Azure
SD-WANリリース9.3では、ゼロタッチ展開機能がクラウドインスタンスに拡張されました。クラウドインスタンスのゼロタッチ展開プロセスを展開する手順は、ゼロタッチサービスのアプライアンス展開とは若干異なります。
SD-WAN Centerネットワーク構成を使用したZTD対応SD-WANクラウドデバイスによる新しいリモートサイトを追加するための構成の更新
SD-WAN構成がSD-WAN Centerネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。ゼロタッチ展開の対象となる新しいクラウドノードを追加するには、次の手順を使用します。
-
新しいサイトのSD-WANクラウド展開を設計します。まず、新しいサイトの詳細(VPXサイズ、インターフェースグループの使用状況、仮想IPアドレス、帯域幅を持つWANリンク、およびそれぞれのゲートウェイなど)を概説します。
注
-
クラウド展開されたSD-WANインスタンスは、エッジ/ゲートウェイモードで展開する必要があります。
-
クラウドインスタンスのテンプレートは、3つのインターフェース(管理、LAN、WAN)に制限されています(この順序で)。
-
SD-WAN VPXで利用可能なAzureクラウドテンプレートは、現在、WANに
10.9.4.106IP、LANに10.9.3.106IP、管理アドレスに10.9.0.16IPを取得するようにハードセットされています。ゼロタッチの対象となるAzureノードのSD-WAN構成は、このレイアウトと一致している必要があります。 -
構成内のAzureサイト名は、特殊文字を含まないすべて小文字である必要があります(例:
ztdazure)。
これはSD-WANクラウド展開サイトの展開例であり、Citrix SD-WAN™デバイスは、このクラウドネットワークで単一のインターネットWANリンクをサービスするエッジデバイスとして展開されます。リモートサイトは、この同じインターネットゲートウェイに接続する複数の異なるインターネットWANリンクを活用して、SD-WAN展開サイトからクラウドインフラストラクチャへの回復性と集約された帯域幅接続を提供できます。これにより、クラウドへの費用対効果が高く、信頼性の高い接続が提供されます。
-
-
SD-WAN CenterのWeb管理インターフェースを開き、[Configuration] > [Network Configuration] ページに移動します。
-
動作中の構成がすでに存在することを確認するか、MCNから構成をインポートします。
-
新しいサイトを作成するには、[Basic] タブに移動します。
-
[Sites] タイルを開き、現在構成されているサイトを表示します。
-
既存のサイトのクローン機能を利用するか、手動で新しいサイトを構築して、新しいクラウドサイトの構成を迅速に作成します。
-
この新しいクラウドサイト用に以前設計したトポロジから、必要なすべてのフィールドを入力します。
AzureクラウドZTD展開で利用可能なテンプレートは、現在、WANに
10.9.4.106IP、LANに10.9.3.106IP、管理アドレスに10.9.0.16IPを取得するようにハードセットされていることに注意してください。構成が各インターフェースの予期されるVIPアドレスと一致するように設定されていない場合、デバイスはクラウド環境ゲートウェイへのARPを適切に確立できず、MCNのVirtual PathへのIP接続も確立できません。サイト名がAzureの要件に準拠していることが重要です。サイト名はすべて小文字で、少なくとも6文字、特殊文字なしである必要があり、次の正規表現
^[a-z][a-z0-9-]{1,61}[a-z0-9]$に準拠している必要があります。
-
新しいサイトをクローンした後、サイトの[Basic Settings] に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。
-
SD-WAN Centerで新しい構成を保存し、[Change Management inbox] オプションへのエクスポートを使用して、Change Management経由で構成をプッシュします。
-
Change Managementの手順に従って新しい構成を適切にステージングし、既存のSD-WANデバイスにゼロタッチ経由で展開される新しいサイトを認識させます。ZTDワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップするには、
*Ignore Incomplete*オプションを利用する必要があります。
SD-WAN Centerのゼロタッチ展開ページに移動し、新しいアクティブな構成が実行されている状態で、新しいサイトがSD-WAN CenterのAzureプロビジョニングと展開(ステップ1/2)で利用可能になります
-
ゼロタッチ展開ページで、Citrix®アカウントの資格情報を使用してログインします。[Deploy New Site] タブで、実行中のネットワーク構成ファイルを選択します。
-
実行中の構成ファイルが選択されると、ZTD対応のCitrix SD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。
-
ゼロタッチサービスを使用して展開するターゲットクラウドサイトを選択し、[Enable] をクリックしてから [Provision and Deploy] をクリックします。
-
ポップアップウィンドウが表示され、Citrix SD-WAN管理者はゼロタッチの展開を開始できます。サイト名がAzureの要件(特殊文字を含まない小文字)に準拠していることを確認します。アクティベーションURLを配信できるメールアドレスを入力し、目的のクラウドの[Provision Type] としてAzureを選択してから、[Next] をクリックします。
-
[Next] をクリックすると、[Provision and Deploy Azure (step 1 of 2)] ウィンドウで、Azureアカウントから取得した入力が必要になります。
Azureアカウントから情報を取得した後、必要な各フィールドをコピーして貼り付けます。以下の手順では、Azureアカウントから必要なSubscription ID、Application ID、Secret Key、およびTenant IDを取得する方法を概説し、その後 [Next] をクリックして進みます。
-
Azureアカウントで、[More Services] に移動し、[Subscriptions] を選択することで、必要なSubscription IDを特定できます。
-
必要なApplication IDを特定するには、[Azure Active Directory]、[Application registrations] に移動し、[New application registration] をクリックします。
-
アプリ登録作成メニューで、名前とサインオンURL(これは任意のURLで構いませんが、有効である必要があります)を入力し、[Create] をクリックします。
-
新しく作成された[Registered App] を検索して開き、Application IDをメモします。
-
再度、新しく作成された[Registration App] を開き、必要なSecurity Keyを特定するには、[API Access] の下で [Required permissions] を選択し、サードパーティがインスタンスをプロビジョニングできるようにします。次に [Add] を選択します。
-
[Required permissions] を追加する際に、[Select an API] を選択し、[Windows Azure Service Management API] を強調表示します。
-
インスタンスをプロビジョニングするために [Delegate Permissions] を有効にし、[Select] と [Done] をクリックします。
-
この[Registered App] の場合、[API Access] の下で [Keys] を選択し、秘密キーの説明とキーが有効であるための希望の期間を作成します。次に [Save] をクリックすると、秘密キーが生成されます(キーはプロビジョニングプロセスにのみ必要であり、インスタンスが利用可能になった後に削除できます)。
-
秘密キーをコピーして保存します(後で取得できないことに注意してください)。
-
必要なTenant IDを特定するには、[App registration] ペインに戻り、[Endpoints] を選択します。
-
[Federation Metadata Document] をコピーして、Tenant IDを特定します(Tenant IDは、URLの「online.com/」と「/federation」の間にある36文字の文字列です)。
-
最後に必要な項目は、SSH Public Keyです。これはPutty Key Generatorまたはssh-keygenを使用して作成でき、認証に利用され、ログインするためのパスワードの必要性を排除します。SSH公開キーは(
ssh-rsaヘッダーと末尾のrsa-key文字列を含めて)コピーできます。この公開キーは、SD-WAN Centerの入力としてCitrix Zero Touch Deployment Serviceを通じて共有されます。
-
アプリケーションにロールを割り当てるには、追加の手順が必要です。[More Services] に戻り、次に [Subscriptions] に移動します。
-
アクティブなサブスクリプションを選択し、[Access control (AIM)] を選択し、次に [Add] をクリックします。
-
[add permissions] ペインで、「Owner」ロールを選択し、「Azure AD user, group, or application」へのアクセスを割り当て、[Select field] で登録済みアプリを検索して、Zero Touch Deployment Cloud ServiceがAzureサブスクリプションでインスタンスを作成および構成できるようにします。アプリが特定されたら、それを選択し、[Save] をクリックする前に、選択されたメンバーとして表示されていることを確認します。
-
必要な入力を収集し、SD-WAN Centerに入力した後、[Next] をクリックします。入力が正しくない場合、認証エラーが発生します。
-
SD-WAN CenterのAzureプロビジョニングと展開(ステップ2/2)
-
Azure認証が成功したら、適切なフィールドに目的のAzureリージョンと適切なインスタンスサイズを入力し、[Deploy] をクリックします。
-
SD-WAN Centerの[Pending Activation] タブに移動すると、展開の現在のステータスを追跡できます。
-
ステップ1で入力したメールアドレスにアクティベーションコードを含むメールが配信されます。メールを取得し、アクティベーションURLを開いてプロセスをトリガーし、アクティベーションステータスを確認します。
-
ステップ1で入力したメールアドレスにアクティベーションURLを含むメールが配信されます。メールを取得し、アクティベーションURLを開いてプロセスをトリガーし、アクティベーションステータスを確認します。
-
インスタンスがSD-WAN Cloud Serviceによってプロビジョニングされるまで数分かかります。Azureポータルで、自動的に作成された[Resource Group] の[Activity log] でアクティビティを監視できます。プロビジョニングに関する問題やエラーはここに表示され、SD-WAN Centerの[Activation Status] にも複製されます。
-
Azureポータルでは、正常に起動されたインスタンスが[Virtual Machines] の下に表示されます。割り当てられたパブリックIPを取得するには、インスタンスの[Overview] に移動します。
-
VMが実行状態になったら、サービスが構成、ソフトウェア、ライセンスのダウンロードプロセスを開始するまで1分待ちます。
-
SD-WAN Cloud Serviceの各ステップが自動的に完了した後、Azureポータルから取得したパブリックIPを使用してSD-WANインスタンスのWebインターフェースにログインします。
-
Citrix SD-WAN Monitoring Statisticsページは、MCNからAzureのSD-WANインスタンスへの接続が成功したことを示します。
-
さらに、プロビジョニングの成功(または失敗)の試行は、SD-WAN Centerの[Activation History] ページに記録されます。
