Zero Touch Deployment (ゼロタッチ展開)

注

Zero Touch Deployment サービスは、一部の Citrix SD-WAN™ アプライアンスでのみサポートされています。

• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (再イメージ化が必要)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (再イメージ化が必要)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
•  SD-WAN 2000 Standard Edition (再イメージ化が必要)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (再イメージ化が必要) -  SD-WAN AWS VPX インスタンス

Zero Touch Deployment (ZTD) サービスは、Citrix® が運用および管理するクラウドサービスであり、Citrix SD-WAN ネットワーク内の新しいアプライアンスの検出を可能にし、ブランチオフィスの展開プロセスを自動化します。ZTD クラウドサービスは、インターネット経由でネットワーク内の任意のノードから、および Secure Socket Layer (SSL) プロトコルを介してアクセスできます。

ZTD クラウドサービスは、Zero Touch 対応デバイス (例: SD-WAN 410-SE、2100-SE) を購入した顧客の識別情報を保存するバックエンドの Citrix Network サービスと安全に通信します。バックエンドサービスは、Zero Touch Deployment リクエストを認証し、顧客アカウントと Citrix SD-WAN アプライアンスのシリアル番号との関連付けを適切に検証するために機能します。

ZTD のハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN 管理者 – SD-WAN 環境の管理者権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Center のネットワーク構成ツールを使用した構成の作成、または Master Control Node (MCN) SD-WAN アプライアンスからの構成のインポート
• Citrix Cloud™ へのログインによる、新しいサイトノード展開のための Zero Touch Deployment サービスの開始

注

SD-WAN Center がプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Center でプロキシサーバー設定を構成する必要があります。詳細については、「Zero Touch Deployment のプロキシサーバー設定」を参照してください。

ネットワーク管理者 – エンタープライズネットワーク管理 (DHCP、DNS、インターネット、ファイアウォールなど) を担当するユーザー

• 必要に応じて、SD-WAN Center から FQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためのファイアウォール構成

リモートサイト

オンサイトインストーラー – 以下の主要な責任を負う、オンサイト作業のための現地担当者または契約インストーラー

• Citrix SD-WAN アプライアンスの物理的な開梱
• ZTD 非対応アプライアンスの再イメージ化
  • 必須: SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要: SD-WAN 410-SE、2100-SE
• アプライアンスへの電源ケーブル接続
• 管理インターフェース (例: MGMT、または 0/1) でのインターネット接続のためのアプライアンスのケーブル接続
• データインターフェース (例: apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 など) での WAN リンク接続のためのアプライアンスのケーブル接続

注

インターフェースのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

Zero Touch Deployment サービスを開始する前に、以下の前提条件が必要です。

• Master Control Node (MCN) に昇格された、アクティブに稼働中の SD-WAN
• Virtual Path を介して MCN に接続された、アクティブに稼働中の SD-WAN Center
• https://onboarding.cloud.com で作成された Citrix Cloud ログイン資格情報 (アカウント作成については以下の手順を参照)
• ポート 443 でインターネットへの管理ネットワーク接続 (SD-WAN Center および SD-WAN アプライアンス)。直接接続またはプロキシサーバー経由のいずれか
• ZTD の初期設定のために SD-WAN Center Web ポータルにアクセスするための、ポート 443 でのインターネット接続
• (オプション) 既存のアンダーレイネットワーク全体でのパス確立の成功を検証するために、MCN への有効な Virtual Path 接続を持つクライアントモードでブランチオフィスで動作する、少なくとも 1 つのアクティブに稼働中の SD-WAN アプライアンス

最後の前提条件は必須ではありませんが、Zero Touch Deployment が新しいサイトの追加で完了したときに、アンダーレイネットワークが Virtual Path の確立を許可していることを SD-WAN 管理者が検証できるようにします。主に、これにより、適切なファイアウォールおよびルートポリシーが、トラフィックを適切に NAT するか、または UDP ポート 4980 がネットワークを正常に通過して MCN に到達できることを確認するために配置されていることを検証します。

Zero Touch Deployment サービスの概要

Zero Touch Deployment サービスは、SD-WAN Center と連携して、ブランチオフィス SD-WAN アプライアンスの展開を容易にします。SD-WAN Center は、SD-WAN Standard および Enterprise (Premium) Edition アプライアンスの中央管理ツールとして構成および使用されます。Zero Touch Deployment サービス (または ZTD クラウドサービス) を利用するには、管理者はまず環境に最初の SD-WAN デバイスを展開し、次に SD-WAN Center を中央管理ポイントとして構成および展開する必要があります。SD-WAN Center (リリース 9.1 以降) がポート 443 でパブリックインターネットに接続されてインストールされると、SD-WAN Center は自動的にクラウドサービスを開始し、Zero Touch Deployment 機能を有効にするために必要なコンポーネントをインストールし、SD-WAN Center の GUI で Zero Touch Deployment オプションを利用できるようにします。Zero Touch Deployment は、SD-WAN Center ソフトウェアではデフォルトで利用できません。これは、管理者が Zero Touch Deployment を含むオンサイト作業を開始する前に、アンダーレイネットワーク上に適切な事前コンポーネントが存在することを確認するために意図的に設計されています。

稼働中の SD-WAN 環境が稼働した後、Zero Touch Deployment サービスへの登録は、Citrix Cloud アカウントログインを作成することによって行われます。SD-WAN Center が ZTD サービスと通信できるようになると、GUI は [Configuration] タブの下に Zero Touch Deployment オプションを表示します。Zero Touch サービスにログインすると、特定の SD-WAN 環境に関連付けられた顧客 ID が認証され、SD-WAN Center が登録されるだけでなく、ZTD アプライアンス展開のさらなる認証のためにアカウントがロック解除されます。

SD-WAN Center のネットワーク構成ツールを使用して、SD-WAN 管理者はテンプレートまたはサイトクローン機能を利用して、新しいサイトを追加するための SD-WAN 構成を構築する必要があります。新しい構成は、SD-WAN Center によって新しく追加されたサイトの ZTD 展開を開始するために使用されます。SD-WAN 管理者が ZTD プロセスを使用して展開するサイトを開始するとき、シリアル番号を事前入力して ZTD に使用するアプライアンスを事前認証し、オンサイトインストーラーにオンサイト作業を開始するための電子メール通信を開始するオプションがあります。

オンサイトインストーラーは、サイトが Zero Touch Deployment の準備ができたことを示す電子メール通信を受け取り、MGMT ポートでの DHCP IP アドレス割り当てとインターネットアクセス用にアプライアンスの電源を入れ、ケーブル接続するインストール手順を開始できます。また、LAN および WAN ポートのケーブル接続も行います。その他のすべては ZTD サービスによって開始され、進行状況はアクティベーション URL を利用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーション URL を開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは不要です。

Zero Touch Deployment クラウドサービスは、以下の操作を自動化します。

ブランチアプライアンスで新機能が利用可能な場合、ZTD エージェントをダウンロードして更新します。

• シリアル番号を検証してブランチアプライアンスを認証
• SD-WAN 管理者が SD-WAN Center を使用して ZTD のサイトを承認したことを認証
• SD-WAN Center からターゲットアプライアンス固有の構成ファイルをプル
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュ
• ブランチアプライアンスへの構成ファイルのインストール
• 不足している SD-WAN ソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュ
• Virtual Path 確立の確認のために一時的な 10 Mbps ライセンスファイルをブランチアプライアンスにプッシュ
• ブランチアプライアンスでの SD-WAN サービスの有効化

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN 管理者によるさらなる手順が必要です。

Zero Touch Deployment サービスの手順

以下の手順では、Zero Touch Deployment サービスを使用して新しいサイトを展開するために必要なステップを詳述します。稼働中の MCN と、SD-WAN Center との適切な通信がすでに機能している 1 つのクライアントノード、およびアンダーレイネットワーク全体での接続を確認する確立された Virtual Path があることを前提とします。ゼロタッチの展開を開始するために、SD-WAN 管理者には以下のステップが求められます。

Zero Touch Deployment サービスの設定方法

SD-WAN Center には、新しく接続されたアプライアンスが SD-WAN エンタープライズネットワークに参加するためのリクエストを受け入れる機能があります。リクエストは、ゼロタッチ展開サービスを介して Web インターフェースに転送されます。アプライアンスがサービスに接続すると、構成およびソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー:

• SD-WAN Center > 新しいサイト構成の作成 へのアクセス、または既存の構成のインポートと保存
• Citrix Workspace™ Cloud へのログインによる ZTD サービスの有効化。Zero Touch Deployment メニューオプションが SD-WAN Center の Web 管理インターフェースに表示されます。
• SD-WAN Center での Configuration > Zero Touch Deployment > Deploy New Site への移動
• アプライアンスの選択、[Enable] のクリック、および [Deploy] のクリック
• インストーラーによるアクティベーションメールの受信 > シリアル番号の入力 > アクティブ化 > アプライアンスの正常な展開

Zero Touch Deployment サービスを構成するには:

1. Zero Touch Deployment 機能を有効にして SD-WAN Center をインストールします。
   1. DHCP 割り当て IP アドレスで SD-WAN Center をインストールします。
   2. SD-WAN Center が、管理ネットワーク全体でパブリックインターネットへの接続を持つ適切な管理 IP アドレスとネットワーク DNS アドレスを割り当てられていることを確認します。

   3. SD-WAN Center を最新の SD-WAN ソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続があれば、SD-WAN Center は Zero Touch Deployment (ZTD) クラウドサービスを開始し、ZTD に固有のファームウェア更新を自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下の Zero Touch Deployment オプションは GUI で利用できません。

      

   5. 利用規約を読み、「上記の利用規約を読み、同意します」を選択します。

   6. Citrix Cloud アカウントがすでに作成されている場合は、「Login to Citrix Workspace Cloud」ボタンをクリックします。

   7. Citrix Cloud アカウントにログインし、ログイン成功の以下のメッセージが表示されたら、このウィンドウを閉じないでください。SD-WAN CENTER GUI が更新されるまでにさらに約 20 秒かかります。 完了すると、ウィンドウは自動的に閉じます。

      

   8. クラウドログインアカウントを作成するには、以下の手順に従います。

      • Web ブラウザで https://onboarding.cloud.com を開きます。

      • 「Wait, I have a Citrix.com account」のリンクをクリックします。

      

      

   9. 既存の Citrix アカウントでサインインします。

   10. SD-WAN Center の Zero Touch Deployment ページにログインすると、以下の理由により ZTD 展開に利用できるサイトがないことに気づく場合があります。

       • [Configuration] ドロップダウンメニューからアクティブな構成が選択されていない
       • 現在のすべてのアクティブな構成のサイトがすでに展開されている
       • 構成が SD-WAN Center ではなく、MCN で利用可能な構成エディターを使用して構築された
       • ゼロタッチ対応アプライアンス (例: 410-SE、2100-SE、Cloud VPX) を参照して構成にサイトが構築されていない

2. SD-WAN Center のネットワーク構成を使用して、ZTD 対応 SD-WAN アプライアンスを備えた新しいリモートサイトを追加するように構成を更新します。

   SD-WAN 構成が SD-WAN Center のネットワーク構成を使用して構築されていない場合は、MCN からアクティブな構成をインポートし、SD-WAN Center を使用して構成の変更を開始します。Zero Touch Deployment 機能の場合、SD-WAN 管理者は SD-WAN Center を使用して構成を構築する必要があります。ゼロタッチ展開のターゲットとなる新しいサイトを追加するには、以下の手順を使用する必要があります。

   まず、新しいサイトの詳細 (つまり、アプライアンスモデル、インターフェースグループの使用状況、仮想 IP アドレス、帯域幅を持つ WAN リンク、およびそれぞれのゲートウェイ) を概説して、SD-WAN アプライアンス展開のための新しいサイトを設計します。

   重要

   モデルとして VPX が選択されているサイトノードもリストに表示される場合がありますが、現在 ZTD サポートは AWS VPX インスタンスでのみ利用可能です。 注

   • Citrix SD-WAN Center に対応する Web ブラウザを使用していることを確認してください。
   • Citrix Workspace ログイン中に Web ブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例であり、SD-WAN アプライアンスは既存の MPLS WAN リンクのパスに物理的に展開され、172.16.30.0/24 ネットワークを介して、既存のバックアップリンクをアクティブ状態にして有効にし、その 2 番目の WAN リンクを異なるサブネット 172.16.31.0/24 上の SD-WAN アプライアンスに直接終端させることで使用されます。

   注

   SD-WAN アプライアンスは、デフォルトで 192.168.100.1/16 のデフォルト IP アドレスを自動的に割り当てます。DHCP がデフォルトで有効になっている場合、ネットワーク内の DHCP サーバーは、デフォルトと重複するサブネット内の 2 番目の IP アドレスをアプライアンスに提供する可能性があります。これにより、アプライアンスが ZTD クラウドサービスに接続できないルーティングの問題が発生する可能性があります。DHCP サーバーを構成して、192.168.0.0/16 の範囲外の IP アドレスを割り当ててください。

   ネットワークでの SD-WAN 製品配置には、さまざまな展開モードがあります。上記の例では、SD-WAN は既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN 管理者は、WAN エッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズを SD-WAN ソリューションに統合するために、SD-WAN をエッジモードまたはゲートウェイモード展開で展開することを選択できます。

   1. SD-WAN Center Web 管理インターフェースを開き、Configuration > Network Configuration ページに移動します。

      

   2. 稼働中の構成がすでに存在することを確認するか、MCN から構成をインポートします。

   3. [Advanced] タブに移動してサイトを作成します。

   4. [Sites] タイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

      

   6. この新しいブランチサイト用に設計されたトポロジから、必要なすべてのフィールドに入力します。

      

   7. 新しいサイトをクローンした後、サイトの Basic Settings に移動し、ゼロタッチサービスをサポートする SD-WAN のモデルが正しく選択されていることを確認します。

      

   8. サイトの SD-WAN モデルは更新できますが、更新されたアプライアンスがクローンに使用されたものとは異なるインターフェースレイアウトを持つ可能性があるため、インターフェースグループを再定義する必要がある場合があることに注意してください。

   9. SD-WAN Center で新しい構成を保存し、「Change Management inbox」オプションへのエクスポートを使用して、Change Management を使用して構成をプッシュします。

   10. Change Management 手順に従って新しい構成を適切にステージングします。これにより、既存の SD-WAN デバイスはゼロタッチ経由で展開される新しいサイトを認識します。ZTD ワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップするには、「Ignore Incomplete」オプションを利用する必要があります。

3. SD-WAN Center の Zero Touch Deployment ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。
   1. Zero Touch Deployment ページの [Deploy New Site] タブで、実行中のネットワーク構成ファイルを選択します。

   2. 実行中の構成ファイルが選択されると、ゼロタッチでサポートされている未展開の SD-WAN デバイスを持つすべてのブランチサイトのリストが表示されます。

      

      

   3. Zero Touch サービス用に構成するブランチサイトを選択し、[Enable] をクリックし、次に [Deploy] をクリックします。

      

   4. [Deploy New Site] ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーの電子メールアドレス、およびその他のメモを提供できます。

      

   注

   • シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイト作業が変更されます。
   • シリアル番号フィールドが入力されている場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーション URL にシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、サイト展開コマンドで生成されたアクティベーション URL にアプライアンスの正しいシリアル番号を入力する責任があります。

   1. [Deploy] ボタンをクリックすると、「The Site configuration has been deployed.」というメッセージが表示されます。

   2. このアクションにより、以前に ZTD クラウドサービスに登録された SD-WAN Center がトリガーされ、この特定のサイトの構成が ZTD クラウドサービスに一時的に保存されます。

   3. [Pending Activation] タブに移動して、ブランチサイト情報が正常に入力され、保留中のインストーラーアクティビティステータスになったことを確認します。

      

   注

   [Pending Activation] 状態のゼロタッチ展開は、情報が正しくない場合にオプションで [Delete] または [Modify] を選択できます。[Pending Activation] ページからサイトが削除されると、[Deploy New Site] タブページで展開可能になります。[Pending Activation] からブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドが SD-WAN 管理者によって入力されなかった場合、[Status] フィールドは「Connecting」ではなく「Waiting for Installer」と表示されます。

4. 次のアクティビティは、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN 管理者がサイトを展開したときに使用した電子メールアドレスのメールボックスを確認します。

      

   2. インターネットブラウザウィンドウでゼロタッチ展開アクティベーション URL を開きます。

   3. SD-WAN 管理者がサイト展開ステップでシリアル番号を事前入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーション URL にシリアル番号を手動で入力し、次に [Activate] ボタンをクリックする責任があります。

      

   4. 管理者がシリアル番号情報を事前入力した場合、アクティベーション URL はすでに次のステップに進んでいます。

      

   5. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。

      • 以前のステップで構築されたトポロジと構成に合わせて、すべての WAN および LAN インターフェースをケーブル接続します。
      • DHCP IP アドレスと、DNS および FQDN から IP アドレス解決へのインターネット接続を提供するネットワークセグメントに、管理インターフェース (MGMT、0/1) をケーブル接続します。
      • SD-WAN アプライアンスに電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があります。他のアプライアンスは、電源スイッチがアプライアンスの背面にある場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次のステップは Zero Touch Deployment サービスによって自動化されますが、以下の前提条件が利用可能である必要があります。
   • ブランチアプライアンスの電源がオンになっていること
   • 既存のネットワークで DHCP が利用可能であり、管理 IP アドレスと DNS IP アドレスを割り当てられること
   • DHCP 割り当て IP アドレスが、FQDN を解決する機能とともにインターネットへの接続を必要とすること
   • 他の前提条件が満たされている限り、IP 割り当ては手動で構成可能であること

   1. アプライアンスはネットワークの DHCP サーバーから IP アドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェースを介して実現されます。

      

   2. アプライアンスがアンダーレイネットワークの DHCP サーバーから Web 管理および DNS IP アドレスを取得すると、アプライアンスは Zero Touch Deployment サービスを開始し、ZTD 関連のソフトウェア更新をダウンロードします。

   3. ZTD クラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。

      • SD-WAN Center によって以前に保存された構成ファイルのダウンロード
      • ローカルアプライアンスへの構成の適用
      • 一時的な 10 MB ライセンスファイルのダウンロードとインストール
      • 必要に応じてソフトウェア更新のダウンロードとインストール
      • SD-WAN サービスの有効化

      

   4. さらなる確認は SD-WAN Center の Web 管理インターフェースで行うことができます。Zero Touch Deployment メニューには、正常にアクティブ化されたアプライアンスが [Activation History] タブに表示されます。

      

   5. MCN が ZTD クラウドサービスから渡された構成を信頼しない可能性があり、MCN ダッシュボードで「Configuration version mismatch」と報告されるため、Virtual Path がすぐに接続状態として表示されない場合があります。

      

   6. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > Configuration > Virtual WAN > Change Management ページで監視されます (このプロセスには数分かかる場合があります)。

      

   7. SD-WAN 管理者は、リモートサイトの確立された Virtual Path について、ヘッドエンド MCN の Web 管理ページを監視できます。

      

   8. SD-WAN Center は、Configuration > Network Discovery > Inventory and Status ページからオンサイトアプライアンスの DHCP 割り当て IP アドレスを識別するためにも利用できます。

      

   9. この時点で、SD-WAN ネットワーク管理者は、SD-WAN オーバーレイネットワークを利用してオンサイトアプライアンスへの Web 管理アクセスを取得できます。

      

   10. リモートサイトアプライアンスへの Web 管理アクセスは、アプライアンスが一時的な 10 Mbps のグレースライセンスでインストールされており、Virtual Path サービスステータスがアクティブとして報告される機能を有効にしていることを示します。

       

   11. アプライアンスの構成は、Configuration > Virtual WAN > View Configuration ページを使用して検証できます。

       

   12. アプライアンスのライセンスファイルは、Configuration > Appliance Settings > Licensing ページを使用して永続的なライセンスに更新できます。

       

   13. 永続的なライセンスファイルをアップロードしてインストールした後、グレースライセンスの警告バナーは消え、ライセンスインストールプロセス中にリモートサイトへの接続損失は発生しません (ping のドロップはゼロです)。