ゼロタッチ展開
注
ゼロタッチ展開サービスは、一部のCitrix SD-WANアプライアンスでのみサポートされています。
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 スタンダードエディション
- SD-WAN 1000 Standard Edition(再イメージ化が必要)
- SD-WAN 1000 エンタープライズエディション (プレミアムエディション) (イメージの再作成が必要)
- SD-WAN 1100 Standard Edition
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 スタンダードエディション (イメージの再作成が必要)
- SD-WAN 2000 エンタープライズエディション (プレミアムエディション) (イメージの再作成が必要) — SD-WAN AWS VPX インスタンス
ゼロタッチ展開(ZTD)サービスは、Citrixが運営および管理するクラウドサービスであり、Citrix SD-WANネットワークで新しいアプライアンスを検出し、ブランチオフィスの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由で、Secure Socket Layer(SSL)プロトコルを介してネットワーク内の任意のノードからアクセスできます。
ZTDクラウドサービスは、ゼロタッチ対応デバイス(SD-WAN 410-SE、2100-SEなど)を購入した顧客のIDを格納するバックエンドCitrixネットワークサービスと安全に通信します。ゼロタッチ展開リクエストを認証するためのバックエンドサービスが用意されており、カスタマーアカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けが適切に検証されます。
ZTDの高レベルのアーキテクチャとワークフロー
データセンターサイト
Citrix SD-WAN管理者 – SD-WAN環境の管理者権限を持つユーザー。主な役割は次のとおりです。
- Citrix SD-WAN Center ネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード(MCN)SD-WANアプライアンスからの構成のインポート
- 新しいサイトノードの展開のためにゼロタッチ展開サービスを開始するCitrix Cloudログイン。
注
SD-WAN Centerがプロキシサーバ経由でインターネットに接続されている場合は、SD-WAN Centerでプロキシサーバの設定を構成する必要があります。詳しくは、「ゼロタッチ展開のプロキシサーバー設定」を参照してください。
ネットワーク管理者 –エンタープライズネットワーク管理(DHCP、DNS、インターネット、ファイアウォールなど)を担当するユーザー
- 必要に応じて、 SD-WAN Centerから FQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信用のファイアウォールを構成します。
リモートサイト
オンサイトインストーラー –次の主な責任を持つオンサイト活動のためのローカルの連絡先または雇われたインストーラー:
- Citrix SD-WANアプライアンスを物理的に開梱します。
-
ZTD対応でないアプライアンスのイメージを再作成します。
- 必須:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
- 必要ありません for: SD-WAN 410-SE、2100-SE
- アプライアンスの電源ケーブル。
- 管理インターフェイス(MGMT、0/1 など)でインターネットに接続するためにアプライアンスをケーブルで接続します。
- データインターフェース(例:apA.WAN、apB.WAN、apC.WAN、 0/2, 0/3, 0/5, 等)。
注
インターフェイスのレイアウトはモデルごとに異なります。データと管理ポートの識別については、ドキュメントを参照してください。
ゼロタッチ展開サービスを開始する前に、次の前提条件が必要です。
- マスターコントロールノード(MCN)に昇格したアクティブに実行されているSD-WAN。
- 仮想パスを介してMCNに接続し、SD-WAN Center をアクティブに実行します。
- https://onboarding.cloud.comでCitrix Cloudログイン認証情報が作成されました(アカウント作成については、以下の手順を参照してください)。
- 管理ネットワーク接続(SD-WAN Centerおよび SD-WAN アプライアンス)をポート 443 でインターネットに直接接続するか、プロキシサーバー経由で接続します。
- ZTDの初期設定用のSD-WAN Center Webポータルにアクセスするためのポート443でのインターネット接続。
- (オプション)MCNへの有効な仮想パス接続を使用してクライアントモードでブランチオフィスで動作するアクティブに実行されている少なくとも1つのSD-WANアプライアンス。
最後の前提条件は必須ではありませんが、SD-WAN管理者は、ゼロタッチ展開が新しく追加されたサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを検証できます。主に、これにより、適切なファイアウォールおよびルートポリシーが適切にNATトラフィックに配置されていること、またはUDPポート4980がネットワークを貫通してMCNに到達できることを確認します。
ゼロタッチ展開サービスの概要
Zero Touch Deployment Service は、SD-WAN Centerと連携して機能し、ブランチオフィスの SD-WAN アプライアンスを簡単に導入できます。SD-WAN Center は、SD-WAN StandardおよびEnterprise(Premium)Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス(またはZTDクラウドサービス)を利用するには、管理者は最初のSD-WANデバイスを環境に展開し、次にSD-WAN Center を管理の中心点として構成および展開する必要があります。SD-WAN Center のリリース9.1以降がポート443でパブリックインターネットに接続してインストールされると、SD-WAN Center は自動的にクラウドサービスを開始し、必要なコンポーネントをインストールしてゼロタッチ展開機能のロックを解除し、ゼロタッチを作成します。 SD-WAN Center のGUIで利用可能な展開オプション。SD-WAN Center ソフトウェアでは、ゼロタッチ展開はデフォルトでは使用できません。これは、管理者がゼロタッチ展開を含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上の適切な予備コンポーネントが存在することを確認するために意図的に設計されています。
SD-WAN環境が稼働し始めたら、Citrix Cloudアカウントのログインを作成することにより、ゼロタッチ展開サービスへの登録が完了します。SD-WAN Center がZTDサービスと通信できるため、GUIの[構成]タブにゼロタッチ展開オプションが表示されます。ゼロタッチサービスにログインすると、特定のSD-WAN環境に関連付けられたお客様IDが認証され、SD-WAN Center が登録されます。さらに、ZTDアプライアンスの展開をさらに認証するためにアカウントのロックが解除されます。
SD-WAN Center のネットワーク構成ツールを使用して、SD-WAN管理者はテンプレートまたはクローンサイト機能を利用して、SD-WAN構成を構築し、新しいサイトを追加する必要があります。SD-WAN Center は、新しい構成を使用して、新しく追加されたサイトのZTDの展開を開始します。SD-WAN管理者は、ZTDプロセスを使用して展開用のサイトを開始するときに、シリアル番号を事前に入力し、オンサイトインストーラーへの電子メール通信を開始することにより、ZTDに使用するアプライアンスを事前認証するオプションがありますオンサイト活動を開始します。
オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができているという電子メール通信を受信し、DHCP IPアドレスの割り当てとMGMTポートでのインターネットアクセスのためにアプライアンスの電源を入れてケーブル接続するインストール手順を開始できます。また、LANおよびWANポートのケーブル接続。その他はすべてZTDサービスによって開始され、進捗状況はアクティベーションURLを使用して監視されます。インストールするリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、ワークフローが開始され、指定されたクラウド環境にインスタンスが自動的にインストールされます。ローカルインストーラーによるアクションは必要ありません。
Zero Touch Deployment Cloud Serviceは以下アクションを自動化します :
ブランチアプライアンスで新しい機能を利用できる場合は、ZTDエージェントをダウンロードして更新します。
- シリアル番号を検証して、ブランチアプライアンスを認証します。
- SD-WAN管理者がSD-WAN Center を使用してZTDのサイトを受け入れたことを認証します。
- SD-WAN Centerから、ターゲットアプライアンスに固有の設定ファイルをプルします。
- 対象のアプライアンスに固有の構成ファイルをブランチアプライアンスにプッシュします。
- ブランチアプライアンスに構成ファイルをインストールします。
- 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
- 仮想パスの確立を確認するための一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
- ブランチアプライアンスでSD-WANサービスを有効にします。
SD-WAN管理者がアプライアンスに永久ライセンスファイルをインストールするには、さらに多くの手順が必要です。
ゼロタッチ展開サービスの手順
次の手順では、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳しく説明します。実行中のMCNと1つのクライアントノードが既にSD-WAN Center への適切な通信を行っていること、および確立された仮想パスがアンダーレイネットワーク全体の接続を確認していること。SD-WAN管理者がゼロタッチの展開を開始するには、次の手順が必要です。
ゼロタッチ展開サービスを構成する方法
SD-WAN Centerには、新しく接続されたアプライアンスから SD-WAN エンタープライズネットワークに参加するための要求を受け付ける機能があります。要求は、ゼロタッチ展開サービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成とソフトウェアのアップグレードパッケージがダウンロードされます。
構成ワークフロー:
- [ SD-WAN Center ] > [ 新しいサイト構成の作成 ] または既存の構成をインポートして保存します。
- Citrix Workspace CloudにログインしてZTDサービスを有効にします。ゼロタッチ展開メニューオプションがSD-WAN CenterのWeb管理インターフェースに表示されるようになりました。
- SD-WAN Center で、 設定 > ゼロタッチ展開 > 新しいサイトを展開しますに移動します 。
- アプライアンスを選択し、[有効にする]をクリックして、[ 展開 ]をクリックします。
- インストーラーはアクティベーションメールを受け取ります > シリアル番号を入力してください > 活性化 > アプライアンスは正常に展開されました。
ゼロタッチ展開サービスを構成するには:
- ゼロタッチ展開機能を有効にしてSD-WAN Center をインストールします。
- DHCPが割り当てたIPアドレスを使用してSD-WAN Center をインストールします。
- SD-WAN Center に適切な管理IPアドレスとネットワークDNSアドレスが割り当てられ、管理ネットワークを介してパブリックインターネットに接続できることを確認します。
-
SD-WAN Center を最新のSD-WANソフトウェアリリースバージョンにアップグレードします。
-
適切なインターネット接続により、SD-WAN Center はゼロタッチ展開(ZTD)クラウドサービスを開始し、このコールホーム手順が失敗した場合、ZTDに固有のファームウェアアップデートを自動的にダウンロードしてインストールします。次のゼロタッチ展開オプションは、 GUI。
-
利用規約を読み、「上記の利用規約を読んで同意したことを認めます」 を選択します。
-
Citrix Cloudアカウントがすでに作成されている場合は、「Citrix Workspace Cloudにログイン」ボタンをクリックします。
-
Citrix Cloudアカウントにログインし、ログイン成功の次のメッセージを受け取っ たら、このウィンドウを閉じないでください。プロセスには別のウィンドウが必要です~20 SD-WAN Center GUIを更新するための秒数。完了すると、ウィンドウは自動的に閉じます。**
-
クラウドログインアカウントを作成するには、次の手順に従います。
-
Webブラウザーを開いて、https://onboarding.cloud.comに移動します。
-
「お待ちください、Citrix.comアカウントを持っています。」のリンクをクリックします 。
-
-
既存のCitrixアカウントでサインインします。
-
SD-WAN Center のゼロタッチ展開ページにログインすると、次の理由により、ZTDの展開に使用できるサイトがないことがわかります。
- アクティブな構成が[構成]ドロップダウンメニューから選択されていません
- 現在アクティブな構成のすべてのサイトが既に展開されています
- 構成は SD-WAN Centerを使用して構築されたものではなく、MCN で利用可能な構成エディタを使用して構築されたものでした。
- ゼロタッチ対応のアプライアンス(410-SE、2100-SE、Cloud VPXなど)を参照する構成でサイトが構築されていない
-
SD-WAN Centerネットワーク構成を使用して、 ZTD 対応 SD-WAN アプライアンスを 持つ 新しいリモート サイトを追加するように構成を更新します。
SD-WAN 設定が SD-WAN Centerネットワーク設定を使用して構築されていない場合は、MCN からアクティブな設定をインポートし、SD-WAN Center を使用して設定の変更を開始します。ゼロタッチ展開機能の場合、SD-WAN管理者はSD-WAN Center を使用して構成を構築する必要があります。ゼロタッチ展開を対象とする新しいサイトを追加するには、次の手順を使用する必要があります。
新しいサイトの詳細(つまり、アプライアンスモデル、インターフェイスグループの使用、仮想IPアドレス、帯域幅を備えたWANリンク、およびそれぞれのGateway)を最初に概説することにより、SD-WANアプライアンス展開用の新しいサイトを設計します。
重要
モデルとしてVPXが選択されているサイトノードも一覧表示されますが、現在、ZTDサポートはAWS VPXインスタンスでのみ使用できます。 注
- Citrix SD-WAN CenterのサポートWebブラウザを使用していることを確認します
- Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください
これは、ブランチオフィスサイトの配置例です。SD-WANアプライアンスは、既存のMPLS WANリンクのパスに物理的に配置されます。 172.16.30.0/24 ネットワーク、および既存のバックアップリンクを使用してアクティブ状態にし、その2番目のWANリンクを別のサブネット 172.16.31.0/24上のSD-WANアプライアンスに直接終端する。
注
SD-WANアプライアンスは、デフォルトのIPアドレス192.168.100.1/16を自動的に割り当てます。DHCPがデフォルトで有効になっていると、ネットワーク内のDHCPサーバーが、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供する場合があります。これにより、アプライアンスでルーティングの問題が発生し、アプライアンスがZTDクラウドサービスへの接続に失敗する可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てます。
ネットワーク内のSD-WAN製品の配置には、さまざまな展開モードを使用できます。上記の例では、SD-WANが既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者は、SD-WANをEdgeモードまたはGatewayモードで展開することを選択できます。これにより、WANエッジルーターとファイアウォールの必要がなくなり、エッジルーティングとファイアウォールのネットワークニーズがSD-WANソリューションに統合されます。 。
-
SD-WAN Center のWeb管理インターフェイスを開き、構成 > ネットワーク設定 ページに移動します。
-
動作中の構成がすでに配置されていることを確認するか、MCN から構成をインポートします。
-
[詳細]タブに移動して、サイトを作成します。
-
[サイト]タイルを開いて、現在構成されているサイトを表示します。
-
既存のサイトのクローン機能を利用して、新しいサイトの構成をすばやく構築しました。
-
この新しいブランチサイト用に設計されたトポロジからすべての必須フィールドを入力します。
-
新しいサイトのクローンを作成した後、サイトの [基本設定]に移動し、ゼロタッチサービスをサポートするSD-WANのモデルが正しく選択されていることを確認します。
-
サイトのSD-WANモデルは更新できますが、更新されたアプライアンスには、クローン作成に使用されたものと同じ新しいインターフェイスレイアウトがあるため、インターフェイスグループを再定義する必要がある場合があることに注意してください。
-
SD-WAN Center に新しい構成を保存し、「変更管理の受信トレイ」オプションへのエクスポートを使用して、 変更管理を使用して構成をプッシュします。
-
変更管理手順に従って、新しい構成を適切にステージングします。これにより、既存のSD-WANデバイスは、ゼロタッチで展開される新しいサイトを認識します。構成をプッシュしようとする試みをスキップするには、「不完全を無視」オプションを使用する必要があります。 ZTDワークフローを通過する必要がある新しいサイト。
-
SD-WAN Center のゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトを展開できます。
-
[ゼロタッチ展開]ページの[ 新しいサイト の展開 ]タブで、実行中のネットワーク構成ファイルを選択します
-
実行構成ファイルを選択すると、ゼロタッチがサポートされている未展開のSD-WANデバイスを含むすべてのブランチサイトのリストが表示されます
-
ゼロタッチサービス用に構成するブランチサイトを選択し、[ 有効にする]、[ 展開]の順にクリックします。
-
Deploy New Siteポップアップウィンドウが表示されます。管理者は、必要に応じて、シリアル番号、ブランチサイトのストリートアドレス、インストーラの電子メールアドレス、その他のメモを提供できます。
注
- シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトのアクティビティが変更されます。
- シリアル番号フィールドが入力されている場合–インストーラーは、サイトのデプロイコマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません
- シリアル番号フィールドが黒のままの場合–インストーラーは、アプライアンスの正しいシリアル番号を、サイト展開コマンドで生成されたアクティベーションURLに入力する必要があります。
-
[ 展開 ]ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。
-
このアクションにより、以前にZTDクラウドサービスに登録されたSD-WAN Center がトリガーされ、この特定のサイトの構成を共有して、一時的にZTDクラウドサービスに保存されます。
-
[保留中のアクティブ化]タブに移動して、ブランチサイト情報が正常に入力され、インストーラーアクティビティが保留中の状態になったことを確認します。
注
情報が正しくない場合、「アクティブ化保留中」状態のゼロタッチ展開を選択して削除または変更できます。保留中のアクティブ化ページからサイトが削除されると、そのサイトは[新しいサイトのデプロイ]タブページでデプロイできるようになります。アクティベーションの保留からブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。
シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーの待機中」を示します。
-
-
次の一連のアクティビティは、オンサイトインストーラーによって実行されます。
-
インストーラーは、SD-WAN管理者がサイトの展開時に使用した電子メールアドレスのメールボックスを確認します。
-
インターネットブラウザーウィンドウでゼロタッチ展開アクティベーションURLを開きます。
-
SD-WAN管理者がデプロイサイトの手順でシリアル番号を事前に入力しなかった場合、インストーラーが物理アプライアンス上のシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、[ アクティベート ]ボタンをクリックします。
-
管理者がシリアル番号情報を事前に入力している場合、アクティベーションURLは次のステップに進んでいます。
-
次のアクションを実行するには、設置者が現場にいる必要があります。
- 前の手順で構築したトポロジと構成に一致するように、すべてのWANおよびLANインターフェイスをケーブルで接続します。
- 管理インターフェース(MGMT、 0/1) DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決によりインターネットへの接続を提供するネットワークのセグメント内。
- SD-WANアプライアンスの電源ケーブル。
- アプライアンスの電源スイッチをオンにします。
注
ほとんどのアプライアンスは、電源ケーブルを接続すると自動的に電源が入ります。アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要があるアプライアンスもあれば、アプライアンスの背面にある電源スイッチを搭載しているアプライアンスもあります。一部の電源スイッチでは、ユニットの電源が入るまで電源ボタンを押し続ける必要があります。
-
-
次の一連のステップは、ゼロタッチ展開サービスの助けを借りて自動化されますが、次の前提条件が利用可能であることが必要です。
- ブランチアプライアンスの電源を入れる必要があります
- 管理とDNS IPアドレスを割り当てるには、既存のネットワークでDHCPを使用できる必要があります
- DHCPが割り当てたIPアドレスには、FQDNを解決する機能を備えたインターネットへの接続が必要です
- 他の前提条件が満たされている限り、IP割り当てを手動で構成できます。
-
アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して行われます。
-
アプライアンスがアンダーレイネットワークDHCPサーバーからWeb管理とDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ZTD関連のソフトウェア更新をダウンロードします。
-
ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。
- SD-WAN Center によって以前に保存された構成ファイルをダウンロードします。
- ローカルアプライアンスへの構成の適用
- 10 MBの一時ライセンスファイルをダウンロードしてインストールする
- 必要に応じて、ソフトウェアの更新をダウンロードしてインストールします
- SD-WANサービスをアクティブ化する
-
SD-WAN Center のWeb管理インターフェイスでさらに確認を行うことができます。ゼロタッチ展開メニューの[ アクティベーション履歴 ]タブに、正常にアクティベートされたアプライアンスが表示されます。
-
MCNはZTD Cloud Serviceから渡された構成を信頼しておらず、MCNダッシュボードに「構成バージョンの不一致」を報告するため、仮想パスは接続状態ですぐに表示されない場合があります。
-
構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > 構成 > 仮想WAN > 変更管理 ページ(このプロセスは完了するまでに数分かかる場合があります)で監視されます。
-
SD-WAN管理者は、リモートサイトの確立された仮想パスのヘッドエンドMCN Web管理ページを監視できます。
-
SD-WAN Centerを使用して、[ 構成 ] > [ ネットワーク検出 ] > [ インベントリとステータス ] ページから、オンサイトアプライアンスの DHCP 割り当てられた IP アドレスを識別することもできます。
-
この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用して、オンサイトアプライアンスへのWeb管理アクセスを取得できます。
-
リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスに10 Mbpsの一時的な猶予ライセンスがインストールされていることを示しています。これにより、仮想パスサービスステータスをアクティブとして報告することができます。
-
アプライアンスの構成は、 構成 > 仮想WAN > 「構成の 表示」ページを使用して検証できます。
-
アプライアンスライセンスファイルは、 構成 > アプライアンスの設定 > ライセンス ページを使用して永久ライセンスに更新できます。
-
永久ライセンスファイルをアップロードしてインストールすると、グレースライセンス警告バナーが消え、ライセンスのインストールプロセス中にリモートサイトへの接続が失われることはありません(pingはドロップされません)。