Citrix SD-WAN™ を使用した Microsoft Azure Virtual WAN への接続

オンプレミスデバイスが Azure に接続するには、コントローラーが必要です。コントローラーは Azure API を取り込み、Azure WAN およびハブとのサイト間接続を確立します。

Microsoft Azure Virtual WAN には、以下のコンポーネントとリソースが含まれます。

• WAN: Microsoft Azure 内のネットワーク全体を表します。この WAN 内に含めるすべてのハブへのリンクが含まれます。WAN は互いに分離されており、共通のハブや、異なる WAN 内の 2 つのハブ間の接続を含めることはできません。

• サイト: オンプレミスの VPN デバイスとその設定を表します。1 つのサイトは複数のハブに接続できます。Citrix SD-WAN を使用すると、この情報を Azure に自動的にエクスポートする組み込みソリューションを利用できます。

• ハブ: 特定のリージョンにおけるネットワークのコアを表します。ハブには、オンプレミスネットワークへの接続やその他のソリューションを可能にするためのさまざまなサービスエンドポイントが含まれます。サイト間接続は、サイトとハブの VPN エンドポイント間で確立されます。

• ハブ仮想ネットワーク接続: ハブネットワークは、Azure Virtual WAN ハブを仮想ネットワークにシームレスに接続します。現在、同じ Virtual Hub リージョン内の仮想ネットワークへの接続が利用可能です。

• ブランチ: ブランチは、顧客のオフィス拠点に存在するオンプレミスの Citrix SD-WAN アプライアンスです。SD-WAN コントローラーはブランチを一元的に管理します。接続はこれらのブランチの背後から発信され、Azure で終端します。SD-WAN コントローラーは、これらのブランチと Azure ハブに必要な構成を適用する役割を担います。

以下の図は、Virtual WAN のコンポーネントを示しています。

Microsoft Azure Virtual WAN の仕組み

1. SD-WAN Center は、Azure GUI で有効になっているサービスプリンシパル、プリンシパル、またはロールベースのアクセス機能を使用して認証されます。

2. SD-WAN Center は Azure 接続構成を取得し、ローカルデバイスを更新します。これにより、オンプレミスデバイスの構成のダウンロード、編集、更新が自動化されます。

3. デバイスが正しい Azure 構成を持つと、Azure WAN へのサイト間接続 (2 つのアクティブな IPsec トンネル) が確立されます。Azure では、ブランチデバイスコネクタが IKEv2 設定をサポートする必要があります。BGP 構成はオプションです。

   注: IPsec トンネルを確立するための IPsec パラメーターは標準化されています。

   IPsec プロパティ	パラメーター
   Ike 暗号化アルゴリズム	AES 256
   Ike 整合性アルゴリズム	SHA 256
   Dh グループ	DH2
   IPsec 暗号化アルゴリズム	GCM AES 256
   IPsec 整合性アルゴリズム	GCM AES 256
   PFS グループ	なし

Azure Virtual WAN は、ワークロード仮想ネットワークとハブ間の接続を自動化します。ハブ仮想ネットワーク接続を作成すると、プロビジョニングされたハブとワークロード仮想ネットワーク (VNET) の間に適切な構成が設定されます。

前提条件と要件

Azure ハブに接続するブランチサイトを管理するために Azure と SD-WAN を構成する前に、以下の要件をお読みください。

1. Virtual WAN 用の Azure サブスクリプションがホワイトリストに登録されていること。
2. Azure リソースへの IPsec を確立するための SD-WAN アプライアンスなどのオンプレミスアプライアンスがあること。
3. パブリック IP アドレスを持つインターネットリンクがあること。Azure への接続を確立するには 1 つのインターネットリンクで十分ですが、同じ WAN リンクを使用するには 2 つの IPsec トンネルが必要です。
4. SD-WAN コントローラー – コントローラーは、Azure への接続のために SD-WAN アプライアンスを構成する役割を担うインターフェースです。
5. 少なくとも 1 つのワークロードを持つ Azure 内の VNET。たとえば、サービスをホストしている VM などです。以下の点に注意してください。
   1. 仮想ネットワークには、Azure VPN または Express Route ゲートウェイ、あるいはネットワーク仮想アプライアンスがあってはなりません。
   2. 仮想ネットワークには、オンプレミスブランチからアクセスされるワークロードのために、トラフィックを非 Virtual WAN 仮想ネットワークにルーティングするユーザー定義ルートがあってはなりません。
   3. ワークロードにアクセスするための適切な権限が構成されている必要があります。たとえば、Ubuntu VM のポート 22 SSH アクセスなどです。

以下の図は、Microsoft Azure 内の 2 つのサイトと 2 つの仮想ネットワークを持つネットワークを示しています。

Microsoft Azure Virtual WAN の設定

オンプレミスの SD-WAN ブランチが Azure に接続し、IPsec トンネル経由でリソースにアクセスするには、以下の手順を完了する必要があります。

1. WAN リソースの構成。
2. IPsec トンネルを使用して SD-WAN ブランチが Azure に接続できるようにする。

SD-WAN アプライアンスに接続するために必要な Azure リソースを事前に利用できるようにするため、SD-WAN ネットワークを構成する前に Azure ネットワークを構成してください。ただし、必要に応じて、Azure リソースを構成する前に SD-WAN 構成を構成することもできます。このトピックでは、SD-WAN アプライアンスを構成する前に Azure Virtual WAN ネットワークを設定する方法について説明します。https://microsoft.com Azure virtual-wan。

WAN リソースの作成

Virtual WAN 機能を使用し、オンプレミスブランチアプライアンスを Azure に接続するには:

1. Azure Marketplace にサインインし、Virtual WAN アプリに移動して、[WAN の作成] を選択します。

   

2. WAN の名前を入力し、WAN に使用するサブスクリプションを選択します。

3. 既存のリソースグループを選択するか、新しいリソースグループを作成します。リソースグループは論理的な構成要素であり、リソースグループ間のデータ交換は常に可能です。

4. リソースグループを配置する場所を選択します。WAN はグローバルリソースであり、場所を持ちません。ただし、WAN リソースのメタデータを含むリソースグループの場所を入力する必要があります。

5. [作成] をクリックします。これにより、設定の検証とデプロイのプロセスが開始されます。

サイトの作成

任意のベンダーを使用してサイトを作成できます。優先ベンダーは、デバイスとサイトに関する情報を Azure に送信するか、デバイスを自分で管理することもできます。デバイスを管理する場合は、Azure Portal でサイトを作成する必要があります。

SD-WAN ネットワークと Microsoft Azure Virtual WAN のワークフロー

SD-WAN アプライアンスの構成:

1. Citrix SD-WAN アプライアンスのプロビジョニング
   • SD-WAN ブランチアプライアンスを MCN アプライアンスに接続します。
2. SD-WAN アプライアンスの構成
   • アクティブ/アクティブ接続のためにイントラネットサービスを構成します。

SD-WAN Center の構成:

• Microsoft Azure に接続するように SD-WAN Center を構成します。

Azure 設定の構成:

• テナント ID、クライアント ID、セキュアキー、サブスクライバー ID、およびリソースグループを提供します。

ブランチサイトと WAN の関連付けの構成:

1. 1 つの WAN リソースをブランチに関連付けます。同じサイトを複数の WAN に接続することはできません。
2. [新規] をクリックして、サイトと WAN の関連付けを構成します。
3. [Azure Wan-resources] を選択します。
4. サイトの [サービス] (イントラネット) を選択します。アクティブ/スタンバイサポートのために 2 つのサービスを選択します。
5. Wan-resources に関連付ける [サイト名] を選択します。
6. [展開] をクリックして関連付けを確定します。
7. ステータスが [トンネル展開済み] に変わるまで待って、IPsec トンネルの設定を表示します。
8. SD-WAN Center のレポートビューを使用して、各 IPsec トンネルのステータスを確認します。

Citrix SD-WAN ネットワークの構成

MCN:

MCN は、初期システム構成とそれに続く構成変更の配布ポイントとして機能します。Virtual WAN にはアクティブな MCN は 1 つしか存在できません。 デフォルトでは、アプライアンスにはクライアントの役割が事前に割り当てられています。アプライアンスを MCN として確立するには、まずサイトを MCN として追加および構成する必要があります。サイトが MCN として構成されると、ネットワーク構成 GUI が利用可能になります。アップグレードと構成変更は、MCN または SD-WAN Center からのみ実行する必要があります。

MCN の役割:

MCN は、SD-WAN ネットワークのコントローラーとして機能する中央ノードであり、クライアントノードの中央管理ポイントです。ファームウェアパッケージの準備とそのクライアントへの配布に加えて、すべての構成アクティビティは MCN で構成されます。さらに、監視情報は MCN でのみ利用可能です。MCN は SD-WAN ネットワーク全体を監視できますが、クライアントノードはローカルイントラネットと、接続されているクライアントの一部情報のみを監視できます。MCN の主な目的は、エンタープライズサイト間通信のために、SD-WAN ネットワーク全体に配置された 1 つ以上のクライアントノードとのオーバーレイ接続 (仮想パス) を確立することです。MCN は、複数のクライアントノードを管理し、それらとの仮想パスを持つことができます。MCN は複数存在できますが、一度にアクティブにできるのは 1 つだけです。以下の図は、小規模な 2 サイトネットワークにおける MCN とクライアント (ブランチノード) アプライアンスの基本的な図を示しています。

SD-WAN アプライアンスを MCN として構成

MCN を追加および構成するには、まず MCN として指定するアプライアンスの管理 Web インターフェースにログインし、管理 Web インターフェースを MCN コンソールモードに切り替える必要があります。MCN コンソールモードでは、現在接続している管理 Web インターフェースの構成エディターへのアクセスが有効になります。その後、構成エディターを使用して MCN サイトを追加および構成できます。

管理 Web インターフェースを MCN コンソールモードに切り替えるには、以下の手順を実行します。

1. MCN として構成するアプライアンスの SD-WAN 管理 Web インターフェースにログインします。
2. 管理 Web インターフェースのメイン画面 (ページ上部の青いバー) のメインメニューバーで [構成] をクリックします。
3. ナビゲーションツリー (左ペイン) で、[アプライアンス設定] ブランチを開き、[管理者インターフェース] をクリックします。

4. [その他] タブを選択します。その他の管理設定ページが開きます。

   

   [その他] タブページの下部には、[コンソールを [クライアント、MCN] に切り替える] セクションがあります。このセクションには、アプライアンスコンソールモードを切り替えるための [コンソールの切り替え] ボタンが含まれています。

セクションの見出しは、現在のコンソールモードを示しています。

• クライアントコンソールモード (デフォルト) の場合、セクションの見出しは [MCN コンソールに切り替える] です。
• MCN コンソールモードの場合、セクションの見出しは [クライアントコンソールに切り替える] です。

デフォルトでは、新しいアプライアンスはクライアントコンソールモードです。MCN コンソールモードでは、ナビゲーションツリーに構成エディタービューが有効になります。構成エディターは MCN アプライアンスでのみ利用可能です。

MCN の構成

MCN アプライアンスサイトを追加して構成を開始するには、以下の手順を実行します。

1. SD-WAN アプライアンス GUI で、[Virtual WAN] > [構成エディター] に移動します。

   

2. サイトバーの [+ サイト] をクリックして、MCN サイトの追加と構成を開始します。[サイトの追加] ダイアログボックスが表示されます。

   

3. アプライアンスの地理的な場所と役割 (DC/セカンダリ DC) を特定できるサイト名を入力します。正しいアプライアンスモデルを選択します。ハードウェアプラットフォームは処理能力とライセンスの点で互いに異なるため、正しいアプライアンスを選択することが重要です。このアプライアンスをプライマリヘッドエンドアプライアンスとして構成するため、モードをプライマリ MCN として選択し、[追加] をクリックします。

4. これにより、新しいサイトがサイトツリーに追加され、デフォルトビューには以下に示す基本的な設定構成ページが表示されます。

   

5. 場所、サイト名などの基本設定を入力します。

6. アプライアンスがインターネット/MPLS/ブロードバンドからのトラフィックを受け入れることができるように構成します。リンクが終端するインターフェースを定義します。これは、アプライアンスがオーバーレイモードかアンダーレイモードかによって異なります。

7. [インターフェースグループ] をクリックして、インターフェースの定義を開始します。

   

8. [+] をクリックして仮想インターフェースグループを追加します。これにより、新しい仮想インターフェースグループが追加されます。仮想インターフェースの数は、アプライアンスが処理するリンクによって異なります。アプライアンスが処理できるリンクの数はアプライアンスモデルによって異なり、最大で 8 つのリンクまで可能です。

   

9. 仮想インターフェースの右側にある [+] をクリックすると、以下に示す画面が表示されます。

   

10. この仮想インターフェースの一部を形成する [イーサネットインターフェース] を選択します。プラットフォームモデルによっては、アプライアンスには事前に構成されたフェイルツーワイヤインターフェースのペアがあります。アプライアンスでフェイルツーワイヤを有効にする場合は、正しいインターフェースペアを選択し、[バイパスモード] 列でフェイルツーワイヤを選択していることを確認してください。
11. ドロップダウンリストからセキュリティレベルを選択します。インターフェースが MPLS リンクを提供している場合は信頼モードが選択され、インターネットリンクがそれぞれのインターフェースで使用されている場合は信頼されていないモードが選択されます。

12. 仮想インターフェースというラベルの右側にある [+] をクリックします。これにより、名前、ファイアウォールゾーン、VLAN ID が表示されます。この仮想インターフェースグループの [名前] と [VLAN ID] を入力します。VLAN ID は、仮想インターフェースとの間のトラフィックを識別およびマークするために使用され、ネイティブ/タグなしトラフィックの場合は 0 (ゼロ) を使用します。

    

13. インターフェースをフェイルツーワイヤで構成するには、[ブリッジペア] をクリックします。これにより、新しいブリッジペアが追加され、編集が可能になります。[適用] をクリックしてこれらの設定を確定します。
14. さらに仮想インターフェースグループを追加するには、インターフェースグループブランチの右側にある [+] をクリックし、上記の手順に進みます。
15. インターフェースが選択されたら、次のステップはこれらのインターフェースに IP アドレスを構成することです。Citrix SD-WAN の用語では、これは VIP (仮想 IP) と呼ばれます。

16. サイトビューで続行し、[仮想 IP アドレス] をクリックして、VIP を構成するためのインターフェースを表示します。

    

17. IP アドレス/プレフィックス情報を入力し、アドレスが関連付けられている [仮想インターフェース] を選択します。仮想 IP アドレスには、完全なホストアドレスとネットマスクを含める必要があります。ファイアウォールゾーン、ID、プライベート、セキュリティなど、仮想 IP アドレスに必要な設定を選択します。[適用] をクリックします。これにより、アドレス情報がサイトに追加され、サイトの仮想 IP アドレステーブルに含まれます。さらに仮想 IP アドレスを追加するには、仮想 IP アドレスの右側にある [+] をクリックし、上記の手順に進みます。

18. サイトの WAN リンクを構成するためにサイトセクションで続行します。

    

19. パネルの右側上部にある [リンクの追加] をクリックします。これにより、構成するリンクの種類を選択できるダイアログボックスが開きます。

    

20. パブリックインターネットはインターネット/ブロードバンド/DSL/ADSL リンク用であり、プライベート MPLS は MPLS リンク用です。プライベートイントラネットも MPLS リンク用です。プライベート MPLS とプライベートイントラネットリンクの違いは、プライベート MPLS が MPLS リンクの QoS ポリシーを維持できることです。
21. パブリックインターネットを選択し、IP が DHCP 経由で割り当てられている場合は、自動検出 IP オプションを選択します。

22. WAN リンク構成ページで [アクセスインターフェース] を選択します。これにより、サイトのアクセスインターフェースビューが開きます。以下に示すように、各リンクの VIP とゲートウェイ IP を追加および構成します。

    

23. [+] をクリックしてインターフェースを追加します。これにより、テーブルに空白のエントリが追加され、編集のために開かれます。

24. このインターフェースに割り当てる名前を入力します。リンクの種類と場所に基づいて名前を付けることができます。ネットワークを分離したくない場合はルーティングドメインをデフォルトのままにし、インターフェースに IP を割り当てます。

25. リンクがインターネットリンクの場合はパブリックに到達可能なゲートウェイ IP アドレスを、リンクが MPLS リンクの場合はプライベート IP を必ず指定してください。このリンクで仮想パスを形成する必要があるため、仮想パスモードをプライマリのままにします。

    注: ゲートウェイが到達不能な場合にアプライアンスがゲートウェイ IP アドレスの ARP 要求に応答するため、プロキシ ARP を有効にします。

26. [適用] をクリックして WAN リンクの構成を完了します。さらに WAN リンクを構成する場合は、別のリンクに対して手順を繰り返します。
27. サイトのルートを構成します。[接続ビュー] をクリックし、[ルート] を選択します。

28. [+] をクリックしてルートを追加すると、以下に示すダイアログボックスが開きます。

    

29. 新しいルートには以下の情報が利用可能です。

    • ネットワーク IP アドレス
    • コスト – コストは、どのルートが他のルートよりも優先されるかを決定します。コストが低いパスは、コストが高いルートよりも優先されます。デフォルト値は 5 です。
    • サービスタイプ – サービスを選択します。サービスは以下のいずれかです。
      • 仮想パス
      • イントラネット
      • インターネット
      • パススルー
      • ローカル
      • GRE トンネル
      • LAN IPsec トンネル
30. [適用] をクリックします。

サイトのルートをさらに追加するには、ルートブランチの右側にある [+] をクリックし、上記の手順に進みます。詳細については、MCN の構成を参照してください。

MCN とブランチサイト間の仮想パスの構成

MCN とブランチノード間の接続を確立します。これは、これら 2 つのサイト間に仮想パスを構成することで実行できます。構成エディターの構成ツリーにある [接続] タブに移動します。

1. 構成セクションの [接続] タブをクリックします。これにより、構成ツリーの接続セクションが表示されます。

2. [接続] セクションページのサイト表示ドロップダウンメニューから [MCN] を選択します。

   

3. MCN とブランチサイト間に仮想パスを作成するには、接続タブの下から仮想パスを選択します。

   

4. 仮想パスセクションの静的仮想パス名の横にある [仮想パスの追加] をクリックします。これにより、以下に示すダイアログボックスが開きます。仮想パスを構成するブランチを選択します。これはリモートサイトというラベルの下で構成する必要があります。このドロップダウンリストからブランチノードを選択し、[逆方向も] チェックボックスをクリックします。

   

   トラフィックの分類とステアリングは、仮想パスの両方のサイトでミラーリングされます。これが完了したら、以下に示すように、セクションというラベルの下のドロップダウンメニューからパスを選択します。

   

5. パステーブルの上にある [+ 追加] をクリックすると、パスの追加ダイアログボックスが表示されます。仮想パスを構成するエンドポイントを指定します。次に、[追加] をクリックしてパスを作成し、[逆方向も] チェックボックスをクリックします。

   注: Citrix SD-WAN は、両方向のリンク品質を測定します。これは、ポイント A からポイント B が 1 つのパスであり、ポイント B からポイント A が別のパスであることを意味します。リンク状態の単方向測定の助けを借りて、SD-WAN はトラフィックを送信するための最適なルートを選択できます。これは、遅延を測定するための双方向メトリックである RTT などの測定とは異なります。たとえば、ポイント A とポイント B 間の 1 つの接続は 2 つのパスとして表示され、それぞれのリンクパフォーマンスメトリックが個別に計算されます。

この設定は、MCN とブランチ間の仮想パスを確立するのに十分であり、他の構成オプションも利用可能です。詳細については、 MCN とクライアントサイト間の仮想パスサービスの構成を参照してください。

MCN 構成の展開

次のステップは、構成を展開することです。これには以下の 2 つのステップが含まれます。

1. SD-WAN 構成パッケージを Change Management にエクスポートします。

   • アプライアンスパッケージを生成する前に、完了した構成パッケージを [構成エディター] から MCN のグローバル [Change Management] ステージング受信トレイにエクスポートする必要があります。変更管理の実行セクションに記載されている手順を参照してください。

2. アプライアンスパッケージを生成してステージングします。

   • 新しい構成パッケージを Change Management 受信トレイに追加したら、ブランチサイトでアプライアンスパッケージを生成してステージングできます。これを行うには、MCN の管理 Web インターフェースで Change Management ウィザードを使用します。アプライアンスパッケージのステージングセクションに記載されている手順を参照してください。

Azure WAN リソースに接続するためのイントラネットサービスの構成

1. SD-WAN アプライアンス GUI で、[構成エディター] に移動し、[接続] タイルに移動します。[+ サービスの追加] をクリックして、そのサイトのイントラネットサービスを追加します。

2. イントラネットサービスの [基本設定] には、WAN リンクが利用できない場合のイントラネットサービスの動作に関するいくつかのオプションがあります。

   • プライマリの再利用を有効にする – フェイルオーバー後に選択したプライマリリンクが復旧したときに引き継ぐようにする場合は、このボックスをチェックします。ただし、このオプションをチェックしない場合、セカンダリリンクは引き続きトラフィックを送信します。
   • WAN リンクステータスを無視する – このオプションが有効になっている場合、このイントラネットサービス宛てのパケットは、構成要素の WAN リンクが利用できない場合でも、このサービスを使用し続けます。

3. 基本設定を構成した後、次のステップは、このサービスの構成要素となる WAN リンクを選択することです。最大 2 つのリンクが 1 つのイントラネットサービスに選択されます。WAN リンクを選択するには、[セクション] というラベルのドロップダウンリストから [WAN リンク] オプションを選択します。WAN リンクはプライマリモードとセカンダリモードで機能し、1 つのリンクのみがプライマリ WAN リンクとして選択されます。

   注: 2 番目のイントラネットサービスが作成される場合、プライマリとセカンダリの WAN リンクマッピングが必要です。

   

4. ブランチサイト固有のルールが利用可能であり、グローバルデフォルトセットで構成された一般的な設定を上書きして、各ブランチサイトを独自にカスタマイズする機能が有効になります。モードには、特定の WAN リンクを介した目的の配信、またはフィルタリングされたトラフィックのパススルーまたは破棄を可能にするオーバーライドサービスが含まれます。たとえば、イントラネットサービスを介して送信したくないトラフィックがある場合、そのトラフィックを破棄するか、別のサービス (インターネットまたはパススルー) を介して送信するルールを作成できます。

   

5. サイトでイントラネットサービスが有効になっている場合、[プロビジョニング] タイルが利用可能になり、WAN リンクを使用するさまざまなサービス間で WAN リンクの帯域幅を双方向 (LAN から WAN / WAN から LAN) に分散できます。[サービス] セクションでは、帯域幅の割り当てをさらに微調整できます。さらに、フェアシェアを有効にすることができ、サービスが最小予約帯域幅を受け取った後に公平な分配が実行されます。

   

SD-WAN Center の構成

以下の図は、SD-WAN Center と Azure Virtual WAN 接続のハイレベルなワークフローと、展開の対応する状態遷移を示しています。

Azure 設定の構成:

• Azure テナント ID、アプリケーション ID、シークレットキー、サブスクリプション ID (サービスプリンシパルとも呼ばれる) を提供します。

ブランチサイトと WAN の関連付けの構成:

• ブランチサイトを WAN リソースに関連付けます。同じサイトを複数の WAN に接続することはできません。
• [新規] をクリックして、サイトと WAN の関連付けを構成します。
• [Azure WAN-resources] を選択します。
• WAN リソースに関連付ける [サイト名] を選択します。
• [展開] をクリックして関連付けを確定します。トンネル展開に使用される WAN リンクは、最適なリンク容量を持つものが自動的に入力されます。
• ステータスが「トンネル展開済み」に変わるまで待って、IPsec トンネルの設定を表示します。
• SD-WAN Center のレポートビューを使用して、各 IPsec トンネルのステータスを確認します。データトラフィックが流れるためには、IPsec トンネルのステータスが GREEN である必要があります。これは接続がアクティブであることを示します。

SD-WAN Center のプロビジョニング:

SD-WAN Center は、Citrix SD-WAN の管理およびレポートツールです。Virtual WAN に必要な構成は SD-WAN Center で実行されます。SD-WAN Center は仮想フォームファクター (VPX) としてのみ利用可能であり、VMware ESXi または XenServer ハイパーバイザーにインストールする必要があります。SD-WAN Center アプライアンスを構成するために必要な最小リソースは、8 GB RAM と 4 CPU コアです。SD-WAN Center VM の インストール および 構成 の手順は以下のとおりです。

Azure 接続のための SD-WAN Center の構成

詳細については、サービスプリンシパルの作成を参照してください。

SD-WAN Center を Azure で正常に認証するには、以下のパラメーターが利用可能である必要があります。

• ディレクトリ (テナント ID)
• アプリケーション (クライアント ID)
• セキュアキー (クライアントシークレット)
• サブスクライバー ID

SD-WAN Center の認証:

SD-WAN Center UI で、[構成] > [クラウド接続] > [Azure] > [Virtual WAN] に移動します。Azure 接続設定を構成します。Azure VPN 接続の構成に関する詳細については、以下のリンクを参照してください。 Azure Resource Manager。

11.1.0 以降のリリースでは、Azure Virtual WAN 統合のためのプライマリおよびセカンダリ WAN リンク構成がサポートされています。セカンダリ WAN リンクを追加する主な理由は、Citrix SD-WAN サイトからの冗長性を持たせるためです。

以前の実装では、WAN リンクの障害により、トラフィックの中断や Azure Virtual WAN への接続損失が発生する可能性がありました。現在の実装では、プライマリ WAN リンクがダウンしても、サイトと Azure Virtual WAN 間の接続は維持されます。

[サブスクリプション ID]、[テナント ID]、[アプリケーション ID]、[セキュアキー] を入力します。このステップは、SD-WAN Center を Azure で認証するために必要です。上記で入力された資格情報が正しくない場合、認証は失敗し、それ以上の操作は許可されません。[適用] をクリックします。

[ストレージアカウント] フィールドは、Azure で作成したストレージアカウントを指します。ストレージアカウントを作成していない場合、[適用] をクリックすると、サブスクリプションに新しいストレージアカウントが自動的に作成されます。

Azure Virtual WAN リソースの取得:

認証が成功すると、Citrix SD-WAN は Azure にポーリングして、Azure ポータルにログインした後に最初のステップで作成した Azure Virtual WAN リソースのリストを取得します。WAN リソースは、Azure 内のネットワーク全体を表します。この WAN 内に含めるすべてのハブへのリンクが含まれます。WAN は互いに分離されており、共通のハブや、異なる WAN リソース内の 2 つの異なるハブ間の接続を含めることはできません。

ブランチサイトと Azure WAN リソースを関連付けるには:

IPsec トンネルを確立するには、ブランチサイトを Azure WAN リソースに関連付ける必要があります。1 つのブランチは、Azure Virtual WAN リソース内の複数のハブに接続でき、1 つの Azure Virtual WAN リソースは、複数のオンプレミスブランチサイトに接続できます。各ブランチから Azure Virtual WAN リソースへの展開ごとに単一行を作成します。

複数のサイトを追加するには:

すべての関連サイトを追加し、選択した単一の WAN リソースに関連付けることができます。

1. [複数追加] をクリックして、選択した WAN リソースに関連付ける必要があるすべてのサイトを追加します。

   

2. Azure WAN リソースのドロップダウンリスト (以下に示す) には、Azure アカウントに属するリソースが事前に入力されています。WAN リソースが作成されていない場合、このリストは空になり、リソースを作成するために Azure ポータルに移動する必要があります。リストに WAN リソースが入力されている場合は、ブランチサイトを接続する必要がある [Azure WAN リソース] を選択します。

3. IPsec トンネル確立プロセスを開始するために、1 つまたはすべてのブランチサイトを選択します。サイトの最適な容量を持つパブリックインターネット WAN リンクが、Azure VPN ゲートウェイへの IPsec トンネルを確立するために自動的に選択されます。

   

単一サイトを追加するには:

サイトを 1 つずつ (単一) 追加することもできます。ネットワークが成長したり、サイトごとの展開を実行している場合は、上記のように複数のサイトを追加することもできます。

1. [新規エントリの追加] をクリックして、サイトと WAN の関連付けのために 1 つのサイト名を選択します。[Azure ネットワークにサイトを構成] ダイアログボックスでサイトを追加します。

   

   

2. Azure Virtual WAN ネットワークに構成するブランチサイトを選択します。

3. サイトに関連付けられた WAN リンクを選択します (パブリックインターネットタイプのリンクは、最適な物理リンク容量の順にリストされます)。

4. [Azure Virtual WAN] ドロップダウンメニューから、サイトを関連付ける WAN リソースを選択します。

5. [展開] をクリックして関連付けを確定します。ステータス (“サイト情報の初期化”、”サイト情報のプッシュ”、”VPN 構成待ち”) が更新され、プロセスについて通知されます。

展開プロセスには、以下のステータスが含まれます。

• サイト情報のプッシュ
• VPN 構成待ち
• トンネル展開済み

• 接続アクティブ (IPsec トンネルが稼働中) または接続ダウン (IPsec トンネルがダウン)

  

サイト WAN リソースマッピングの関連付け (Azure ポータル):

Azure ポータルで展開されたサイトを、Azure Virtual WAN リソースの下に作成された仮想ハブに関連付けます。1 つ以上の仮想ハブをブランチサイトに関連付けることができます。各仮想ハブは特定のリージョンに作成され、仮想ネットワーク接続を作成することで特定のワークロードを仮想ハブに関連付けることができます。ブランチサイトと仮想ハブの関連付けが成功した後にのみ、VPN 構成がダウンロードされ、サイトから VPN ゲートウェイへのそれぞれの IPsec トンネルが確立されます。

ステータスが [トンネル展開済み] または [接続アクティブ] に変わるまで待って、IPsec トンネルの設定を表示します。選択したサービスに関連付けられた IPsec 設定を表示します。

SD-WAN Azure 設定:

• SD-WAN 変更管理の無効化 – デフォルトでは、変更管理プロセスは自動化されています。これは、Azure Virtual WAN インフラストラクチャで新しい構成が利用可能になるたびに、SD-WAN Center がそれを取得し、ブランチに自動的に適用を開始することを意味します。ただし、この動作は制御されており、構成をブランチに適用するタイミングを制御したい場合に利用できます。自動変更管理を無効にする利点の 1 つは、この機能と他の SD-WAN 機能の構成が独立して管理されることです。

• SDWAN ポーリングの無効化 – すべての SD-WAN Azure の新規展開と既存の展開でのポーリングを無効にします。

• ポーリング間隔 – ポーリング間隔オプションは、Azure Virtual WAN インフラストラクチャでの構成更新の検索間隔を制御します。推奨されるポーリング間隔は 1 時間です。

• ブランチ間接続の無効化 – Azure Virtual WAN インフラストラクチャを介したブランチ間通信を無効にします。デフォルトでは、このオプションは無効になっています。これを有効にすると、オンプレミスブランチが Azure の Virtual WAN インフラを介して IPsec 経由で互いに、およびブランチの背後にあるリソースと通信できるようになります。これは、SD-WAN 仮想パスを介したブランチ間通信には影響しません。このオプションが無効になっていても、ブランチは互いに、およびそれぞれのリソース/エンドポイントと仮想パスを介して通信できます。

• BGP の無効化 – これは IP 経由の BGP を無効にします。デフォルトでは無効になっています。有効にすると、サイトルートが BGP 経由でアドバタイズされます。

• デバッグレベル – 接続の問題がある場合にデバッグするためのログのキャプチャを有効にします。

WAN リソースの更新:

[更新] アイコンをクリックして、Azure ポータルで更新した最新の WAN リソースセットを取得します。「WAN リソースが正常に更新されました」というメッセージが、更新プロセス完了後に表示されます。

サイト WAN リソース関連付けの削除

削除を実行するために、1 つまたは複数のマッピングを選択します。内部的には、SD-WAN アプライアンスの変更管理プロセスがトリガーされ、それが成功するまで、さらなる削除を防ぐために削除オプションは無効になります。マッピングを削除するには、Azure ポータルで対応するサイトの関連付けを解除または削除する必要があります。ユーザーはこの操作を手動で実行する必要があります。

トンネルが作成されると、MCN に 2 つのイントラネットサービスが作成されていることがわかります。

各イントラネットサービスは、ピア IP (Azure Virtual WAN エンドポイント IP) で作成された IPsec トンネルに対応します。

[イントラネットサービス] から、[セクション] ドロップダウンリストから [WAN リンク] を選択すると、指定したプライマリおよびセカンダリ WAN リンクの両方を確認できます。デフォルトでは、モードは [自動] に設定されています。

IPsec トンネルの監視

SD-WAN Center UI で、[レポート] > [IPsec] に移動して、IPsec トンネルのステータスを確認します。データトラフィックが流れるためには、トンネルのステータスが GREEN である必要があります。