Azure

Avec la version 9.3 de SD-WAN, les capacités de déploiement sans intervention (Zero Touch Deployment) ont été étendues aux instances Cloud. La procédure de déploiement sans intervention pour les instances Cloud est légèrement différente de celle du déploiement d’appliances pour le service Zero Touch.

Mise à jour de la configuration pour ajouter un nouveau site distant avec un périphérique Cloud SD-WAN compatible ZTD à l’aide de la configuration réseau de SD-WAN Center

Si la configuration SD-WAN n’a pas été créée à l’aide de la configuration réseau de SD-WAN Center, importez la configuration active depuis le MCN et commencez à modifier la configuration à l’aide de SD-WAN Center. Pour la capacité de déploiement sans intervention (Zero Touch Deployment), l’administrateur SD-WAN doit créer la configuration à l’aide de SD-WAN Center. La procédure suivante doit être utilisée pour ajouter un nouveau nœud Cloud ciblé pour le déploiement sans intervention.

1. Concevez le nouveau site pour le déploiement Cloud SD-WAN en décrivant d’abord les détails du nouveau site (c’est-à-dire la taille du VPX, l’utilisation des groupes d’interfaces, les adresses IP virtuelles, les liens WAN avec la bande passante et leurs passerelles respectives).

   Remarque

   • Les instances SD-WAN déployées dans le Cloud doivent être déployées en mode Edge/Gateway.
   • Le modèle pour l’instance Cloud est limité à trois interfaces : Gestion, LAN et WAN (dans cet ordre).
   • Les modèles Cloud Azure disponibles pour SD-WAN VPX sont actuellement configurés en dur pour obtenir l’adresse IP 10.9.4.106 pour le WAN, l’adresse IP 10.9.3.106 pour le LAN et l’adresse IP 10.9.0.16 pour l’adresse de gestion. La configuration SD-WAN pour le nœud Azure ciblé pour le déploiement sans intervention doit correspondre à cette disposition.
   • Le nom du site Azure dans la configuration doit être en minuscules et sans caractères spéciaux (par exemple, ztdazure).

   

   Ceci est un exemple de déploiement d’un site Cloud SD-WAN. Le périphérique Citrix SD-WAN™ est déployé en tant que périphérique Edge desservant un seul lien WAN Internet dans ce réseau Cloud. Les sites distants pourront tirer parti de plusieurs liens WAN Internet distincts se connectant à cette même passerelle Internet pour le Cloud, offrant ainsi une résilience et une connectivité à bande passante agrégée depuis n’importe quel site de déploiement SD-WAN vers l’infrastructure Cloud. Cela offre une connectivité rentable et hautement fiable au Cloud.

2. Ouvrez l’interface de gestion Web de SD-WAN Center et accédez à la page Configuration > Network Configuration.

   

3. Assurez-vous qu’une configuration fonctionnelle est déjà en place, ou importez la configuration depuis le MCN.

4. Accédez à l’onglet Basic pour créer un nouveau site.

5. Ouvrez la vignette Sites pour afficher les sites actuellement configurés.

6. Créez rapidement la configuration pour le nouveau site Cloud en utilisant la fonction de clonage de tout site existant, ou créez manuellement un nouveau site.

   

7. Renseignez tous les champs requis à partir de la topologie conçue précédemment pour ce nouveau site Cloud.

   Gardez à l’esprit que le modèle disponible pour les déploiements ZTD Cloud Azure est actuellement configuré en dur pour obtenir l’adresse IP 10.9.4.106 pour le WAN, l’adresse IP 10.9.3.106 pour le LAN et l’adresse IP 10.9.0.16 pour l’adresse de gestion. Si la configuration n’est pas définie pour correspondre à l’adresse IP virtuelle attendue pour chaque interface, le périphérique ne pourra pas établir correctement l’ARP vers les passerelles de l’environnement Cloud et la connectivité IP vers le chemin virtuel du MCN.

   Il est important que le nom du site soit conforme aux attentes d’Azure. Le nom du site doit être en minuscules, comporter au moins 6 caractères, sans caractères spéciaux, et doit respecter l’expression régulière suivante : ^[a-z][a-z0-9-]{1,61}[a-z0-9]$.

   

8. Après avoir cloné un nouveau site, accédez aux Paramètres de base du site et vérifiez que le modèle SD-WAN est correctement sélectionné et qu’il prend en charge le service Zero Touch.

   

9. Enregistrez la nouvelle configuration sur SD-WAN Center et utilisez l’option d’exportation vers la « boîte de réception de gestion des modifications » pour pousser la configuration à l’aide de la gestion des modifications.

10. Suivez la procédure de gestion des modifications pour mettre en scène correctement la nouvelle configuration, ce qui permet aux périphériques SD-WAN existants de prendre connaissance du nouveau site à déployer via Zero Touch. Vous devrez utiliser l’option « Ignorer les éléments incomplets » pour éviter de tenter de pousser la configuration vers le nouveau site qui doit encore passer par le flux de travail ZTD.

    

Accédez à la page de déploiement sans intervention de SD-WAN Center, et avec la nouvelle configuration active en cours d’exécution, le nouveau site sera disponible pour le provisionnement et le déploiement Azure de SD-WAN Center (Étape 1 sur 2)

1. Sur la page de déploiement sans intervention, connectez-vous avec vos identifiants de compte Citrix®. Sous l’onglet Déployer un nouveau site, sélectionnez le fichier de configuration réseau en cours d’exécution.

2. Une fois le fichier de configuration en cours d’exécution sélectionné, la liste de tous les sites de succursale avec des périphériques Citrix SD-WAN compatibles ZTD s’affiche.

   

3. Sélectionnez le site Cloud cible que vous souhaitez déployer à l’aide du service Zero Touch, cliquez sur Activer, puis sur Provisionner et déployer.

   

4. Une fenêtre contextuelle apparaît, où l’administrateur Citrix SD-WAN peut lancer le déploiement sans intervention. Validez que le nom du site est conforme aux exigences d’Azure (minuscules sans caractères spéciaux). Renseignez une adresse e-mail où l’URL d’activation peut être livrée, et sélectionnez Azure comme Type de provisionnement pour le Cloud souhaité, avant de cliquer sur Suivant.

   

5. Après avoir cliqué sur Suivant, la fenêtre Provisionner et déployer Azure (étape 1 sur 2) nécessitera la saisie des informations obtenues à partir du compte Azure.

   Copiez et collez chaque champ requis après avoir obtenu les informations de votre compte Azure. Les étapes ci-dessous décrivent comment obtenir l’ID d’abonnement, l’ID d’application, la clé secrète et l’ID de locataire requis à partir de votre compte Azure, puis cliquez sur Suivant.

   

   1. Sur le compte Azure, nous pouvons identifier l’ID d’abonnement requis en naviguant vers « Plus de services » et en sélectionnant Abonnements.

      

   2. Pour identifier l’ID d’application requis, accédez à Azure Active Directory, Enregistrements d’applications, et cliquez sur Nouvel enregistrement d’application.

      

   3. Dans le menu de création d’enregistrement d’application, entrez un nom et une URL de connexion (cela peut être n’importe quelle URL, la seule exigence est qu’elle doit être valide), puis cliquez sur Créer.

      

   4. Recherchez et ouvrez l’application enregistrée nouvellement créée, et notez l’ID d’application.

      

   5. Ouvrez à nouveau l’application d’enregistrement nouvellement créée, et pour identifier la clé de sécurité requise, sous Accès API, sélectionnez Autorisations requises, pour permettre à un tiers de provisionner une instance. Puis sélectionnez Ajouter.

      

   6. Lors de l’ajout des autorisations requises, Sélectionnez une API, puis mettez en surbrillance API de gestion des services Windows Azure.

      

   7. Activez les Autorisations déléguées pour provisionner les instances, puis cliquez sur Sélectionner et Terminé.

      

   8. Pour cette application enregistrée, sous Accès API, sélectionnez Clés, et créez une description de clé secrète et la durée souhaitée pour que la clé soit valide. Puis cliquez sur Enregistrer, ce qui produira une clé secrète (la clé n’est requise que pour le processus de provisionnement, elle peut être supprimée une fois l’instance rendue disponible).

      

   9. Copiez et enregistrez la clé secrète (notez que vous ne pourrez pas la récupérer ultérieurement).

      

   10. Pour identifier l’ID de locataire requis, revenez au volet d’enregistrement d’application et sélectionnez Points de terminaison.

       

   11. Copiez le Document de métadonnées de fédération, pour identifier votre ID de locataire (notez que l’ID de locataire est une chaîne de 36 caractères située entre « online.com/ » et « /federation » dans l’URL).

       

   12. Le dernier élément requis est la clé publique SSH. Celle-ci peut être créée à l’aide de Putty Key Generator ou ssh-keygen et sera utilisée pour l’authentification, éliminant ainsi le besoin de mots de passe pour se connecter. La clé publique SSH peut être copiée (y compris l’en-tête ssh-rsa et les chaînes rsa-key de fin). Cette clé publique sera partagée via l’entrée SD-WAN Center vers le service de déploiement sans intervention Citrix.

       

   13. Des étapes supplémentaires sont nécessaires pour attribuer un rôle à l’application. Revenez à Plus de services, puis à Abonnements.

       

   14. Sélectionnez l’abonnement actif, puis Contrôle d’accès (AIM), puis cliquez sur Ajouter.

       

   15. Dans le volet d’ajout d’autorisations, sélectionnez le rôle « Propriétaire », attribuez l’accès à « Utilisateur, groupe ou application Azure AD » et recherchez l’application enregistrée dans le champ Sélectionner pour permettre au service Cloud de déploiement sans intervention de créer et de configurer l’instance sur l’abonnement Azure. Une fois l’application identifiée, sélectionnez-la et assurez-vous qu’elle apparaît comme membre sélectionné avant de cliquer sur Enregistrer.

       

   16. Après avoir collecté les entrées requises et les avoir saisies dans SD-WAN Center, cliquez sur Suivant. Si les entrées ne sont pas correctes, vous rencontrerez un échec d’authentification.

       

Provisionnement et déploiement Azure de SD-WAN Center (Étape 2 sur 2)

1. Une fois l’authentification Azure réussie, renseignez les champs appropriés pour sélectionner la région Azure souhaitée et la taille d’instance appropriée, puis cliquez sur Déployer.

   

2. La navigation vers l’onglet Activation en attente dans SD-WAN Center vous aidera à suivre l’état actuel du déploiement.

   

3. Un e-mail avec un code d’activation sera envoyé à l’adresse e-mail saisie à l’étape 1. Obtenez l’e-mail et ouvrez l’URL d’activation pour déclencher le processus et vérifier l’état de l’activation.

   

4. Un e-mail avec une URL d’activation sera envoyé à l’adresse e-mail saisie à l’étape 1. Obtenez l’e-mail et ouvrez l’URL d’activation pour déclencher le processus et vérifier l’état de l’activation.

   

5. Il faudra quelques minutes pour que l’instance soit provisionnée par le service Cloud SD-WAN. Vous pouvez surveiller l’activité sur le portail Azure, sous Journal d’activité pour le Groupe de ressources qui est automatiquement créé. Tout problème ou erreur de provisionnement sera renseigné ici, ainsi que répliqué dans SD-WAN Center dans l’état d’activation.

   

6. Dans le portail Azure, l’instance lancée avec succès sera disponible sous Machines virtuelles. Pour obtenir l’adresse IP publique attribuée, accédez à la vue d’ensemble de l’instance.

   

7. Une fois que la VM est en état de fonctionnement, attendez une minute avant que le service ne se connecte et ne commence le processus de téléchargement de la configuration, du logiciel et de la licence.

   

8. Une fois que chacune des étapes du service Cloud SD-WAN est automatiquement terminée, connectez-vous à l’interface Web des instances SD-WAN à l’aide de l’adresse IP publique obtenue depuis le portail Azure.

   

9. La page Statistiques de surveillance de Citrix SD-WAN identifiera la connectivité réussie du MCN à l’instance SD-WAN dans Azure.

   

10. De plus, la tentative de provisionnement réussie (ou infructueuse) sera enregistrée dans la page Historique d’activation de SD-WAN Center.