ゼロタッチデプロイメント

注

ゼロタッチデプロイメントサービスは、一部のCitrix SD-WAN™アプライアンスでのみサポートされています。

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (再イメージ化が必要)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (再イメージ化が必要)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN AWS VPXインスタンス

ゼロタッチデプロイメント (ZTD) サービスは、Citrix® が運用および管理するクラウドサービスであり、Citrix SD-WANネットワーク内の新しいアプライアンスの検出を可能にし、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由でネットワーク内の任意のノードから、およびSecure Socket Layer (SSL) プロトコルを介してアクセスできます。

ZTDクラウドサービスは、ゼロタッチ対応デバイス (例: SD-WAN 410-SE、2100-SE) を購入した顧客の識別情報を保存するバックエンドのCitrixネットワークサービスと安全に通信します。バックエンドサービスは、ゼロタッチデプロイメントの要求を認証し、顧客アカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けを適切に検証するために導入されています。

ZTDのハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Centerネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード (MCN) SD-WANアプライアンスからの構成のインポート
• 新しいサイトノードの展開のためにゼロタッチデプロイメントサービスを開始するためのCitrix Cloud™ログイン

注

SD-WAN Centerがプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Centerでプロキシサーバーの設定を行う必要があります。詳細については、「ゼロタッチデプロイメントのプロキシサーバー設定」を参照してください。

ネットワーク管理者 – エンタープライズネットワーク管理 (DHCP、DNS、インターネット、ファイアウォールなど) を担当するユーザー

• 必要に応じて、SD-WAN CenterからFQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためにファイアウォールを設定します。

リモートサイト

オンサイトインストーラー – 以下の主要な責任を負う、オンサイト作業のための現地担当者または契約インストーラー

• Citrix SD-WANアプライアンスを物理的に開梱します。
• ZTD非対応アプライアンスを再イメージ化します。
  • 必須: SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要: SD-WAN 410-SE、2100-SE
• アプライアンスに電源ケーブルを接続します。
• 管理インターフェイス (例: MGMT、または0/1) でインターネット接続のためにアプライアンスにケーブルを接続します。
• データインターフェイス (例: apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5など) でWANリンク接続のためにアプライアンスにケーブルを接続します。

注

インターフェイスのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

ゼロタッチデプロイメントサービスを開始する前に、以下の前提条件が必要です。

• マスターコントロールノード (MCN) に昇格された、アクティブに稼働しているSD-WAN。
• 仮想パスを介してMCNに接続された、アクティブに稼働しているSD-WAN Center。
• https://onboarding.cloud.com で作成されたCitrix Cloudログイン資格情報 (アカウント作成については以下の手順を参照)。
• 管理ネットワーク接続 (SD-WAN CenterおよびSD-WANアプライアンス) が、ポート443でインターネットに直接またはプロキシサーバー経由で接続されていること。
• ZTDの初期設定のためにSD-WAN Center Webポータルにアクセスするためのポート443でのインターネット接続。
• (オプション) 既存のアンダーレイネットワーク全体でパスが正常に確立されることを検証するために、MCNへの有効な仮想パス接続を持つクライアントモードでブランチオフィスで動作している、少なくとも1つのアクティブに稼働しているSD-WANアプライアンス。

最後の前提条件は必須ではありませんが、ゼロタッチデプロイメントが新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを確認するためにSD-WAN管理者が検証できるようにします。主に、これにより、適切なファイアウォールとルーティングポリシーがトラフィックを適切にNATするか、UDPポート4980がMCNに到達するためにネットワークを正常に通過できることを確認するために配置されていることを検証します。

ゼロタッチデプロイメントサービスの概要

ゼロタッチデプロイメントサービスは、SD-WAN Centerと連携して、ブランチオフィスSD-WANアプライアンスの展開を容易にします。SD-WAN Centerは、SD-WAN StandardおよびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチデプロイメントサービス (またはZTDクラウドサービス) を利用するには、管理者はまず環境内に最初のSD-WANデバイスを展開し、次にSD-WAN Centerを中央管理ポイントとして構成および展開する必要があります。SD-WAN Center (リリース9.1以降) がポート443でパブリックインターネットに接続されてインストールされると、SD-WAN Centerは自動的にクラウドサービスを開始し、ゼロタッチデプロイメント機能を有効にするために必要なコンポーネントをインストールし、SD-WAN CenterのGUIでゼロタッチデプロイメントオプションを利用できるようにします。ゼロタッチデプロイメントは、SD-WAN Centerソフトウェアではデフォルトで利用できません。これは、管理者がゼロタッチデプロイメントを含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

動作中のSD-WAN環境が稼働した後、ゼロタッチデプロイメントサービスへの登録は、Citrix Cloudアカウントログインを作成することによって行われます。SD-WAN CenterがZTDサービスと通信できるようになると、GUIの [Configuration] タブの下にゼロタッチデプロイメントオプションが表示されます。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられた顧客IDが認証され、SD-WAN Centerが登録されるだけでなく、ZTDアプライアンスの展開のさらなる認証のためにアカウントがロック解除されます。

SD-WAN Centerのネットワーク構成ツールを使用して、SD-WAN管理者は、新しいサイトを追加するためのSD-WAN構成を構築するために、テンプレートまたはサイトクローン機能を利用する必要があります。新しい構成は、SD-WAN Centerによって新しく追加されたサイトのZTDの展開を開始するために使用されます。SD-WAN管理者がZTDプロセスを使用して展開するサイトを開始するとき、シリアル番号を事前に入力してZTDに使用するアプライアンスを事前認証し、オンサイトインストーラーにオンサイトアクティビティを開始するための電子メール通信を開始するオプションがあります。

オンサイトインストーラーは、サイトがゼロタッチデプロイメントの準備ができたという電子メール通信を受け取り、MGMTポートでのDHCP IPアドレス割り当てとインターネットアクセス用にアプライアンスの電源を入れ、ケーブルを接続するインストール手順を開始できます。また、LANおよびWANポートへのケーブル接続も行います。その他のすべてはZTDサービスによって開始され、進行状況はアクティベーションURLを利用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは必要ありません。

ゼロタッチデプロイメントクラウドサービスは、以下の操作を自動化します。

• ブランチアプライアンスで新機能が利用可能な場合、ZTDエージェントをダウンロードして更新します。
• シリアル番号を検証してブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Centerを使用してZTDのサイトを受け入れたことを認証します。
• SD-WAN Centerからターゲットアプライアンス固有の構成ファイルを取得します。
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パス確立の確認のために、一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN管理者による追加の手順が必要です。

ゼロタッチデプロイメントサービスのプロシージャ

以下の手順は、ゼロタッチデプロイメントサービスを使用して新しいサイトを展開するために必要な手順を詳述しています。SD-WAN Centerとの適切な通信が確立され、アンダーレイネットワーク全体で接続が確認された仮想パスを持つ、稼働中のMCNと1つのクライアントノードが既に動作していることを確認してください。ゼロタッチの展開を開始するには、SD-WAN管理者による以下の手順が必要です。

ゼロタッチデプロイメントサービスの設定方法

SD-WAN Centerには、新しく接続されたアプライアンスからのSD-WAN Enterpriseネットワークへの参加要求を受け入れる機能があります。この要求は、ゼロタッチデプロイメントサービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成およびソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー:

• SD-WAN Center > 新しいサイト構成の作成 にアクセスするか、既存の構成をインポートして保存します。
• Citrix Workspace™ CloudにログインしてZTDサービスを有効にします。ゼロタッチデプロイメントメニューオプションがSD-WAN CenterのWeb管理インターフェイスに表示されます。
• SD-WAN Centerで、構成 > ゼロタッチデプロイメント > 新しいサイトの展開 に移動します。
• アプライアンスを選択し、[有効にする] をクリックし、[展開] をクリックします。
• インストーラーがアクティベーションメールを受信 > シリアル番号を入力 > アクティベート > アプライアンスが正常に展開されます。

ゼロタッチデプロイメントサービスを設定するには:

1. ゼロタッチデプロイメント機能が有効なSD-WAN Centerをインストールします。
   1. DHCP割り当てIPアドレスでSD-WAN Centerをインストールします。
   2. SD-WAN Centerが、管理ネットワークを介してパブリックインターネットへの接続を持つ適切な管理IPアドレスとネットワークDNSアドレスを割り当てられていることを確認します。
   3. SD-WAN Centerを最新のSD-WANソフトウェアリリースバージョンにアップグレードします。
   4. 適切なインターネット接続があれば、SD-WAN Centerはゼロタッチデプロイメント (ZTD) クラウドサービスを開始し、ZTD固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下のゼロタッチデプロイメントオプションはGUIで利用できません。

   

   1. 利用規約を読み、「上記の利用規約を読み、同意します」を選択します。
   2. Citrix Cloudアカウントが既に作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。
   3. Citrix Cloudアカウントにログインし、ログイン成功の以下のメッセージが表示されたら、このウィンドウを閉じないでください。SD-WAN Center GUIが更新されるまでにさらに約20秒かかります。 完了するとウィンドウは自動的に閉じます。

   

   1. Cloudログインアカウントを作成するには、以下の手順に従います。
      • Webブラウザでhttps://onboarding.cloud.comを開きます。
      • 「お待ちください、Citrix.comアカウントを持っています」のリンクをクリックします。

      

      

   2. 既存のCitrixアカウントでサインインします。
   3. SD-WAN Centerのゼロタッチデプロイメントページにログインすると、以下の理由によりZTD展開に利用できるサイトがないことに気づく場合があります。
      • [構成] ドロップダウンメニューからアクティブな構成が選択されていない
      • 現在の有効な構成のすべてのサイトが既に展開されている
      • 構成がSD-WAN Centerではなく、MCNで利用可能な構成エディターを使用して構築された
      • ゼロタッチ対応アプライアンス (例: 410-SE、2100-SE、Cloud VPX) を参照して構成にサイトが構築されていない

2. SD-WAN Centerネットワーク構成を使用して、ZTD対応SD-WANアプライアンス を備えた新しいリモートサイトを追加するように構成を更新します。

   SD-WAN構成がSD-WAN Centerネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。ゼロタッチデプロイメント機能を利用するには、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。ゼロタッチデプロイメントをターゲットとする新しいサイトを追加するには、以下の手順を使用する必要があります。

   まず、新しいサイトの詳細 (つまり、アプライアンスモデル、インターフェイスグループの使用状況、仮想IPアドレス、帯域幅とそれぞれのゲートウェイを持つWANリンク) を概説して、SD-WANアプライアンス展開用の新しいサイトを設計します。

   重要

   モデルとしてVPXが選択されているサイトノードもリストに表示される場合がありますが、現在、ZTDサポートはAWS VPXインスタンスでのみ利用可能です。 注

   • Citrix SD-WAN CenterでサポートされているWebブラウザを使用していることを確認してください。
   • Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例であり、SD-WANアプライアンスは既存のMPLS WANリンクのパスに物理的に展開され、172.16.30.0/24ネットワークを介して、既存のバックアップリンクをアクティブ状態にして、その2番目のWANリンクを異なるサブネット172.16.31.0/24上のSD-WANアプライアンスに直接終端させます。

   注

   SD-WANアプライアンスは自動的にデフォルトのIPアドレス192.168.100.1/16を割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバーは、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する可能性があります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスに接続できない可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当ててください。

   ネットワークには、SD-WAN製品を配置するためのさまざまな展開モードがあります。上記の例では、SD-WANは既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者は、WANエッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズをSD-WANソリューションに統合する、エッジまたはゲートウェイモード展開でSD-WANを展開することを選択できます。

   1. SD-WAN Center Web管理インターフェイス を開き、構成 > ネットワーク構成 ページに移動します。

   

   1. 動作中の構成が既に存在することを確認するか、MCNから構成をインポートします。
   2. [詳細] タブに移動してサイトを作成します。
   3. [サイト] タイルを開いて、現在構成されているサイトを表示します。
   4. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

   

   1. この新しいブランチサイト用に設計されたトポロジから、必要なすべてのフィールドを入力します。

   

   1. 新しいサイトをクローンした後、サイトの基本設定 に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。

   

   1. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスはクローンに使用されたものとは異なる新しいインターフェイスレイアウトを持つ可能性があるため、インターフェイスグループを再定義する必要がある場合があることに注意してください。
   2. SD-WAN Centerに新しい構成を保存し、「変更管理受信トレイ」へのエクスポートオプションを使用して、変更管理を使用して構成をプッシュします。
   3. 変更管理手順に従って新しい構成を適切にステージングします。これにより、既存のSD-WANデバイスはゼロタッチを介して展開される新しいサイトを認識します。「不完全なものを無視」オプションを使用して、ZTDワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップします。
3. SD-WAN Centerのゼロタッチデプロイメントページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。
   1. ゼロタッチデプロイメントページの [新しいサイトの展開] タブで、実行中のネットワーク構成ファイルを選択します。
   2. 実行中の構成ファイルが選択されると、ゼロタッチがサポートされている未展開のSD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。

   

   

   1. ゼロタッチサービス用に構成するブランチサイトを選択し、[有効にする] をクリックし、[展開] をクリックします。

   

   1. [新しいサイトの展開] ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーの電子メールアドレス、およびその他のメモを提供できます。

   

   注

   • シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトアクティビティが変更されます。
   • シリアル番号フィールドが入力されている場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力する責任があります。

   1. [展開] ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。
   2. このアクションにより、以前ZTDクラウドサービスに登録されていたSD-WAN Centerがトリガーされ、この特定のサイトの構成がZTDクラウドサービスに一時的に保存されるように共有されます。
   3. [保留中のアクティベーション] タブに移動して、ブランチサイト情報が正常に入力され、インストーラーアクティビティ保留中のステータスになったことを確認します。

   

   注

   保留中のアクティベーション状態にあるゼロタッチデプロイメントは、情報が正しくない場合、オプションで削除または変更を選択できます。サイトが保留中のアクティベーションページから削除されると、[新しいサイトの展開] タブページで展開できるようになります。保留中のアクティベーションからブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   SD-WAN管理者がシリアル番号フィールドを入力しなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーを待機中」と表示されます。

4. 次の一連のアクティビティは、オンサイトインストーラーによって実行されます。
   1. インストーラーは、SD-WAN管理者がサイトを展開したときに使用した電子メールアドレスのメールボックスを確認します。

   

   1. インターネットブラウザウィンドウでゼロタッチデプロイメントのアクティベーションURLを開きます。
   2. SD-WAN管理者がサイト展開手順でシリアル番号を事前に入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーションURLにシリアル番号を手動で入力し、[アクティベート] ボタンをクリックする責任があります。

   

   1. 管理者がシリアル番号情報を事前に入力した場合、アクティベーションURLは既に次のステップに進んでいます。

   

   1. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。
      • 以前の手順で構築されたトポロジと構成に合わせて、すべてのWANおよびLANインターフェイスにケーブルを接続します。
      • DHCP IPアドレスと、DNSおよびFQDNからIPアドレス解決を伴うインターネットへの接続を提供するネットワークセグメントに、管理インターフェイス (MGMT、0/1) にケーブルを接続します。
      • SD-WANアプライアンスに電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があります。他のアプライアンスは、アプライアンスの背面にある電源スイッチを持つ場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次の一連の手順は、ゼロタッチデプロイメントサービスの助けを借りて自動化されますが、以下の前提条件が利用可能である必要があります。
   • ブランチアプライアンスの電源がオンになっていること
   • 既存のネットワークでDHCPが利用可能であり、管理IPアドレスとDNS IPアドレスを割り当てられること
   • DHCP割り当てIPアドレスは、FQDNを解決できるインターネットへの接続を必要とすること
   • 他の前提条件が満たされている限り、IP割り当ては手動で構成できること
     1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して実現されます。

   

   1. アプライアンスがアンダーレイネットワークのDHCPサーバーからWeb管理およびDNS IPアドレスを取得すると、アプライアンスはゼロタッチデプロイメントサービスを開始し、ZTD関連のソフトウェアアップデートをダウンロードします。
   2. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。
      • SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスに構成を適用します。
      • 一時的な10 MBライセンスファイルをダウンロードしてインストールします。
      • 必要に応じてソフトウェアアップデートをダウンロードしてインストールします。
      • SD-WANサービスをアクティベートします。

   

   1. さらなる確認はSD-WAN CenterのWeb管理インターフェイスで行うことができ、ゼロタッチデプロイメントメニューの [アクティベーション履歴] タブに正常にアクティベートされたアプライアンスが表示されます。

   

   1. MCNがZTDクラウドサービスから渡された構成を信頼せず、MCNダッシュボードで「構成バージョン不一致」を報告するため、仮想パスがすぐに接続状態として表示されない場合があります。

   

   1. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > 構成 > 仮想WAN > 変更管理 ページで監視されます (このプロセスには数分かかる場合があります)。

   

   1. SD-WAN管理者は、リモートサイトの確立された仮想パスについて、ヘッドエンドMCNのWeb管理ページを監視できます。

   

   1. SD-WAN Centerは、構成 > ネットワーク検出 > インベントリとステータス ページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを識別するためにも利用できます。

   

   1. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用してオンサイトアプライアンスへのWeb管理アクセスを取得できます。

   

   1. リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスが一時的な10 Mbpsの猶予ライセンスでインストールされており、これにより仮想パスサービスステータスがアクティブとして報告される機能が有効になっていることを示します。

   

   1. アプライアンスの構成は、構成 > 仮想WAN > 構成の表示 ページを使用して検証できます。

   

   1. アプライアンスのライセンスファイルは、構成 > アプライアンス設定 > ライセンス ページを使用して永続ライセンスに更新できます。

   

   1. 永続ライセンスファイルをアップロードしてインストールすると、猶予ライセンスの警告バナーが消え、ライセンスインストールプロセス中にリモートサイトへの接続が失われることはありません (pingのドロップはゼロです)。