ゼロタッチ展開

注

ゼロタッチ展開サービスは、特定のCitrix SD-WAN™アプライアンスでのみサポートされています。

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (再イメージ化が必要)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (再イメージ化が必要)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN AWS VPXインスタンス

ゼロタッチ展開 (ZTD) サービスは、Citrix® が運用および管理するクラウドサービスであり、Citrix SD-WAN ネットワーク内の新しいアプライアンスの検出を可能にし、ブランチオフィスの展開プロセスを自動化します。ZTD クラウドサービスは、インターネット経由でネットワーク内の任意のノードから、Secure Socket Layer (SSL) プロトコルを介してアクセスできます。

ZTD クラウドサービスは、ゼロタッチ対応デバイス (例: SD-WAN 410-SE、2100-SE) を購入した顧客の識別情報を保存するバックエンドのCitrixネットワークサービスと安全に通信します。バックエンドサービスは、ゼロタッチ展開リクエストを認証し、顧客アカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けを適切に検証するために機能します。

ZTDのハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理者権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Centerのネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード (MCN) SD-WANアプライアンスからの構成のインポート
• Citrix Cloud™ ログインによる新規サイトノード展開のためのゼロタッチ展開サービスの開始

注

SD-WAN Centerがプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Centerでプロキシサーバー設定を構成する必要があります。詳細については、「ゼロタッチ展開のプロキシサーバー設定」を参照してください。

ネットワーク管理者 – 企業ネットワーク管理 (DHCP、DNS、インターネット、ファイアウォールなど) を担当するユーザー

• 必要に応じて、SD-WAN CenterからFQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためにファイアウォールを構成します。

リモートサイト

オンサイトインストーラー – 以下の主要な責任を負う、オンサイト作業のための現地担当者または契約インストーラー

• Citrix SD-WANアプライアンスを物理的に開梱します。
• ZTD対応ではないアプライアンスを再イメージ化します。
  • 必須: SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要: SD-WAN 410-SE、2100-SE
• アプライアンスに電源ケーブルを接続します。
• 管理インターフェイス (例: MGMT、または0/1) でインターネット接続のためにアプライアンスにケーブルを接続します。
• データインターフェイス (例: apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5など) でWANリンク接続のためにアプライアンスにケーブルを接続します。

注

インターフェイスのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

ゼロタッチ展開サービスを開始する前に、以下の前提条件が必要です。

• マスターコントロールノード (MCN) に昇格された、アクティブに稼働中のSD-WAN。
• 仮想パスを介してMCNに接続された、アクティブに稼働中のSD-WAN Center。
• https://onboarding.cloud.com で作成されたCitrix Cloudログイン資格情報 (アカウント作成については以下の手順を参照)。
• 管理ネットワーク接続 (SD-WAN CenterおよびSD-WANアプライアンス) が、ポート443でインターネットに直接またはプロキシサーバー経由で接続されていること。
• ZTDの初期設定のためにSD-WAN Center Webポータルにアクセスするための、ポート443でのインターネット接続。
• (オプション) 既存のアンダーレイネットワーク全体でパスが正常に確立されることを検証するために、MCNへの有効な仮想パス接続を持つクライアントモードでブランチオフィスで動作している、少なくとも1つのアクティブなSD-WANアプライアンス。

最後の前提条件は必須ではありませんが、ゼロタッチ展開が新規追加サイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可していることをSD-WAN管理者が検証できるようにします。主に、これにより、適切なファイアウォールとルートポリシーが、トラフィックを適切にNATするか、UDPポート4980がネットワークを正常に通過してMCNに到達できることを確認するために配置されていることを検証します。

ゼロタッチ展開サービスの概要

ゼロタッチ展開サービスは、SD-WAN Centerと連携して、ブランチオフィスSD-WANアプライアンスの展開を容易にします。SD-WAN Centerは、SD-WAN StandardおよびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス (またはZTDクラウドサービス) を利用するには、管理者はまず環境に最初のSD-WANデバイスを展開し、次にSD-WAN Centerを中央管理ポイントとして構成および展開する必要があります。SD-WAN Center (リリース9.1以降) がポート443でパブリックインターネットに接続されてインストールされると、SD-WAN Centerは自動的にクラウドサービスを開始し、ゼロタッチ展開機能を有効にするために必要なコンポーネントをインストールし、SD-WAN CenterのGUIでゼロタッチ展開オプションを利用できるようにします。ゼロタッチ展開は、SD-WAN Centerソフトウェアではデフォルトで利用できません。これは、管理者がゼロタッチ展開を含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な事前コンポーネントが存在することを確認するために意図的に設計されています。

稼働中のSD-WAN環境が稼働した後、Citrix Cloudアカウントログインを作成することで、ゼロタッチ展開サービスへの登録が完了します。SD-WAN CenterがZTDサービスと通信できるようになると、GUIの [Configuration] タブの下にゼロタッチ展開オプションが表示されます。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられた顧客IDが認証され、SD-WAN Centerが登録されます。さらに、ZTDアプライアンス展開のさらなる認証のためにアカウントがロック解除されます。

SD-WAN Centerのネットワーク構成ツールを使用して、SD-WAN管理者はテンプレートまたはサイトクローン機能を利用して、新しいサイトを追加するためのSD-WAN構成を構築する必要があります。新しい構成は、SD-WAN Centerによって新規追加サイトのZTD展開を開始するために使用されます。SD-WAN管理者がZTDプロセスを使用して展開するサイトを開始するとき、シリアル番号を事前入力してZTDに使用するアプライアンスを事前認証し、オンサイトインストーラーにオンサイトアクティビティを開始するための電子メール通信を開始するオプションがあります。

オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができたという電子メール通信を受け取り、DHCP IPアドレス割り当てとMGMTポートでのインターネットアクセス用にアプライアンスの電源を入れ、ケーブルを接続するインストール手順を開始できます。また、任意のLANおよびWANポートにケーブルを接続します。その他のすべてはZTDサービスによって開始され、進行状況はアクティベーションURLを利用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは不要です。

ゼロタッチ展開クラウドサービスは、以下の操作を自動化します。

ブランチアプライアンスで新しい機能が利用可能な場合、ZTDエージェントをダウンロードして更新します。

• シリアル番号を検証してブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Centerを使用してZTDのサイトを受け入れたことを認証します。
• SD-WAN Centerからターゲットアプライアンス固有の構成ファイルを取得します。
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パス確立の確認のために、一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN管理者による追加の手順が必要です。

ゼロタッチ展開サービスのプロシージャ

以下の手順では、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳述します。MCNと1つのクライアントノードがSD-WAN Centerと適切に通信し、アンダーレイネットワーク全体で接続を確認する仮想パスが確立されている必要があります。ゼロタッチの展開を開始するために、SD-WAN管理者には以下の手順が必要です。

ゼロタッチ展開サービスの構成方法

SD-WAN Centerには、新しく接続されたアプライアンスからのSD-WAN Enterpriseネットワークへの参加リクエストを受け入れる機能があります。リクエストはゼロタッチ展開サービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成およびソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー:

• SD-WAN Center > Create New site configuration にアクセスするか、既存の構成をインポートして保存します。
• Citrix Workspace™ CloudにログインしてZTDサービスを有効にします。ゼロタッチ展開メニューオプションがSD-WAN CenterのWeb管理インターフェイスに表示されます。
• SD-WAN Centerで、Configuration > Zero Touch Deployment > Deploy New Site に移動します。
• アプライアンスを選択し、[Enable] をクリックし、[Deploy] をクリックします。
• インストーラーがアクティベーションメールを受信 > シリアル番号を入力 > [Activate] > アプライアンスが正常に展開されます。

ゼロタッチ展開サービスを構成するには:

1. ゼロタッチ展開機能が有効なSD-WAN Centerをインストールします。
   1. DHCP割り当てIPアドレスでSD-WAN Centerをインストールします。
   2. SD-WAN Centerが適切な管理IPアドレスとネットワークDNSアドレスを割り当てられ、管理ネットワーク経由でパブリックインターネットに接続されていることを確認します。
   3. SD-WAN Centerを最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続があれば、SD-WAN Centerはゼロタッチ展開 (ZTD) クラウドサービスを開始し、ZTD固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下のゼロタッチ展開オプションはGUIで利用できません。

      

   5. 利用規約を読み、「上記の利用規約を読み、同意します」を選択します。
   6. Citrix Cloudアカウントがすでに作成されている場合は、「Login to Citrix Workspace Cloud」ボタンをクリックします。

   7. Citrix Cloudアカウントにログインし、ログイン成功のメッセージが表示されたら、このウィンドウを閉じないでください。SD-WAN Center GUIが更新されるまでにさらに約20秒かかります。 完了するとウィンドウは自動的に閉じます。

      

   8. Cloudログインアカウントを作成するには、以下の手順に従います。
      • Webブラウザで https://onboarding.cloud.com を開きます。
      • 「Wait, I have a Citrix.com account」のリンクをクリックします。

      

      

   9. 既存のCitrixアカウントでサインインします。
   10. SD-WAN Centerのゼロタッチ展開ページにログインすると、以下の理由によりZTD展開に利用できるサイトがないことに気づく場合があります。
       • [Configuration] ドロップダウンメニューからアクティブな構成が選択されていない
       • 現在のすべてのアクティブな構成のサイトがすでに展開されている
       • 構成がSD-WAN Centerではなく、MCNで利用可能な構成エディターを使用して構築された
       • ゼロタッチ対応アプライアンス (例: 410-SE、2100-SE、Cloud VPX) を参照して構成にサイトが構築されていない

2. SD-WAN Centerのネットワーク構成を使用して、新しいリモートサイトとZTD対応SD-WANアプライアンスを追加するように構成を更新します。

   SD-WAN構成がSD-WAN Centerのネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。ゼロタッチ展開のターゲットとなる新しいサイトを追加するには、以下の手順を使用する必要があります。

   新しいサイトの詳細 (アプライアンスモデル、インターフェイスグループの使用状況、仮想IPアドレス、帯域幅とそれぞれのゲートウェイを持つWANリンクなど) を最初に概説して、SD-WANアプライアンス展開用の新しいサイトを設計します。

   重要

   モデルとしてVPXが選択されているサイトノードもリストに表示される場合がありますが、現在、ZTDサポートはAWS VPXインスタンスでのみ利用可能です。 注

   • Citrix SD-WAN CenterにはサポートされているWebブラウザを使用していることを確認してください。
   • Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例です。SD-WANアプライアンスは、既存のMPLS WANリンクのパスに物理的に展開され、172.16.30.0/24ネットワークを介して、既存のバックアップリンクをアクティブ状態にして、その2番目のWANリンクを別のサブネット172.16.31.0/24上のSD-WANアプライアンスに直接終端しています。

   注

   SD-WANアプライアンスは、デフォルトで192.168.100.1/16のIPアドレスを自動的に割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバーは、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する可能性があります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスに接続できない可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てるようにしてください。

   ネットワークでのSD-WAN製品の配置には、さまざまな展開モードがあります。上記の例では、SD-WANは既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者はSD-WANをエッジモードまたはゲートウェイモードで展開することを選択でき、WANエッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズをSD-WANソリューションに統合できます。

   1. SD-WAN Center Web管理インターフェイスを開き、Configuration > Network Configuration ページに移動します。

      

   2. 稼働中の構成がすでに存在することを確認するか、MCNから構成をインポートします。
   3. [Advanced] タブに移動してサイトを作成します。
   4. [Sites] タイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

      

   6. この新しいブランチサイト用に設計されたトポロジから、必要なすべてのフィールドを入力します。

      

   7. 新しいサイトをクローンした後、サイトの Basic Settings に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。

      

   8. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスがクローンに使用されたものとは異なるインターフェイスレイアウトを持つ可能性があるため、インターフェイスグループを再定義する必要がある場合があることに注意してください。
   9. SD-WAN Centerに新しい構成を保存し、「Change Management inbox」オプションを使用して変更管理で構成をプッシュします。
   10. 変更管理手順に従って新しい構成を適切にステージングし、既存のSD-WANデバイスにゼロタッチで展開される新しいサイトを認識させます。ZTDワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップするには、「Ignore Incomplete」オプションを利用する必要があります。
3. SD-WAN Centerのゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。
   1. ゼロタッチ展開ページの [Deploy New Site] タブで、実行中のネットワーク構成ファイルを選択します。

   2. 実行中の構成ファイルが選択されると、ゼロタッチがサポートされている未展開のSD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。

      

      

   3. ゼロタッチサービス用に構成するブランチサイトを選択し、[Enable] をクリックしてから [Deploy] をクリックします。

      

   4. [Deploy New Site] ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーの電子メールアドレス、およびその他のメモを提供できます。

      

   注

   シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトアクティビティが変更されます。

   • シリアル番号フィールドが入力されている場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力する責任があります。

   1. [Deploy] ボタンをクリックすると、「The Site configuration has been deployed.」というメッセージが表示されます。
   2. このアクションにより、以前にZTDクラウドサービスに登録されたSD-WAN Centerがトリガーされ、この特定のサイトの構成がZTDクラウドサービスに一時的に保存されます。
   3. [Pending Activation] タブに移動して、ブランチサイト情報が正常に入力され、インストーラーのアクティビティ保留ステータスになったことを確認します。

   ![localized image](/en-us/citrix-sd-wan-center/11-2/media/pending-activation-ztd.png)
   

   注

   [Pending Activation] 状態のゼロタッチ展開は、情報が正しくない場合にオプションで [Delete] または [Modify] を選択できます。[Pending Activation] ページからサイトが削除されると、[Deploy New Site] タブページで展開可能になります。ブランチサイトを [Pending Activation] から削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、[Status] フィールドは「Connecting」ではなく「Waiting for Installer」と表示されます。

4. 次の一連の活動は、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN管理者がサイトを展開したときに使用した電子メールアドレスのメールボックスを確認します。

      

   2. インターネットブラウザウィンドウでゼロタッチ展開のアクティベーションURLを開きます。

   3. SD-WAN管理者がサイト展開ステップでシリアル番号を事前入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、[Activate] ボタンをクリックする責任があります。

      

   4. 管理者がシリアル番号情報を事前入力した場合、アクティベーションURLはすでに次のステップに進んでいます。

      

   5. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。
      • 以前のステップで構築されたトポロジと構成に合わせて、すべてのWANおよびLANインターフェイスにケーブルを接続します。
      • DHCP IPアドレスと、DNSおよびFQDNからIPアドレス解決へのインターネット接続を提供するネットワークセグメントに、管理インターフェイス (MGMT、0/1) をケーブル接続します。
      • SD-WANアプライアンスに電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があります。他のアプライアンスは、アプライアンスの背面にある電源スイッチを使用する場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次の一連のステップは、ゼロタッチ展開サービスによって自動化されますが、以下の前提条件が利用可能である必要があります。
   • ブランチアプライアンスの電源がオンになっていること
   • 既存のネットワークでDHCPが利用可能であり、管理およびDNS IPアドレスを割り当てられること
   • DHCP割り当てIPアドレスが、FQDNを解決できるインターネット接続を必要とすること
   • 他の前提条件が満たされていれば、IP割り当ては手動で構成できること
     1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して実現されます。

     

   1. アプライアンスがアンダーレイネットワークのDHCPサーバーからWeb管理およびDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ZTD関連のソフトウェアアップデートをダウンロードします。
   2. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。
      • SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスに構成を適用します。
      • 一時的な10 MBライセンスファイルをダウンロードしてインストールします。
      • 必要に応じてソフトウェアアップデートをダウンロードしてインストールします。
      • SD-WANサービスをアクティブ化します。

      

   3. SD-WAN CenterのWeb管理インターフェイスでさらに確認できます。ゼロタッチ展開メニューには、正常にアクティブ化されたアプライアンスが [Activation History] タブに表示されます。

      

   4. MCNがZTDクラウドサービスから渡された構成を信頼しない場合があるため、仮想パスはすぐに接続状態にならない場合があります。MCNダッシュボードには「Configuration version mismatch」と報告されます。

      

   5. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > Configuration > Virtual WAN > Change Management ページで監視されます (このプロセスには数分かかる場合があります)。

      

   6. SD-WAN管理者は、リモートサイトの確立された仮想パスについて、ヘッドエンドMCNのWeb管理ページを監視できます。

      

   7. SD-WAN Centerは、Configuration > Network Discovery > Inventory and Status ページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを特定するためにも利用できます。

      

   8. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用してオンサイトアプライアンスへのWeb管理アクセスを取得できます。

      

   9. リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスが一時的な10 Mbpsの猶予ライセンスでインストールされており、これにより仮想パスサービスステータスがアクティブとして報告される機能が有効になっていることを示します。

      

   10. アプライアンスの構成は、Configuration > Virtual WAN > View Configuration ページを使用して検証できます。

       

   11. アプライアンスのライセンスファイルは、Configuration > Appliance Settings > Licensing ページを使用して永続ライセンスに更新できます。

       

   12. 永続ライセンスファイルをアップロードしてインストールした後、猶予ライセンスの警告バナーは消え、ライセンスインストールプロセス中にリモートサイトへの接続損失は発生しません (pingのドロップはゼロです)。