Installer Citrix SD-WAN SE VPX sur Google Cloud Platform
Le déploiement de Citrix SD-WAN SE VPX sur GCP permet aux organisations d’établir une connexion directe et hautement sécurisée entre les succursales et les applications hébergées sur GCP. Il élimine le besoin de rediriger le trafic lié au cloud via le centre de données. Les principaux avantages de l’utilisation de Citrix SD-WAN sur GCP sont les suivants :
-
Créez des connexions directes à partir de chaque site de succursale vers GCP.
-
Assurez une connexion permanente à GCP.
-
Étendez votre périmètre sécurisé jusqu’au cloud.
-
Passez à un réseau de succursales simple et facile à gérer.
Citrix SD-WAN Standard Edition pour GCP lie logiquement plusieurs liens réseau en un seul chemin virtuel logique sécurisé. La solution permet aux entreprises d’utiliser diverses connexions provenant de différents fournisseurs de services pour obtenir des chemins WAN virtuels hautement résilients. Ces chemins virtuels fonctionnent comme une superposition pour agréger de manière transparente les capacités de bande passante sur plusieurs liens et offrir une expérience utilisateur cohérente, même si certains des liens membres tombent en panne ou subissent une dégradation. Cela est rendu possible par les fonctionnalités d’équilibrage de charge et de surveillance par paquet de Citrix SD-WAN.
Résumé des étapes de déploiement
-
Choisissez la région dans laquelle vous souhaitez déployer l’instance et créez trois VPC dans différents sous-réseaux. Vous pouvez éventuellement créer un autre VPC pour HA si nécessaire.
Carte d’interface réseau Réseau associé NIC 0 (par défaut) Sous-réseau de gestion CARTE RÉSEAU 1 sous-réseau LAN NIC 2 sous-réseau WAN NIC 3 Sous-réseau HA (facultatif) Remarque
Si vous créez un nouveau sous-réseau de gestion, autorisez le port 443 dans ses règles de pare-feu.
-
Créez une instance Citrix SD-WAN SE et associez les interfaces aux VPC.
-
Créez des règles de pare-feu sur le VPC du sous-réseau WAN pour activer l’entrée sur le port UDP 4980. Il est utilisé par l’instance Citrix SD-WAN pour créer le chemin virtuel.
-
Créez un itinéraire sur le VPC du sous-réseau LAN pour intercepter tout le trafic généré à partir du réseau local.
-
Accédez au Citrix SD-WAN SE VPX à l’aide de l’adresse IP de gestion.
Créer des réseaux VPC
Créez des réseaux VPC qui seront associés au sous-réseau de gestion, au sous-réseau LAN et au sous-réseau WAN. Lors de la création d’une image, une interface par défaut est disponible, elle peut être utilisée comme interface de gestion. Créez deux réseaux VPC pour le sous-réseau LAN et WAN.
-
Pour créer un réseau VPC, dans la console GCP, accédez à Réseau VPC > Réseaux VPC > Créer un réseau VPC.
-
Spécifiez le nom, la description, l’adresse IP du sous-réseau de la région et créez un réseau VPC LAN.
-
De même, créez un réseau VPC WAN.
-
Eventuellement, pour le déploiement HA, créez un réseau VPC haute disponibilité.
Remarque
Les quatre réseaux VPC doivent se trouver dans la même région.
-
Créez une adresse IP publique de lien WAN.
-
Associez l’adresse IP publique WAN au sous-réseau WAN après avoir créé l’instance.
Remarque
Pour l’instance secondaire HA, vous n’avez pas besoin d’associer l’adresse IP publique WAN.
Créez l’instance Citrix SD-WAN SE VPX
-
Dans GCP Marketplace, recherchez Citrix SD-WAN Standard Edition, ouvrez-le et cliquez sur LAUNCH ON COMPUTE ENGINE.
-
Les processeurs virtuels et la mémoire requis sont sélectionnés par défaut. Sélectionnez la région GCP.
Remarque
La région GCP doit être la même que celle des réseaux VPC.
-
Dans la liste Réseau existant1, sélectionnez par défaut, il s’agit de l’interface de gestion. De même, pour Réseau existant2 et Réseau existant3, sélectionnez respectivement les sous-réseaux LAN et WAN. Assurez-vous que UseExNet est sélectionné pour les trois réseaux et cliquez sur Déployer.
Remarque
Si vous créez un nouveau sous-réseau de gestion, autorisez le port 443 dans ses règles de pare-feu.
-
Vous pouvez également créer une autre instance pour HA comme décrit dans les étapes précédentes. Assurez-vous que le réseau LAN et WAN et les sous-réseaux sont identiques pour les deux instances HA.
-
Une fois l’instance SD-WAN SE VPX déployée, utilisez le nom d’utilisateur et le mot de passe par défaut fournis par GCP pour vous connecter au SD-WAN SE VPX.
Créer une règle de pare-feu sur un VPC de sous-réseau WAN
-
Accédez à Réseau VPC > Réseaux VPC > VPC de sous-réseau WAN. Dans l’onglet Règles de pare-feu, cliquez sur Ajouter une règle de pare-feu.
-
Autoriser l’entrée pour toutes les instances sur le port UDP 4980. Ce port est utilisé par l’instance SD-WAN pour créer un réseau superposé.
-
Facultativement, pour le déploiement HA, assurez-vous que la même règle de pare-feu est également créée sur le VPC du sous-réseau HA et que le numéro de port UDP 4980 est autorisé.
Créer un VPC de sous-réseau de routage sur réseau local
Créez un itinéraire sur le VPC du sous-réseau LAN pour intercepter tout le trafic généré à partir du réseau local.
-
Accédez à Réseau VPC > Réseaux VPC > VPC de sous-réseau LAN. Dans l’onglet Itinéraires, cliquez sur Ajouter un itinéraire.
-
Entrez la plage d’adresses IP de destination, le réseau LAN de l’autre extrémité. Dans le champ Saut suivant, sélectionnez Spécifier l’adresse IP et dans le champ Adresse IP du saut suivant, spécifiez l’adresse IP de l’interface LAN SD-WAN.
-
Facultativement, pour le déploiement HA, configurez l’adresse IP d’alias sur l’instance principale. Il est utilisé comme adresse IP de l’interface LAN dans la configuration SD-WAN.
Accès à l’instance SD-WAN SE VPX
Utilisez l’adresse IP de l’interface de gestion pour accéder à l’interface graphique de l’instance SD-WAN SE VPX. Utilisez le nom d’utilisateur et le mot de passe par défaut fournis par GCP pour vous connecter au SD-WAN SE VPX.
REMARQUE
À partir des versions 10.2.6 et 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du provisionnement d’une appliance SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.
Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.
Pour que la haute disponibilité fonctionne, assurez-vous que dans la configuration SD-WAN, l’interface WAN est configurée avec DHCP. Utilisez l’adresse IP de l’alias pour configurer l’interface du réseau local.