Zero Touch Deployment

注

Zero Touch Deploymentサービスは、特定のCitrix SD-WAN™アプライアンスでのみサポートされています。

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (再イメージ化が必要)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (再イメージ化が必要)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN AWS VPXインスタンス

Zero Touch Deployment (ZTD) サービスは、Citrix®が運用・管理するクラウドサービスであり、Citrix SD-WANネットワーク内の新しいアプライアンスを検出し、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由でネットワーク内の任意のノードから、Secure Socket Layer (SSL) プロトコルを介してアクセスできます。

ZTDクラウドサービスは、Zero Touch対応デバイス（例：SD-WAN 410-SE、2100-SE）を購入した顧客の識別情報を保存するバックエンドのCitrixネットワークサービスと安全に通信します。バックエンドサービスは、Zero Touch Deploymentリクエストを認証し、顧客アカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けを適切に検証するために設置されています。

ZTDのハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理者権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Centerネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード (MCN) SD-WANアプライアンスからの構成のインポート
• 新しいサイトノードの展開のためにZero Touch Deploymentサービスを開始するためのCitrix Cloud™ログイン

注

SD-WAN Centerがプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Centerでプロキシサーバー設定を構成する必要があります。詳細については、「Zero Touch Deploymentのプロキシサーバー設定」を参照してください。

ネットワーク管理者 – エンタープライズネットワーク管理（DHCP、DNS、インターネット、ファイアウォールなど）を担当するユーザー

• 必要に応じて、SD-WAN CenterからFQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためにファイアウォールを構成します。

リモートサイト

オンサイトインストーラー – 以下の主要な責任を負う、オンサイト作業のための現地担当者または契約インストーラー

• Citrix SD-WANアプライアンスを物理的に開梱
• ZTD非対応アプライアンスの再イメージ化
  • 必須：SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要：SD-WAN 410-SE、2100-SE
• アプライアンスの電源ケーブル接続
• 管理インターフェース（例：MGMT、または0/1）でのインターネット接続のためのアプライアンスのケーブル接続
• データインターフェース（例：apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5など）でのWANリンク接続のためのアプライアンスのケーブル接続

注

インターフェースのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

Zero Touch Deploymentサービスを開始する前に、以下の前提条件が必要です。

• MCN (Master Control Node) に昇格された、アクティブに稼働しているSD-WAN
• 仮想パスを介してMCNに接続された、アクティブに稼働しているSD-WAN Center
• https://onboarding.cloud.com で作成されたCitrix Cloudログイン資格情報（アカウント作成については以下の手順を参照）
• 管理ネットワーク接続（SD-WAN CenterおよびSD-WANアプライアンス）からインターネットへのポート443での接続（直接またはプロキシサーバー経由）
• ZTDの初期設定のためにSD-WAN Centerウェブポータルにアクセスするためのポート443でのインターネット接続
• (オプション) MCNへの有効な仮想パス接続を持つクライアントモードでブランチオフィスで動作している、少なくとも1つのアクティブなSD-WANアプライアンス。これは、既存のアンダーレイネットワーク全体でパスが正常に確立されたことを検証するのに役立ちます。

最後の前提条件は必須ではありませんが、SD-WAN管理者が、Zero Touch Deploymentが新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを確認できます。主に、これは、トラフィックを適切にNATするか、UDPポート4980がネットワークを正常に通過してMCNに到達できることを確認するために、適切なファイアウォールおよびルートポリシーが設定されていることを検証します。

Zero Touch Deploymentサービス概要

Zero Touch Deploymentサービスは、SD-WAN Centerと連携して、ブランチオフィスSD-WANアプライアンスの展開を容易にします。SD-WAN Centerは、SD-WAN StandardおよびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。Zero Touch Deploymentサービス（またはZTDクラウドサービス）を利用するには、管理者はまず環境に最初のSD-WANデバイスを展開し、次にSD-WAN Centerを中央管理ポイントとして構成および展開する必要があります。SD-WAN Centerリリース9.1以降がポート443でパブリックインターネットに接続されてインストールされると、SD-WAN Centerは自動的にクラウドサービスを開始し、Zero Touch Deployment機能を有効にするために必要なコンポーネントをインストールし、SD-WAN CenterのGUIでZero Touch Deploymentオプションを利用可能にします。Zero Touch Deploymentは、SD-WAN Centerソフトウェアではデフォルトで利用できません。これは、管理者がZero Touch Deploymentを含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

稼働中のSD-WAN環境が稼働した後、Zero Touch Deploymentサービスへの登録は、Citrix Cloudアカウントログインを作成することによって行われます。SD-WAN CenterがZTDサービスと通信できるようになると、GUIは「構成」タブの下にZero Touch Deploymentオプションを表示します。Zero Touchサービスにログインすると、特定のSD-WAN環境に関連付けられた顧客IDが認証され、SD-WAN Centerが登録され、さらにZTDアプライアンス展開の認証のためにアカウントがロック解除されます。

SD-WAN Centerのネットワーク構成ツールを使用して、SD-WAN管理者は、新しいサイトを追加するためにSD-WAN構成を構築するためにテンプレートまたはサイトクローン機能を利用する必要があります。新しい構成は、SD-WAN Centerによって新しいサイトのZTDの展開を開始するために使用されます。SD-WAN管理者がZTDプロセスを使用して展開のためにサイトを開始するとき、シリアル番号を事前入力し、オンサイトインストーラーにオンサイトアクティビティを開始するための電子メール通信を開始することによって、ZTDに使用されるアプライアンスを事前認証するオプションがあります。

オンサイトインストーラーは、サイトがZero Touch Deploymentの準備ができたという電子メール通信を受け取り、アプライアンスの電源を入れ、DHCP IPアドレス割り当てとMGMTポートでのインターネットアクセス、およびLANおよびWANポートのケーブル接続のためのインストール手順を開始できます。その他すべてはZTDサービスによって開始され、進行状況はアクティベーションURLを使用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは不要です。

Zero Touch Deploymentクラウドサービスは、以下の操作を自動化します。

• 新しい機能がブランチアプライアンスで利用可能な場合、ZTDエージェントをダウンロードして更新します。
• シリアル番号を検証してブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Centerを使用してZTDのためにサイトを受け入れたことを認証します。
• SD-WAN Centerからターゲットアプライアンス固有の構成ファイルをプルします。
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パス確立の確認のために一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN管理者によるさらなる手順が必要です。

Zero Touch Deploymentサービス手順

以下の手順は、Zero Touch Deploymentサービスを使用して新しいサイトを展開するために必要な手順を詳述しています。稼働中のMCNと、SD-WAN Centerとの適切な通信が確立され、アンダーレイネットワーク全体で接続が確認された仮想パスを持つ1つのクライアントノードがあることを前提とします。Zero Touchの展開を開始するためにSD-WAN管理者に必要な手順は以下のとおりです。

Zero Touch Deploymentサービスを構成する方法

SD-WAN Centerには、新しく接続されたアプライアンスからのSD-WANエンタープライズネットワークへの参加リクエストを受け入れる機能があります。リクエストは、Zero Touch Deploymentサービスを介してウェブインターフェースに転送されます。アプライアンスがサービスに接続すると、構成およびソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー：

• SD-WAN Center > 新しいサイト構成の作成にアクセスするか、既存の構成をインポートして保存します。
• Citrix Workspace™ CloudにログインしてZTDサービスを有効にします。Zero Touch DeploymentメニューオプションがSD-WAN Centerウェブ管理インターフェースに表示されます。
• SD-WAN Centerで、構成 > Zero Touch Deployment > 新しいサイトの展開に移動します。
• アプライアンスを選択し、[有効にする] をクリックし、[展開] をクリックします。
• インストーラーがアクティベーションメールを受信 > シリアル番号を入力 > [アクティベート] > アプライアンスが正常に展開されます。

Zero Touch Deploymentサービスを構成するには：

1. Zero Touch Deployment機能が有効なSD-WAN Centerをインストールします。
   1. DHCP割り当てIPアドレスでSD-WAN Centerをインストールします。
   2. SD-WAN Centerが適切な管理IPアドレスとネットワークDNSアドレスを割り当てられ、管理ネットワークを介してパブリックインターネットに接続されていることを確認します。

   3. SD-WAN Centerを最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続があれば、SD-WAN CenterはZero Touch Deployment (ZTD) クラウドサービスを開始し、ZTD固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下のZero Touch DeploymentオプションはGUIで利用できません。

      

   5. 利用規約を読み、「上記の利用規約を読み、同意します」を選択します。

   6. Citrix Cloudアカウントがすでに作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。

   7. Citrix Cloudアカウントにログインし、ログイン成功のメッセージが表示されたら、このウィンドウを閉じないでください。SD-WAN Center GUIが更新されるまでにさらに約20秒かかります。 完了するとウィンドウは自動的に閉じます。

      

   8. Cloudログインアカウントを作成するには、以下の手順に従います。

      • ウェブブラウザでhttps://onboarding.cloud.comを開きます。

      • 「お待ちください、Citrix.comアカウントを持っています」のリンクをクリックします。

      

      

   9. 既存のCitrixアカウントでサインインします。

   10. SD-WAN Center Zero Touch Deploymentページにログインすると、以下の理由によりZTD展開に利用できるサイトがないことに気づく場合があります。

       • 構成ドロップダウンメニューからアクティブな構成が選択されていない
       • 現在のすべてのアクティブな構成のサイトがすでに展開されている
       • 構成がSD-WAN Centerではなく、MCNで利用可能な構成エディターを使用して構築された
       • Zero Touch対応アプライアンス（例：410-SE、2100-SE、Cloud VPX）を参照して構成にサイトが構築されていない

2. SD-WAN Centerネットワーク構成を使用して、ZTD対応SD-WANアプライアンスを持つ新しいリモートサイトを追加するように構成を更新します。

   SD-WAN構成がSD-WAN Centerネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。Zero Touch Deployment機能を利用するには、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。Zero Touch展開をターゲットとする新しいサイトを追加するには、以下の手順を使用する必要があります。

   まず、新しいサイトの詳細（つまり、アプライアンスモデル、インターフェースグループの使用状況、仮想IPアドレス、帯域幅とそれぞれのゲートウェイを持つWANリンク）を概説して、SD-WANアプライアンス展開のための新しいサイトを設計します。

   重要

   モデルとしてVPXが選択されているサイトノードもリストに表示される場合がありますが、現在、ZTDサポートはAWS VPXインスタンスでのみ利用可能です。 注

   • Citrix SD-WAN Centerにはサポートされているウェブブラウザを使用していることを確認してください。
   • Citrix Workspaceログイン中にウェブブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例であり、SD-WANアプライアンスは既存のMPLS WANリンクのパスに物理的に展開され、172.16.30.0/24ネットワークを介して、既存のバックアップリンクをアクティブ状態にして、その2番目のWANリンクを別のサブネット172.16.31.0/24上のSD-WANアプライアンスに直接終端させます。

   注

   SD-WANアプライアンスは、デフォルトで192.168.100.1/16のIPアドレスを自動的に割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバーは、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する可能性があります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスに接続できない可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てるようにしてください。

   ネットワーク内でのSD-WAN製品の配置には、さまざまな展開モードがあります。上記の例では、SD-WANは既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者はSD-WANをエッジモードまたはゲートウェイモードで展開することを選択し、WANエッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズをSD-WANソリューションに統合することができます。

   1. SD-WAN Centerウェブ管理インターフェースを開き、構成 > ネットワーク構成ページに移動します。

      

   2. 稼働中の構成がすでに存在することを確認するか、MCNから構成をインポートします。

   3. サイトを作成するために「詳細」タブに移動します。

   4. 「サイト」タイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

      

   6. この新しいブランチサイト用に設計されたトポロジから、必要なすべてのフィールドを入力します。

      

   7. 新しいサイトをクローンした後、サイトの基本設定に移動し、Zero TouchサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。

      

   8. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスがクローンに使用されたものとは異なる新しいインターフェースレイアウトを持つ可能性があるため、インターフェースグループを再定義する必要がある場合があることに注意してください。

   9. SD-WAN Centerで新しい構成を保存し、「変更管理受信トレイ」へのエクスポートオプションを使用して、変更管理を介して構成をプッシュします。

   10. 変更管理手順に従って新しい構成を適切にステージングし、既存のSD-WANデバイスにZero Touchを介して展開される新しいサイトを認識させます。ZTDワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップするために、「不完全を無視」オプションを利用する必要があります。

3. SD-WAN Center Zero Touch Deploymentページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。

   1. Zero Touch Deploymentページの「新しいサイトの展開」タブで、実行中のネットワーク構成ファイルを選択します。

   2. 実行中の構成ファイルが選択されると、Zero Touchでサポートされている未展開のSD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。

      

      

   3. Zero Touchサービス用に構成するブランチサイトを選択し、[有効にする] をクリックしてから [展開] をクリックします。

      

   4. 「新しいサイトの展開」ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーのメールアドレス、およびその他のメモを提供できます。

      

   注

   シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトアクティビティに変更が生じます。

   • シリアル番号フィールドが入力されている場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力する責任があります。

   1. [展開] ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。

   2. このアクションにより、以前ZTDクラウドサービスに登録されたSD-WAN Centerがトリガーされ、この特定のサイトの構成がZTDクラウドサービスに一時的に保存されます。

   3. 「保留中のアクティベーション」タブに移動して、ブランチサイト情報が正常に入力され、インストーラーのアクティビティ保留状態になったことを確認します。

      

   注

   「保留中のアクティベーション」状態のZero Touch Deploymentは、情報が正しくない場合にオプションで削除または変更を選択できます。保留中のアクティベーションページからサイトが削除されると、「新しいサイトの展開」タブページで展開可能になります。保留中のアクティベーションからブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーを待機中」と表示されます。

4. 次のアクティビティは、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN管理者がサイトを展開したときに使用したメールアドレスのメールボックスを確認します。

      

   2. インターネットブラウザウィンドウでZero Touch DeploymentアクティベーションURLを開きます。

   3. SD-WAN管理者が展開サイトの手順でシリアル番号を事前入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、[アクティベート] ボタンをクリックする責任があります。

      

   4. 管理者がシリアル番号情報を事前入力した場合、アクティベーションURLはすでに次のステップに進んでいます。

      

   5. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。

      • 以前の手順で構築されたトポロジと構成に合わせて、すべてのWANおよびLANインターフェースをケーブル接続します。
      • DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決機能を備えたインターネットへの接続を提供するネットワークセグメントに、管理インターフェース（MGMT、0/1）をケーブル接続します。
      • SD-WANアプライアンスの電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があります。その他は、アプライアンスの背面に電源スイッチがある場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次のステップはZero Touch Deploymentサービスの助けを借りて自動化されますが、以下の前提条件が必要です。

   • ブランチアプライアンスの電源がオンになっていること
   • 既存のネットワークでDHCPが利用可能であり、管理およびDNS IPアドレスを割り当てられること
   • DHCP割り当てIPアドレスは、FQDNを解決する機能を持つインターネットへの接続を必要とすること
   • IP割り当ては手動で構成することも可能ですが、他の前提条件が満たされている必要があります。

   1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェースを介して実現されます。

      

   2. アプライアンスがアンダーレイネットワークDHCPサーバーからウェブ管理およびDNS IPアドレスを取得すると、アプライアンスはZero Touch Deploymentサービスを開始し、ZTD関連のソフトウェアアップデートをダウンロードします。

   3. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。

      • SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
      • 構成をローカルアプライアンスに適用します。
      • 一時的な10 MBライセンスファイルをダウンロードしてインストールします。
      • 必要に応じてソフトウェアアップデートをダウンロードしてインストールします。
      • SD-WANサービスをアクティベートします。

      

   4. SD-WAN Centerウェブ管理インターフェースでさらに確認できます。Zero Touch Deploymentメニューの「アクティベーション履歴」タブに、正常にアクティベートされたアプライアンスが表示されます。

      

   5. MCNがZTDクラウドサービスから渡された構成を信頼しない可能性があり、MCNダッシュボードで「構成バージョン不一致」を報告するため、仮想パスがすぐに接続状態にならない場合があります。

      

   6. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスはMCN > 構成 > 仮想WAN > 変更管理ページで監視されます（このプロセスには数分かかる場合があります）。

      

   7. SD-WAN管理者は、リモートサイトの確立された仮想パスについて、ヘッドエンドMCNウェブ管理ページを監視できます。

      

   8. SD-WAN Centerは、構成 > ネットワーク検出 > インベントリとステータスページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを特定するためにも利用できます。

      

   9. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用してオンサイトアプライアンスへのウェブ管理アクセスを取得できます。

      

   10. リモートサイトアプライアンスへのウェブ管理アクセスは、アプライアンスが10 Mbpsの一時的な猶予ライセンスでインストールされており、仮想パスサービスステータスがアクティブとして報告される機能を有効にしていることを示します。

       

   11. アプライアンスの構成は、構成 > 仮想WAN > 構成の表示ページを使用して検証できます。

       

   12. アプライアンスのライセンスファイルは、構成 > アプライアンス設定 > ライセンスページを使用して永続的なライセンスに更新できます。

       

   13. 永続的なライセンスファイルをアップロードしてインストールした後、猶予ライセンスの警告バナーは消え、ライセンスインストールプロセス中にリモートサイトへの接続が失われることはありません（pingのドロップはゼロです）。