Change Managements zu übertragen.

10. Befolgen Sie das Change Management-Verfahren, um die neue Konfiguration ordnungsgemäß bereitzustellen, wodurch die vorhandenen SD-WAN-Geräte über den neuen, per Zero Touch bereitzustellenden Standort informiert werden. Sie müssen die Option „Ignore Incomplete“ verwenden, um den Versuch zu überspringen, die Konfiguration an den neuen Standort zu übertragen, der noch den ZTD-Workflow durchlaufen muss.

    

Navigieren Sie zur Zero Touch Deployment-Seite des SD-WAN Centers, und mit der neuen aktiven Konfiguration wird der neue Standort für die SD-WAN Center Bereitstellung und das Deployment von Azure verfügbar sein (Schritt 1 von 2)

1. Melden Sie sich auf der Zero Touch Deployment-Seite mit Ihren Citrix®-Kontodaten an. Wählen Sie unter der Registerkarte Deploy New Site die aktive Netzwerkkonfigurationsdatei aus.

2. Nachdem die aktive Konfigurationsdatei ausgewählt wurde, wird die Liste aller Zweigstellen mit ZTD-fähigen Citrix SD-WAN-Geräten angezeigt.

   

3. Wählen Sie den Ziel-Cloud-Standort aus, den Sie mit dem Zero-Touch-Dienst bereitstellen möchten, klicken Sie auf Enable und dann auf Provision and Deploy.

   

4. Ein Pop-up-Fenster wird angezeigt, in dem der Citrix SD-WAN-Administrator die Bereitstellung für Zero Touch initiieren kann. Überprüfen Sie, ob der Standortname den Anforderungen von Azure entspricht (Kleinbuchstaben ohne Sonderzeichen). Geben Sie eine E-Mail-Adresse ein, an die die Aktivierungs-URL gesendet werden kann, und wählen Sie Azure als Provision Type für die gewünschte Cloud aus, bevor Sie auf Next klicken.

   

5. Nach dem Klicken auf Next erfordert das Fenster „Provision and Deploy Azure (step 1 of 2)“ die Eingabe von Informationen, die aus dem Azure-Konto abgerufen wurden.

   Kopieren Sie jedes erforderliche Feld und fügen Sie es ein, nachdem Sie die Informationen aus Ihrem Azure-Konto erhalten haben. Die folgenden Schritte beschreiben, wie Sie die erforderliche Abonnement-ID, Anwendungs-ID, den geheimen Schlüssel und die Tenant-ID aus Ihrem Azure-Konto erhalten. Fahren Sie dann fort, indem Sie auf Next klicken.

   

   1. Im Azure-Konto können wir die erforderliche Subscription ID identifizieren, indem wir zu „More Services“ navigieren und Subscriptions auswählen.

      

   2. Um die erforderliche Application ID zu identifizieren, navigieren Sie zu Azure Active Directory, Application registrations, und klicken Sie auf New application registration.

      

   3. Geben Sie im Menü zur Erstellung der App-Registrierung einen Namen und eine Anmelde-URL ein (dies kann eine beliebige URL sein, die einzige Anforderung ist, dass sie gültig sein muss), und klicken Sie dann auf Create.

      

   4. Suchen und öffnen Sie die neu erstellte registrierte App und notieren Sie die Anwendungs-ID.

      

   5. Öffnen Sie erneut die neu erstellte Registrierungs-App, und um den erforderlichen Security Key zu identifizieren, wählen Sie unter API Access die Option Required permissions aus, um einem Drittanbieter die Bereitstellung einer Instanz zu ermöglichen. Wählen Sie dann Add.

      

   6. Beim Hinzufügen der erforderlichen Berechtigungen wählen Sie Select an API und markieren dann Windows Azure Service Management API.

      

   7. Aktivieren Sie Delegate Permissions, um Instanzen bereitzustellen, und klicken Sie dann auf Select und Done.

      

   8. Wählen Sie für diese registrierte App unter API Access die Option Keys aus und erstellen Sie eine geheime key description und die gewünschte duration für die Gültigkeit des Schlüssels. Klicken Sie dann auf Save, wodurch ein secret key generiert wird (der Schlüssel wird nur für den Bereitstellungsprozess benötigt und kann gelöscht werden, nachdem die Instanz verfügbar gemacht wurde).

      

   9. Kopieren und speichern Sie den geheimen Schlüssel (beachten Sie, dass Sie diesen später nicht mehr abrufen können).

      

   10. Um die erforderliche Tenant ID zu identifizieren, navigieren Sie zurück zum Bereich „App registration“ und wählen Sie Endpoints aus.

       

   11. Kopieren Sie das Federation Metadata Document, um Ihre Tenant-ID zu identifizieren (beachten Sie, dass die Tenant-ID eine 36-stellige Zeichenfolge ist, die sich zwischen „online.com/“ und „/federation“ in der URL befindet).

       

   12. Das letzte erforderliche Element ist der SSH Public Key. Dieser kann mit Putty Key Generator oder ssh-keygen erstellt werden und wird zur Authentifizierung verwendet, wodurch die Notwendigkeit von Passwörtern für die Anmeldung entfällt. Der SSH Public Key kann kopiert werden (einschließlich der Kopfzeile „ssh-rsa“ und der nachgestellten „rsa-key“-Zeichenfolgen). Dieser öffentliche Schlüssel wird über die SD-WAN Center-Eingabe an den Citrix Zero Touch Deployment Service weitergegeben.

       

   13. Zusätzliche Schritte sind erforderlich, um der Anwendung eine Rolle zuzuweisen. Navigieren Sie zurück zu „More Services“ und dann zu „Subscriptions“.

       

   14. Wählen Sie das aktive Abonnement aus, dann Access control (AIM), und klicken Sie anschließend auf Add.

       

   15. Wählen Sie im Bereich „Add permissions“ die Rolle „Owner“ aus, weisen Sie den Zugriff auf „Azure AD user, group, or application“ zu und suchen Sie im Feld Select nach der registrierten App, um dem Zero Touch Deployment Cloud Service das Erstellen und Konfigurieren der Instanz im Azure-Abonnement zu ermöglichen. Sobald die App identifiziert wurde, wählen Sie sie aus und stellen Sie sicher, dass sie als ausgewähltes Mitglied angezeigt wird, bevor Sie auf Save klicken.

       

   16. Nachdem Sie die erforderlichen Eingaben gesammelt und im SD-WAN Center eingegeben haben, klicken Sie auf Next. Wenn die Eingaben nicht korrekt sind, tritt ein Authentifizierungsfehler auf.

       

SD-WAN Center Bereitstellung und Deployment von Azure (Schritt 2 von 2)

1. Sobald die Azure-Authentifizierung erfolgreich war, füllen Sie die entsprechenden Felder aus, um die gewünschte Azure-Region und die entsprechende Instanzgröße auszuwählen, und klicken Sie dann auf Deploy.

   

2. Das Navigieren zur Registerkarte Pending Activation im SD-WAN Center hilft Ihnen, den aktuellen Status der Bereitstellung zu verfolgen.

   

3. Eine E-Mail mit einem Aktivierungscode wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Prozess auszulösen und den Aktivierungsstatus zu überprüfen.

   

4. Eine E-Mail mit einer Aktivierungs-URL wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Prozess auszulösen und den Aktivierungsstatus zu überprüfen.

   

5. Es dauert einige Minuten, bis die Instanz vom SD-WAN Cloud Service bereitgestellt wird. Sie können die Aktivität im Azure-Portal unter Activity log für die automatisch erstellte Resource Group überwachen. Alle Probleme oder Fehler bei der Bereitstellung werden hier angezeigt und auch im SD-WAN Center im Aktivierungsstatus repliziert.

   

6. Im Azure-Portal ist die erfolgreich gestartete Instanz unter Virtual Machines verfügbar. Um die zugewiesene öffentliche IP-Adresse zu erhalten, navigieren Sie zur Übersicht der Instanz.

   

7. Nachdem die VM den Status „running“ erreicht hat, warten Sie eine Minute, bevor der Dienst die Konfiguration, Software und Lizenz herunterlädt.

   

8. Nachdem jeder der Schritte des SD-WAN Cloud-Dienstes automatisch abgeschlossen wurde, melden Sie sich über die im Azure-Portal erhaltene öffentliche IP-Adresse bei der Weboberfläche der SD-WAN-Instanzen an.

   

9. Die Seite „Citrix SD-WAN Monitoring Statistics“ zeigt eine erfolgreiche Konnektivität vom MCN zur SD-WAN-Instanz in Azure an.

   

10. Darüber hinaus wird der erfolgreiche (oder erfolglose) Bereitstellungsversuch auf der Seite „Activation History“ des SD-WAN Centers protokolliert.