Citrix SD-WAN Orchestrator

Déployer une instance Citrix SD-WAN Standard Edition sur Azure

Citrix SD-WAN Standard Edition (SE) pour Azure lie de manière logique plusieurs liens réseau en un seul chemin virtuel logique sécurisé. La solution permet aux organisations d’utiliser des connexions provenant de différents fournisseurs de services, notamment des liaisons haut débit, MPLS, 4G/LTE, satellite et point à point pour obtenir des chemins WAN virtuels à haute résilience. Citrix SD-WAN pour Azure permet aux entreprises de disposer d’une connexion sécurisée directe entre chaque succursale et les applications hébergées sur Azure, éliminant ainsi la nécessité de rediriger le trafic lié au cloud via un centre de données. Certains des avantages de l’utilisation de Citrix SD-WAN dans Azure sont les suivants :

  • Créez des connexions directes à partir de n’importe quel emplacement vers Azure.
  • Assurez-vous d’une connexion permanente à Azure.
  • Étendez votre périmètre sécurisé jusqu’au cloud.
  • Passez à un réseau de succursales simple et facile à gérer.

Pour plus de détails sur la topologie, les cas d’utilisation et le provisionnement manuel d’une instance SD-WAN SE sur Azure, voir Déployer une instance Citrix SD-WAN Standard Edition sur Azure.

Le service Citrix SD-WAN Orchestrator permet de déployer rapidement et facilement une instance Citrix SD-WAN dans Azure. Le service Citrix SD-WAN Orchestrator automatise le processus de provisionnement d’une machine virtuelle dans Azure tout en définissant un site cloud. Un nouveau groupe de ressources unique, spécifié par l’utilisateur, est créé dans Azure pour chaque site cloud. Vous pouvez choisir les réseaux virtuels/sous-réseaux existants dans le groupe de ressources ou créer des réseaux virtuels/sous-réseaux utilisés pour le provisionnement. Vous pouvez utiliser un modèle d’instance de machine virtuelle pour déployer Citrix SD-WAN VPX directement à partir du service Citrix SD-WAN Orchestrator. Les interfaces et les configurations de liens WAN sont renseignées automatiquement sur la configuration d’Orchestrator en fonction des ressources créées dans Azure. Vous pouvez ensuite organiser et activer la configuration sur l’instance VPX via le service Citrix SD-WAN Orchestrator.

Comme condition préalable au déploiement d’une instance SD-WAN VPX sur Azure, assurez-vous de disposer d’un abonnement au service Citrix SD-WAN Orchestrator et d’un abonnement au service Microsoft Azure.

Pour déployer une instance SD-WAN VPX sur Azure :

  1. Sur le tableau de bord du réseau, cliquez sur + Nouveau site pour créer un site cloud. Donnez un nom au site et sélectionnez Site cloud. Sélectionnez Azure comme fournisseur de cloud et sélectionnez la région Azure dans laquelle vous souhaitez déployer l’instance SD-WAN.

    Nouveau site cloud

  2. Fournissez les détails du site. Pour plus de détails sur les rôles sur le site et les paramètres avancés, voir Détails du site.

    Remarque

    L’option Enable Source MAC Learning stocke l’adresse MAC source des paquets reçus afin que les paquets sortants vers la même destination puissent être envoyés vers le même port.

    Détails du site

  3. Activez la haute disponibilité (HA), si nécessaire. Si la haute disponibilité est activée, deux machines virtuelles, une machine virtuelle principale et une machine virtuelle secondaire, sont créées sur Azure. Vous n’êtes pas obligé de fournir les numéros de série de l’appareil. Les numéros de série des appareils sont récupérés automatiquement lors du provisionnement. Pour plus de détails sur les paramètres HA avancés, voir Détails de l’appareil. Pour autoriser le trafic via HA sur le portail Azure, consultez Internet Breakout for Azure HA site.

    Détails de l'appareil

  4. Fournissez les détails de l’abonnement au service Cloud et les paramètres de configuration de la machine virtuelle.

    Informations sur le cloud

    a. Cliquez sur Créer un identifiant d’abonnement. Fournissez l’ID d’abonnement, l’ID du locataire, l’ID de l’application et la clé secrète tels que disponibles sur votre portail Azure. Pour savoir où trouver les détails de l’abonnement sur le portail Azure, consultez Identify Ids.

    Gérer l'abonnement

    Vous pouvez ajouter plusieurs abonnements. Une fois les détails de l’abonnement enregistrés, vous pouvez sélectionner un identifiant d’abonnement. Spécifiez la région Azure dans laquelle vous souhaitez déployer l’instance et donnez un nom au nouveau groupe de ressources.

    Informations sur le cloud

    b. Sélectionnez l’un des types d’instance de machine virtuelle suivants selon vos besoins et fournissez les informations de connexion. - Type d’ instance D3_V2 pour un débit unidirectionnel maximal de 200 Mbits/s avec 16 chemins/branches virtuels maximum. - Type d’ instance D4_V2 pour un débit unidirectionnel maximal de 500 Mbits/s avec 16 chemins/branches virtuels maximum. - Norme de type d’ instance F8 pour un débit unidirectionnel maximal de 1 Gbit/s avec 64 chemins/branches virtuels maximum. - Norme de type d’ instance F16 pour un débit unidirectionnel maximal de 1 Gbit/s avec 128 chemins/branches virtuels maximum.

    Nouveau site cloud

    Remarque

    Vous ne pouvez pas attribuer le nom d’utilisateur admin à l’instance, car il s’agit d’un nom réservé. Toutefois, pour obtenir un accès administrateur après avoir provisionné l’instance, utilisez admin comme nom d’utilisateur et mot de passe créés lors du provisionnement de l’instance. Si vous utilisez le nom d’utilisateur créé lors du Provisioning de l’instance, vous obtenez un accès en lecture seule.

    Consignes relatives au nom d’utilisateur :

    • Le nom d’utilisateur ne doit contenir que des lettres, des chiffres, des traits d’union et un trait de soulignement et ne doit pas commencer par un trait d’union ou un chiffre.
    • Les noms d’utilisateur ne doivent pas contenir de mots réservés.
    • La valeur est comprise entre 1 et 64 caractères.

    Directives relatives au mot de passe :

    • La valeur ne doit pas être vide.
    • Le mot de passe doit comporter trois des éléments suivants :
    • Un caractère minuscule
    • Un caractère en majuscule
    • Un personnage spécial
    • La valeur est comprise entre 12 et 72 caractères.

    c. Créez un nouveau réseau virtuel ou sélectionnez un réseau virtuel existant. Les réseaux virtuels existants sont affichés en fonction de l’abonnement cloud sélectionné. Pour le réseau virtuel sélectionné, vous pouvez sélectionner des sous-réseaux LAN et WAN existants ou créer des sous-réseaux. Assurez-vous que l’option Activer l’adresse IP publique pour la gestion est sélectionnée et cliquez sur Enregistrer.

    Remarque

    Les sous-réseaux LAN et WAN ne doivent pas être identiques.

    Paramètres réseau

    d. Cliquez sur Déployer la configuration pour créer une instance SD-WAN VPX dans Azure avec la machine virtuelle et les paramètres réseau spécifiés. Cela prendrait environ 10 à 15 minutes. L’état du déploiement est affiché dans l’interface utilisateur. État du déploiement

    Remarque

    • Une fois l’instance créée dans Azure, poursuivez le processus Stage and Activate pour mettre à niveau Azure VPX vers la version logicielle et la configuration souhaitées, telles que définies dans Orchestrator.
    • Une fois le déploiement lancé, vous ne pouvez pas modifier les paramètres du site Cloud tels que le groupe de ressources, les réseaux virtuels, les sous-réseaux, le nom d’utilisateur et le mot de passe pour VPX. Si le déploiement échoue, vous pouvez fournir des paramètres révisés avant de lancer le déploiement.
    • Pour supprimer l’instance SD-WAN VPX d’Azure et procéder à un déploiement propre, cliquez sur Supprimer la configuration. Cela ne supprime pas le site du service Citrix SD-WAN Orchestrator. Il supprime uniquement l’instance SD-WAN VPX. Vous pouvez fournir des détails révisés sur le site cloud et procéder au déploiement de la configuration.
    • Pour supprimer la machine virtuelle sur Azure et libérer des ressources, cliquez sur Supprimer la configuration.
  5. Les interfaces, les liaisons WAN et les routes sont créées automatiquement en fonction des ressources mises en service sur Azure. Vous pouvez accéder à l’onglet Interfaces, liens WANet Routes pour afficher les paramètres.

    Remarque Les adresses IPv4 sont utilisées pour les paramètres du réseau local, du WAN et de l’interface d’accès. Les adresses IPv6 ne sont pas encore prises en charge.

    Interfaces

    Liens WAN

    Itinéraires

  6. Une fois la machine virtuelle déployée avec succès, il faut environ 5 à 10 minutes pour que la machine virtuelle soit opérationnelle.

    La section Résumé fournit un résumé des détails du site, des détails de l’interface et des détails des liens WAN. Cliquez sur Enregistrer. Cliquez sur Vérifier la configuration pour renseigner le numéro de série de l’appareil.

    Résumé

    La machine virtuelle Azure est créée et la configuration est prête. Toutefois, la configuration n’est pas appliquée à l’instance SD-WAN.

  7. Pour transférer la configuration à l’instance SD-WAN provisionnée dans Azure, accédez à Configuration réseau : Accueil. Sélectionnez la version logicielle requise et cliquez sur Déployer la configuration/le logiciel. Pour plus de détails sur la préparation et l’activation, voir Suivi du déploiement.

    Déploiement

    Une fois que le processus de préparation et d’activation est terminé et que les chemins virtuels sont établis. Vous pouvez désormais gérer et surveiller l’instance à l’aide du service Citrix SD-WAN Orchestrator.

Création d’un service principal pour le déploiement de VPX dans Azure

Pour que le service Citrix SD-WAN Orchestrator s’authentifie via les API Azure et permette une connectivité automatisée, une application enregistrée doit être créée et identifiée avec les informations d’authentification suivantes :

  • ID d’abonnement
  • ID client
  • Clé secrète client
  • ID de locataire

Remarque :

Après avoir créé le principal de service pour permettre la communication avec l’API Azure, veillez à associer les rôles appropriés au niveau de l’abonnement. Sinon, le service Citrix SD-WAN Orchestrator ne disposera pas d’autorisations suffisantes pour authentifier et déployer des ressources à l’aide d’API Azure qui permettent une connectivité automatisée.

Procédez comme suit pour créer l’enregistrement d’une application :

  1. Dans le portail Azure, accédez à Azure Active Directory.
  2. Sous Gérer, sélectionnez Enregistrement de l’application.
  3. Cliquez sur + Nouvelle inscription.

    Nouvel enregistrement Azure

  4. Fournissez des valeurs pour les champs suivants pour enregistrer une application :

    • Nom — Indiquez le nom de l’enregistrement de l’application.
    • Types de comptes pris en charge  : sélectionnez l’option Comptes dans ce répertoire organisationnel uniquement (* - Client unique).
    • URI de redirection (facultatif)  : sélectionnez Web dans la liste déroulante et entrez une URL unique et aléatoire (par exemple, https ://localhost : 4980)
    • Cliquez sur Enregistrer.

    Enregistrer une demande

    Vous pouvez copier et stocker l’ID de l’ application (client) et l’ID du répertoire (locataire) qui peuvent être utilisés dans le service Citrix SD-WAN Orchestrator pour l’authentification auprès de l’abonnement Azure pour l’utilisation de l’API.

    ID client et locataire

    L’étape suivante pour l’enregistrement de l’application, créez une clé principale de service à des fins d’authentification.

    Pour créer la clé principale de service, effectuez les opérations suivantes :

    1. Dans le portail Azure, accédez à Azure Active Directory.
    2. Sous Gérer, accédez à Enregistrement de l’application.
    3. Sélectionnez l’application enregistrée (créée précédemment).
    4. Sous Gérer, sélectionnez Certificats et secrets.
    5. Sous Secrets clients, cliquez sur + Nouveau secret client.

      Nouveau secret client

    6. Pour ajouter un secret client, fournissez des valeurs pour les champs suivants :
      • Description : Donnez un nom à la clé principale du service.
      • Expire : sélectionnez la durée d’expiration selon les besoins.

      Ajouter un secret client

    7. Cliquez sur Ajouter.
    8. Le secret du client est désactivé dans la colonne Valeur . Copiez la clé dans votre presse-papiers. Il s’agit du secret client que vous devez saisir dans le service Citrix SD-WAN Orchestrator.

      Clé secrète client

      Remarque

      Copiez et stockez la valeur de la clé secrète avant de recharger la page, car elle ne sera plus affichée par la suite.

Assignation des rôles

Vous pouvez attribuer des rôles appropriés à des fins d’authentification au niveau de l’abonnement. Procédez comme suit pour l’attribution des rôles :

  1. Sur le portail Azure, accédez au nom du profil. Cliquez avec le bouton droit sur le nom du profil et sélectionnez Mes autorisations

    Assignation des rôles

  2. Sur la page Mes autorisations, sélectionnez le lien Cliquez ici pour voir tous les détails d’accès à cet abonnement.

    Assignation des rôles

  3. Dans la section de navigation de gauche, accédez au Contrôle d’accès (IAM), sélectionnez l’onglet Attributions de rôles et cliquez sur +.

    Assignation des rôles

  4. Pour « Ajouter une attribution de rôle », sélectionnez rôle = « Contributeur », Attribuez l’accès à = « Utilisateur, groupe ou principal de service » et pour la troisième liste déroulante, sélectionnez = nom de l’application Azure, puis « Enregistrer ». Cela donne suffisamment de privilèges pour effectuer des appels d’API vers Azure à l’aide du principal de service.

  5. Sur la page Ajouter une attribution de rôle, sélectionnez les options suivantes :

    • Rôle : contributeur
    • Attribuer l’accès à : utilisateur, groupe ou principal de service
    • Sélectionnez : Fournissez le nom de l’application Azure.

    Assignation des rôles

  6. Cliquez sur Enregistrer. Ces étapes accordent suffisamment de privilèges au service Citrix SD-WAN Orchestrator pour effectuer un appel d’API vers Azure à l’aide du principal de service.

Découpage Internet pour le site Azure HA

Pour configurer Internet Breakout pour le site Azure HA, procédez comme suit :

  1. Dans l’appliance du site, configurez l’adresse IP DHCP sur l’interface WAN avec l’adresse IP publique configurée pour la liaison WAN.
  2. Configurez le service Internet sur le site.
  3. Ajoutez un NAT restreint de port dynamique sortant avec le service interne comme Internet.
  4. Ajoutez une politique de pare-feu sur le site pour autoriser les sondes de santé de l’équilibreur de charge Azure sur le port 500.

    Politique de pare-feu

  5. Ajoutez une autre règle d’équilibrage de charge sur l’équilibreur de charge externe Azure pour TCP sur le port 80, en désactivant le retour direct au serveur.

    Règle d'équilibrage de charge

  6. Sur l’ordinateur client final qui doit se connecter à Internet, définissez l’adresse IP du saut suivant de route sur l’adresse IP privée de l’équilibreur de charge interne. L’adresse IP de l’équilibreur de charge est configurée comme LAN VIP sur le site.
Déployer une instance Citrix SD-WAN Standard Edition sur Azure