Citrix SD-WAN Orchestrator

Citrix CloudおよびGateway サービスの最適化

Citrix CloudおよびGateway Serviceの最適化機能の強化により 、Citrix Cloud and Gateway Service宛のトラフィックを検出してルーティングできます。トラフィックをインターネットに直接分割するか、仮想パス経由でバックホールルート経由でトラフィックを送信するポリシーを作成できます。この機能がない場合、デフォルトルートが仮想パスの場合、ゲートウェイサービスはお客様のデータセンターにヘアピンバックし、インターネットに不要な遅延を追加します。さらに、Citrix Gateway サービスとCitrix Cloud トラフィックを可視化し、仮想パスよりも優先するQoSポリシーを作成できるようになりました。

Citrix Cloud およびゲートウェイサービスのブレークアウト機能は 、Citrix SD-WANソフトウェアバージョン11.2.1以降ではデフォルトで有効になっています。

11.3.0より前のCitrix SD-WANソフトウェアバージョンでは、Citrix Cloud およびGateway Serviceのブレークアウト機能が無効になっていない場合にのみ、Citrix Cloud およびGateway Serviceトラフィックの最初のパケット検出と分類が実行されます

Citrix SD-WANソフトウェアバージョン11.3.0以降では、Citrix Cloud およびGateway Serviceのブレークアウト機能が有効になっているかどうかに関係なく、Citrix Cloud およびGateway Serviceトラフィックの最初のパケット検出と分類が実行されます

  • Citrix Cloud およびゲートウェイサービスの最適化は、Citrix SD-WAN Orchestrator サービスを介してのみ構成できます。

  • Citrix SD-WAN Orchestrator トラフィック最適化は 、Citrix SD-WAN ソフトウェアバージョン 11.2.3 以降から導入されています。目標は、より詳細な分類を提供し、Citrix CloudからのCitrix SD-WAN Orchestratorトラフィックおよびその他の依存サービスのトラフィックを個別に識別し、インターネットブレークアウトオプションを提供することです。その結果、お客様は Citrix SD-WAN Orchestrator トラフィックのみを最適化することを選択できるようになりました。

Citrix Cloud 」チェックボックスを選択すると、「 Citrix SD-WAN Orchestrator と依存する重要なサービス 」チェックボックスがあらかじめ選択されます。これにより、すべてのCitrix Cloud Web UIおよびAPIトラフィック(Orchestratorおよび依存サービスのトラフィックを含む)がファイアウォールで許可され、インターネットが中断されます。

また、 Citrix SD-WAN Orchestrator と依存する重要なサービスのチェックボックスのみを選択し 、他のトラフィックを無効にして、Orchestrator 関連のトラフィックだけにファイアウォールをバイパスする権限をシームレスに付与することもできます。

Citrix SD-WAN Orchestrator と従属クリティカルサービス

Citrix Cloud およびCloud サービスのカテゴリ

分類および最適化の目的で使用されるトラフィックカテゴリを次に示します。

  • Citrix Cloud:Citrix Cloud Web UIおよびAPI宛てのトラフィックを検出してルーティングできるようにします。

    • Citrix SD-WAN Orchestrator と依存する重要なサービス:

      • Citrix SD-WAN Orchestrator:Citrix SD-WAN アプライアンスと Citrix SD-WAN Orchestrator 間の接続を確立および維持するために必要なハートビートやその他のトラフィックを直接インターネットでブレークアウトできるようにします。

      • Citrix Cloud ダウンロードサービス:アプライアンスソフトウェア、構成、スクリプト、およびその他の要件をCitrix SD-WANアプライアンスにダウンロードするための直接インターネットブレークアウトを可能にします。

  • Citrix Gatewayサービス:Citrix Gateway Service宛てのトラフィック(制御およびデータ)を検出してルーティングできるようにします。

    • Gatewayサービスクライアントデータ:クライアントとCitrixGateway Service間のICAデータトンネルの直接インターネットブレークアウトを有効にします。高帯域幅と低レイテンシが必要です。

    • Gatewayサービスサーバーデータ:仮想デリバリーエージェント(VDA)とCitrix Gatewayサービス間のICAデータトンネルの直接インターネットブレークアウトを有効にします。これは、高帯域幅と低レイテンシーを必要とし、VDAリソースの場所(VDAからCitrix Gatewayサービスへの接続)でのみ関連します。

    • Gatewayサービス制御トラフィック:制御トラフィックからインターネットへの直接ブレイクアウトを有効にします。QoS に関する具体的な考慮事項はありません。

    • Gatewayサービス Web プロキシトラフィック: Web プロキシトラフィックの直接インターネットブレークアウトを有効にします。高い帯域幅が必要ですが、レイテンシーの要件は異なる場合があります。

前提条件

次の項目があることを確認します。

  1. Citrix CloudおよびGatewayサービスのブレークアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。インターネットサービスの設定の詳細については、「 インターネットアクセス」を参照してください。

  2. 管理インターフェイスにインターネット接続があることを確認します。専用の管理インターフェイスが接続されていない場合は、帯域内管理が有効になっていて、送信管理トラフィックがインターネットに接続されていることを確認します。

  3. Citrix SD-WAN Webインターフェイスを使用して、管理インターフェイスの設定を構成できます。

  4. 管理 DNS が設定されていることを確認します。管理インターフェイスの DNS を設定するには、サイトレベルで [ 構成] > [アプライアンス設定] > [ネットワークアダプタ] に移動します。[ DNS 設定] セクションで、プライマリおよびセカンダリの DNS サーバの詳細を指定し、[ 保存] をクリックします。

Gateway サービスの DNS 設定

Citrix CloudとGateway サービスの最適化の仕組み

  1. Citrix SD-WAN アプライアンスは、クラウドサービスAPIを使用してアプリケーション署名のリストをダウンロードします。

  2. Citrix CloudおよびGateway Serviceアプリケーションに対する要求が到着すると、アプリケーションは署名を使用して最初のパケットで分類されます。

  3. Citrix CloudおよびGateway Serviceのトラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットへのトラフィックを直接遮断します。

  4. Citrix CloudおよびGateway サービスは、DNS要求の転送にデフォルトでQuad9を使用します。

ブレークアウトが有効になっている場合と有効になっていない場合のトラフィックフロー

  • ブレークアウトが有効になっていない場合:

    ブレークアウトが有効になっていない場合

  • ブレークアウトを有効にした場合:

    ブレークアウトを有効にした場合

クラウドセキュリティスタック (Zscaler、Check Point、Palo Alto など) を使用してインターネットトラフィックを処理する場合、Gatewayサービスは SD-WAN ブランチではなく、そのセキュリティスタックのパブリック IP アドレスからパケットを受信します。これにより、直接ワークロード接続が無効になるため、クラウドホストの SD-WAN へのパケットは仮想パスを取得できなくなります。詳細については、「 ワークロードの直接接続」を参照してください。

ブレークアウトを有効にすると、Gateway サービスは SD-WAN ブランチから直接パケットを受信します。SD-WAN ブランチとクラウドホストの SD-WAN 間でダイナミック仮想パスがアップし、トラフィックは 2 つのサイト間のこの仮想パスを経由します。動的仮想パスを有効にする方法の詳細については、「 ブランチ間通信用の動的パスの設定」を参照してください。

ブレークアウトを有効にした場合となし

ブレークアウトを有効にすると、Citrix SD-WAN デバイスと Citrix SD-WAN Orchestrator 間の接続の確立と維持に必要なトラフィックが、データセンターを介してバックホールされなくなります。トラフィックは、Citrix SD-WAN デバイスが配置されている支店から直接インターネットにブレークアウトすることにより、Citrix SD-WAN Orchestrator に到達します。

ブレークアウトが有効になっている場合と有効になっていないOrchestrator

ゲートウェイサービスのブレークアウトの設定

Citrix CloudおよびGatewayサービスのブレークアウトポリシーでは、SD-WANブランチから直接抜け出すことができるCitrix CloudおよびGatewayサービスのトラフィックのカテゴリを指定できます。

Citrix CloudとCitrixGateway サービスのオプションはCitrix Gateway と Citrix Cloud 最適化の設定で使用できます

Citrixアプリケーションは、Citrix Cloud内の複数のサービスにアクセスできます。詳細については、「 システム要件と接続要件」を参照してください。

Citrix SD-WAN Orchestrator サービスでは、デフォルトですべてのネットワークに Citrix Cloud およびゲートウェイサービスのルートがあります。ナビゲートするには、[ ネットワーク設定] > [ルーティング] > [ルーティングポリシー] > [アプリケーションルート] に移動します。

CloudとGatewayサービス

ルートを削除することはできませんが、必要に応じて設定を構成できます。 Citrix Cloud およびGatewayサービスはデフォルトで有効になっています

CloudとGatewayサービスの設定

Citrix CloudおよびGateway サービスの透過フォワーダー

Citrix CloudのSD-WANブランチが開始され、Gateway サービスはDNS要求から始まります。Citrix CloudおよびGatewayサービスのドメインを経由するDNS要求は、ローカルで操作する必要があります。Citrix CloudおよびGatewayサービスのインターネットブレークアウトが有効になっている場合は、内部DNSルートが決定されます。Citrix CloudおよびGatewayサービスのDNS要求は、デフォルトでオープンソースのDNSサービスクワッド9に転送されます。Quad 9 DNSサービスは、安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて DNS サービスを変更できます。

サイトレベルで DNS サーバーを追加するには、[ 構成] > [詳細設定] > [DNS] に移動します。「 サイト固有の DNS サーバー 」セクションで、「 + DNS サーバー」をクリックします。

サイト固有の設定

Citrix CloudおよびGateway Serviceアプリケーションの透過フォワーダーは、インターネットサービスおよびCitrix CloudおよびGatewayサービスのブレークアウトが有効になっているすべてのSD-WANブランチに作成されます。

特定の DNS 転送ルールを追加するには、[ NDS トランスペアレントフォワーダー] セクションの [ **+ アプリ固有の DNS 転送ルール** ] をクリックします。この構成では、Citrix CloudおよびGatewayサービスアプリケーションのデフォルトのQuad9 DNS透過フォワーダーを変更できます。

NDS トランスペアレントフォワーダ

  • アプリケーション:[アプリケーション]ドロップダウンリストから[Citrix Cloud and Gateway Service] アプリケーションを選択します

  • DNS サーバー:ドロップダウンリストから [ サイト固有の DNS サーバー ] で作成した DNS サーバーを選択します。

監視

Citrix CloudおよびGatewayサービスのリアルタイム統計と使用状況レポートは、次のように監視できます。

  • リアルタイム統計

Gateway サービス統計1

Gateway サービス統計2

Gateway サービス統計3

  • リアルタイムファイアウォール接続

Gateway サービスファイアウォール接続 1

Gateway サービスファイアウォール接続 2

Gateway サービスファイアウォール接続 3

  • 使用状況

Gateway サービスの使用状況

トラブルシューティング

接続エラーは SDWAN_dpi.log ファイルに記録されます。ログファイルをダウンロードするには、[ トラブルシューティング] > [デバイスログ] に移動し、必要なサイトを選択し、ログファイルを選択して [ ダウンロード] をクリックします。

Gatewayサービスのトラブルシューティング

デバイスのアラートを確認することもできます。確認するには、[ ネットワーク] > [アラート] に移動します。

Gateway サービスアラート

Citrix CloudおよびGateway サービスの最適化