Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続
オンプレミスデバイスをAzureに接続するには、コントローラーが必要です。コントローラーはAzure APIを取り込み、Azure WANおよびハブとのサイト間接続を確立します。
Microsoft Azure Virtual WANには、次のコンポーネントとリソースが含まれています。
-
WAN:Microsoft Azureのネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWAN内の2つのハブ間の接続を含めることはできません。
-
サイト:オンプレミスVPNデバイスとその設定を表します。サイトは複数のハブに接続できます。Citrix SD-WANを使用すると、この情報をAzureに自動的にエクスポートする組み込みソリューションを使用できます。
-
ハブ:特定の地域におけるネットワークの中核を表します。ハブには、オンプレミスネットワークへの接続やその他のソリューションを可能にするさまざまなサービスエンドポイントが含まれています。サイト間接続は、サイト間でハブVPNエンドポイントに確立されます。
-
ハブ仮想ネットワーク接続:ハブネットワークは、Azure仮想WANハブを仮想ネットワークにシームレスに接続します。現在、同じ仮想HUBリージョン内にある仮想ネットワークへの接続が可能です。
-
ブランチ:ブランチはオンプレミスのCitrix SD-WANアプライアンスであり、顧客のオフィスの場所に存在します。SD-WANコントローラは、ブランチを集中管理します。接続はこれらのブランチの背後から始まり、Azureで終了します。SD-WANコントローラーは、これらのブランチとAzureハブに必要な構成を適用する役割を果たします。
次の図は、仮想WANコンポーネントについて説明しています。
Microsoft Azure Virtual WANの仕組み
-
SD-WAN Center は、Azure GUIで有効になっているサービスプリンシパル、プリンシパル、またはロールベースのアクセス機能を使用して認証されます。
-
SD-WAN Center はAzure接続構成を取得し、ローカルデバイスを更新します。これにより、オンプレミスデバイスの設定のダウンロード、編集、および更新が自動化されます。
-
デバイスに正しいAzure構成が設定されると、Azure WANへのサイト間接続(2つのアクティブなIPsecトンネル)が確立されます。Azureでは、IKEv2設定をサポートするためにブランチデバイスコネクタが必要です。BGP構成はオプションです。
注:IPsecトンネルを確立するためのIPsecパラメーターは標準化されています。
IPsecプロパティ パラメーター Ike暗号化アルゴリズム AES 256 Ike整合性アルゴリズム SHA 256 Dhグループ DH2 IPsec暗号化アルゴリズム GCM AES 256 IPsec整合性アルゴリズム GCM AES 256 PFSグループ なし
Azure Virtual WANは、ワークロード仮想ネットワークとハブ間の接続を自動化します。ハブ仮想ネットワーク接続を作成すると、プロビジョニングされたハブとワークロード仮想ネットワーク(VNET)の間に適切な構成が設定されます。
前提条件と要件
Azureハブに接続するブランチサイトを管理するためにAzureおよびSD-WANを構成する前に、次の要件をお読みください。
- 仮想WANのAzureサブスクリプションをホワイトリストに登録している。
- Azure リソースへの IPsec を確立するための SD-WAN アプライアンスなどのオンプレミスアプライアンスを用意します。
- パブリックIPアドレスとのインターネットリンクがあります。Azureへの接続を確立するには1つのインターネットリンクで十分ですが、同じWANリンクを使用するには2つのIPsecトンネルが必要です。
- SD-WANコントローラー–コントローラーは、Azureに接続するためのSD-WANアプライアンスの構成を担当するインターフェイスです。
- 少なくとも1つのワークロードを持つAzureのVNET。たとえば、サービスをホストしているVMです。次の点を考慮してください。
- 仮想ネットワークには、Azure VPN または Express Route ゲートウェイ、またはネットワーク仮想アプライアンスがあってはなりません。
- 仮想ネットワークには、オンプレミスのブランチからアクセスされるワークロードのトラフィックを非仮想 WAN 仮想ネットワークにルーティングするユーザー定義ルートがあってはなりません。
- ワークロードにアクセスするための適切な権限を構成する必要があります。たとえば、ubuntu VMのポート22 SSHアクセス。
次の図は、Microsoft Azureに2つのサイトと2つの仮想ネットワークがあるネットワークを示しています。
Microsoft Azure Virtual WANを設定する
オンプレミスの SD-WAN ブランチが Azure に接続し、IPsec トンネル経由でリソースにアクセスするには、次の手順を完了する必要があります。
- WANリソースの構成。
- SDsec-WANブランチがIPsecトンネルを使用してAzureに接続できるようにします。
SD-WANアプライアンスに接続するために必要なAzureリソースが事前に利用可能である必要があるため、SD-WANネットワークを構成する前にAzureネットワークを構成します。ただし、必要に応じて、Azureリソースを構成する前にSD-WAN構成を構成できます。このトピックでは、SD-WAN アプライアンスを構成する前に、まず Azure 仮想 WAN ネットワークをセットアップする方法について説明します。 https://microsoft.com Azure 仮想 WAN。
WANリソースを作成する
仮想 WAN 機能を使用し、オンプレミスのブランチアプライアンスを Azure に接続するには、次の手順を実行します。
-
Azure Marketplaceにサインインし、仮想 WAN アプリに移動して、[ WAN の作成] を選択します。
-
WANの名前を入力し、WANに使用するサブスクリプションを選択します。
- 既存のリソースグループを選択するか、新しいリソースグループを作成します。リソースグループは論理的な構造であり、リソースグループ間のデータ交換は常に可能です。
-
リソースグループを配置する場所を選択します。WANは、場所を持たないグローバルリソースです。ただし、WANリソースのメタデータを含むリソースグループの場所を入力する必要があります。
- [Create] をクリックします。これにより、設定を検証して展開するプロセスが開始されます。
サイトを作成
優先ベンダーを使用してサイトを作成できます。優先ベンダーは、デバイスとサイトに関する情報をAzureに送信するか、デバイスを自分で管理することを決定できます。デバイスを管理する場合は、Azure Portalでサイトを作成する必要があります。
SD-WANネットワークとMicrosoft Azure仮想WANワークフロー
SD-WANアプライアンスを構成します。
- Citrix SD-WANアプライアンスのプロビジョニング
- SD-WANブランチアプライアンスをMCNアプライアンスに接続します。
- SD-WANアプライアンスを構成する
- アクティブ/アクティブ接続用のイントラネットサービスを構成します。
SD-WAN Center を構成します。
- SD-WAN Center を構成してMicrosoft Azureに接続します。
Azure設定を構成する:
- テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。
WANアソシエーションへのブランチサイトの構成:
- 1つのWANリソースをブランチに関連付けます。同じサイトを複数のWANに接続することはできません。
- [ 新規] をクリックして、サイトとWANの関連付けを構成します。
- Azure Wan-resourcesを選択します。
- サイトの[ サービス (イントラネット)]を選択します 。Active-Standbyサポート用に2つのサービスを選択します。
- WANリソースに関連付ける サイト名 を選択します 。
- [ デプロイ] をクリックして、関連付けを確認します。
- ステータスが[ Tunnels Deployed]に変わるのを待って、IPsecトンネル 設定を表示します。
- SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。
Citrix SD-WANネットワークを構成する
MCN:
MCNは、初期システム構成およびその後の構成変更の配布ポイントとして機能します。仮想WANに存在できるアクティブなMCNは1つだけです。 デフォルトでは、アプライアンスにはクライアントの役割が事前に割り当てられています。アプライアンスをMCNとして確立するには、まずサイトをMCNとして追加して構成する必要があります。ネットワーク構成GUIは、サイトがMCNとして構成された後に使用可能になります。アップグレードおよび構成の変更は、MCNまたはSD-WAN Centerからのみ実行する必要があります。
MCNの役割:
MCNは、SD-WANネットワークのコントローラーとして機能する中央ノードであり、クライアントノードの中央管理ポイントです。すべての構成アクティビティ、およびファームウェアパッケージの準備とクライアントへの配布は、MCN で構成されます。また、監視情報はMCNでのみ利用できます。MCNはSD-WANネットワーク全体を監視できますが、クライアントノードはローカルイントラネットとそれらが接続されているクライアントの一部の情報のみを監視できます。MCNの主な目的は、エンタープライズサイト間通信のためにSD-WANネットワーク全体に配置された1つ以上のクライアントノードとのオーバーレイ接続(仮想パス)を確立することです。MCNは、複数のクライアントノードを管理し、仮想パスを持つことができます。複数のMCNを設定できますが、一度にアクティブにできるのは1つだけです。次の図は、小規模な2サイトネットワークのMCNおよびクライアント(ブランチノード)アプライアンスの基本的な図を示しています。
SD-WANアプライアンスをMCNとして構成する
MCNを追加して構成するには、まずMCNとして指定しているアプライアンスの管理Webインターフェイスにログインし、管理WebインターフェイスをMCNコンソールモードに切り替える必要があります。MCN コンソールモードでは 、現在接続している管理 Web インターフェイスの設定エディタにアクセスできます。その後、 構成エディターを使用して MCN サイトを追加および構成できます。
管理 Web インターフェイスを MCN コンソールモードに切り替えるには 、次の手順を実行します。
- MCNとして構成するアプライアンスのSD-WAN管理Webインターフェイスにログインします。
- Management Web Interface のメイン画面のメインメニューバー (ページ上部の青いバー) で、[ 構成 ] をクリックします。
- ナビゲーション・ツリー (左側のペイン) で、「 アプライアンスの設定」ブランチを開き 、「 管理者インタフェース」をクリックします。
-
[ その他 ] タブを選択します。その他の管理設定ページが開きます。
[その他]タブページの下部には、[クライアントへの切り替え、MCNコンソール]セクションがあります。**[]このセクションには、 **アプライアンスのコンソールモードを切り替えるための [Switch Console] ボタンがあります。
セクション見出しは、次のように現在のコンソールモードを示します。
- クライアントコンソールモード (デフォルト) の場合、セクション見出しは [ MCN コンソールに切り替え] です。
- MCN コンソールモードの場合 、セクション見出しは [ クライアントコンソールに切り替える] です。
デフォルトでは、新しいアプライアンスはクライアントコンソールモードです。MCNコンソールモードでは、ナビゲーションツリーの構成エディタービューが有効になります。 設定エディタは MCN アプライアンスでのみ使用できます。
MCN の設定
MCNアプライアンスサイトを追加して構成を開始するには、次の手順を実行します。
-
SD-WANアプライアンスGUIで、 仮想WAN > 構成エディターに移動します。
-
サイトバーの [ + サイト ] をクリックして、MCN サイトの追加と構成を開始します。[ サイト の追加 ]ダイアログボックスが表示されます。
-
アプライアンスの地理的な場所と役割を決定できるサイト名を入力します (DC/secondary DC)。正しいアプライアンスモデルを選択します。ハードウェアプラットフォームは処理能力とライセンスの点で互いに異なるため、正しいアプライアンスを選択することが重要です。このアプライアンスをプライマリヘッドエンドアプライアンスとして構成しているため、モードをプライマリMCNとして選択し、[ 追加] をクリックします。
-
これにより、サイトツリーに新しいサイトが追加され、デフォルトビューには、以下に示すような基本設定の構成ページが表示されます。
-
場所、サイト名などの基本設定を入力します。
- からのトラフィックを受け入れることができるようにアプライアンスを構成します Internet/MPLS/Broadband. リンクが終端するインターフェースを定義します。これは、アプライアンスがオーバーレイモードかアンダーレイモードかによって異なります。
-
[ インターフェースグループ] をクリックして、インターフェースの定義を開始します。
-
クリック + 仮想インターフェイスグループを追加します。これにより、新しい仮想インターフェイスグループが追加されます。仮想インターフェイスの数は、アプライアンスが処理するリンクによって異なります。アプライアンスが処理できるリンクの数は、アプライアンスモデルによって異なり、最大リンク数は最大8です。
-
クリック + 以下に示すように、仮想インターフェイスの右側にある画面を表示します。
- この仮想インターフェイスの一部を形成する イーサネットインターフェイスを選択します。プラットフォームモデルに応じて、アプライアンスには事前に構成されたフェイルツーワイヤーインターフェイスのペアがあります。アプライアンスでワイヤーフェイルを有効にする場合は、正しいインターフェイスのペアを選択していることを確認し、 バイパスモード 列でワイヤーフェイルを選択していることを確認してください。
- ドロップダウンリストからセキュリティレベルを選択します。インターフェイスがMPLSリンクを提供している場合は信頼モードが選択され、それぞれのインターフェイスでインターネットリンクが使用されている場合は非信頼モードが選択されます。
-
クリック + 仮想インターフェースという名前のラベルの右側。名前、ファイアウォールゾーン、VLAN IDが表示されます。この仮想インターフェイスグループの 名前とVLAN ID を入力します 。VLAN IDは、仮想インターフェースとの間のトラフィックの識別とマーキングに使用され、0(ゼロ)を使用して native/untagged トラフィック。
- 配線に失敗したインターフェイスを設定するには、[ブリッジペア]をクリックします。これにより、新しいブリッジペアが追加され、編集が可能になります。[ 適用] をクリックして、これらの設定を確認します。
- さらに仮想インターフェイスグループを追加するには、 + インターフェースグループの右側に分岐し、上記のように進みます。
- インターフェイスを選択したら、次のステップはこれらのインターフェイスにIPアドレスを設定することです。Citrix SD-WAN用語では、これはVIP(仮想IP)と呼ばれます。
-
サイトビューで続行し、仮想IPアドレスをクリックして、VIPを構成するためのインターフェイスを表示します。
-
IP アドレス/プレフィックス情報を入力し、 アドレスが関連付けられている仮想インターフェイスを選択します 。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。ファイアウォールゾーン、ID、プライベート、セキュリティなど、仮想IPアドレスに必要な設定を選択します。[適用] をクリックします。これにより、アドレス情報がサイトに追加され、 サイトの仮想 IP アドレステーブルに追加されます。さらに仮想 IP アドレスを追加するには、[ 仮想 IP アドレス ] の右側にある [ +] をクリックし、上記の手順を実行します。
-
サイトセクションに進み、サイトのWANリンクを構成します。
-
右側のパネルの上部にある[ リンクを追加]をクリックします。これによりダイアログボックスが開き、設定するリンクのタイプを選択できます。
- 公衆インターネットは Internet/broadband/DSL/ADSL プライベートMPLSはMPLSリンク用です。プライベートイントラネットもMPLSリンク用です。プライベートMPLSとプライベートイントラネットリンクの違いは、プライベートMPLSではMPLSリンクのQoSポリシーを保持できることです。
- パブリックインターネットを選択していて、IPがDHCP経由で割り当てられている場合は、IPの自動検出オプションを選択します。
-
WANリンク構成ページで[ アクセスインターフェイス] を選択します。これにより、サイトの [ アクセスインターフェイス ] ビューが開きます。以下に示すように、各リンクのVIPおよびゲートウェイIPを追加して構成します。
-
[ + ] をクリックして、インターフェイスを追加します。これにより、テーブルに空白のエントリが追加され、編集用に開かれます。
- このインターフェイスに割り当てる名前を入力します。リンクの種類と場所に基づいて名前を付けることができます。ネットワークを分離してインターフェイスにIPを割り当てない場合は、ルーティングドメインをデフォルトのままにします。
-
リンクがインターネットリンクの場合はパブリックに到達可能なゲートウェイIPアドレスを、リンクがMPLSリンクの場合はプライベートIPを指定してください。このパスが仮想パスを形成するために必要なので、仮想パスモードをプライマリのままにします。
注意: ゲートウェイに到達できない場合、アプライアンスはゲートウェイIPアドレスのARP要求に応答するため、プロキシARPを有効にします。
- 「 適用」 をクリックして、WANリンクの構成を完了します。さらにWANリンクを構成する場合は、別のリンクに対して手順を繰り返します。
- サイトのルートを構成します。[接続]ビューをクリックして、ルートを選択します。
-
クリック + ルートを追加するには、次のようなダイアログボックスを開きます。
-
新しいルートで利用できる次の情報を入力します。
- ネットワークIPアドレス
- コスト–コストは、他のルートよりも優先されるルートを決定します。低コストのパスは、高コストのルートよりも優先されます。デフォルト値は5です。
- サービスの種類–サービスを選択します。サービスは次のいずれかです。
- 仮想パス
- イントラネット
- インターネット
- パススルー
- ローカル
- GREトンネル
- LAN IPsecトンネル
- [適用] をクリックします。
サイトのルートをさらに追加するには、 + ルート分岐の右側にあり、上記のように進みます。詳細については、「 MCN の構成」を参照してください。
MCNとブランチサイト間の仮想パスを構成する
MCNとブランチノード間の接続を確立します。これを行うには、これら2つのサイト間に仮想パスを構成します。構成エディターの構成ツリーの「 接続」 タブにナビゲートします。
- 構成セクションの[ 接続 ]タブをクリックします。これにより、構成ツリーの接続セクションが表示されます。
-
接続 セクションページの[サイトを表示]ドロップダウンメニューから MCN を選択します。
-
[接続]タブの下から仮想パスを選択して、MCNとブランチサイトの間に仮想パスを作成します。
-
仮想パスセクションの静的仮想パスの名前の横にある[ 仮想パスの追加]を クリックします。これにより、次のようなダイアログボックスが開きます。仮想パスを構成するブランチを選択します。これは、リモートサイトというラベルで構成する必要があります。このドロップダウンリストからブランチノードを選択し、チェックボックス[ 逆も同様]をクリックします。
トラフィックの分類とステアリングは、仮想パスの両方のサイトでミラーリングされます。これが完了したら、以下に示すように、セクションというラベルの下のドロップダウンメニューからパスを選択します。
-
クリック + [パスの追加]ダイアログボックスを表示するパステーブルの上に 追加し ます。仮想パスを構成する必要があるエンドポイントを指定します。次に、[ 追加 ] をクリックしてパスを作成し、[ 逆も同様] チェックボックスをクリックします 。
注意: Citrix SD-WANは、双方向のリンク品質を測定します。つまり、ポイントAからポイントBは1つのパスであり、ポイントBからポイントAは別のパスです。リンク状態の単方向測定を利用して、SD-WANはトラフィックを送信するための最適なルートを選択できます。これは、レイテンシを測定するための双方向メトリックであるRTTなどの測定とは異なります。たとえば、ポイントAとポイントBの間の1つの接続は2つのパスとして表示され、それぞれについてリンクパフォーマンスメトリックが個別に計算されます。
この設定は、MCNとブランチの間の仮想パスを起動するのに十分です。他の構成オプションも使用できます。詳細については、「 MCN サイトとクライアントサイト間の仮想パスサービスの構成」を参照してください。
MCN構成を展開する
次のステップは、構成をデプロイすることです。これには、次の2つの手順が含まれます。
-
SD-WAN構成パッケージを変更管理にエクスポートします。
- アプライアンスパッケージを生成する前に、まず、 完成した構成パッケージを構成エディタから MCN のグローバル変更管理ステージングインボックスにエクスポートする必要があります 。「 変更管理の実行」セクションに記載されている手順を参照してください。
-
アプライアンスパッケージを生成してステージングします。
- 新しい構成パッケージを変更管理の受信ボックスに追加したら、ブランチサイトでアプライアンスパッケージを生成してステージングできます。これを行うには、MCNの管理Webインターフェイスで変更管理ウィザードを使用します。「 アプライアンスパッケージのステージング」セクションに記載されている手順を参照してください。
Azure WANリソースと接続するようにイントラネットサービスを構成する
-
SD-WAN アプライアンスの GUI で、 構成エディタに移動します。[ 接続 ] タイルに移動します。クリック + サービス を追加して、そのサイトのイントラネットサービスを追加します。
-
イントラネットサービスの 基本設定 には、WANリンクが使用できないときにイントラネットサービスをどのように動作させるかについて、いくつかのオプションがあります。
- プライマリ再利用を有効にする –選択したプライマリリンクがフェイルオーバー後に起動したときに引き継ぐ場合は、このボックスをオンにします。ただし、このオプションをオンにしない場合は、セカンダリリンクがトラフィックを送信し続けます。
- WANリンクステータスを無視する –このオプションを有効にすると、構成要素のWANリンクが利用できない場合でも、このイントラネットサービス宛てのパケットは引き続きこのサービスを使用します。
-
基本設定を構成したら、次のステップは、このサービスの構成WANリンクを選択することです。1つのイントラネットサービスに対して最大2つのリンクが選択されます。WANリンクを選択するには、セクションというラベルの付いたドロップダウンリストからWANリンクオプションを選択してください。WANリンクはプライマリモードとセカンダリモードで機能し、1つのリンクのみがプライマリWANリンクとして選択されます。
注意: 2番目のイントラネットサービスを作成するときは、プライマリとセカンダリのwan-linkマッピングが必要です。
-
ブランチサイト固有のルールを使用できるので、グローバルなデフォルトセットで構成されている一般的な設定をオーバーライドして、各ブランチサイトをカスタマイズできます。モードには、特定のWANリンクを介した望ましい配信や、フィルタリングされたトラフィックのパススルーまたは破棄を可能にする上書きサービスとしての配信が含まれます。たとえば、イントラネットサービスを経由したくないトラフィックがある場合、そのトラフィックを破棄するか、別のサービス (インターネットまたはパススルー) でトラフィックを送信するルールを記述できます。
-
サイトに対してイントラネットサービスを有効にすると、[ プロビジョニング ] タイルが使用可能になり、WAN リンクを使用するさまざまなサービス間で WAN リンクの帯域幅を双方向 (LAN から WAN または WAN から LAN) に分散できます。「 サービス」 セクションでは、帯域幅の割り当てをさらに微調整できます。さらに、公平配分を有効にして、公平配分が実施される前にサービスが最小予約帯域幅を受信できるようにすることができます。
SD-WAN Center の構成
次の図は、SD-WAN Center と Azure 仮想 WAN 接続の概要レベルのワークフローを示しています。
Azure設定を構成する:
- テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。
WANアソシエーションへのブランチサイトの構成:
- 1 つの WAN リソースをブランチサイトに関連付けます。同じサイトを複数のWANに接続することはできません。
- [ 新規] をクリックして、サイトとWANの関連付けを構成します。
- Azure Wan-resourcesを選択します。
- サイトの[ サービス (イントラネット)]を選択します 。アクティブ/スタンバイをサポートするには、2 つのサービスを選択する必要があります。
- WANリソースに関連付ける サイト名 を選択します 。
- [ デプロイ] をクリックして、関連付けを確認します。
- ステータスが「ダウンロード済み」に変わるのを待って、 IPsec トンネルの設定を表示します 。
- SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。データトラフィックが流れるように、IPsec トンネルのステータスは GREEN である必要があります。
SD-WAN Center のプロビジョニング:
SD-WAN Centerは、Citrix SD-WANの管理およびレポートツールです。仮想WANに必要な構成は、SD-WAN Center で実行されます。SD-WAN Centerは仮想フォームファクター(VPX)としてのみ利用可能であり、VMware ESXiまたはXenServerハイパーバイザーにインストールする必要があります。SD-WAN Centerアプライアンスの構成に必要な最小リソースは、8 GBのRAMと4つのCPUコアです。SD-WAN [センター仮想マシンをインストールして構成する手順は次のとおりです](https://docs.citrix.com/en-us/netscaler-sd-wan-center/10/common-configuration.html) 。
Azure接続用にSD-WAN Center を構成する
必要なサイトのイントラネットサービスが構成され、Azure ポータルのサービスポリシー情報が SDWAN センターで構成されていることを確認します。上記のセクションで説明されている手順を参照してください。SD-WAN Center を使用して Azure WAN リソースに接続する前に、Azure でサードパーティアプリケーション (この場合は SD-WAN センター) を認証するために使用されるサービスプリンシパルを作成する必要があります。 詳細については 、「サービスプリンシパルの作成 」を参照してください。
SD-WAN Center を Azure で正常に認証するには、次のパラメーターを使用できる必要があります。
- テナント ID
- クライアント ID
- セキュアキー
- サブスクライバーID
必要なサイトのイントラネットサービスが構成され、Azure ポータルのサービスポリシー情報が SDWAN センターで構成されていることを確認します。上記のセクションで説明されている手順を参照してください。
SD-WAN Center の認証:
SD-WAN Center UI で、[ 構成 ] > [ クラウド接続] に移動します。Azure接続設定を構成します。Azure VPN 接続、 Azure Resource Managerの設定の詳細については、次のリンクを参照してください。
テナント ID、セキュアキー、サブスクライバ ID、アプリケーション ID を入力します。この手順は、AzureでSD-WAN Centerを認証するために必要です。上記で入力した資格情報が正しくない場合、認証は失敗し、それ以上のアクションは許可されません。[適用] をクリックします。
[ ストレージアカウント] フィールドは、Azureで作成したストレージアカウントを指します。ストレージアカウントを作成していない場合、[ 適用]をクリックすると、サブスクリプションに新しいストレージアカウントが自動的に作成されます。
Azure Virtual WANリソースを取得する:
認証が成功すると、Citrix SD-WANはAzureをポーリングして、Azureポータルにログインした後の最初のステップで作成したAzure仮想WANリソースのリストを取得します。WAN リソースは、ブランチサイトから開始された IPsec トンネルを終端するためのエンドポイントまたはハブです。このリソースは、Azure のネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWANリソースの2つの異なるハブ間の接続を含めることはできません。
ブランチサイトとAzure WANリソースを関連付けるには:
IPsec トンネルを確立するには、ブランチサイトを Azure WAN リソースに関連付ける必要があります。1 つのブランチを複数の Azure 仮想 WAN リソースに接続し、1 つの Azure 仮想 WAN リソースを複数のオンプレミスのブランチサイトに接続できます。
複数のサイトを追加するには:
複数のサイトを一度に追加して Azure WAN リソースに関連付けることもできます。
-
[ 複数追加 (Add Multiple)] をクリックして、同じサービスセットを持つすべてのサイトを追加し、選択した WAN リソースに関連付けます。
-
Azure WANリソースのドロップダウンリスト(下に表示)には、Azureアカウントに属するリソースが事前に入力されています。WANリソースが作成されていない場合、このリストは空であるため、Azureポータルに移動してリソースを作成する必要があります。リストにWANリソースが入力されている場合は、ブランチサイトの接続先となる Azure WANリソース を選択します。
-
作成したイントラネットサービスを選択すると、このフィールドで 2 つのイントラネットサービスを選択できます。サービスは、SD-WAN 構成を使用して作成したイントラネットサービスに対応します。
-
1つまたはすべてのブランチサイトを選択して、IPsecトンネルの確立プロセスを開始します。選択したイントラネットサービスに基づいて、使用可能なブランチ情報が入力されます。必要なサービスがあるすべての支店が表示されます。
単一のサイトを追加するには:
また、サイトを1つずつ(単一)追加し、ネットワークの拡大に合わせて追加することもできます。サイトごとの展開を実行している場合は、上記のように複数のサイトを追加することもできます。
-
Add New Entry をクリックして、Site-Wanアソシエーションのサイト名を1つ選択します。[ Azureネットワーク へのサイトの構成]ダイアログボックスでサイトを追加します。
-
SD-WAN 構成を使用して作成したイントラネットサービスは、[イントラネットサービス (Tunnel1 および Tunnel2)] で選択したサイトに基づいて設定されます。1 つまたは 2 つのイントラネットサービスを選択します。
-
Azure 仮想 WAN ドロップダウンメニューから、サイトを関連付ける必要がある WAN リソースを選択します。
-
[ デプロイ] をクリックして、関連付けを確認します。ステータス (「プッシュされていません」、「プッシュ済み」、「ダウンロード済み」) が更新され、プロセスについて通知されます。
デプロイプロセスには次のステータスが含まれます。
- サイト情報をプッシュ
- VPN構成を待機しています
- 展開されたトンネル
-
Connection Active(IPsec Tunnel is up)またはConnection Down(IPsec Tunnel is down)
[ステータス] が [接続アクティブ] に変わるのを待って、 IPsec トンネル設定を表示します 。選択したサービスに関連付けられているIPsec設定を表示します。
SD-WAN Azure設定:
デフォルトでは、変更管理プロセスは自動化されています。つまり、Azure Virtual WANインフラストラクチャで新しい構成が利用可能になると、SD-WAN Center はそれを取得して、ブランチへの適用を自動的に開始します。ただし、ブランチに設定をいつ適用する必要があるかを制御する場合、この動作は制御されます。自動変更管理を無効にする利点の1つは、この機能と他のSD-WAN機能の構成が個別に管理されることです。 ポーリング間隔オプションは、Azure Virtual WAN インフラストラクチャで構成更新を検索する間隔を制御します。ポーリング間隔の推奨時間は 2 分です。
-
ブランチ間の接続を 無効にする– Azure Virtual WANインフラストラクチャを介したブランチ間の通信を無効にします。デフォルトでは、このオプションは無効になっています。これを有効にすると、オンプレミスのブランチは、Azure の Virtual WAN Infra を介して IPsec 経由でブランチ間の相互およびブランチの背後にあるリソースと通信できるようになります。これは、SD-WAN仮想パスを介したブランチ間通信には影響を与えません。ブランチは相互に通信でき、それぞれのブランチと通信できます resources/end このオプションが無効になっている場合でも、仮想パスをポイントします。
-
デバッグレベル –接続の問題がある場合、ログをキャプチャしてデバッグすることができます。
WANリソースを更新する:
[ 更新 ]アイコンをクリックして、Azure Portalで更新したWANリソースの最新のセットを取得します。更新プロセスが完了すると、「WAN リソースが正常に更新されました」というメッセージが表示されます。
サイトと WAN リソースの関連付けを削除する
削除を実行する1つまたは複数のマッピングを選択します。内部的には、SD-WANアプライアンスの変更管理プロセスがトリガーされ、成功するまで、[削除]オプションは無効になり、それ以上の削除は実行されません。マッピングを削除するには、Azureポータルで対応するサイトの関連付けを解除するか削除する必要があります。
IPsecトンネルの監視
SD-WAN Center レポートビューに移動して、それぞれの IPsec トンネルのステータスを確認します。データトラフィックが流れるには、トンネルのステータスが緑色になっている必要があります。