Citrix SD-WAN Orchestrator

Implemente la instancia de Citrix SD-WAN Standard Edition en Azure

Citrix SD-WAN Standard Edition (SE) para Azure enlaza de forma lógica varios enlaces de red en una única ruta virtual lógica segura. La solución permite a las organizaciones utilizar conexiones de diferentes proveedores de servicios, incluidos los enlaces de banda ancha, MPLS, 4G/LTE, satélite y punto a punto para obtener rutas WAN virtuales de alta resiliencia. Citrix SD-WAN para Azure permite a las organizaciones tener una conexión segura y directa desde cada sucursal a las aplicaciones alojadas en Azure, lo que elimina la necesidad de hacer backhaul del tráfico enlazado a la nube a través de un centro de datos. Algunos de los beneficios de usar Citrix SD-WAN en Azure son:

  • Cree conexiones directas desde todas las ubicaciones a Azure.
  • Asegúrese de tener una conexión siempre activa a Azure.
  • Extiende su perímetro seguro a la nube.
  • Evolucione a una red de sucursales simple y fácil de administrar.

Para obtener más información sobre la topología, el caso de uso y el aprovisionamiento manual de una instancia de SD-WAN SE en Azure, consulte Implementar una instancia de Citrix SD-WAN Standard Edition en Azure.

El servicio Citrix SD-WAN Orchestrator permite implementar una instancia de Citrix SD-WAN en Azure de forma rápida y sencilla. El servicio Citrix SD-WAN Orchestrator automatiza el proceso de aprovisionamiento de una máquina virtual en Azure a la vez que define un sitio en la nube. Se crea un grupo de recursos nuevo y único, especificado por el usuario, en Azure para cada sitio en la nube. Puede elegir las redes virtuales o subredes existentes en el grupo de recursos o crear redes virtuales o subredes que se utilicen para el aprovisionamiento. Puede usar una plantilla de instancias de máquina virtual para implementar Citrix SD-WAN VPX directamente desde el servicio Citrix SD-WAN Orchestrator. Las interfaces y las configuraciones de enlaces WAN se rellenan automáticamente en la configuración de Orchestrator en función de los recursos creados en Azure. A continuación, puede organizar y activar la configuración en la instancia VPX mediante el servicio Citrix SD-WAN Orchestrator.

Como requisito previo para implementar una instancia VPX de SD-WAN en Azure, asegúrese de tener una suscripción al servicio Citrix SD-WAN Orchestrator y una suscripción al servicio Microsoft Azure.

Para implementar una instancia VPX de SD-WAN en Azure:

  1. En el panel de control de red, haga clic en + Nuevo sitio para crear un sitio en la nube. Introduzca un nombre para el sitio y seleccione Sitio en la nube. Seleccione Azure como proveedor de nube y seleccione la región de Azure en la que quiere implementar la instancia de SD-WAN.

    Nuevo sitio en la nube

  2. Proporcione los detalles del sitio. Para obtener más información sobre las funciones del sitio y la configuración avanzada, consulte Detalles del sitio.

    Nota

    La opción Enable Source MAC Learning almacena la dirección MAC de origen de los paquetes recibidos para que los paquetes salientes al mismo destino se puedan enviar al mismo puerto.

    Detalles del sitio

  3. Habilite la alta disponibilidad (HA), si es necesario. Si la HA está habilitada, se crean dos máquinas virtuales, una máquina virtual principal y una secundaria en Azure. No es necesario que proporciones los números de serie del dispositivo. Los números de serie de los dispositivos se obtienen automáticamente durante el aprovisionamiento. Para obtener más información sobre la configuración avanzada de HA, consulte Detalles del dispositivo. Para permitir el tráfico a través de HA en el portal de Azure, consulte el sitio Internet breakout for Azure HA.

    Detalles del dispositivo

  4. Proporcione los detalles de la suscripción al servicio Cloud y los parámetros de configuración de la máquina virtual.

    Detalles de la nube

    a. Haga clic en Crear ID de suscripción. Proporcione el ID de suscripción, el ID de arrendatario, el ID de aplicación y la clave secreta disponibles en su portal de Azure. Para obtener información sobre dónde encontrar los detalles de la suscripción en el portal de Azure, consulte Identificar los ID.

    Gestionar la suscripción

    Puede agregar varias suscripciones. Una vez guardados los detalles de la suscripción, puede seleccionar un identificador de suscripción. Especifique la región de Azure en la que quiere implementar la instancia y proporcione un nombre para el nuevo grupo de recursos.

    Información sobre la nube

    b. Seleccione uno de los siguientes tipos de instancias de máquinas virtuales según sus necesidades y proporcione las credenciales de inicio de sesión. - Tipo de instancia D3_V2 para un rendimiento unidireccional máximo de 200 Mbps con 16 rutas o ramas virtuales como máximo. - Tipo de instancia D4_V2 para un rendimiento unidireccional máximo de 500 Mbps con 16 rutas o ramas virtuales como máximo. - Estándar de tipo de instancia F8 para un rendimiento unidireccional máximo de 1 Gbps con un máximo de 64 rutas o ramas virtuales. - Estándar de tipo de instancia F16 para un rendimiento unidireccional máximo de 1 Gbps con un máximo de 128 rutas/ramas virtuales.

    Nuevo sitio en la nube

    Nota

    No puede aprovisionar la instancia con el nombre de usuario admin, ya que es un nombre reservado. Sin embargo, para obtener acceso de administrador después de aprovisionar la instancia, usa admin como el nombre de usuario y la contraseña creados al aprovisionar la instancia. Si utiliza el nombre de usuario creado durante el Provisioning de la instancia, obtendrá acceso de solo lectura.

    Pautas para el nombre de usuario:

    • El nombre de usuario solo debe contener letras, números, guiones y guiones bajos, y no debe comenzar con un guión o un número.
    • Los nombres de usuario no deben incluir palabras reservadas.
    • El valor tiene entre 1 y 64 caracteres.

    Pautas para la contraseña:

    • El valor no debe estar vacío.
    • La contraseña debe tener tres de los siguientes elementos:
    • Un carácter en minúscula
    • Un carácter en mayúscula
    • Un personaje especial
    • El valor tiene entre 12 y 72 caracteres.

    c. Cree una nueva VNet o seleccione una VNet existente. Las redes virtuales existentes se muestran en función de la suscripción a la nube seleccionada. Para la VNet seleccionada, puede seleccionar subredes LAN y WAN existentes o crear subredes. Asegúrese de que la opción Habilitar IP pública para la administración esté seleccionada y haga clic en Guardar.

    Nota

    Las subredes LAN y WAN no deben ser las mismas.

    Configuración de la red

    d. Haga clic en Implementar configuración para crear una instancia VPX de SD-WAN en Azure con la configuración de red y la máquina virtual especificadas. Esto tardaría entre 10 y 15 minutos. El estado de la implementación se muestra en la interfaz de usuario. Estado de implementación

    Nota

    • Una vez creada la instancia en Azure, continúe con el proceso Stage and Activate para actualizar Azure VPX a la versión de software y la configuración deseadas, tal como se definen en Orchestrator.
    • Una vez iniciada la implementación, no podrá realizar ningún cambio en la configuración del sitio en la nube, como el grupo de recursos, las redes virtuales, las subredes, el nombre de usuario y la contraseña de VPX. Si la implementación falla, puede proporcionar una configuración revisada antes de iniciar la implementación.
    • Para eliminar la instancia VPX de SD-WAN de Azure y continuar con una implementación limpia, haga clic en Eliminar configuración. Esto no elimina el sitio del servicio Citrix SD-WAN Orchestrator. Solo elimina la instancia VPX de SD-WAN. Puede proporcionar detalles revisados del sitio en la nube y continuar con la implementación de la configuración.
    • Para eliminar la máquina virtual en Azure y liberar recursos, haga clic en Eliminar configuración.
  5. Las interfaces, los enlaces WAN y las rutas se crean automáticamente en función de los recursos aprovisionados en Azure. Puede navegar hasta la ficha Interfaces, enlaces WANy rutas para ver la configuración.

    Nota Las direcciones IPv4 se utilizan para la configuración de la LAN, la WAN y la interfaz de acceso. Las direcciones IPv6 aún no son compatibles.

    Interfaces

    Enlaces WAN

    Rutas

  6. Una vez que la máquina virtual se ha implementado correctamente, la máquina virtual tarda entre 5 y 10 minutos en estar en funcionamiento.

    La sección Resumen proporciona un resumen de los detalles del sitio, los detalles de la interfaz y los detalles del enlace WAN. Haga clic en Guardar. Haga clic en Verificar configuración para rellenar el número de serie del dispositivo.

    Resumen

    Se crea la máquina virtual de Azure y la configuración está lista. Sin embargo, la configuración no se aplica a la instancia de SD-WAN.

  7. Para enviar la configuración a la instancia de SD-WAN aprovisionada en Azure, vaya a Network Configuration: Home. Seleccione la versión de software requerida y haga clic en Deploy Config/Software. Para obtener más información sobre la preparación y la activación, consulte Deployment Tracker.

    Implementación

    Una vez que se complete el proceso de preparación y activación y se establezcan las rutas virtuales. Ahora puede administrar y supervisar la instancia mediante el servicio Citrix SD-WAN Orchestrator.

Cree un principal de servicio para implementar VPX en Azure

Para que el servicio Citrix SD-WAN Orchestrator se autentique a través de las API de Azure y habilite la conectividad automatizada, se debe crear e identificar una aplicación registrada con las siguientes credenciales de autenticación:

  • ID de suscripción
  • ID de cliente
  • Secreto del cliente
  • ID de arrendatario

Nota:

Después de crear la entidad principal de servicio para permitir la comunicación con la API de Azure, asegúrese de asociar las funciones adecuadas al nivel de suscripción. De lo contrario, el servicio Citrix SD-WAN Orchestrator no tendrá permisos suficientes para autenticar e implementar recursos mediante las API de Azure que permiten la conectividad automatizada.

Realice los siguientes pasos para crear un registro de aplicación:

  1. En el portal de Azure, vaya a Azure Active Directory.
  2. En Administrar, selecciona Registro de aplicaciones.
  3. Haga clic en + Nuevo registro.

    Nuevo registro de Azure

  4. Proporcione valores para los siguientes campos para registrar una aplicación:

    • Nombre: Proporcione el nombre para el registro de la aplicación.
    • Tipos de cuentas compatibles: Seleccione la opción Solo cuentas en este directorio organizacional (* - Arrendatario único).
    • URI de redireccionamiento (opcional): Seleccione Web en la lista desplegable e introduzca una URL única y aleatoria (por ejemplo, https://localhost: 4980)
    • Haga clic en Registrar.

    Registrar una solicitud

    Puede copiar y almacenar el ID de aplicación (cliente) y el ID de directorio (arrendatario) que se pueden usar en el servicio Citrix SD-WAN Orchestrator para la autenticación en la suscripción de Azure para el uso de la API.

    ID de cliente e arrendatario

    El siguiente paso para el registro de la aplicación, crear una clave principal de servicio para fines de autenticación.

    Para crear la clave principal de servicio, realice los siguientes pasos:

    1. En el portal de Azure, vaya a Azure Active Directory.
    2. En Administrar, navega hasta Registro de aplicaciones.
    3. Seleccione la aplicación registrada (creada anteriormente).
    4. En Administrar, seleccione Certificados y secretos.
    5. En Secretos de cliente, haga clic en + Nuevo secreto de cliente.

      Nuevo secreto de cliente

    6. Para agregar un secreto de cliente, proporcione valores para los siguientes campos:
      • Descripción: Proporcione un nombre para la clave principal del servicio.
      • Expira: Seleccione la duración de la caducidad según sea necesario.

      Agregar un secreto de cliente

    7. Haga clic en Agregar.
    8. El secreto del cliente está inhabilitado en la columna Valor. Copie la clave en el portapapeles. Este es el secreto de cliente que debe introducir en el servicio Citrix SD-WAN Orchestrator.

      Clave secreta del cliente

      Nota:

      Copie y guarde el valor de la clave secreta antes de volver a cargar la página, ya que ya no se mostrará más adelante.

Asignaciones de funciones

Puede asignar las funciones adecuadas con fines de autenticación al nivel de suscripción. Realice los siguientes pasos para la asignación de funciones:

  1. En el portal de Azure, navegue hasta el nombre del perfil. Haga clic con el botón secundario en el nombre del perfil y seleccione Mis permisos.

    Asignaciones de funciones

  2. En la página Mis permisos, seleccione el enlace Haga clic aquí para ver todos los detalles de acceso a esta suscripción.

    Asignaciones de funciones

  3. En la sección de navegación de la izquierda, vaya a Control de acceso (IAM), seleccione la ficha Asignaciones de funciones y haga clic en +.

    Asignaciones de funciones

  4. Para “Agregar asignación de funciones”, elija rol = “Colaborador”, Asignar acceso a = “Usuario, grupo o principal de servicio” y, en la tercera lista desplegable, seleccione Seleccione = nombre de la aplicación Azure y, a continuación, “Guardar”. Esto otorga suficientes privilegios para realizar llamadas de API a Azure mediante service principal.

  5. En la página Agregar asignación de funciones, seleccione las siguientes opciones:

    • Rol: Colaborador
    • Asignar acceso a: Usuario, grupo o principal de servicio
    • Seleccione: Indique el nombre de la aplicación de Azure.

    Asignaciones de funciones

  6. Haga clic en Guardar. Estos pasos otorgan suficientes privilegios para que el servicio Citrix SD-WAN Orchestrator realice una llamada de API a Azure mediante service principal.

Internet breakout para el sitio Azure HA

Para configurar Internet Breakout para el sitio de Azure HA:

  1. En el dispositivo del sitio, configure la IP de DHCP en la interfaz WAN con la IP pública configurada para el enlace WAN.
  2. Configure el servicio de Internet en el sitio.
  3. Agregue una NAT restringida de puerto dinámico saliente con el servicio interno como Internet.
  4. Agregue una directiva de firewall en el sitio para permitir que el balanceador de carga de Azure realice sondeos de estado en el puerto número 500.

    Directiva de firewall

  5. Agregue otra regla de equilibrio de carga en el balanceador de cargas externo de Azure para TCP en el puerto número 80, con la Direct Server Return inhabilitada.

    regla de equilibrio de carga

  6. En la máquina cliente final que debe conectarse a Internet, establezca la dirección IP del siguiente salto de la ruta en la dirección IP privada del equilibrador de carga interno. La dirección IP del balanceador de carga está configurada como LAN VIP en el sitio.
Implemente la instancia de Citrix SD-WAN Standard Edition en Azure