Azure

Mit SD-WAN Release 9.3 wurden die Zero-Touch-Bereitstellungsfunktionen auf Cloud-Instanzen erweitert. Das Verfahren zur Bereitstellung des Zero-Touch-Bereitstellungsprozesses für Cloud-Instanzen unterscheidet sich geringfügig von der Appliance-Bereitstellung für den Zero-Touch-Dienst.

Aktualisieren der Konfiguration zum Hinzufügen eines neuen Remotestandorts mit einem ZTD-fähigen SD-WAN-Cloud-Gerät mithilfe der SD-WAN Center-Netzwerkkonfiguration

Wenn die SD-WAN-Konfiguration nicht mithilfe der SD-WAN Center-Netzwerkkonfiguration erstellt wurde, importieren Sie die aktive Konfiguration vom MCN und beginnen Sie mit der Änderung der Konfiguration mithilfe des SD-WAN Centers. Für die Zero-Touch-Bereitstellungsfunktion muss der SD-WAN-Administrator die Konfiguration mithilfe des SD-WAN Centers erstellen. Das folgende Verfahren sollte verwendet werden, um einen neuen Cloud-Knoten hinzuzufügen, der für die Zero-Touch-Bereitstellung vorgesehen ist.

1. Entwerfen Sie den neuen Standort für die SD-WAN-Cloud-Bereitstellung, indem Sie zunächst die Details des neuen Standorts skizzieren (d. h. VPX-Größe, Nutzung von Schnittstellengruppen, virtuelle IP-Adressen, WAN-Verbindung(en) mit Bandbreite und deren jeweilige Gateways).

   Hinweis

   • Cloud-bereitgestellte SD-WAN-Instanzen müssen im Edge-/Gateway-Modus bereitgestellt werden.
   • Die Vorlage für die Cloud-Instanz ist auf drei Schnittstellen beschränkt: Management, LAN und WAN (in dieser Reihenfolge).
   • Die verfügbaren Azure-Cloud-Vorlagen für SD-WAN VPX sind derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt. Die SD-WAN-Konfiguration für den Azure-Knoten, der für Zero Touch vorgesehen ist, muss diesem Layout entsprechen.
   • Der Azure-Standortname in der Konfiguration muss vollständig in Kleinbuchstaben und ohne Sonderzeichen (z. B. ztdazure) angegeben werden.

   

   Dies ist ein Beispiel für die Bereitstellung eines SD-WAN-Cloud-Standorts. Das Citrix SD-WAN™-Gerät wird als Edge-Gerät eingesetzt, das eine einzelne Internet-WAN-Verbindung in diesem Cloud-Netzwerk bedient. Remotestandorte können mehrere unterschiedliche Internet-WAN-Verbindungen nutzen, die mit demselben Internet-Gateway für die Cloud verbunden sind, was Redundanz und aggregierte Bandbreitenkonnektivität von jedem SD-WAN-Bereitstellungsstandort zur Cloud-Infrastruktur bietet. Dies ermöglicht eine kostengünstige und hochzuverlässige Konnektivität zur Cloud.

2. Öffnen Sie die Webverwaltungsoberfläche des SD-WAN Centers und navigieren Sie zur Seite Configuration > Network Configuration.

   

3. Stellen Sie sicher, dass bereits eine funktionierende Konfiguration vorhanden ist, oder importieren Sie die Konfiguration vom MCN.

4. Navigieren Sie zur Registerkarte „Basic“, um einen neuen Standort zu erstellen.

5. Öffnen Sie die Kachel „Sites“, um die aktuell konfigurierten Standorte anzuzeigen.

6. Erstellen Sie schnell die Konfiguration für den neuen Cloud-Standort, indem Sie die Klonfunktion eines vorhandenen Standorts nutzen oder manuell einen neuen Standort erstellen.

   

7. Füllen Sie alle erforderlichen Felder aus der zuvor für diesen neuen Cloud-Standort entworfenen Topologie aus.

   Beachten Sie, dass die für Azure Cloud ZTD-Bereitstellungen verfügbare Vorlage derzeit fest auf die IP 10.9.4.106 für das WAN, die IP 10.9.3.106 für das LAN und die IP 10.9.0.16 für die Management-Adresse eingestellt ist. Wenn die Konfiguration nicht so eingestellt ist, dass sie der erwarteten VIP-Adresse für jede Schnittstelle entspricht, kann das Gerät keine ordnungsgemäße ARP-Verbindung zu den Cloud-Umgebungs-Gateways und keine IP-Konnektivität zum virtuellen Pfad des MCN herstellen.

   Es ist wichtig, dass der Standortname den Erwartungen von Azure entspricht. Der Standortname muss vollständig in Kleinbuchstaben, mindestens 6 Zeichen lang und ohne Sonderzeichen sein. Er muss dem folgenden regulären Ausdruck entsprechen: ^[a-z][a-z0-9-]{1,61}[a-z0-9]$.

   

8. Nach dem Klonen eines neuen Standorts navigieren Sie zu den Basic Settings des Standorts und überprüfen, ob das SD-WAN-Modell korrekt ausgewählt ist, das den Zero-Touch-Dienst unterstützt.

   

9. Speichern Sie die neue Konfiguration im SD-WAN Center und verwenden Sie die Option „Export to Change Management inbox“, um die Konfiguration mithilfe des Änderungsmanagements zu übertragen.

10. Befolgen Sie das Änderungsmanagementverfahren, um die neue Konfiguration ordnungsgemäß bereitzustellen. Dadurch werden die vorhandenen SD-WAN-Geräte über den neuen Standort informiert, der per Zero Touch bereitgestellt werden soll. Sie müssen die Option „Ignore Incomplete“ verwenden, um den Versuch zu überspringen, die Konfiguration an den neuen Standort zu übertragen, der noch den ZTD-Workflow durchlaufen muss.

    

Navigieren Sie zur Zero Touch Deployment-Seite des SD-WAN Centers, und mit der neuen aktiven Konfiguration wird der neue Standort für die SD-WAN Center-Bereitstellung und -Verteilung von Azure verfügbar sein (Schritt 1 von 2)

1. Melden Sie sich auf der Zero Touch Deployment-Seite mit Ihren Citrix®-Kontodaten an. Wählen Sie unter der Registerkarte Deploy New Site die aktive Netzwerkkonfigurationsdatei aus.

2. Nachdem die aktive Konfigurationsdatei ausgewählt wurde, wird die Liste aller Zweigstellen mit ZTD-fähigen Citrix SD-WAN-Geräten angezeigt.

   

3. Wählen Sie den Ziel-Cloud-Standort aus, den Sie mit dem Zero-Touch-Dienst bereitstellen möchten, klicken Sie auf Enable und dann auf Provision and Deploy.

   

4. Es erscheint ein Pop-up-Fenster, in dem der Citrix SD-WAN-Administrator die Bereitstellung für Zero Touch initiieren kann. Überprüfen Sie, ob der Standortname den Anforderungen von Azure entspricht (Kleinbuchstaben ohne Sonderzeichen). Geben Sie eine E-Mail-Adresse ein, an die die Aktivierungs-URL gesendet werden kann, und wählen Sie Azure als Provision Type für die gewünschte Cloud aus, bevor Sie auf Next klicken.

   

5. Nach dem Klicken auf Next erfordert das Fenster „Provision and Deploy Azure (Schritt 1 von 2)“ die Eingabe von Informationen, die aus dem Azure-Konto abgerufen wurden.

   Kopieren Sie jedes erforderliche Feld und fügen Sie es ein, nachdem Sie die Informationen aus Ihrem Azure-Konto erhalten haben. Die folgenden Schritte beschreiben, wie Sie die erforderliche Abonnement-ID, Anwendungs-ID, den geheimen Schlüssel und die Mandanten-ID aus Ihrem Azure-Konto erhalten. Fahren Sie dann fort, indem Sie auf Next klicken.

   

   1. Im Azure-Konto können wir die erforderliche Abonnement-ID identifizieren, indem wir zu „More Services“ navigieren und Subscriptions auswählen.

      

   2. Um die erforderliche Anwendungs-ID zu identifizieren, navigieren Sie zu Azure Active Directory, Application registrations, und klicken Sie auf New application registration.

      

   3. Geben Sie im Menü zur Erstellung der App-Registrierung einen Namen und eine Anmelde-URL ein (dies kann eine beliebige URL sein, die einzige Anforderung ist, dass sie gültig sein muss), und klicken Sie dann auf Create.

      

   4. Suchen und öffnen Sie die neu erstellte registrierte App und notieren Sie die Anwendungs-ID.

      

   5. Öffnen Sie erneut die neu erstellte Registrierungs-App, und um den erforderlichen Sicherheitsschlüssel zu identifizieren, wählen Sie unter API Access die Option Required permissions aus, um einem Drittanbieter die Bereitstellung einer Instanz zu ermöglichen. Wählen Sie dann Add aus.

      

   6. Beim Hinzufügen der erforderlichen Berechtigungen wählen Sie Select an API und markieren dann Windows Azure Service Management API.

      

   7. Aktivieren Sie Delegate Permissions, um Instanzen bereitzustellen, und klicken Sie dann auf Select und Done.

      

   8. Wählen Sie für diese registrierte App unter API Access die Option Keys aus und erstellen Sie eine geheime Schlüsselbeschreibung sowie die gewünschte Dauer für die Gültigkeit des Schlüssels. Klicken Sie dann auf Save, wodurch ein geheimer Schlüssel erzeugt wird (der Schlüssel wird nur für den Bereitstellungsprozess benötigt und kann gelöscht werden, nachdem die Instanz verfügbar gemacht wurde).

      

   9. Kopieren und speichern Sie den geheimen Schlüssel (beachten Sie, dass Sie diesen später nicht mehr abrufen können).

      

   10. Um die erforderliche Mandanten-ID zu identifizieren, navigieren Sie zurück zum Bereich „App registration“ und wählen Sie Endpoints aus.

       

   11. Kopieren Sie das Federation Metadata Document, um Ihre Mandanten-ID zu identifizieren (beachten Sie, dass die Mandanten-ID eine 36-stellige Zeichenfolge ist, die sich zwischen „online.com/“ und „/federation“ in der URL befindet).

       

   12. Das letzte erforderliche Element ist der SSH Public Key. Dieser kann mit Putty Key Generator oder ssh-keygen erstellt werden und wird zur Authentifizierung verwendet, wodurch die Notwendigkeit von Passwörtern für die Anmeldung entfällt. Der SSH Public Key kann kopiert werden (einschließlich der Überschrift ssh-rsa und der nachgestellten rsa-key-Zeichenfolgen). Dieser öffentliche Schlüssel wird über die SD-WAN Center-Eingabe an den Citrix Zero Touch Deployment Service weitergegeben.

       

   13. Zusätzliche Schritte sind erforderlich, um der Anwendung eine Rolle zuzuweisen. Navigieren Sie zurück zu „More Services“ und dann zu „Subscriptions“.

       

   14. Wählen Sie das aktive Abonnement aus, dann Access control (AIM), und klicken Sie anschließend auf Add.

       

   15. Wählen Sie im Bereich „Berechtigungen hinzufügen“ die Rolle „Owner“ aus, weisen Sie den Zugriff auf „Azure AD user, group, or application“ zu und suchen Sie im Feld Select nach der registrierten App, um dem Zero Touch Deployment Cloud Service das Erstellen und Konfigurieren der Instanz im Azure-Abonnement zu ermöglichen. Sobald die App identifiziert wurde, wählen Sie sie aus und stellen Sie sicher, dass sie als ausgewähltes Mitglied angezeigt wird, bevor Sie auf Save klicken.

       

   16. Nachdem Sie die erforderlichen Eingaben gesammelt und in das SD-WAN Center eingegeben haben, klicken Sie auf Next. Wenn die Eingaben nicht korrekt sind, tritt ein Authentifizierungsfehler auf.

       

SD-WAN Center: Azure bereitstellen und verteilen (Schritt 2 von 2)

1. Sobald die Azure-Authentifizierung erfolgreich ist, füllen Sie die entsprechenden Felder aus, um die gewünschte Azure-Region und die entsprechende Instanzgröße auszuwählen, und klicken Sie dann auf Deploy.

   

2. Das Navigieren zur Registerkarte Pending Activation im SD-WAN Center hilft, den aktuellen Status der Bereitstellung zu verfolgen.

   

3. Eine E-Mail mit einem Aktivierungscode wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Prozess auszulösen und den Aktivierungsstatus zu überprüfen.

   

4. Eine E-Mail mit einer Aktivierungs-URL wird an die in Schritt 1 eingegebene E-Mail-Adresse gesendet. Rufen Sie die E-Mail ab und öffnen Sie die Aktivierungs-URL, um den Prozess auszulösen und den Aktivierungsstatus zu überprüfen.

   

5. Es dauert einige Minuten, bis die Instanz vom SD-WAN Cloud Service bereitgestellt wird. Sie können die Aktivität im Azure-Portal unter Activity log für die automatisch erstellte Resource Group überwachen. Alle Probleme oder Fehler bei der Bereitstellung werden hier angezeigt und auch im SD-WAN Center im Aktivierungsstatus repliziert.

   

6. Im Azure-Portal ist die erfolgreich gestartete Instanz unter Virtual Machines verfügbar. Um die zugewiesene öffentliche IP-Adresse zu erhalten, navigieren Sie zur Übersicht der Instanz.

   

7. Nachdem die VM den Status „running“ erreicht hat, warten Sie eine Minute, bevor der Dienst die Konfiguration, Software und Lizenz herunterlädt.

   

8. Nachdem jeder der Schritte des SD-WAN Cloud Service automatisch abgeschlossen wurde, melden Sie sich über die öffentliche IP-Adresse, die Sie vom Azure-Portal erhalten haben, bei der Weboberfläche der SD-WAN-Instanzen an.

   

9. Die Seite „Citrix SD-WAN Monitoring Statistics“ zeigt eine erfolgreiche Konnektivität vom MCN zur SD-WAN-Instanz in Azure an.

   

10. Darüber hinaus wird der erfolgreiche (oder erfolglose) Bereitstellungsversuch auf der Seite „Activation History“ des SD-WAN Centers protokolliert.