ゼロタッチ展開

注

ゼロタッチ展開サービスは、特定のCitrix SD-WAN™アプライアンスでのみサポートされています。

• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (再イメージ化が必要)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (再イメージ化が必要)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN AWS VPXインスタンス

ゼロタッチ展開 (ZTD) サービスは、Citrix®が運用および管理するクラウドサービスであり、Citrix SD-WANネットワーク内の新しいアプライアンスの検出を可能にし、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由で、またSecure Socket Layer (SSL) プロトコルを介して、ネットワーク内の任意のノードからアクセスできます。

ZTDクラウドサービスは、ゼロタッチ対応デバイス (例: SD-WAN 410-SE、2100-SE) を購入した顧客の識別情報を保存するバックエンドのCitrixネットワークサービスと安全に通信します。バックエンドサービスは、ゼロタッチ展開要求を認証し、顧客アカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けを適切に検証するために機能します。

ZTDのハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Centerのネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード (MCN) SD-WANアプライアンスからの構成のインポート。
• 新しいサイトノード展開のためにゼロタッチ展開サービスを開始するためのCitrix Cloud™ログイン。

注

SD-WAN Centerがプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Centerでプロキシサーバー設定を構成する必要があります。詳細については、「ゼロタッチ展開のプロキシサーバー設定」を参照してください。

ネットワーク管理者 – エンタープライズネットワーク管理 (DHCP、DNS、インターネット、ファイアウォールなど) を担当するユーザー。

• 必要に応じて、SD-WAN CenterからFQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためにファイアウォールを構成します。

リモートサイト

オンサイトインストーラー – オンサイト作業を行う現地の担当者または契約インストーラーで、以下の主要な責任を負います。

• Citrix SD-WANアプライアンスの物理的な開梱。

• ZTD非対応アプライアンスの再イメージ化。

  • 必須: SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要: SD-WAN 410-SE、2100-SE
• アプライアンスへの電源ケーブル接続。
• 管理インターフェース (例: MGMT、または0/1) でインターネット接続のためにアプライアンスをケーブル接続。
• データインターフェース (例: apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5など) でWANリンク接続のためにアプライアンスをケーブル接続。

注

インターフェースのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

ゼロタッチ展開サービスを開始する前に、以下の前提条件が必要です。

• マスターコントロールノード (MCN) に昇格された、アクティブに稼働しているSD-WAN。
• 仮想パスを介してMCNに接続された、アクティブに稼働しているSD-WAN Center。
• https://onboarding.cloud.com で作成されたCitrix Cloudログイン資格情報 (アカウント作成については以下の手順を参照)。
• 管理ネットワーク接続 (SD-WAN CenterおよびSD-WANアプライアンス) が、ポート443でインターネットに直接、またはプロキシサーバー経由で接続されていること。
• ZTDの初期設定のためにSD-WAN Centerウェブポータルにアクセスするための、ポート443でのインターネット接続。
• (オプション) 既存のアンダーレイネットワーク全体でパスが正常に確立されることを検証するために、MCNへの有効な仮想パス接続を持つクライアントモードでブランチオフィスで動作している、少なくとも1つのアクティブなSD-WANアプライアンス。

最後の前提条件は必須ではありませんが、SD-WAN管理者が、ゼロタッチ展開が新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを確認できます。主に、これは、トラフィックを適切にNATするか、UDPポート4980がMCNに到達するためにネットワークを正常に通過できることを確認するために、適切なファイアウォールとルーティングポリシーが設定されていることを検証します。

ゼロタッチ展開サービスの概要

ゼロタッチ展開サービスは、SD-WAN Centerと連携して、ブランチオフィスSD-WANアプライアンスの展開を容易にします。SD-WAN Centerは、SD-WAN StandardおよびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス (またはZTDクラウドサービス) を利用するには、管理者はまず環境に最初のSD-WANデバイスを展開し、次にSD-WAN Centerを中央管理ポイントとして構成および展開する必要があります。リリース9.1以降のSD-WAN Centerがポート443でパブリックインターネットに接続されてインストールされると、SD-WAN Centerは自動的にクラウドサービスを開始し、ゼロタッチ展開機能を有効にするために必要なコンポーネントをインストールし、SD-WAN CenterのGUIでゼロタッチ展開オプションを利用できるようにします。ゼロタッチ展開は、SD-WAN Centerソフトウェアではデフォルトで利用できません。これは、管理者がゼロタッチ展開を含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

動作中のSD-WAN環境が稼働した後、ゼロタッチ展開サービスへの登録は、Citrix Cloudアカウントログインを作成することによって行われます。SD-WAN CenterがZTDサービスと通信できる状態になると、GUIの構成タブの下にゼロタッチ展開オプションが表示されます。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられた顧客IDが認証され、SD-WAN Centerが登録され、さらにZTDアプライアンス展開の認証のためにアカウントがロック解除されます。

SD-WAN Centerのネットワーク構成ツールを使用して、SD-WAN管理者はテンプレートまたはサイトクローン機能を利用して、新しいサイトを追加するためのSD-WAN構成を構築する必要があります。新しい構成は、SD-WAN Centerによって新しく追加されたサイトのZTD展開を開始するために使用されます。SD-WAN管理者がZTDプロセスを使用して展開するサイトを開始するとき、シリアル番号を事前入力し、オンサイトインストーラーにオンサイトアクティビティを開始するための電子メール通信を開始することによって、ZTDに使用するアプライアンスを事前認証するオプションがあります。

オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができており、DHCP IPアドレス割り当てとMGMTポートでのインターネットアクセス、およびLANポートとWANポートのケーブル接続のためにアプライアンスの電源を入れ、ケーブル接続するインストール手順を開始できるという電子メール通信を受け取ります。その他のすべてはZTDサービスによって開始され、進行状況はアクティベーションURLを利用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは不要です。

ゼロタッチ展開クラウドサービスは、以下の操作を自動化します。

ブランチアプライアンスで新しい機能が利用可能な場合、ZTDエージェントをダウンロードして更新します。

• シリアル番号を検証してブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Centerを使用してZTDのサイトを受け入れたことを認証します。
• SD-WAN Centerからターゲットアプライアンス固有の構成ファイルをプルします。
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パス確立の確認のために、一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN管理者による追加の手順が必要です。

ゼロタッチ展開サービスのプロシージャ

以下の手順は、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳細に説明しています。MCNが稼働しており、1つのクライアントノードがSD-WAN Centerとの適切な通信で既に動作しており、アンダーレイネットワーク全体で接続を確認する仮想パスが確立されていることを前提とします。ゼロタッチの展開を開始するためにSD-WAN管理者に必要な手順は以下のとおりです。

ゼロタッチ展開サービスを構成する方法

SD-WAN Centerには、新しく接続されたアプライアンスがSD-WANエンタープライズネットワークに参加するための要求を受け入れる機能があります。要求はゼロタッチ展開サービスを介してウェブインターフェースに転送されます。アプライアンスがサービスに接続すると、構成およびソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー:

• SD-WAN Center > 新しいサイト構成の作成にアクセスするか、既存の構成をインポートして保存します。
• Citrix Workspace™ CloudにログインしてZTDサービスを有効にします。ゼロタッチ展開メニューオプションがSD-WAN Centerのウェブ管理インターフェースに表示されます。
• SD-WAN Centerで、構成 > ゼロタッチ展開 > 新しいサイトの展開に移動します。
• アプライアンスを選択し、有効にするをクリックし、展開をクリックします。
• インストーラーがアクティベーションメールを受信 > シリアル番号を入力 > アクティベート > アプライアンスが正常に展開されます。

ゼロタッチ展開サービスを構成するには:

1. ゼロタッチ展開機能が有効なSD-WAN Centerをインストールします。
   1. DHCP割り当てIPアドレスでSD-WAN Centerをインストールします。
   2. SD-WAN Centerが適切な管理IPアドレスとネットワークDNSアドレスを割り当てられ、管理ネットワークを介してパブリックインターネットに接続されていることを確認します。

   3. SD-WAN Centerを最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続があれば、SD-WAN Centerはゼロタッチ展開 (ZTD) クラウドサービスを開始し、ZTD固有のファームウェア更新を自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下のゼロタッチ展開オプションはGUIで利用できません。

      

   5. 利用規約を読み、「上記の利用規約を読み、同意することを認めます」を選択します。

   6. Citrix Cloudアカウントが既に作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。

   7. Citrix Cloudアカウントにログインし、ログイン成功のメッセージを受信したら、このウィンドウを閉じないでください。SD-WAN Center GUIが更新されるまでにさらに約20秒かかります。完了すると、ウィンドウは自動的に閉じます。

      

   8. クラウドログインアカウントを作成するには、以下の手順に従います。

      • ウェブブラウザでhttps://onboarding.cloud.comを開きます。

      • 「待って、Citrix.comアカウントを持っています」のリンクをクリックします。

      

      

   9. 既存のCitrixアカウントでサインインします。

   10. SD-WAN Centerのゼロタッチ展開ページにログインすると、以下の理由によりZTD展開に利用できるサイトがないことに気づく場合があります。

       • 構成ドロップダウンメニューからアクティブな構成が選択されていない。
       • 現在のすべてのアクティブな構成のサイトが既に展開されている。
       • 構成がSD-WAN Centerではなく、MCNで利用可能な構成エディターを使用して構築された。
       • ゼロタッチ対応アプライアンス (例: 410-SE、2100-SE、Cloud VPX) を参照してサイトが構成に構築されていない。

2. SD-WAN Centerネットワーク構成を使用して、ZTD対応SD-WANアプライアンスを持つ新しいリモートサイトを追加するように構成を更新します。

   SD-WAN構成がSD-WAN Centerネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。ゼロタッチ展開をターゲットとする新しいサイトを追加するには、以下の手順を使用する必要があります。

   新しいサイトのSD-WANアプライアンス展開を設計するには、まず新しいサイトの詳細 (つまり、アプライアンスモデル、インターフェースグループの使用状況、仮想IPアドレス、帯域幅とそれぞれのゲートウェイを持つWANリンク) を概説します。

   重要

   モデルとしてVPXが選択されているサイトノードもリストに表示される場合がありますが、現在ZTDサポートはAWS VPXインスタンスでのみ利用可能です。 注

   • Citrix SD-WAN Centerでサポートされているウェブブラウザを使用していることを確認してください。
   • Citrix Workspaceログイン中にウェブブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例であり、SD-WANアプライアンスは既存のMPLS WANリンクのパスに物理的に展開され、172.16.30.0/24ネットワークを介して、既存のバックアップリンクをアクティブ状態にして、その2番目のWANリンクを異なるサブネット172.16.31.0/24上のSD-WANアプライアンスに直接終端させることによって使用されます。

   注

   SD-WANアプライアンスは、デフォルトで192.168.100.1/16のIPアドレスを自動的に割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバーは、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する可能性があります。これにより、アプライアンスがZTDクラウドサービスに接続できないルーティングの問題が発生する可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てるようにしてください。

   ネットワーク内のSD-WAN製品の配置には、さまざまな展開モードがあります。上記の例では、SD-WANは既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者は、WANエッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズをSD-WANソリューションに統合するために、SD-WANをエッジモードまたはゲートウェイモードで展開することを選択する場合があります。

   1. SD-WAN Centerウェブ管理インターフェースを開き、構成 > ネットワーク構成ページに移動します。

      

   2. 動作中の構成が既に存在することを確認するか、MCNから構成をインポートします。

   3. サイトを作成するために詳細設定タブに移動します。

   4. サイトタイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

      

   6. この新しいブランチサイト用に設計されたトポロジから、必要なすべてのフィールドを入力します。

      

   7. 新しいサイトをクローンした後、サイトの基本設定に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。

      

   8. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスがクローンに使用されたものとは異なるインターフェースレイアウトを持つ可能性があるため、インターフェースグループを再定義する必要がある場合があることに注意してください。

   9. SD-WAN Centerに新しい構成を保存し、「変更管理受信トレイ」へのエクスポートオプションを使用して、変更管理を使用して構成をプッシュします。

   10. 変更管理手順に従って新しい構成を適切にステージングし、既存のSD-WANデバイスにゼロタッチで展開される新しいサイトを認識させます。ZTDワークフローをまだ通過する必要がある新しいサイトに構成をプッシュしようとするのをスキップするには、「不完全なものを無視」オプションを利用する必要があります。

3. SD-WAN Centerのゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。

   1. ゼロタッチ展開ページの新しいサイトの展開タブで、実行中のネットワーク構成ファイルを選択します。

   2. 実行中の構成ファイルが選択されると、ゼロタッチでサポートされている未展開のSD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。

      

      

   3. ゼロタッチサービス用に構成するブランチサイトを選択し、有効にするをクリックし、次に展開をクリックします。

      

   4. 新しいサイトの展開ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーの電子メールアドレス、およびその他のメモを提供できます。

      

   注

   • シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトアクティビティが変更されます。
   • シリアル番号フィールドが入力されている場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力する責任があります。

   1. 展開ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。

   2. このアクションにより、以前ZTDクラウドサービスに登録されたSD-WAN Centerがトリガーされ、この特定のサイトの構成がZTDクラウドサービスに一時的に保存されます。

   3. 保留中のアクティベーションタブに移動して、ブランチサイト情報が正常に入力され、インストーラーアクティビティの保留中のステータスになったことを確認します。

      

   注

   保留中のアクティベーション状態のゼロタッチ展開は、情報が正しくない場合、オプションで削除または変更を選択できます。保留中のアクティベーションページからサイトが削除されると、新しいサイトの展開タブページで展開可能になります。保留中のアクティベーションからブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーを待機中」と表示されます。

4. 次の一連の活動は、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN管理者がサイトを展開するときに使用した電子メールアドレスのメールボックスを確認します。

      

   2. インターネットブラウザウィンドウでゼロタッチ展開アクティベーションURLを開きます。

   3. SD-WAN管理者がサイト展開ステップでシリアル番号を事前入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、アクティベートボタンをクリックする責任があります。

      

   4. 管理者がシリアル番号情報を事前入力した場合、アクティベーションURLは既に次のステップに進んでいます。

      

   5. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。

      • 以前のステップで構築されたトポロジと構成に合わせて、すべてのWANおよびLANインターフェースをケーブル接続します。
      • DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決を伴うインターネットへの接続を提供するネットワークセグメントに、管理インターフェース (MGMT、0/1) をケーブル接続します。
      • SD-WANアプライアンスに電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があり、その他はアプライアンスの背面にある電源スイッチを使用する場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次の一連のステップは、ゼロタッチ展開サービスの助けを借りて自動化されますが、以下の前提条件が利用可能である必要があります。

   • ブランチアプライアンスの電源がオンになっていること。
   • 既存のネットワークでDHCPが利用可能であり、管理およびDNS IPアドレスを割り当てられること。
   • DHCP割り当てIPアドレスは、FQDNを解決できるインターネットへの接続を必要とすること。
   • 他の前提条件が満たされている限り、IP割り当ては手動で構成できます。

   1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェースを介して実現されます。

      

   2. アプライアンスがアンダーレイネットワークのDHCPサーバーからウェブ管理およびDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ZTD関連のソフトウェア更新をダウンロードします。

   3. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。

      • SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスに構成を適用します。
      • 一時的な10 MBライセンスファイルをダウンロードしてインストールします。
      • 必要に応じてソフトウェア更新をダウンロードしてインストールします。
      • SD-WANサービスをアクティベートします。

      

   4. SD-WAN Centerウェブ管理インターフェースでさらに確認できます。ゼロタッチ展開メニューのアクティベーション履歴タブに、正常にアクティベートされたアプライアンスが表示されます。

      

   5. MCNがZTDクラウドサービスから提供された構成を信頼しない可能性があり、MCNダッシュボードに「構成バージョン不一致」と報告されるため、仮想パスがすぐに接続状態にならない場合があります。

      

   6. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスはMCN > 構成 > 仮想WAN > 変更管理ページで監視されます (このプロセスには数分かかる場合があります)。

      

   7. SD-WAN管理者は、リモートサイトの確立された仮想パスについて、ヘッドエンドMCNウェブ管理ページを監視できます。

      

   8. SD-WAN Centerは、構成 > ネットワーク検出 > インベントリとステータスページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを特定するためにも利用できます。

      

   9. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用してオンサイトアプライアンスへのウェブ管理アクセスを取得できます。

      

   10. リモートサイトアプライアンスへのウェブ管理アクセスは、アプライアンスが10 Mbpsの一時的なグレースライセンスでインストールされており、これにより仮想パスサービスステータスがアクティブとして報告される機能が有効になっていることを示します。

       

   11. アプライアンスの構成は、構成 > 仮想WAN > 構成の表示ページを使用して検証できます。

       

   12. アプライアンスのライセンスファイルは、構成 > アプライアンス設定 > ライセンスページを使用して永続ライセンスに更新できます。

       

   13. 永続ライセンスファイルをアップロードしてインストールすると、グレースライセンスの警告バナーは消え、ライセンスインストールプロセス中にリモートサイトへの接続が失われることはありません (pingのドロップは発生しません)。