ゼロタッチ展開

注

ゼロタッチ展開サービスは、一部のCitrix SD-WAN アプライアンスでのみサポートされます。

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition（再イメージ化が必要）
• SD-WAN 1000 Enterprise Edition（Premium Edition）（再イメージが必要です）
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition（再イメージ化が必要）
• SD-WAN 2000 Enterprise Edition（Premium Edition（再イメージが必要です）
• SD-WAN AWS VPXインスタンス

ゼロタッチ展開（ZTD）サービスは、Citrixが運営および管理するクラウドサービスであり、Citrix SD-WANネットワークで新しいアプライアンスを検出し、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由で、Secure Socket Layer（SSL）プロトコルを介してネットワーク内の任意のノードからアクセスできます。

ZTDクラウドサービスは、ゼロタッチ対応デバイス（SD-WAN 410-SE、2100-SEなど）を購入した顧客のIDを格納するバックエンドCitrixネットワークサービスと安全に通信します。ゼロタッチ展開リクエストを認証するためのバックエンドサービスが用意されており、カスタマーアカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けが適切に検証されます。

ZTDの高レベルのアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN 管理者-SD-WAN環境の管理者権限を持つユーザーで 、次の主な役割を担います。

• Citrix SD-WAN Center ネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード（MCN）SD-WANアプライアンスからの構成のインポート
• 新しいサイトノードの展開のためにゼロタッチ展開サービスを開始するCitrix Cloudログイン。

注

SD-WAN Centerがプロキシサーバ経由でインターネットに接続されている場合は、SD-WAN Centerでプロキシサーバの設定を構成する必要があります。詳細については、「ゼロタッチ展開のプロキシサーバー設定」を参照してください。

ネットワーク管理者 –エンタープライズネットワーク管理（DHCP、DNS、インターネット、ファイアウォールなど）を担当するユーザー

• 必要に応じて、 SD-WAN Centerから FQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信用のファイアウォールを構成します。

リモートサイト

オンサイト・インストーラ — オンサイト・アクティビティの担当者、または雇用されたインストーラ。主に次の責任があります。

• Citrix SD-WANアプライアンスを物理的に開梱します。

• ZTD対応でないアプライアンスのイメージを再作成します。

  • 必須：SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 必要ありません for: SD-WAN 410-SE、2100-SE
• アプライアンスの電源ケーブル。
• 管理インターフェイス（MGMT、0/1 など）でインターネットに接続するためにアプライアンスをケーブルで接続します。
• データインターフェース（例：apA.WAN、apB.WAN、apC.WAN、 0/2, 0/3, 0/5, 等）。

注

インターフェイスのレイアウトはモデルごとに異なります。データと管理ポートの識別については、ドキュメントを参照してください。

ゼロタッチ展開サービスを開始する前に、次の前提条件が必要です。

• マスターコントロールノード（MCN）に昇格したアクティブに実行されているSD-WAN。
• 仮想パスを介してMCNに接続し、SD-WAN Center をアクティブに実行します。
• https://onboarding.cloud.com で作成されたCitrix Cloud ログイン資格情報（アカウント作成に関する以下の説明を参照）。
• 管理ネットワーク接続（SD-WAN Centerおよび SD-WAN アプライアンス）をポート 443 でインターネットに直接接続するか、プロキシサーバー経由で接続します。
• ZTDの初期設定用のSD-WAN Center Webポータルにアクセスするためのポート443でのインターネット接続。
• （オプション）MCNへの有効な仮想パス接続を使用してクライアントモードでブランチオフィスで動作するアクティブに実行されている少なくとも1つのSD-WANアプライアンス。

最後の前提条件は必須ではありませんが、SD-WAN管理者は、ゼロタッチ展開が新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを検証できます。主に、これにより、適切なファイアウォールおよびルートポリシーが適切にNATトラフィックに配置されていること、またはUDPポート4980がネットワークを貫通してMCNに到達できることを確認します。

ゼロタッチ展開サービスの概要

Zero Touch Deployment Service は、SD-WAN Centerと連携して機能し、ブランチオフィスの SD-WAN アプライアンスを簡単に導入できます。SD-WAN Center は、SD-WAN StandardおよびEnterprise（Premium）Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス（またはZTDクラウドサービス）を利用するには、管理者は最初のSD-WANデバイスを環境に展開し、次にSD-WAN Center を管理の中心点として構成および展開する必要があります。SD-WAN Center のリリース9.1以降がポート443でパブリックインターネットに接続してインストールされると、SD-WAN Center は自動的にクラウドサービスを開始し、必要なコンポーネントをインストールしてゼロタッチ展開機能のロックを解除し、ゼロタッチを作成します。 SD-WAN Center のGUIで利用可能な展開オプション。SD-WAN Center ソフトウェアでは、ゼロタッチ展開はデフォルトでは使用できません。これは、管理者がゼロタッチ展開を含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上の適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

SD-WAN環境が稼働し始めたら、Citrix Cloudアカウントのログインを作成することにより、ゼロタッチ展開サービスへの登録が完了します。SD-WAN Center がZTDサービスと通信できるため、GUIの[構成]タブにゼロタッチ展開オプションが表示されます。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられたお客様IDが認証され、SD-WAN Center が登録されます。さらに、ZTDアプライアンスの展開をさらに認証するためにアカウントのロックが解除されます。

SD-WAN Center のネットワーク構成ツールを使用して、SD-WAN管理者はテンプレートまたはクローンサイト機能を利用して、SD-WAN構成を構築し、新しいサイトを追加する必要があります。SD-WAN Center は、新しい構成を使用して、新しく追加されたサイトのZTDの展開を開始します。SD-WAN管理者は、ZTDプロセスを使用して展開用のサイトを開始するときに、シリアル番号を事前に入力し、オンサイトインストーラーへの電子メール通信を開始することにより、ZTDに使用するアプライアンスを事前認証するオプションがありますオンサイト活動を開始します。

オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができているという電子メール通信を受信し、DHCP IPアドレスの割り当てとMGMTポートでのインターネットアクセスのためにアプライアンスの電源を入れてケーブル接続するインストール手順を開始できます。また、LANおよびWANポートのケーブル接続。その他はすべてZTDサービスによって開始され、進捗状況はアクティベーションURLを使用して監視されます。インストールするリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、ワークフローが開始され、指定されたクラウド環境にインスタンスが自動的にインストールされます。ローカルインストーラーによるアクションは必要ありません。

Zero Touch Deployment Cloud Serviceは以下アクションを自動化します ：

ブランチアプライアンスで新しい機能を利用できる場合は、ZTDエージェントをダウンロードして更新します。

• シリアル番号を検証して、ブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Center を使用してZTDのサイトを受け入れたことを認証します。
• SD-WAN Centerから、ターゲットアプライアンスに固有の設定ファイルをプルします。
• 対象のアプライアンスに固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パスの確立を確認するための一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

SD-WAN管理者がアプライアンスに永久ライセンスファイルをインストールするには、さらに多くの手順が必要です。

ゼロタッチ展開サービスの手順

次の手順では、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳しく説明します。実行中のMCNと1つのクライアントノードが既にSD-WAN Center への適切な通信を行っていること、および確立された仮想パスがアンダーレイネットワーク全体の接続を確認していること。SD-WAN管理者がゼロタッチの展開を開始するには、次の手順が必要です。

ゼロタッチ展開サービスの設定方法

SD-WAN Centerには、新しく接続されたアプライアンスから SD-WAN エンタープライズネットワークに参加するための要求を受け付ける機能があります。要求は、ゼロタッチ展開サービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成とソフトウェアのアップグレードパッケージがダウンロードされます。

設定ワークフロー:

• SD-WAN Center にアクセスし、 新しいサイト構成を作成するか 、既存の構成をインポートして保存します。
• Citrix Workspace CloudにログインしてZTDサービスを有効にします。ゼロタッチ展開メニューオプションがSD-WANセンターのWeb管理インターフェースに表示されるようになりました。
• SD-WAN Center で、 設定 > **ゼロタッチ展開 > 展開新しいサイトへのナビゲート**。
• アプライアンスを選択し、[有効にする]をクリックして、[ 展開 ]をクリックします。
• インストーラがアクティベーションメールを受信する > シリアル番号を入力 > アクティ ベーション > アプライアンスが正常にデプロイされました。

ゼロタッチ展開サービスを構成するには：

1. ゼロタッチ展開機能を有効にしてSD-WAN Center をインストールします。
   1. DHCPが割り当てたIPアドレスを使用してSD-WAN Center をインストールします。
   2. SD-WAN Center に適切な管理IPアドレスとネットワークDNSアドレスが割り当てられ、管理ネットワークを介してパブリックインターネットに接続できることを確認します。

   3. SD-WAN Center を最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続により、SD-WAN Center はゼロタッチ展開（ZTD）クラウドサービスを開始し、このコールホーム手順が失敗した場合、ZTDに固有のファームウェアアップデートを自動的にダウンロードしてインストールします。次のゼロタッチ展開オプションは、 GUI。

      

   5. 利用規約を読み、「上記の利用規約を読んで同意したことを認めます」 を選択します。

   6. Citrix Cloudアカウントがすでに作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。

   7. Citrix Cloudアカウントにログインし、ログイン成功の次のメッセージを受け取っ たら、このウィンドウを閉じないでください。プロセスには別のウィンドウが必要です~20 SD-WAN Center GUIを更新するための秒数。ウィンドウは、完了すると単独で閉じる必要があります。**

      

   8. クラウドログインアカウントを作成するには、次の手順に従います。

      • ウェブブラウザを開いて https://onboarding.cloud.comにアクセスする

      • 「お待ちください、Citrix.comアカウントを持っています。」のリンクをクリックします 。

      

      

   9. 既存のCitrixアカウントでサインインします。

   10. SD-WAN Center のゼロタッチ展開ページにログインすると、次の理由により、ZTDの展開に使用できるサイトがないことがわかります。

       • アクティブな構成が[構成]ドロップダウンメニューから選択されていません
       • 現在アクティブな構成のすべてのサイトが既に展開されています
       • 構成は SD-WAN Centerを使用して構築されたものではなく、MCN で利用可能な構成エディタを使用して構築されたものでした。
       • ゼロタッチ対応のアプライアンス（410-SE、2100-SE、Cloud VPXなど）を参照する構成でサイトが構築されていない

2. SD-WAN SD-WAN Center ネットワーク構成を使用して、 ZTD 対応 SD-WANアプライアンスを備えた新しいリモートサイトを追加するように設定を更新します** 。

   SD-WAN 設定が SD-WAN Centerネットワーク設定を使用して構築されていない場合は、MCN からアクティブな設定をインポートし、SD-WAN Center を使用して設定の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Center を使用して構成を構築する必要があります。ゼロタッチ展開を対象とする新しいサイトを追加するには、次の手順を使用する必要があります。

   新しいサイトの詳細（つまり、アプライアンスモデル、インターフェイスグループの使用、仮想IPアドレス、帯域幅を備えたWANリンク、およびそれぞれのGateway）を最初に概説することにより、SD-WANアプライアンス展開用の新しいサイトを設計します。

   重要

   モデルとしてVPXが選択されているサイトノードも一覧表示されますが、現在、ZTDサポートはAWS VPXインスタンスでのみ使用できます。 注

   • Citrix SD-WAN CenterのサポートWebブラウザを使用していることを確認します
   • Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください

   

   これは、ブランチオフィスサイトの配置例です。SD-WANアプライアンスは、既存のMPLS WANリンクのパスに物理的に配置されます。 172.16.30.0/24 ネットワーク、および既存のバックアップリンクを使用してアクティブ状態にし、その2番目のWANリンクを別のサブネット 172.16.31.0/24上のSD-WANアプライアンスに直接終端する。

   注

   SD-WANアプライアンスは、デフォルトのIPアドレス192.168.100.1/16を自動的に割り当てます。DHCPがデフォルトで有効になっていると、ネットワーク内のDHCPサーバーが、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する場合があります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスへの接続に失敗する可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てます。

   ネットワーク内のSD-WAN製品の配置には、さまざまな展開モードを使用できます。上記の例では、SD-WANが既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者は、SD-WANをEdgeモードまたはGatewayモードで展開することを選択できます。これにより、WANエッジルーターとファイアウォールの必要がなくなり、エッジルーティングとファイアウォールのネットワークニーズがSD-WANソリューションに統合されます。 。

   1. SD-WAN Center Web 管理インターフェイスを開き 、[ 構成 ] > [ ネットワーク構成 ] ページに移動します。

      

   2. 動作中の構成がすでに配置されていることを確認するか、MCN から構成をインポートします。

   3. [詳細]タブに移動して、サイトを作成します。

   4. [サイト]タイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成をすばやく構築しました。

      

   6. この新しいブランチサイト用に設計されたトポロジからすべての必須フィールドを入力します。

      

   7. 新しいサイトのクローンを作成した後、サイトの [ 基本設定]に移動し、ゼロタッチサービスをサポートする SD-WAN のモデルが正しく選択されていることを確認します。

      

   8. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスには、クローン作成に使用されたものと同じ新しいインターフェイスレイアウトがあるため、インターフェイスグループを再定義する必要がある場合があることに注意してください。

   9. SD-WAN Center に新しい構成を保存し、「変更管理の受信トレイ」オプションへのエクスポートを使用して、 変更管理を使用して構成をプッシュします。

   10. 変更管理手順に従って、新しい構成を適切にステージングします。これにより、既存のSD-WANデバイスは、ゼロタッチで展開される新しいサイトを認識します。構成をプッシュしようとする試みをスキップするには、「不完全を無視」オプションを使用する必要があります。 ZTDワークフローを通過する必要がある新しいサイト。

3. SD-WAN Center のゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトを展開できます。

   1. [ゼロタッチ展開] ページの [ 新しいサイトの展開 ] タブで、実行中のネットワーク設定ファイルを選択します。

   2. 実行構成ファイルを選択すると、ゼロタッチがサポートされている未展開のSD-WANデバイスを含むすべてのブランチサイトのリストが表示されます

      

      

   3. ゼロタッチサービス用に構成するブランチサイトを選択し、[ 有効にする]、[ 展開]の順にクリックします。

      

   4. Deploy New Siteポップアップウィンドウが表示されます。管理者は、必要に応じて、シリアル番号、ブランチサイトのストリートアドレス、インストーラの電子メールアドレス、その他のメモを提供できます。

      

   注

   シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトのアクティビティが変更されます。

   • シリアル番号フィールドが入力されている場合–インストーラーは、サイトのデプロイコマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません
   • シリアル番号フィールドが黒のままの場合–インストーラーは、アプライアンスの正しいシリアル番号を、サイト展開コマンドで生成されたアクティベーションURLに入力する必要があります。

   1. [ 展開 ]ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。

   2. このアクションにより、以前にZTDクラウドサービスに登録されたSD-WAN Center がトリガーされ、この特定のサイトの構成を共有して、一時的にZTDクラウドサービスに保存されます。

   3. [保留中のアクティブ化]タブに移動して、ブランチサイト情報が正常に入力され、インストーラーアクティビティが保留中の状態になったことを確認します。

      

   注

   情報が正しくない場合、「アクティブ化保留中」状態のゼロタッチ展開を選択して削除または変更できます。保留中のアクティブ化ページからサイトが削除されると、そのサイトは[新しいサイトのデプロイ]タブページでデプロイできるようになります。アクティベーションの保留からブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーの待機中」を示します。

4. 次の一連のアクティビティは、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN管理者がサイトの展開時に使用した電子メールアドレスのメールボックスを確認します。

      

   2. インターネットブラウザーウィンドウでゼロタッチ展開アクティベーションURLを開きます。

   3. SD-WAN 管理者がサイトの展開手順でシリアル番号を事前に入力しなかった場合は、インストーラが物理アプライアンスのシリアル番号を特定し、アクティベーション URL にシリアル番号を手動で入力し、[ Activate ] ボタンをクリックします。

      

   4. 管理者がシリアル番号情報を事前に入力している場合、アクティベーションURLは次のステップに進んでいます。

      

   5. 次のアクションを実行するには、設置者が現場にいる必要があります。

      • 前の手順で構築したトポロジと構成に一致するように、すべてのWANおよびLANインターフェイスをケーブルで接続します。
      • 管理インターフェース（MGMT、 0/1) DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決によりインターネットへの接続を提供するネットワークのセグメント内。
      • SD-WANアプライアンスの電源ケーブル。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルを接続すると自動的に電源が入ります。アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要があるアプライアンスもあれば、アプライアンスの背面にある電源スイッチを搭載しているアプライアンスもあります。一部の電源スイッチでは、ユニットの電源が入るまで電源ボタンを押し続ける必要があります。

5. 次の一連のステップは、ゼロタッチ展開サービスの助けを借りて自動化されますが、次の前提条件が利用可能であることが必要です。

   • ブランチアプライアンスの電源を入れる必要があります
   • 管理とDNS IPアドレスを割り当てるには、既存のネットワークでDHCPを使用できる必要があります
   • DHCPが割り当てたIPアドレスには、FQDNを解決する機能を備えたインターネットへの接続が必要です
   • 他の前提条件が満たされている限り、IP割り当てを手動で構成できます。

   1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して行われます。

      

   2. アプライアンスがアンダーレイネットワークDHCPサーバーからWeb管理とDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ZTD関連のソフトウェア更新をダウンロードします。

   3. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。

      • SD-WAN Center によって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスへの構成の適用
      • 10 MBの一時ライセンスファイルをダウンロードしてインストールする
      • 必要に応じて、ソフトウェアの更新をダウンロードしてインストールします
      • SD-WANサービスをアクティブ化する

      

   4. SD-WAN Center Web管理インターフェイスでさらに確認することができます。Zero Touch Deploymentメニューには、 アクティベーション履歴タブに正常にアクティベーションされたアプライアンスが表示されます 。

      

   5. MCNはZTD Cloud Serviceから渡された構成を信頼しておらず、MCNダッシュボードに「構成バージョンの不一致」を報告するため、仮想パスは接続状態ですぐに表示されない場合があります。

      

   6. 設定は新しくインストールされた Branch Office アプライアンスに再配信され、[ MCN ] > [ 構成 ] > [ 仮想 WAN ] > [ 変更管理 ] ページでステータスがモニタされます（このプロセスが完了するまでに数分かかる場合があります）。

      

   7. SD-WAN管理者は、リモートサイトの確立された仮想パスのヘッドエンドMCN Web管理ページを監視できます。

      

   8. SD-WAN Center は、[ 設定 ] > [ ネットワーク探索 ] > [ インベントリとステータス ] ページから、オンサイトアプライアンスの DHCP 割り当てられた IP アドレスを識別するためにも使用できます。

      

   9. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用して、オンサイトアプライアンスへのWeb管理アクセスを取得できます。

      

   10. リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスに10 Mbpsの一時的な猶予ライセンスがインストールされていることを示しています。これにより、仮想パスサービスステータスをアクティブとして報告することができます。

       

   11. アプライアンスの構成は、［構成］>［ 仮想WAN ］>［ 構成の表示 ］ページを使用して検証できます。

       

   12. アプライアンスライセンスファイルは、［ 構成 ］>［ アプライアンスの設定 ］>［ライセンス］ページを使用して、永続 ライセン スに更新できます。

       

   13. 永久ライセンスファイルをアップロードしてインストールすると、グレースライセンス警告バナーが消え、ライセンスのインストールプロセス中にリモートサイトへの接続が失われることはありません（pingはドロップされません）。