Zero Touch Deployment

注記

Zero Touch Deploymentサービスは、特定のCitrix SD-WAN™アプライアンスでのみサポートされています。

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition（再イメージ化が必要）
• SD-WAN 1000 Enterprise Edition (Premium Edition)（再イメージ化が必要）
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition（再イメージ化が必要）
• SD-WAN 2000 Enterprise Edition (Premium Edition)（再イメージ化が必要）
• SD-WAN AWS VPXインスタンス

Zero Touch Deployment（ZTD）サービスは、Citrix®が運用・管理するクラウドサービスであり、Citrix SD-WANネットワーク内の新しいアプライアンスを検出し、ブランチオフィスへの展開プロセスを自動化します。ZTDクラウドサービスは、インターネット経由でネットワーク内の任意のノードから、Secure Socket Layer（SSL）プロトコルを介してアクセスできます。

ZTDクラウドサービスは、Zero Touch対応デバイス（例：SD-WAN 410-SE、2100-SE）を購入した顧客の識別情報を保存するバックエンドのCitrixネットワークサービスと安全に通信します。バックエンドサービスは、Zero Touch Deploymentリクエストを認証し、顧客アカウントとCitrix SD-WANアプライアンスのシリアル番号との関連付けを適切に検証するために機能します。

ZTDのハイレベルアーキテクチャとワークフロー

データセンターサイト

Citrix SD-WAN管理者 – SD-WAN環境の管理権限を持つユーザーで、以下の主要な責任を負います。

• Citrix SD-WAN Centerのネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード（MCN）SD-WANアプライアンスからの構成のインポート
• 新しいサイトノードの展開のためにZero Touch Deploymentサービスを開始するためのCitrix Cloud™へのログイン

注記

SD-WAN Centerがプロキシサーバー経由でインターネットに接続されている場合、SD-WAN Centerでプロキシサーバー設定を構成する必要があります。詳細については、「Zero Touch Deploymentのプロキシサーバー設定」を参照してください。

ネットワーク管理者 – エンタープライズネットワーク管理（DHCP、DNS、インターネット、ファイアウォールなど）を担当するユーザー

• 必要に応じて、SD-WAN CenterからFQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信のためにファイアウォールを構成します。

リモートサイト

オンサイトインストーラー – オンサイト作業を行う現地の担当者または契約インストーラーで、以下の主要な責任を負います。

• Citrix SD-WANアプライアンスを物理的に開梱します。

• ZTD非対応アプライアンスを再イメージ化します。

  • 必須：SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
  • 不要：SD-WAN 410-SE、2100-SE
• アプライアンスに電源ケーブルを接続します。
• 管理インターフェース（例：MGMT、または0/1）でインターネット接続のためにアプライアンスにケーブルを接続します。
• データインターフェース（例：apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5など）でWANリンク接続のためにアプライアンスにケーブルを接続します。

注記

インターフェースのレイアウトはモデルごとに異なるため、データポートと管理ポートの識別についてはドキュメントを参照してください。

Zero Touch Deploymentサービスを開始する前に、以下の前提条件が必要です。

• MCN（Master Control Node）に昇格されたSD-WANがアクティブに稼働していること。
• 仮想パスを介してMCNに接続されたSD-WAN Centerがアクティブに稼働していること。
• https://onboarding.cloud.com で作成されたCitrix Cloudログイン資格情報（アカウント作成については以下の手順を参照）。
• 管理ネットワーク接続（SD-WAN CenterおよびSD-WANアプライアンス）が、直接またはプロキシサーバー経由でポート443でインターネットに接続されていること。
• ZTDの初期設定のために、ポート443でSD-WAN Centerウェブポータルにアクセスするためのインターネット接続があること。
• （オプション）MCNへの有効な仮想パス接続を持つクライアントモードでブランチオフィスで動作しているSD-WANアプライアンスが少なくとも1つアクティブに稼働しており、既存のアンダーレイネットワーク全体でパスが正常に確立されていることを検証するのに役立つこと。

最後の前提条件は必須ではありませんが、SD-WAN管理者が、Zero Touch Deploymentが新しいサイトで完了したときに、アンダーレイネットワークが仮想パスの確立を許可することを確認できます。主に、これは適切なファイアウォールとルートポリシーが、トラフィックを適切にNATするか、UDPポート4980がネットワークを正常に通過してMCNに到達できることを確認するために配置されていることを検証します。

Zero Touch Deploymentサービス概要

Zero Touch Deploymentサービスは、SD-WAN Centerと連携して、ブランチオフィスSD-WANアプライアンスの展開を容易にします。SD-WAN Centerは、SD-WAN StandardおよびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。Zero Touch Deploymentサービス（またはZTDクラウドサービス）を利用するには、管理者はまず環境に最初のSD-WANデバイスを展開し、次にSD-WAN Centerを中央管理ポイントとして構成および展開する必要があります。SD-WAN Center（リリース9.1以降）がポート443でパブリックインターネットに接続されてインストールされると、SD-WAN Centerは自動的にクラウドサービスを開始し、Zero Touch Deployment機能を有効にするために必要なコンポーネントをインストールし、SD-WAN CenterのGUIでZero Touch Deploymentオプションを利用可能にします。Zero Touch Deploymentは、SD-WAN Centerソフトウェアではデフォルトで利用できません。これは、管理者がZero Touch Deploymentを含むオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な予備コンポーネントが存在することを確認するために意図的に設計されています。

稼働中のSD-WAN環境が稼働し、Zero Touch Deploymentサービスへの登録が完了すると、Citrix Cloudアカウントログインを作成します。SD-WAN CenterがZTDサービスと通信できるようになると、GUIの [構成] タブの下にZero Touch Deploymentオプションが表示されます。Zero Touchサービスにログインすると、特定のSD-WAN環境に関連付けられた顧客IDが認証され、SD-WAN Centerが登録されるだけでなく、ZTDアプライアンスの展開のさらなる認証のためにアカウントがロック解除されます。

SD-WAN Centerのネットワーク構成ツールを使用して、SD-WAN管理者は、新しいサイトを追加するためにSD-WAN構成を構築するために、テンプレートまたはサイトクローン機能を利用する必要があります。新しい構成は、SD-WAN Centerによって新しいサイトのZTDの展開を開始するために使用されます。SD-WAN管理者がZTDプロセスを使用して展開するサイトを開始すると、シリアル番号を事前入力し、オンサイトインストーラーにオンサイトアクティビティを開始するための電子メール通信を開始することで、ZTDに使用するアプライアンスを事前認証するオプションがあります。

オンサイトインストーラーは、サイトがZero Touch Deploymentの準備ができたことを示す電子メール通信を受け取り、アプライアンスの電源を入れ、DHCP IPアドレス割り当てとMGMTポートでのインターネットアクセス用にケーブルを接続するインストール手順を開始できます。また、LANおよびWANポートもケーブル接続します。その他すべてはZTDサービスによって開始され、進行状況はアクティベーションURLを使用して監視されます。インストールされるリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、指定されたクラウド環境にインスタンスを自動的にインストールするワークフローが開始され、ローカルインストーラーによるアクションは不要です。

Zero Touch Deploymentクラウドサービスは、以下の操作を自動化します。

ブランチアプライアンスで新しい機能が利用可能な場合、ZTDエージェントをダウンロードして更新します。

• シリアル番号を検証してブランチアプライアンスを認証します。
• SD-WAN管理者がSD-WAN Centerを使用してZTDのサイトを受け入れたことを認証します。
• SD-WAN Centerからターゲットアプライアンス固有の構成ファイルをプルします。
• ターゲットアプライアンス固有の構成ファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスに構成ファイルをインストールします。
• 不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
• 仮想パス確立の確認のために、一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
• ブランチアプライアンスでSD-WANサービスを有効にします。

アプライアンスに永続的なライセンスファイルをインストールするには、SD-WAN管理者によるさらなる手順が必要です。

Zero Touch Deploymentサービス手順

以下の手順では、Zero Touch Deploymentサービスを使用して新しいサイトを展開するために必要な手順を詳述します。MCNが稼働しており、1つのクライアントノードがSD-WAN Centerと適切に通信し、アンダーレイネットワーク全体で接続を確認する仮想パスが確立されていることを前提とします。Zero Touchの展開を開始するためにSD-WAN管理者に必要な手順は以下のとおりです。

Zero Touch Deploymentサービスの設定方法

SD-WAN Centerには、新しく接続されたアプライアンスからのSD-WANエンタープライズネットワークへの参加要求を受け入れる機能があります。この要求は、Zero Touch Deploymentサービスを介してウェブインターフェースに転送されます。アプライアンスがサービスに接続すると、構成ファイルとソフトウェアアップグレードパッケージがダウンロードされます。

構成ワークフロー：

• SD-WAN Center > 新しいサイト構成の作成 にアクセスするか、既存の構成をインポートして保存します。
• Citrix Workspace™ CloudにログインしてZTDサービスを有効にします。Zero Touch DeploymentメニューオプションがSD-WAN Centerのウェブ管理インターフェースに表示されます。
• SD-WAN Centerで、構成 > Zero Touch Deployment > 新しいサイトの展開 に移動します。
• アプライアンスを選択し、[有効にする] をクリックし、[展開] をクリックします。
• インストーラーがアクティベーションメールを受信 > シリアル番号を入力 > [アクティベート] > アプライアンスが正常に展開されます。

Zero Touch Deploymentサービスを構成するには：

1. Zero Touch Deployment機能が有効なSD-WAN Centerをインストールします。
   1. DHCP割り当てIPアドレスでSD-WAN Centerをインストールします。
   2. SD-WAN Centerが適切な管理IPアドレスとネットワークDNSアドレスを割り当てられ、管理ネットワークを介してパブリックインターネットに接続されていることを確認します。

   3. SD-WAN Centerを最新のSD-WANソフトウェアリリースバージョンにアップグレードします。

   4. 適切なインターネット接続があれば、SD-WAN CenterはZero Touch Deployment（ZTD）クラウドサービスを開始し、ZTD固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホーム手順が失敗した場合、以下のZero Touch DeploymentオプションはGUIで利用できません。

      

   5. 利用規約を読み、「上記の利用規約を読み、同意することを認めます」を選択します。

   6. Citrix Cloudアカウントがすでに作成されている場合は、「Login to Citrix Workspace Cloud」ボタンをクリックします。

   7. Citrix Cloudアカウントにログインし、ログイン成功のメッセージが表示されたら、このウィンドウを閉じないでください。SD-WAN Center GUIが更新されるまでにさらに約20秒かかります。 完了するとウィンドウは自動的に閉じます。

      

   8. Cloud Loginアカウントを作成するには、以下の手順に従います。

      • ウェブブラウザで https://onboarding.cloud.com を開きます。

      • 「Wait, I have a Citrix.com account」のリンクをクリックします。

      

      

   9. 既存のCitrixアカウントでサインインします。

   10. SD-WAN CenterのZero Touch Deploymentページにログインすると、以下の理由によりZTD展開に利用できるサイトがないことに気づく場合があります。

       • [構成] ドロップダウンメニューからアクティブな構成が選択されていない
       • 現在のすべてのアクティブな構成のサイトがすでに展開されている
       • 構成がSD-WAN Centerではなく、MCNで利用可能な構成エディターを使用して構築された
       • Zero Touch対応アプライアンス（例：410-SE、2100-SE、Cloud VPX）を参照してサイトが構成に構築されていない

2. SD-WAN Centerネットワーク構成を使用して、ZTD対応SD-WANアプライアンス を備えた新しいリモートサイトを追加するように構成を更新します。

   SD-WAN構成がSD-WAN Centerネットワーク構成を使用して構築されていない場合は、MCNからアクティブな構成をインポートし、SD-WAN Centerを使用して構成の変更を開始します。Zero Touch Deployment機能を利用するには、SD-WAN管理者はSD-WAN Centerを使用して構成を構築する必要があります。Zero Touch Deploymentをターゲットとする新しいサイトを追加するには、以下の手順を使用する必要があります。

   まず、新しいサイトの詳細（アプライアンスモデル、インターフェースグループの使用、仮想IPアドレス、帯域幅とそれぞれのゲートウェイを持つWANリンクなど）を概説して、SD-WANアプライアンス展開用の新しいサイトを設計します。

   重要

   モデルとしてVPXが選択されているサイトノードもリストに表示される場合がありますが、現在ZTDサポートはAWS VPXインスタンスでのみ利用可能です。 注記

   • Citrix SD-WAN Centerにはサポートされているウェブブラウザを使用していることを確認してください。
   • Citrix Workspaceログイン中にウェブブラウザがポップアップウィンドウをブロックしていないことを確認してください。

   

   これはブランチオフィスサイトの展開例であり、SD-WANアプライアンスは既存のMPLS WANリンクのパスに物理的に展開され、172.16.30.0/24ネットワークを介して、既存のバックアップリンクをアクティブ状態にして、その2番目のWANリンクを別のサブネット172.16.31.0/24でSD-WANアプライアンスに直接終端させます。

   注記

   SD-WANアプライアンスは、デフォルトで192.168.100.1/16のIPアドレスを自動的に割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバーは、デフォルトと重複するサブネットでアプライアンスに2番目のIPアドレスを提供する可能性があります。これにより、アプライアンスがZTDクラウドサービスに接続できないルーティングの問題が発生する可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てるようにしてください。

   SD-WAN製品をネットワークに配置するためのさまざまな展開モードがあります。上記の例では、SD-WANは既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN管理者はSD-WANをエッジモードまたはゲートウェイモードで展開することを選択でき、WANエッジルーターとファイアウォールの必要性を排除し、エッジルーティングとファイアウォールのネットワークニーズをSD-WANソリューションに統合できます。

   1. SD-WAN Centerウェブ管理インターフェース を開き、構成 > ネットワーク構成 ページに移動します。

      

   2. 稼働中の構成がすでに存在することを確認するか、MCNから構成をインポートします。

   3. [詳細設定] タブに移動してサイトを作成します。

   4. [サイト] タイルを開いて、現在構成されているサイトを表示します。

   5. 既存のサイトのクローン機能を利用して、新しいサイトの構成を迅速に構築します。

      

   6. この新しいブランチサイト用に設計されたトポロジーから、必要なすべてのフィールドに入力します。

      

   7. 新しいサイトをクローンした後、サイトの 基本設定 に移動し、Zero TouchサービスをサポートするSD-WANモデルが正しく選択されていることを確認します。

      

   8. サイトのSD-WANモデルは更新できますが、更新されたアプライアンスがクローンに使用されたものとは異なるインターフェースレイアウトを持つ可能性があるため、インターフェースグループを再定義する必要がある場合があることに注意してください。

   9. SD-WAN Centerに新しい構成を保存し、「変更管理受信トレイ」へのエクスポートオプションを使用して、変更管理を介して構成をプッシュします。

   10. 変更管理手順に従って新しい構成を適切にステージングし、既存のSD-WANデバイスにZero Touchを介して展開される新しいサイトを認識させます。ZTDワークフローをまだ通過する必要がある新しいサイトへの構成のプッシュをスキップするには、「不完全なものを無視」オプションを利用する必要があります。

3. SD-WAN CenterのZero Touch Deploymentページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトが展開可能になります。

   1. Zero Touch Deploymentページの [新しいサイトの展開] タブで、実行中のネットワーク構成ファイルを選択します。

   2. 実行中の構成ファイルが選択されると、Zero Touchでサポートされている、展開されていないSD-WANデバイスを持つすべてのブランチサイトのリストが表示されます。

      

      

   3. Zero Touchサービス用に構成するブランチサイトを選択し、[有効にする] をクリックしてから [展開] をクリックします。

      

   4. [新しいサイトの展開] ポップアップウィンドウが表示され、管理者は必要に応じてシリアル番号、ブランチサイトの住所、インストーラーの電子メールアドレス、およびその他のメモを提供できます。

      

   注記

   シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトアクティビティが変更されます。

   • シリアル番号フィールドが入力されている場合 – インストーラーは、展開サイトコマンドで生成されたアクティベーションURLにシリアル番号を入力する必要はありません。
   • シリアル番号フィールドが空白の場合 – インストーラーは、展開サイトコマンドで生成されたアクティベーションURLにアプライアンスの正しいシリアル番号を入力する責任があります。

   1. [展開] ボタンをクリックすると、「サイト構成が展開されました」というメッセージが表示されます。

   2. このアクションにより、以前ZTDクラウドサービスに登録されたSD-WAN Centerがトリガーされ、この特定のサイトの構成がZTDクラウドサービスに一時的に保存されます。

   3. [保留中のアクティベーション] タブに移動して、ブランチサイト情報が正常に入力され、保留中のインストーラーアクティビティステータスになったことを確認します。

      

   注記

   保留中のアクティベーション状態のZero Touch Deploymentは、情報が正しくない場合にオプションで削除または変更できます。保留中のアクティベーションページからサイトが削除されると、[新しいサイトの展開] タブページで展開できるようになります。保留中のアクティベーションからブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。

   シリアル番号フィールドがSD-WAN管理者によって入力されなかった場合、ステータスフィールドは「接続中」ではなく「インストーラーを待機中」と表示されます。

4. 次のアクティビティは、オンサイトインストーラーによって実行されます。

   1. インストーラーは、SD-WAN管理者がサイトを展開したときに使用した電子メールアドレスのメールボックスを確認します。

      

   2. Zero Touch DeploymentアクティベーションURLをインターネットブラウザウィンドウで開きます。

   3. SD-WAN管理者が展開サイトの手順でシリアル番号を事前入力しなかった場合、インストーラーは物理アプライアンスでシリアル番号を見つけ、アクティベーションURLに手動でシリアル番号を入力し、[アクティベート] ボタンをクリックする責任があります。

      

   4. 管理者がシリアル番号情報を事前入力した場合、アクティベーションURLはすでに次のステップに進んでいます。

      

   5. インストーラーは、以下の操作を実行するために物理的にオンサイトにいる必要があります。

      • すべてのWANおよびLANインターフェースを、以前の手順で構築されたトポロジーと構成に一致するようにケーブル接続します。
      • 管理インターフェース（MGMT、0/1）を、DHCP IPアドレスと、DNSおよびFQDNからIPアドレス解決へのインターネット接続を提供するネットワークセグメントにケーブル接続します。
      • SD-WANアプライアンスに電源ケーブルを接続します。
      • アプライアンスの電源スイッチをオンにします。

   注記

   ほとんどのアプライアンスは、電源ケーブルが接続されると自動的に電源がオンになります。一部のアプライアンスは、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合があります。他のアプライアンスは、アプライアンスの背面にある電源スイッチを持つ場合があります。一部の電源スイッチは、ユニットの電源がオンになるまで電源ボタンを押し続ける必要があります。

5. 次のステップはZero Touch Deploymentサービスによって自動化されますが、以下の前提条件が利用可能である必要があります。

   • ブランチアプライアンスの電源がオンになっていること
   • 既存のネットワークでDHCPが利用可能であり、管理IPアドレスとDNS IPアドレスを割り当てられること
   • DHCP割り当てIPアドレスは、FQDNを解決する機能を持つインターネットへの接続が必要であること
   • IP割り当ては手動で構成することもできますが、他の前提条件が満たされている必要があります。

   1. アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジーでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェースを介して実現されます。

      

   2. アプライアンスがアンダーレイネットワークDHCPサーバーからウェブ管理およびDNS IPアドレスを取得すると、アプライアンスはZero Touch Deploymentサービスを開始し、ZTD関連のソフトウェアアップデートをダウンロードします。

   3. ZTDクラウドサービスへの接続が成功すると、展開プロセスは自動的に以下を実行します。

      • SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
      • ローカルアプライアンスに構成を適用します。
      • 一時的な10 MBライセンスファイルをダウンロードしてインストールします。
      • 必要に応じてソフトウェアアップデートをダウンロードしてインストールします。
      • SD-WANサービスをアクティベートします。

      

   4. SD-WAN Centerウェブ管理インターフェースでさらに確認できます。Zero Touch Deploymentメニューの [アクティベーション履歴] タブに、正常にアクティベートされたアプライアンスが表示されます。

      

   5. MCNがZTDクラウドサービスから渡された構成を信頼せず、MCNダッシュボードで「構成バージョン不一致」を報告するため、仮想パスがすぐに接続状態にならない場合があります。

      

   6. 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、ステータスは MCN > 構成 > 仮想WAN > 変更管理 ページで監視されます（このプロセスには数分かかる場合があります）。

      

   7. SD-WAN管理者は、リモートサイトの確立された仮想パスについて、ヘッドエンドMCNウェブ管理ページを監視できます。

      

   8. SD-WAN Centerは、構成 > ネットワーク検出 > インベントリとステータス ページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを特定するためにも利用できます。

      

   9. この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用してオンサイトアプライアンスへのウェブ管理アクセスを取得できます。

      

   10. リモートサイトアプライアンスへのウェブ管理アクセスは、アプライアンスが10 Mbpsの一時的なグレースライセンスでインストールされており、仮想パスサービスステータスがアクティブとして報告されることを可能にすることを示します。

       

   11. アプライアンスの構成は、構成 > 仮想WAN > 構成の表示 ページを使用して検証できます。

       

   12. アプライアンスのライセンスファイルは、構成 > アプライアンス設定 > ライセンス ページを使用して永続ライセンスに更新できます。

       

   13. 永続ライセンスファイルをアップロードしてインストールした後、グレースライセンスの警告バナーは消え、ライセンスインストールプロセス中にリモートサイトへの接続が失われることはありません（パケットロスはゼロです）。