Azure

Mit SD-WAN Release 9.3 wurden die Zero-Touch-Bereitstellungsfunktionen auf Cloud-Instanzen erweitert. Das Verfahren zur Bereitstellung des Zero-Touch-Bereitstellungsprozesses für Cloud-Instanzen unterscheidet sich geringfügig von der Appliance-Bereitstellung für den Zero-Touch-Dienst.

Aktualisieren der Konfiguration zum Hinzufügen eines neuen Remote-Standorts mit einem ZTD-fähigen SD-WAN-Cloud-Gerät mithilfe der SD-WAN Center-Netzwerkkonfiguration

Wenn die SD-WAN-Konfiguration nicht mit der SD-WAN Center-Netzwerkkonfiguration erstellt wurde, importieren Sie die aktive Konfiguration vom MCN und beginnen Sie mit der Änderung der Konfiguration mithilfe des SD-WAN Centers. Für die Zero-Touch-Bereitstellungsfunktion muss der SD-WAN-Administrator die Konfiguration mithilfe des SD-WAN Centers erstellen. Das folgende Verfahren sollte verwendet werden, um einen neuen Cloud-Knoten hinzuzufügen, der für die Zero-Touch-Bereitstellung vorgesehen ist.

1. Entwerfen Sie den neuen Standort für die SD-WAN-Cloud-Bereitstellung, indem Sie zunächst die Details des neuen Standorts skizzieren (d. h. VPX-Größe, Nutzung von Schnittstellengruppen, virtuelle IP-Adressen, WAN-Verbindung(en) mit Bandbreite und deren jeweilige Gateways).

   Hinweis

   • In der Cloud bereitgestellte SD-WAN-Instanzen müssen im Edge/Gateway-Modus bereitgestellt werden.

   • Die Vorlage für die Cloud-Instanz ist auf drei Schnittstellen beschränkt: Management, LAN und WAN (in dieser Reihenfolge).

   • Die verfügbaren Azure-Cloud-Vorlagen für SD-WAN VPX sind derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt. Die SD-WAN-Konfiguration für den Azure-Knoten, der für Zero Touch vorgesehen ist, muss diesem Layout entsprechen.

   • Der Azure-Standortname in der Konfiguration muss ausschließlich Kleinbuchstaben ohne Sonderzeichen enthalten (z. B. ztdazure).

   

   Dies ist ein Beispiel für die Bereitstellung eines in der Cloud bereitgestellten SD-WAN-Standorts. Das Citrix SD-WAN™-Gerät wird als Edge-Gerät bereitgestellt, das eine einzelne Internet-WAN-Verbindung in diesem Cloud-Netzwerk bedient. Remote-Standorte können mehrere unterschiedliche Internet-WAN-Verbindungen nutzen, die mit demselben Internet-Gateway für die Cloud verbunden sind, um Ausfallsicherheit und aggregierte Bandbreitenkonnektivität von jedem SD-WAN-Bereitstellungsstandort zur Cloud-Infrastruktur bereitzustellen. Dies bietet eine kostengünstige und hochzuverlässige Konnektivität zur Cloud.

2. Öffnen Sie die Weboberfläche des SD-WAN Centers und navigieren Sie zur Seite Konfiguration > Netzwerkkonfiguration.

   

3. Stellen Sie sicher, dass eine funktionierende Konfiguration bereits vorhanden ist, oder importieren Sie die Konfiguration vom MCN.

4. Navigieren Sie zur Registerkarte „Basic“, um einen neuen Standort zu erstellen.

5. Öffnen Sie die Kachel „Sites“, um die aktuell konfigurierten Standorte anzuzeigen.

6. Erstellen Sie die Konfiguration für den neuen Cloud-Standort schnell, indem Sie die Klonfunktion eines vorhandenen Standorts nutzen oder manuell einen neuen Standort erstellen.

   

7. Füllen Sie alle erforderlichen Felder aus der zuvor für diesen neuen Cloud-Standort entworfenen Topologie aus.

   Beachten Sie, dass die für Azure Cloud ZTD-Bereitstellungen verfügbare Vorlage derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt ist. Wenn die Konfiguration nicht so eingestellt ist, dass sie der erwarteten VIP-Adresse für jede Schnittstelle entspricht, kann das Gerät keine ordnungsgemäße ARP-Verbindung zu den Cloud-Umgebungs-Gateways und keine IP-Konnektivität zum virtuellen Pfad des MCN herstellen.

   Es ist wichtig, dass der Standortname den Erwartungen von Azure entspricht. Der Standortname muss ausschließlich in Kleinbuchstaben, mindestens 6 Zeichen lang und ohne Sonderzeichen sein. Er muss dem folgenden regulären Ausdruck ^[a-z][a-z0-9-]{1,61}[a-z0-9]$ entsprechen.

   

8. Nach dem Klonen eines neuen Standorts navigieren Sie zu den Grundeinstellungen des Standorts und überprüfen, ob das SD-WAN-Modell korrekt ausgewählt ist, das den Zero-Touch-Dienst unterstützt.

   

9. Speichern Sie die neue Konfiguration im SD-WAN Center und verwenden Sie die Option „Exportieren in den Change Management-Posteingang“, um die Konfiguration mithilfe von Change Management zu übertragen.

10. Befolgen Sie das Change Management-Verfahren, um die neue Konfiguration ordnungsgemäß bereitzustellen, wodurch die vorhandenen SD-WAN-Geräte über den neuen, per Zero Touch bereitzustellenden Standort informiert werden. Sie müssen die Option „Unvollständig ignorieren“ verwenden, um den Versuch zu überspringen, die Konfiguration auf den neuen Standort zu übertragen, der noch den ZTD-Workflow durchlaufen muss.

    

Navigieren Sie zur Zero-Touch-Bereitstellungsseite des SD-WAN Centers, und mit der neuen aktiven Konfiguration wird der neue Standort für die SD-WAN Center-Bereitstellung und Azure-Bereitstellung verfügbar sein (Schritt 1 von 2)

1. Melden Sie sich auf der Zero-Touch-Bereitstellungsseite mit Ihren Citrix®-Kontodaten an. Wählen Sie unter der Registerkarte Neuen Standort bereitstellen die aktive Netzwerkkonfigurationsdatei aus.

2. Nachdem die aktive Konfigurationsdatei ausgewählt wurde, wird die Liste aller Zweigstellen mit ZTD-fähigen Citrix SD-WAN-Geräten angezeigt.

   

3. Wählen Sie den Ziel-Cloud-Standort aus, den Sie mit dem Zero-Touch-Dienst bereitstellen möchten, klicken Sie auf Aktivieren und dann auf Bereitstellen und Deploy.

   

4. Ein Pop-up-Fenster wird angezeigt, in dem der Citrix SD-WAN-Administrator die Bereitstellung für Zero Touch initiieren kann. Überprüfen Sie, ob der Standortname den Anforderungen von Azure entspricht (Kleinbuchstaben ohne Sonderzeichen). Geben Sie eine E-Mail-Adresse ein, an die die Aktivierungs-URL gesendet werden kann, und wählen Sie Azure als Bereitstellungstyp für die gewünschte Cloud aus, bevor Sie auf Weiter klicken.

   

5. Nach dem Klicken auf Weiter erfordert das Fenster „Bereitstellen und Deploy Azure (Schritt 1 von 2)“ die Eingabe von Informationen, die aus dem Azure-Konto abgerufen wurden.

   Kopieren Sie jedes erforderliche Feld und fügen Sie es ein, nachdem Sie die Informationen aus Ihrem Azure-Konto erhalten haben. Die folgenden Schritte beschreiben, wie Sie die erforderliche Abonnement-ID, Anwendungs-ID, den geheimen Schlüssel und die Mandanten-ID aus Ihrem Azure-Konto erhalten. Fahren Sie dann fort, indem Sie auf Weiter klicken.

   

   1. Im Azure-Konto können wir die erforderliche Abonnement-ID identifizieren, indem wir zu „Weitere Dienste“ navigieren und Abonnements auswählen.

      

   2. Um die erforderliche Anwendungs-ID zu identifizieren, navigieren Sie zu Azure Active Directory, Anwendungsregistrierungen, und klicken Sie auf Neue Anwendungsregistrierung.

      

   3. Geben Sie im Menü zum Erstellen der App-Registrierung einen Namen und eine Anmelde-URL ein (dies kann eine beliebige URL sein, die einzige Anforderung ist, dass sie gültig sein muss), und klicken Sie dann auf Erstellen.

      

   4. Suchen und öffnen Sie die neu erstellte registrierte App und notieren Sie die Anwendungs-ID.

      

   5. Öffnen Sie erneut die neu erstellte Registrierungs-App, und um den erforderlichen Sicherheitsschlüssel zu identifizieren, wählen Sie unter API-Zugriff Erforderliche Berechtigungen aus, um einem Drittanbieter die Bereitstellung einer Instanz zu ermöglichen. Wählen Sie dann Hinzufügen.

      

   6. Beim Hinzufügen der erforderlichen Berechtigungen wählen Sie Eine API auswählen und markieren dann Windows Azure Service Management API.

      

   7. Aktivieren Sie Delegierte Berechtigungen, um Instanzen bereitzustellen, und klicken Sie dann auf Auswählen und Fertig.

      

   8. Wählen Sie für diese registrierte App unter API-Zugriff Schlüssel aus und erstellen Sie eine geheime Schlüsselbeschreibung und die gewünschte Dauer für die Gültigkeit des Schlüssels. Klicken Sie dann auf Speichern, wodurch ein geheimer Schlüssel erzeugt wird (der Schlüssel wird nur für den Bereitstellungsprozess benötigt und kann gelöscht werden, nachdem die Instanz verfügbar gemacht wurde).

      

   9. Kopieren und speichern Sie den geheimen Schlüssel (beachten Sie, dass Sie diesen später nicht mehr abrufen können).

      

   10. Um die erforderliche Mandanten-ID zu identifizieren, navigieren Sie zurück zum Bereich „App-Registrierung“ und wählen Sie Endpunkte aus.

       

   11. Kopieren Sie das Federation Metadata Document, um Ihre Mandanten-ID zu identifizieren (beachten Sie, dass die Mandanten-ID eine 36-stellige Zeichenfolge ist, die sich zwischen „online.com/“ und „/federation“ in der URL befindet).

       

   12. Das letzte erforderliche Element ist der SSH-Public Key. Dieser kann mit Putty Key Generator oder ssh-keygen erstellt werden und wird zur Authentifizierung verwendet, wodurch die Notwendigkeit von Passwörtern für die Anmeldung entfällt. Der SSH-Public Key kann kopiert werden (einschließlich der Kopfzeile ssh-rsa und der nachgestellten rsa-key-Zeichenfolgen). Dieser Public Key wird über die SD-WAN Center-Eingabe an den Citrix Zero Touch Deployment Service weitergegeben.

       

   13. Zusätzliche Schritte sind erforderlich, um der Anwendung eine Rolle zuzuweisen. Navigieren Sie zurück zu „Weitere Dienste“ und dann zu „Abonnements“.

       

   14. Wählen Sie das aktive Abonnement aus, dann Zugriffssteuerung (AIM), und klicken Sie anschließend auf Hinzufügen.

       

   15. Wählen Sie im Bereich „Berechtigungen hinzufügen“ die Rolle „Besitzer“ aus, weisen Sie den Zugriff auf „Azure AD-Benutzer, -Gruppe oder -Anwendung“ zu und suchen Sie im Feld Auswählen nach der registrierten App, um dem Zero Touch Deployment Cloud Service das Erstellen und Konfigurieren der Instanz im Azure-Abonnement zu ermöglichen. Sobald die App identifiziert ist, wählen Sie sie aus und stellen Sie sicher, dass sie als ausgewähltes Mitglied angezeigt wird, bevor Sie auf Speichern klicken.

       

   16. Nachdem Sie die erforderlichen Eingaben gesammelt und in das SD-WAN Center eingegeben haben, klicken Sie auf Weiter. Wenn die Eingaben nicht korrekt sind, tritt ein Authentifizierungsfehler auf.

       

SD-WAN Center-Bereitstellung und Azure-Bereitstellung (Schritt 2 von 2)

1. Sobald die Azure-Authentifizierung erfolgreich war, füllen Sie die entsprechenden Felder aus, um die gewünschte Azure-Region und die entsprechende Instanzgröße auszuwählen, und klicken Sie dann auf Bereitstellen.

   

2. Das Navigieren zur Registerkarte Ausstehende Aktivierung im SD-WAN Center hilft Ihnen, den aktuellen Status der Bereitstellung zu verfolgen.

   

3. Eine E-Mail mit einem Aktivierungscode wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Vorgang auszulösen und den Aktivierungsstatus zu überprüfen.

   

4. Eine E-Mail mit einer Aktivierungs-URL wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Vorgang auszulösen und den Aktivierungsstatus zu überprüfen.

   

5. Es dauert einige Minuten, bis die Instanz vom SD-WAN Cloud Service bereitgestellt wird. Sie können die Aktivität im Azure-Portal unter Aktivitätsprotokoll für die automatisch erstellte Ressourcengruppe überwachen. Alle Probleme oder Fehler bei der Bereitstellung werden hier sowie im SD-WAN Center im Aktivierungsstatus angezeigt.

   

6. Im Azure-Portal ist die erfolgreich gestartete Instanz unter Virtuelle Maschinen verfügbar. Um die zugewiesene öffentliche IP-Adresse zu erhalten, navigieren Sie zur Übersicht der Instanz.

   

7. Nachdem die VM in einem laufenden Zustand ist, warten Sie eine Minute, bevor der Dienst die Konfiguration, Software und Lizenz herunterlädt.

   

8. Nachdem jeder der Schritte des SD-WAN Cloud-Dienstes automatisch abgeschlossen wurde, melden Sie sich über die öffentliche IP-Adresse, die Sie vom Azure-Portal erhalten haben, bei der Weboberfläche der SD-WAN-Instanzen an.

   

9. Die Seite „Citrix SD-WAN Monitoring Statistics“ zeigt eine erfolgreiche Konnektivität vom MCN zur SD-WAN-Instanz in Azure an.

   

10. Darüber hinaus wird der erfolgreiche (oder erfolglose) Bereitstellungsversuch auf der Seite „Aktivierungsverlauf“ des SD-WAN Centers protokolliert.