Citrix SD-WAN Center

ゼロタッチ展開

ゼロタッチ展開サービスは、一部のCitrix SD-WANアプライアンスでのみサポートされています。

  • SD-WAN 210 Standard Edition
  • SD-WAN 410 Standard Edition
  • SD-WAN 2100 スタンダードエディション
  • SD-WAN 1000 Standard Edition(再イメージ化が必要)
  • SD-WAN 1000 エンタープライズエディション (プレミアムエディション) (イメージの再作成が必要)
  • SD-WAN 1100 Standard Edition
  • SD-WAN 1100 Premium (Enterprise) Edition
  • SD-WAN 2000 スタンダードエディション (イメージの再作成が必要)
  • SD-WAN 2000 エンタープライズエディション (プレミアムエディション) (イメージの再作成が必要) — SD-WAN AWS VPX インスタンス

ゼロタッチ展開(ZTD)サービスは、Citrixが運営および管理するクラウドサービスであり、Citrix SD-WANネットワークで新しいアプライアンスを検出し、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由で、Secure Socket Layer(SSL)プロトコルを介してネットワーク内の任意のノードからアクセスできます。

ZTDクラウドサービスは、ゼロタッチ対応デバイス(SD-WAN 410-SE、2100-SEなど)を購入した顧客のIDを格納するバックエンドCitrixネットワークサービスと安全に通信します。ゼロタッチ展開リクエストを認証するためのバックエンドサービスが用意されており、カスタマーアカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けが適切に検証されます。

ZTDの高レベルのアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理者権限を持つユーザー。主な役割は次のとおりです。

  • Citrix SD-WAN センターネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード(MCN)SD-WANアプライアンスからの構成のインポート
  • 新しいサイトノードの展開のためにゼロタッチ展開サービスを開始するCitrix Cloudログイン。

SD-WAN Centerがプロキシサーバ経由でインターネットに接続されている場合は、SD-WAN Centerでプロキシサーバの設定を構成する必要があります。詳しくは、「ゼロタッチ展開のプロキシサーバー設定」を参照してください。

ネットワーク管理者 –エンタープライズネットワーク管理(DHCP、DNS、インターネット、ファイアウォールなど)を担当するユーザー

  • 必要に応じて、 SD-WAN Centerから FQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信用のファイアウォールを構成します。

リモートサイト

オンサイトインストーラー –次の主な責任を持つオンサイト活動のためのローカルの連絡先または雇われたインストーラー:

  • Citrix SD-WANアプライアンスを物理的に開梱します。
  • ZTD対応でないアプライアンスのイメージを再作成します。

    • 必須:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
    • 必要ありません for: SD-WAN 410-SE、2100-SE
  • アプライアンスの電源ケーブル。
  • 管理インターフェイス(MGMT、0/1 など)でインターネットに接続するためにアプライアンスをケーブルで接続します。
  • データインターフェイス(例:Apa.WAN、apb.Wan、apc.WAN、0/2、0/3、0/5 など)上のWANリンク接続用にアプライアンスをケーブル接続します。

インターフェイスのレイアウトはモデルごとに異なります。データと管理ポートの識別については、ドキュメントを参照してください。

ローカライズされた画像

ゼロタッチ展開サービスを開始する前に、次の前提条件が必要です。

  • マスターコントロールノード(MCN)に昇格したアクティブに実行されているSD-WAN。
  • 仮想パスを介してMCNに接続し、SD-WAN Center をアクティブに実行します。
  • https://onboarding.cloud.comでCitrix Cloudログイン認証情報が作成されました(アカウント作成については、以下の手順を参照してください)。
  • 管理ネットワーク接続(SD-WAN Centerおよび SD-WAN アプライアンス)をポート 443 でインターネットに直接接続するか、プロキシサーバー経由で接続します。
  • ZTDの初期設定用のSD-WAN Center Webポータルにアクセスするためのポート443でのインターネット接続。
  • (オプション)MCNへの有効な仮想パス接続を使用してクライアントモードでブランチオフィスで動作するアクティブに実行されている少なくとも1つのSD-WANアプライアンス。

最後の前提条件は必須ではありませんが、SD-WAN管理者は、ゼロタッチ展開が新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを検証できます。主に、これにより、適切なファイアウォールおよびルートポリシーが適切にNATトラフィックに配置されていること、またはUDPポート4980がネットワークを貫通してMCNに到達できることを確認します。

ローカライズされた画像

ゼロタッチ展開サービスの概要

Zero Touch Deployment Service は、SD-WAN Centerと連携して機能し、ブランチオフィスの SD-WAN アプライアンスを簡単に導入できます。SD-WAN Center は、SD-WAN StandardおよびEnterprise(Premium)Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス(またはZTDクラウドサービス)を利用するには、管理者は最初のSD-WANデバイスを環境に展開し、次にSD-WAN Center を管理の中心点として構成および展開する必要があります。SD-WAN Center のリリース9.1以降がポート443でパブリックインターネットに接続してインストールされると、SD-WAN Center は自動的にクラウドサービスを開始し、必要なコンポーネントをインストールしてゼロタッチ展開機能のロックを解除し、ゼロタッチを作成します。 SD-WAN Center のGUIで利用可能な展開オプション。SD-WAN Center ソフトウェアでは、ゼロタッチ展開はデフォルトでは使用できません。これは、管理者がゼロタッチ展開を含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上の適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

SD-WAN環境が稼働し始めたら、Citrix Cloudアカウントのログインを作成することにより、ゼロタッチ展開サービスへの登録が完了します。SD-WAN センターが ZTD サービスと通信できる場合、GUI は [ 構成 ] タブの [ゼロタッチ展開] オプションを表示します。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられたお客様IDが認証され、SD-WAN Center が登録されます。さらに、ZTDアプライアンスの展開をさらに認証するためにアカウントのロックが解除されます。

SD-WAN 管理者は、SD-WAN センターのネットワーク構成ツールを使用して、SD-WAN 構成を構築し、新しいサイトを追加するには、テンプレートまたはクローンサイト機能を利用する必要があります。SD-WAN Center は、新しい構成を使用して、新しく追加されたサイトのZTDの展開を開始します。SD-WAN管理者は、ZTDプロセスを使用して展開用のサイトを開始するときに、シリアル番号を事前に入力し、オンサイトインストーラーへの電子メール通信を開始することにより、ZTDに使用するアプライアンスを事前認証するオプションがありますオンサイト活動を開始します。

オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができているという電子メール通信を受信し、DHCP IPアドレスの割り当てとMGMTポートでのインターネットアクセスのためにアプライアンスの電源を入れてケーブル接続するインストール手順を開始できます。また、LANおよびWANポートのケーブル接続。その他はすべてZTDサービスによって開始され、進捗状況はアクティベーションURLを使用して監視されます。インストールするリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、ワークフローが開始され、指定されたクラウド環境にインスタンスが自動的にインストールされます。ローカルインストーラーによるアクションは必要ありません。

Zero Touch Deployment Cloud Serviceは以下アクションを自動化します :

ブランチアプライアンスで新しい機能を利用できる場合は、ZTDエージェントをダウンロードして更新します。

  • シリアル番号を検証して、ブランチアプライアンスを認証します。
  • SD-WAN管理者がSD-WAN Center を使用してZTDのサイトを受け入れたことを認証します。
  • SD-WAN Centerから、ターゲットアプライアンスに固有の設定ファイルをプルします。
  • 対象のアプライアンスに固有の構成ファイルをブランチアプライアンスにプッシュします。
  • ブランチアプライアンスに構成ファイルをインストールします。
  • 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
  • 仮想パスの確立を確認するための一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
  • ブランチアプライアンスでSD-WANサービスを有効にします。

SD-WAN管理者がアプライアンスに永久ライセンスファイルをインストールするには、さらに多くの手順が必要です。

ゼロタッチ展開サービスの手順

次の手順では、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳しく説明します。実行中のMCNと1つのクライアントノードが既にSD-WAN Center への適切な通信を行っていること、および確立された仮想パスがアンダーレイネットワーク全体の接続を確認していること。SD-WAN管理者がゼロタッチの展開を開始するには、次の手順が必要です。

ローカライズされた画像

ゼロタッチ展開サービスの設定方法

SD-WAN Centerには、新しく接続されたアプライアンスから SD-WAN エンタープライズネットワークに参加するための要求を受け付ける機能があります。要求は、ゼロタッチ展開サービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成とソフトウェアのアップグレードパッケージがダウンロードされます。

構成ワークフロー:

  • [ SD-WAN Center ] > [ 新しいサイト構成の作成 ] または既存の構成をインポートして保存します。
  • Citrix Workspace CloudにログインしてZTDサービスを有効にします。SD-WAN センターの Web 管理インターフェイスに、 ゼロタッチ展開メニューオプションが表示されるようになりました
  • SD-WAN Center で、 設定 > ゼロタッチ展開 > 新しいサイトを展開しますに移動します 。
  • アプライアンスを選択し、「 有効」をクリックし、「デプロイ」をクリックします。
  • インストーラーはアクティベーションメールを受け取ります > シリアル番号を入力してください > 活性化 > アプライアンスは正常に展開されました。

ゼロタッチ展開サービスを構成するには:

  1. ゼロタッチ展開機能を有効にしてSD-WAN Center をインストールします。
    1. DHCPが割り当てたIPアドレスを使用してSD-WAN Center をインストールします。
    2. SD-WAN Center に適切な管理IPアドレスとネットワークDNSアドレスが割り当てられ、管理ネットワークを介してパブリックインターネットに接続できることを確認します。
    3. SD-WAN Center を最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

    4. インターネット接続が適切であれば、SD-WAN センターはゼロタッチ導入(ZTD)クラウドサービスを開始し、ZTD固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、次のゼロタッチ展開オプションは GUI では使用できません。

      ローカライズされた画像

    5. 利用規約を読み、「上記の利用規約を読んで同意したことを認めます」 を選択します。

    6. Citrix Cloudアカウントがすでに作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。

    7. Citrix Cloudアカウントにログインし、ログインに成功したという次のメッセージが表示されたら、 このウィンドウを閉じないでください。SD-WAN CENTERのGUIを更新するには20秒以上かかります。完了すると、ウィンドウは自動的に閉じます。

      ローカライズされた画像

    8. クラウドログインアカウントを作成するには、以下の手順に従います。

      • Webブラウザーを開いて、https://onboarding.cloud.comに移動します。

      • お待ちください、Citrix.comアカウントを持っています。」のリンクをクリックします 。

      ローカライズされた画像

      ローカライズされた画像

    9. 既存のCitrixアカウントでサインインします。

    10. SD-WAN センターゼロタッチ展開ページにログインすると、次の理由により、ZTD 展開に使用できるサイトがないことに気付くことがあります。

      • [構成] ドロップダウンメニューからアクティブな構成が選択されていません
      • 現在アクティブな構成のすべてのサイトが既に展開されています
      • 構成は SD-WAN Centerを使用して構築されたものではなく、MCN で利用可能な構成エディタを使用して構築されたものでした。
      • ゼロタッチ対応のアプライアンス(410-SE、2100-SE、Cloud VPXなど)を参照する構成でサイトが構築されていない
  2. SD-WAN Centerネットワーク構成を使用して、 ZTD 対応 SD-WAN アプライアンスを 持つ 新しいリモート サイトを追加するように構成を更新します。

    SD-WAN 設定が SD-WAN Centerネットワーク設定を使用して構築されていない場合は、MCN からアクティブな設定をインポートし、SD-WAN Center を使用して設定の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Center を使用して構成を構築する必要があります。ゼロタッチ展開を対象とする新しいサイトを追加するには、次の手順を使用する必要があります。

    新しいサイトの詳細(つまり、アプライアンスモデル、インターフェイスグループの使用、仮想IPアドレス、帯域幅を備えたWANリンク、およびそれぞれのGateway)を最初に概説することにより、SD-WANアプライアンス展開用の新しいサイトを設計します。

    重要

    モデルとして VPX が選択されたサイトノードも一覧に表示されますが、現時点では、ZTD サポートは AWS VPX インスタンスでのみ利用可能です。

    • Citrix SD-WAN CenterのサポートWebブラウザを使用していることを確認します
    • Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください

    ローカライズされた画像

    これは、ブランチオフィスサイトの配置例です。SD-WANアプライアンスは、既存のMPLS WANリンクのパスに物理的に配置されます。 172.16.30.0/24 ネットワーク、および既存のバックアップリンクを使用してアクティブ状態にし、その2番目のWANリンクを別のサブネット 172.16.31.0/24上のSD-WANアプライアンスに直接終端する。

    SD-WANアプライアンスは、デフォルトのIPアドレス192.168.100.1/16を自動的に割り当てます。DHCP がデフォルトで有効になっている場合、ネットワーク内の DHCP サーバーは、デフォルトと重複するサブネット内の 2 番目の IP アドレスをアプライアンスに提供することがあります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスに接続できない可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てます。

    ネットワーク内のSD-WAN製品の配置には、さまざまな展開モードを使用できます。上記の例では、SD-WANが既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN 管理者は、エッジモードまたはゲートウェイモードの展開で SD-WAN を展開することを選択できます。これにより、WAN エッジルータとファイアウォールが不要になり、エッジルーティングとファイアウォールのネットワークニーズを SD-WAN ソリューションに統合できます。

    1. SD-WAN Center のWeb管理インターフェイスを開き、構成 > ネットワーク設定 ページに移動します。

      ローカライズされた画像

    2. 動作中の構成がすでに配置されていることを確認するか、MCN から構成をインポートします。

    3. [ 詳細設定 ] タブに移動して、サイトを作成します。

    4. [ サイト] タイルを開き 、現在構成されているサイトを表示します。

    5. 既存のサイトのクローン機能を利用して、新しいサイトの構成をすばやく構築しました。

      ローカライズされた画像

    6. この新しいブランチサイト用に設計されたトポロジからすべての必須フィールドを入力します。

      ローカライズされた画像

    7. 新しいサイトのクローンを作成した後、サイトの [基本設定]に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。

      ローカライズされた画像

    8. サイトの SD-WAN モデルは更新できますが、更新されたアプライアンスの新しいインターフェイスレイアウトがクローンに使用されたインターフェイスレイアウトになる可能性があるため、インターフェイスグループを再定義する必要があることに注意してください。

    9. SD-WAN Center に新しい構成を保存し、「変更管理の受信トレイ」オプションへのエクスポートを使用して、 変更管理を使用して構成をプッシュします。

    10. 変更管理手順に従って、新しい構成を適切にステージングします。これにより、既存のSD-WANデバイスは、ゼロタッチで展開される新しいサイトを認識します。構成をプッシュしようとする試みをスキップするには、「不完全を無視」オプションを使用する必要があります。 ZTDワークフローを通過する必要がある新しいサイト。

  3. SD-WAN Center のゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトを展開できます。

    1. [ゼロタッチ展開]ページの[ 新しいサイト の展開 ]タブで、実行中のネットワーク構成ファイルを選択します

    2. 実行構成ファイルを選択すると、ゼロタッチがサポートされている未展開のSD-WANデバイスを含むすべてのブランチサイトのリストが表示されます

      ローカライズされた画像

      ローカライズされた画像

    3. ゼロタッチサービス用に構成するブランチサイトを選択し、[ 有効にする]、[ 展開]の順にクリックします。

      ローカライズされた画像

    4. Deploy New Siteポップアップウィンドウが表示されます。管理者は、必要に応じて、シリアル番号、ブランチサイトのストリートアドレス、インストーラの電子メールアドレス、その他のメモを提供できます。

      ローカライズされた画像

    • [ Serial Number ] 入力フィールドはオプションであり、入力されているかどうかによって、インストーラーが担当するオンサイトアクティビティが変更されるかどうかによって異なります。
    • シリアル番号フィールドが入力されている場合–インストーラーは、サイトのデプロイコマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません
    • シリアル番号フィールドが黒のままの場合 — インストーラーは、deploy site コマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力します。
    1. [ 展開 ]ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。

    2. このアクションにより、以前にZTDクラウドサービスに登録されたSD-WAN Center がトリガーされ、この特定のサイトの構成を共有して、一時的にZTDクラウドサービスに保存されます。

    3. [ Pending Activation ] タブに移動して、ブランチサイト情報が正常に入力され、保留中のインストーラアクティビティステータスになったことを確認します。

      ローカライズされた画像

    情報が正しくない場合、「アクティブ化保留中」状態のゼロタッチ展開を選択して削除または変更できます。保留中のアクティブ化ページからサイトを削除すると、[ 新しいサイトの展開] タブページでサイトを展開できるようになります 。アクティベーションの保留からブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

    SD-WAN 管理者が [ シリアル番号 ] フィールドに入力されていない場合、ステータスフィールドには「接続中」ではなく「インストーラを待機」と表示されます。

  4. 次の一連のアクティビティは、オンサイトインストーラーによって実行されます。

    1. インストーラーは、SD-WAN管理者がサイトの展開時に使用した電子メールアドレスのメールボックスを確認します。

      ローカライズされた画像

    2. インターネットブラウザーウィンドウでゼロタッチ展開アクティベーションURLを開きます。

    3. SD-WAN管理者がデプロイサイトの手順でシリアル番号を事前に入力しなかった場合、インストーラーが物理アプライアンス上のシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、[ アクティベート ]ボタンをクリックします。

      ローカライズされた画像

    4. 管理者がシリアル番号情報を事前に入力した場合、アクティベーション URL はすでに次のステップに進んでいます。

      ローカライズされた画像

    5. 次のアクションを実行するには、設置者が現場にいる必要があります。

      • 前の手順で構築したトポロジと構成に一致するように、すべてのWANおよびLANインターフェイスをケーブルで接続します。
      • 管理インターフェース(MGMT、 0/1) DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決によりインターネットへの接続を提供するネットワークのセグメント内。
      • SD-WANアプライアンスの電源ケーブル。
      • アプライアンスの電源スイッチをオンにします。

    ほとんどのアプライアンスは、電源ケーブルを接続すると自動的に電源が入ります。一部のアプライアンスは、アプライアンスの前面の電源スイッチを使用して電源をオンにする必要がある場合もあれば、アプライアンスの背面に電源スイッチがある場合もあります。一部の電源スイッチは、ユニットの電源が入るまで電源ボタンを押し続ける必要があります。

  5. 次の一連のステップは、ゼロタッチ展開サービスの助けを借りて自動化されますが、次の前提条件が利用可能であることが必要です。

    • ブランチアプライアンスの電源を入れる必要があります
    • 管理とDNS IPアドレスを割り当てるには、既存のネットワークでDHCPを使用できる必要があります
    • DHCPが割り当てたIPアドレスには、FQDNを解決する機能を備えたインターネットへの接続が必要です
    • 他の前提条件が満たされている限り、IP割り当てを手動で構成できます。
    1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して行われます。

      ローカライズされた画像

    2. アプライアンスがアンダーレイネットワークDHCPサーバーからWeb管理とDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ZTD関連のソフトウェア更新をダウンロードします。

    3. ZTDクラウドサービスへの接続が成功すると、デプロイプロセスでは次の処理が自動的に実行されます。

      • SD-WAN Center によって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスへの構成の適用
      • 10 MBの一時ライセンスファイルをダウンロードしてインストールする
      • 必要に応じて、ソフトウェアの更新をダウンロードしてインストールします
      • SD-WANサービスをアクティブ化する

      ローカライズされた画像

    4. さらに確認は SD-WAN センター Web 管理インターフェイスで実行できます。 ゼロタッチ展開メニューではアクティベーション履歴タブに正常にアクティブ化されたアプライアンスが表示されます

      ローカライズされた画像

    5. MCN が ZTD クラウドサービスから引き渡された構成を信頼せず、MCN ダッシュボードに「構成バージョンの不一致」を報告するため、仮想パスが接続状態ですぐには表示されないことがあります。

      ローカライズされた画像

    6. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > 構成 > 仮想WAN > 変更管理 ページ(このプロセスは完了するまでに数分かかる場合があります)で監視されます。

      ローカライズされた画像

    7. SD-WAN管理者は、リモートサイトの確立された仮想パスのヘッドエンドMCN Web管理ページを監視できます。

      ローカライズされた画像

    8. SD-WAN Centerを使用して、[ 構成 ] > [ ネットワーク検出 ] > [ インベントリとステータス ] ページから、オンサイトアプライアンスの DHCP 割り当てられた IP アドレスを識別することもできます。

      ローカライズされた画像

    9. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用して、オンサイトアプライアンスへのWeb管理アクセスを取得できます。

      ローカライズされた画像

    10. リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスに10 Mbpsの一時的な猶予ライセンスがインストールされていることを示しています。これにより、仮想パスサービスステータスをアクティブとして報告することができます。

      ローカライズされた画像

    11. アプライアンスの構成は、 構成 > 仮想WAN > 「構成の 表示」ページを使用して検証できます。

      ローカライズされた画像

    12. アプライアンスライセンスファイルは、 構成 > アプライアンスの設定 > ライセンス ページを使用して永久ライセンスに更新できます。

      ローカライズされた画像

    13. 永久ライセンスファイルをアップロードしてインストールすると、グレースライセンス警告バナーが消え、ライセンスのインストールプロセス中にリモートサイトへの接続が失われることはありません(pingはドロップされません)。

ゼロタッチ展開