Bereitstellen der Citrix SD-WAN Standard Edition-Instanz auf Azure
Citrix SD-WAN Standard Edition (SE) for Azure verbindet logisch mehrere Netzwerkverbindungen in einem einzigen sicheren logischen virtuellen Pfad. Die Lösung ermöglicht es Unternehmen, Verbindungen von verschiedenen Dienstanbietern wie Breitband-, MPLS-, 4G/LTE-, Satelliten- und Punkt-zu-Punkt-Verbindungen zu verwenden, um virtuelle WAN-Pfade mit hoher Ausfallsicherheit zu erhalten. Mit Citrix SD-WAN für Azure können Unternehmen eine direkte sichere Verbindung von jeder Zweigstelle zu den in Azure gehosteten Anwendungen herstellen, sodass kein Backhaul des Cloud-gebundenen Datenverkehrs durch ein Rechenzentrum erforderlich ist. Einige der Vorteile der Verwendung von Citrix SD-WAN in Azure sind:
- Erstellen Sie direkte Verbindungen von jedem Standort zu Azure.
- Stellen Sie eine ständig aktive Verbindung zu Azure sicher.
- Erweitern Sie Ihren sicheren Perimeter auf die Cloud.
- Entwickeln Sie ein einfaches, leicht zu verwaltendes Filialnetz.
Weitere Informationen zur Topologie, zum Anwendungsfall und zur manuellen Bereitstellung einer SD-WAN SE-Instanz in Azure finden Sie unter Bereitstellen einer Citrix SD-WAN Standard Edition-Instanz in Azure.
Der Citrix SD-WAN Orchestrator Service ermöglicht die schnelle und einfache Bereitstellung einer Citrix SD-WAN-Instanz in Azure. Der Citrix SD-WAN Orchestrator Service automatisiert den Prozess der Bereitstellung einer virtuellen Maschine in Azure beim Definieren einer Cloud-Site. Eine neue und eindeutige Ressourcengruppe, die vom Benutzer angegeben wird, wird in Azure für jede Cloud-Site erstellt. Sie können entweder die vorhandenen VNets/Subnetze unter der Ressourcengruppe auswählen oder VNets/Subnetze erstellen, die für die Bereitstellung verwendet werden. Sie können eine VM-Instanzvorlage verwenden, um Citrix SD-WAN VPX direkt vom Citrix SD-WAN Orchestrator Service bereitzustellen. Die Schnittstellen und WAN-Link-Konfigurationen werden automatisch in der Orchestrator-Konfiguration basierend auf den in Azure erstellten Ressourcen aufgefüllt. Anschließend können Sie die Konfiguration auf der VPX-Instanz über den Citrix SD-WAN Orchestrator Service bereitstellen und aktivieren.
Stellen Sie als Voraussetzung für die Bereitstellung der SD-WAN VPX-Instanz in Azure sicher, dass Sie über ein Citrix SD-WAN Orchestrator Service Orchestrator-Dienstabonnement und ein Microsoft Azure-Dienstabonnement verfügen.
So stellen Sie eine SD-WAN VPX-Instanz auf Azure bereit:
-
Klicken Sie im Netzwerk-Dashboardauf + Neue Site, um eine Cloud-Site zu erstellen. Geben Sie einen Namen für die Site an und wählen Sie Cloud-Siteaus. Wählen Sie Azure als Cloud-Anbieter und wählen Sie die Azure-Region aus, in der Sie die SD-WAN-Instanz bereitstellen möchten.
-
Geben Sie die Site-Details an. Weitere Informationen zu Site-Rollen und erweiterten Einstellungen finden Sie unter Site-Details.
Hinweis
Die Option Quell-MAC-Lernen aktivieren speichert die Quell-MAC-Adresse der empfangenen Pakete, sodass ausgehende Pakete an dasselbe Ziel an denselben Port gesendet werden können.
-
Aktivieren Sie bei Bedarf Hochverfügbarkeit (HA). Wenn HA aktiviert ist, werden zwei virtuelle Maschinen, eine primäre und eine sekundäre virtuelle Maschine, in Azure erstellt. Sie müssen die Seriennummern des Geräts nicht angeben. Die Seriennummern des Geräts werden bei der Bereitstellung automatisch abgerufen. Weitere Informationen zu den erweiterten HA-Einstellungen finden Sie unter Gerätedetails. Informationen zum Zulassen von Datenverkehr durch HA auf dem Azure-Portal finden Sie unter Internet-Breakout für Azure
-
Geben Sie die Abonnementdetails für den Cloud-Dienst und die Konfigurationsparameter der virtuellen Maschine an.
a. Klicken Sie auf Abonnement-ID erstellen. Geben Sie die Abonnement-ID, die Mandanten-ID, die Anwendungs-ID und den geheimen Schlüssel entsprechend der Verfügbarkeit in Ihrem Azure-Portal an Informationen dazu, wo Sie die Abonnementdetails im Azure-Portal finden, finden Sie unter Identifizieren von IDs.
Sie können mehrere Abonnements hinzufügen. Nachdem die Abonnementdetails gespeichert wurden, können Sie eine Abonnement-ID auswählen. Geben Sie die Azure-Region an, in der Sie die Instanz bereitstellen möchten, und geben Sie einen Namen für die neue Ressourcengruppean.
b. Wählen Sie einen der folgenden VM-Instanztypen gemäß Ihren Anforderungen aus und geben Sie die Anmeldeinformationen ein. - Instanztyp D3_V2 für maximalen unidirektionalen Durchsatz von 200 Mbit/s mit maximal 16 virtuellen Pfaden/Zweigen. - Instanztyp D4_V2 für maximalen unidirektionalen Durchsatz von 500 Mbit/s mit maximal 16 virtuellen Pfaden/Zweigen. - Instance-Typ F8 Standard für maximalen unidirektionalen Durchsatz von 1 Gbps mit maximal 64 virtuellen Pfaden/Zweigen. - Instance-Typ F16 Standard für maximalen unidirektionalen Durchsatz von 1 Gbit/s mit maximal 128 virtuellen Pfaden/Zweigen.
Hinweis
Sie können die Instanz nicht mit dem Benutzernamen admin versehen, da es sich um einen reservierten Namen handelt. Um jedoch nach der Bereitstellung der Instanz Administratorzugriff zu erhalten, verwenden Sie admin als Benutzernamen und Kennwort, das bei der Bereitstellung der Instanz erstellt wurde. Wenn Sie den Benutzernamen verwenden, der während der Provisioning der Instanz erstellt wurde, erhalten Sie schreibgeschützten Zugriff.
Richtlinien für Benutzernamen:
- Der Benutzername darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
- Benutzernamen dürfen keine reservierten Wörter enthalten.
- Der Wert ist zwischen 1 und 64 Zeichen lang.
Richtlinien für Passwörter:
- Der Wert darf nicht leer sein.
- Das Passwort muss drei der folgenden Elemente haben:
- Ein Kleinbuchstabe
- Ein Großbuchstabe
- Ein Sonderzeichen
- Der Wert ist zwischen 12 und 72 Zeichen lang.
c. Erstellen Sie ein neues VNet oder wählen Sie ein vorhandenes VNet aus. Bestehende VNets werden basierend auf dem ausgewählten Cloud-Abonnement angezeigt. Für das ausgewählte VNet können Sie entweder vorhandene LAN- und WAN-Subnetze auswählen oder Subnetze erstellen. Stellen Sie sicher, dass die Option Öffentliche IP für Verwaltung aktivieren ausgewählt ist, und klicken Sie auf Speichern.
Hinweis
Die LAN- und WAN-Subnetze dürfen nicht identisch sein.
d. Klicken Sie auf Konfiguration bereitstellen, um eine SD-WAN VPX-Instanz in Azure mit den angegebenen virtuellen Maschinen- und Netzwerkeinstellungen zu erstellen. Dies würde ungefähr 10-15 Minuten dauern. Der Bereitstellungsstatus wird in der Benutzeroberfläche angezeigt.
Hinweis
- Nachdem die Instanz in Azure erstellt wurde, fahren Sie mit dem Prozess Stage and Activate fort, um Azure VPX auf die gewünschte Softwareversion und Konfiguration zu aktualisieren, wie in Orchestrator definiert.
- Nachdem die Bereitstellung initiiert wurde, können Sie keine Änderungen an den Cloud-Site-Einstellungen wie Ressourcengruppe, VNets, Subnetze, Benutzername und Kennwort für VPX vornehmen. Wenn die Bereitstellung fehlschlägt, können Sie überarbeitete Einstellungen bereitstellen, bevor Sie die Bereitstellung starten.
- Um die SD-WAN VPX-Instanz aus Azure zu entfernen und mit einer sauberen Bereitstellung fortzufahren, klicken Sie auf Konfiguration löschen. Dadurch wird die Site nicht aus dem Citrix SD-WAN Orchestrator Service gelöscht. Es entfernt nur die SD-WAN VPX-Instanz. Sie können überarbeitete Cloud-Site-Details bereitstellen und mit der Bereitstellung der Konfiguration fortfahren.
- Um die virtuelle Maschine in Azure zu löschen und Ressourcen freizugeben, klicken Sie auf Konfiguration löschen.
-
Die Schnittstellen, WAN-Links und Routen werden automatisch basierend auf den in Azure bereitgestellten Ressourcen erstellt. Sie können zur Registerkarte Schnittstellen, WAN-Linksund Routen navigieren, um die Einstellungen anzuzeigen.
Hinweis: IPv4-Adressen werden für die LAN-, WAN- und Zugriffsschnittstelleneinstellungen verwendet. IPv6-Adressen werden noch nicht unterstützt.
-
Nachdem die virtuelle Maschine erfolgreich bereitgestellt wurde, dauert es etwa 5—10 Minuten, bis die virtuelle Maschine betriebsbereit ist.
Der Abschnitt Zusammenfassung enthält eine Zusammenfassung der Standortdetails, Schnittstellendetails und WAN-Verbindungsdetails. Klicken Sie auf Speichern. Klicken Sie auf Konfiguration überprüfen, um die Seriennummer des Geräts einzugeben.
Die virtuelle Azure-Maschine wird erstellt und die Konfiguration ist fertig. Die Konfiguration wird jedoch nicht auf die SD-WAN-Instanz angewendet.
-
Um die Konfiguration auf die bereitgestellte SD-WAN-Instanz in Azure zu übertragen, navigieren Sie zu Netzwerkkonfiguration: Home. Wählen Sie die gewünschte Softwareversion aus und klicken Sie auf Konfiguration/Software bereitstellen. Weitere Informationen zu Staging und Aktivierung finden Sie unter Deployment Tracker.
Nachdem der Staging- und Aktivierungsprozess abgeschlossen ist und die virtuellen Pfade eingerichtet wurden. Sie können die Instanz jetzt mit dem Citrix SD-WAN Orchestrator Service verwalten und überwachen.
Erstellen eines Dienstprinzipals für die Bereitstellung von VPX in Azure
Damit sich der Citrix SD-WAN Orchestrator Service über Azure-APIs authentifizieren und automatische Konnektivität aktivieren kann, muss eine registrierte Anwendung erstellt und mit den folgenden Authentifizierungsinformationen identifiziert werden:
- Abonnement-ID
- Client-ID
- Client Secret
- Mandanten-ID
Hinweis: Stellen Sie
nach dem Erstellen des Dienstprinzipals für die Azure-API-Kommunikation sicher, dass Sie die entsprechenden Rollen auf Abonnementebene zuweisen Andernfalls verfügt der Citrix SD-WAN Orchestrator Service nicht über ausreichende Berechtigungen zum Authentifizieren und Bereitstellen von Ressourcen mithilfe von Azure-APIs , die automatisierte Konnektivität ermöglichen.
Führen Sie die folgenden Schritte aus, um eine Anwendungsregistrierung zu erstellen:
- Navigieren Sie im Azure-Portal zu Azure Active Directory.
- Wähle unter Verwalten die Option App-Registrierungaus.
-
Klicken Sie auf + Neue Registrierung.
-
Geben Sie Werte für die folgenden Felder ein, um eine Anwendung zu registrieren:
- Name — Geben Sie den Namen für die Registrierung der Anwendung an.
- Unterstützte Kontotypen — Wählen Sie die Option Nur Konten in diesem Organisationsverzeichnis (* - Einzelner Mandant) aus.
- Umleitungs-URI (optional) — Wählen Sie Web aus der Dropdown-Liste aus und geben Sie eine zufällige, eindeutige URL ein (z. B. https://localhost: 4980)
- Klicken Sie auf Registrieren.
Sie können die Anwendungs-ID (Client) und die Verzeichnis-ID(Mandant) kopieren und speichern, die im Citrix SD-WAN Orchestrator Service für die Authentifizierung beim Azure-Abonnement für die Verwendung der API verwendet werden können.
Erstellen Sie im nächsten Schritt für die Anwendungsregistrierung einen Service-Principal Key zu Authentifizierungszwecken.
Um den Service-Principal Key zu erstellen, führen Sie die folgenden Schritte aus:
- Navigieren Sie im Azure-Portal zu Azure Active Directory.
- Navigieren Sie unter Verwaltenzu App-Registrierung.
- Wählen Sie die registrierte Anwendung (zuvor erstellt) aus.
- Wählen Manage die Option Certificates & secrets.
-
Klicken Sie unter Kundengeheimnisseauf + Neues Kundengeheimnis.
- Um ein Client-Geheimnis hinzuzufügen, geben Sie Werte für die folgenden Felder an:
- Beschreibung: Geben Sie einen Namen für den Dienstprinzipalschlüssel an.
- Läuft ab: Wählen Sie nach Bedarf die Dauer für den Ablauf aus.
- Klicken Sie auf Hinzufügen.
-
Das Client-Secret ist in der Spalte Wert deaktiviert. Kopieren Sie den Schlüssel in Ihre Zwischenablage. Dies ist das Clientgeheimnis, das Sie in den Citrix SD-WAN Orchestrator Service eingeben müssen.
Hinweis
Kopieren und speichern Sie den geheimen Schlüsselwert, bevor Sie die Seite neu laden, da er danach nicht mehr angezeigt wird.
Zuweisungen von Rollen
Sie können entsprechende Rollen für einen Authentifizierungszweck auf Abonnementebene zuweisen. Führen Sie die folgenden Schritte für die Rollenzuweisung aus:
-
Navigieren Sie im Azure-Portal zum Profilnamen. Rechtsklicken Sie auf den Profilnamen und wählen Sie Meine Berechtigungen.
-
Wählen Sie auf der Seite Meine Berechtigungen den Link Hier klicken, um die vollständigen Zugriffsdetails für dieses Abonnement anzuzeigen.
-
Gehen Sie im linken Navigationsbereich zu Zugriffssteuerung (IAM), wählen Sie die Registerkarte Rollenzuweisungen aus und klicken Sie auf +.
-
Wählen Sie für „Rollenzuweisung hinzufügen“ Rolle = „Mitwirkender“, Zugriff zuweisen = „Benutzer, Gruppe oder Dienstprinzipal“ und für die dritte Dropdown-Liste für Auswählen = Azure-App-Name und dann „Speichern“ aus. Dadurch werden genügend Berechtigungen für API-Aufrufe an Azure mithilfe des Dienstprinzipals gewährt.
-
Wählen Sie auf der Seite Rollenzuweisung hinzufügen die folgenden Optionen aus:
- Role: Contributor
- Zugriff zuweisen für: Benutzer, Gruppe oder Dienstprinzipal
- Wählen Sie: Geben Sie den Namen der Azure-App an.
-
Klicken Sie auf Speichern. Diese Schritte gewähren dem Citrix SD-WAN Orchestrator Service genügend Berechtigungen, um mithilfe des Dienstprinzipals einen API-Aufruf an Azure zu tätigen.
Internet-Breakout für Azure HA Site
So konfigurieren Sie Internet Breakout für Azure HA-Site:
- Konfigurieren Sie in der Standort-Appliance DHCP-IP auf der WAN-Schnittstelle mit Public IP, die für die WAN-Verbindung konfiguriert ist.
- Konfigurieren Sie den Internetdienst auf der Site.
- Fügen Sie eine NAT mit eingeschränkter dynamischer Port-Beschränkung für ausgehenden Verkehr mit dem Insider-Service
-
Fügen Sie auf der Site eine Firewallrichtlinie hinzu, um Azure Load Balancer-Integritätstests auf Portnummer 500 zuzulassen.
-
Fügen Sie eine weitere Lastausgleichsregel auf dem externen Azure-Load Balancer für TCP auf Portnummer 80 hinzu, wobei die Direct Server Return deaktiviert ist.
- Legen Sie auf dem Endclientcomputer, der zum Internet ausbrechen muss, die nächste Hop-IP-Adresse der Route auf die private IP-Adresse des Internal Load Balancer fest. Die IP-Adresse des Load Balancers ist in der Site als LAN-VIP konfiguriert.