Citrix SD-WAN Orchestrator

CMD 統合のための SD-WAN 設定

Citrix SD-WAN は、SaaS、クラウド、仮想アプリケーション向けの柔軟で自動化されたセキュアな接続とパフォーマンスにより、デジタルトランスフォーメーションを加速し、常時稼働のWorkspace エクスペリエンスを実現する次世代のWANエッジソリューションです。

Citrix SD-WAN は、組織が迅速かつ簡単なセットアップでCitrix Managed Desktops(CMD)に接続するための推奨される最良の方法です。詳しくは、「Citrixブログ」を参照してください。

長所

  • ガイド付きの自動化されたワークフローにより、CMDでSD-WANを簡単に設定可能
  • 高度な SD-WAN テクノロジーによる常時稼働の高パフォーマンス接続
  • すべての接続(VDAからDC、ユーザーからVDA、VDAからクラウド、ユーザーからクラウド)の利点
  • データセンターへのトラフィックをバックホールする場合と比較して、レイテンシを低減
  • QoS(サービス品質)を確保するためのトラフィック管理

    • HDX/ICAトラフィックストリーム全体のQoS(シングルポートHDX自動QoS)
    • HDXと他のトラフィック間のQoS
    • ユーザー間のHDX QoS公平性
    • エンドツーエンドの QoS
  • リンク・ボンディングにより、より高速なパフォーマンスを実現
  • Azure でのシームレスなリンクフェールオーバーと SD-WAN 冗長性を備えた高可用性 (HA)
  • 最適化されたVoIPエクスペリエンス(パケットレースによるジッタ低減とパケット損失の最小化、QoS、ローカルブレークアウトによるレイテンシの低減)
  • ExpressRoute に比べて、大幅なコスト削減と導入の迅速化と容易化

前提条件

これらの新機能を評価するには、次の前提条件に従う必要があります。

  1. Orchestrator エンタイトルメントを持つ既存の SD-WAN ネットワークが必要です。既存の SD-WAN ネットワークがない場合は、を使用してネットワークを設定する必要があります SD-WAN Orchestrator。詳しくは、「マスター制御ノード(MCN)の構成」を参照してください。

  2. CMD のサブスクリプションが必要です。
  3. 現在、この統合サポートはお客様のみ利用可能です。パートナーまたは MSP で、このサービスを試す必要がある場合は、CMD を顧客として購読する必要があります。その後、この統合を有効にすることができます。
  4. SD-WAN 機能(MSI の QoS、アプリケーションの可視性など)を使用するには、ネットワーク内のすべての SD-WAN サイトに対してネットワークロケーションサービス(NLS)を設定する必要があります。
  5. クライアントエンドポイントが存在する場所 (MCN を持つデータセンター環境に共存している) に DNS サーバーと AD をデプロイするか、Azure Active Directory (AAD) を利用する必要があります。
  6. DNS サーバーは、内部 (プライベート) IP と外部 (パブリック) IP の両方を解決できる必要があります。
  7. FQDN sdwan-location.citrixnetworkapi.net がファイアウォールでホワイトリストに登録されていることを確認します。これは、SD-WAN 仮想パス経由でトラフィックを送信する際に重要なネットワークロケーションサービスの FQDN です。

ファイアウォールでホワイトリストに登録する必要があるクラウドサービスのリストについては、「」を参照してください Orchestrator使用の前提条件

展開アーキテクチャ

高レベルの導入

どのデプロイメントでも、次のエンティティがフィーチャーされます。

  • SD-WAN アプライアンスをホストするオンプレミスの場所。ブランチモードまたは MCN として展開できます。この場所には、クライアントマシン、アクティブディレクトリ、および DNS が含まれます。ただし、Azure の DNS と AD を使用することもできます。ほとんどのシナリオでは、オンプレミスの場所はオンプレミスのデータセンターとして機能し、MCN を収容します。

  • CMD クラウドサービス: このエンティティは、以下を提供します。

    • CMD の SD-WAN 接続を有効化および監視するための UI。
    • Azure に SD-WAN 仮想マシンインスタンスを作成します。
    • ライフタイムを管理します。
    • SD-WAN インスタンスのコストと CMD コストをバンドルして、お客様の請求を行います。
    • SD-WAN インスタンスのローカルネットワーク環境(サブネット、ローカルルーティング、ファイアウォールルールなど)を設定します。
    • SD-WAN モニタリングおよびその他の運用データを提供し、使用するために SD-WAN インスタンス情報を SD-WAN Orchestrator に提供します。
  • SD-WAN Orchestrator: SD-WAN Orchestrator は、SD-WAN 管理用の UI を提供します。

    • CMD にデプロイされたインスタンスの管理を含む。
    • CMD SD-WAN インスタンスの初期Provisioning を実装します。
    • SD-WAN インスタンス管理の制限を実装し、CMD 設定を反映します。
    • CMD と統合して、SD-WAN モニタリングおよびその他の運用データを提供および消費します。
  • 仮想および物理 SD-WAN アプライアンス: 仮想および物理 SD-WAN アプライアンスは、クラウド (VM) 内、データセンターのオンプレミス、およびブランチ (物理アプライアンスまたは VM) 内で複数のインスタンスとして実行され、これらの場所間およびパブリックインターネットとの間の接続を提供します。

    CMD サブスクリプションの SD-WAN インスタンスは、CMD サブスクリプションのレルム内で Azure の CMD クラウドサービスによって、単一または一連の仮想アプライアンス (HA デプロイがあった場合) として作成されます。他の場所(DC および支店)の SD-WAN アプライアンスは、お客様によって作成されます。これらのすべての SD-WAN アプライアンスは、SD-WAN Orchestrator を通じて SD-WAN 管理者が管理します(構成とソフトウェアのアップグレードに関して)。

  • CMD VDA、コネクタ -CMD SD-WANアプライアンスをCMD VNet 以外のすべてのリソースへのGateway として使用します。これには、エンタープライズオンプレミスリソース、特定の Azure サービス、パブリックインターネット上のSaaSアプリケーションが含まれます。

ユーザーロール

  1. CMD 管理者:SD-WAN 接続の使用を決定し、SD-WAN 管理者(または別のネットワーク管理者の役割)から必要なネットワーク情報を取得します。

    • CMD UI を使用して SD-WAN 接続の設定を開始します。
    • SD-WAN 接続が完全に有効になると、は SD-WAN 接続を使用して CMD カタログを管理します。
    • SD-WAN 管理者とともに、は SD-WAN 接続を監視し、必要に応じてより多くのアクションを実行します。
  2. SD-WAN 管理者:SD-WAN 設定情報を CMD 管理者に提供します。

  • CMD で SD-WAN インスタンスをアクティブ化し、他のネットワーク要素への接続を有効にします。追加の設定アクティビティを実行します。
  • SD-WAN 管理者とともに、は SD-WAN 接続を監視し、必要に応じて追加のアクションを実行します。

CMD-SDWAN 統合におけるさまざまなエンティティとユーザロール間の相互作用

SD-WAN CMD 統合のためのアクセス管理

  • CMDとSD-WAN Orchestrator はどちらも、Citrix Cloud IDAMに依存して、 読み取り専用または読み取り/書き込み のアクセス権を持つユーザーを識別します。
  • さらに、SD-WAN Orchestrator には、Orchestrator 内のユーザーに同様のアクセス権を割り当てる機能があります。2つの認証メカニズムはORロジックと組み合わされています。SD-WAN構成管理にアクセスするには、Citrix CloudまたはSD-WAN Orchestrator のいずれかで管理者アクセス権を持っているだけで十分です。

展開と構成

一般的な展開と関連するエンティティ

一般的な展開では、Citrix SD-WAN アプライアンス(H/WまたはVPX)をデータセンター/大規模オフィスにMCNとして展開します。お客様のデータセンターは、通常、オンプレミスのユーザーと AD サーバーや DNS サーバーなどのリソースをホストします。一部のシナリオでは、Azure Active Directory サービス(AADS)とDNSを使用できます。どちらもCitrix SD-WANとCMD統合でサポートされています。

Citrix Managed Azureサブスクリプションでは、Citrix SD-WAN 仮想アプライアンスとVDAを展開する必要があります。SD-WAN アプライアンスは、SD-WAN Orchestrator を介して管理されます。ただし、この統合のために、Citrix Managed Azureサブスクリプション内のSD-WANアプライアンスは、CMD UI/ワークフローを介して構成されます。SD-WANアプライアンスが構成されると、既存のCitrix SD-WAN ネットワークに接続され、構成、可視性、管理などのタスクがSD-WAN Orchestrator を介して処理されます。SD-WAN Orchestrator とCitrix マネージドデスクトップサービス(CMD)の両方が、APIを使用して相互に通信します。

この統合の第3のコンポーネントは、内部ユーザーがGateway をバイパスしてVDAに直接接続できるようにするネットワークロケーションサービスです。これにより、内部ネットワークトラフィックの待ち時間が短縮されます。この統合のフェーズ 1 では、ネットワークロケーションサービスを手動で設定する必要があります。詳しくは、「ネットワークロケーションサービス (NLS)」を参照してください。

構成

  1. 前提条件セクションで強調表示されている前提条件をすべて実行した後、構成する必要がある最初の項目は DNS です。これは SD-WAN Orchestrator で設定する必要があります。Orchestrator で DNS を構成するには、管理者権限が必要です。DNS を構成するには、Orchestrator GUI で [ 構成] > [アプリケーションと DNS の設定] > [DNS サーバー ] に移動し、[ +DNS サーバー] をクリックします。次の画面でプライマリDNSとセカンダリDNSを入力します。

    DNS サーバーの追加

    上記の展開と構成セクションで強調したように、AD と DNS はデータセンターとして機能するオンプレミスの場所に存在し、SD-WAN を備えた展開では、LAN ネットワーク。ここで設定する必要があるのは AD/DNS IP です。Azure Active Directory サービス/DNS を使用している場合は、DNS IP として 168.63. 129.16 を構成します。

    オンプレミスの AD/DNS を使用する場合は、SD-WAN アプライアンスから DNS の IP に対して ping を実行できるかどうかを確認します。これを行うには、 [トラブルシューティング] > [診断]に移動します。次の画面で Ping に対してチェックボックスをオンにし、SD-WAN アプライアンスの LAN インターフェイス/デフォルトインターフェイスから AD/DNS の IP への ping を開始します。

    LAN インターフェイスのデフォルト

    pingが成功した場合、それはあなたのAD/DNSが正常に到達できることを意味します。そうでない場合は、ネットワークにルーティングの問題があり、AD/DNSへの到達可能性を妨げています。可能であれば、AD と SD-WAN アプライアンスを同じ LAN セグメントでホストしてみます。それでも問題が解決しない場合は、ネットワーク管理者に連絡してください。この手順を正常に完了しないと、カタログの作成手順は成功せず、 グローバル DNS IP が構成されていないというエラーメッセージが表示される可能性があります。

    注:

    DNSが内部IPと外部IPの両方を解決できることを確認してください。

  2. Citrix 管理デスクトップ(CMD)UIにログインします。次の画面が表示されます。

    CMDログイン画面

    オンプレミスのリソースと CMD サブスクリプション間の ネットワーク接続 を作成するには、[ネットワーク接続] をクリックします。+ [接続の追加] をクリックします。

    連絡先を招待

    SD-WAN オプションは、次の要件を満たす場合にのみ有効になります。

    • Orchestrator エンタイトルメントを持つ既存の SD-WAN ネットワークが必要です。既存の SD-WAN ネットワークがない場合は、SD-WAN Orchestratorを使用して設定します。詳しくは、「マスターコントロールノード (MCN) の設定」を参照してください。

    • CMD のサブスクリプションが必要です。

    • 現在、この統合サポートはお客様のみ利用可能です。パートナーまたは MSP で、このサービスを試す必要がある場合は、CMD を顧客としてサブスクライブする必要があります。この統合を有効にできます。それ以外の場合、このオプションは無効のままです。

    この統合を試し、SD-WAN オーケストレータの試用版アクセスが必要な場合は、citrix.cloud.com または sdwan.cloud.com にアクセスして試用版をリクエストしてください。

  3. 前提条件で示されている条件を満たしたら、[ SD-WAN ] タブをクリックして、ワークフロー全体を表示します。

    全体的なワークフロー

  4. SD-WAN を設定するには、次の詳細を入力します。

    • デプロイモード: スタンドアロンと高可用性の 2 つのデプロイモードオプションが表示されます。

      • スタンドアロン: SD-WAN のデプロイモードは、単一の SD-WAN インスタンスがデプロイされるスタンドアロンのいずれかになります。SD-WAN ファームウェアまたは基盤となる Azure インフラストラクチャの問題が原因で SD-WAN インスタンスに障害が発生した場合は、Azure の SD-WAN インスタンスの背後にデプロイされているリソースに手を差し伸べることはできません。つまり、インスタンスはブロックに失敗モードで動作します。

      • 高可用性: SD-WAN インスタンスのソフトウェア障害を防ぐために、高可用性モードでインスタンスをデプロイし、アクティブスタンバイモードで 2 つの SD-WAN インスタンスをデプロイします。実稼働ネットワークでは、高可用性モードでインスタンスを展開することをお勧めします。

    • SD-WAN サイト名の入力:SD-WAN ネットワーク内のサイトを識別するためのサイト名を入力します。選択した名前が一意で、思い出しやすい名前であることを確認します。

    • スループットとオフィス数: 現在、D3_V2 オプションのみがサポートされています。D3_V2 は最大 200 Mbps のスループットをサポートし、16 サイトへの直接接続を確立できます。直接接続されていない接続は MCN を経由します。

    • リージョン: SD-WAN インスタンスをデプロイする Azure リージョンを選択します。これは、CMD リソースをデプロイするリージョンと同じである必要があります。

    • VDAサブネット:VDAサブネットは、AzureでVDAおよびその他のCMDリソースを展開するサブネットです。

    • SD-WANサブネット:SD-WANサブネットは、SD-WANアプライアンスをデプロイするサブネットです。

    注:

    この統合は、ドメイン結合カタログのみをサポートし、非ドメイン結合は、今日ではサポートされていません。

  5. 前のステップで要求されたすべての情報を入力したら、Provisioning とデプロイが実行され、プロセスの完了には約 20 分かかります。この間、次の手順が舞台裏で行われます。

    • 仮想 SD-WAN アプライアンス (VPX) は、ユーザーが選択した構成に基づいて Azure でプロビジョニングを開始します。Provisioning が成功すると、SD-WAN VPXは、選択したCPUとメモリプロファイルと、前のステップで指定したネットワーク設定を表示します。

    • Provisioning が成功すると、VPXアプライアンスはパブリックインターネット経由でSD-WAN Orchestrator に接続し、構成パッケージを要求します。

    SD-WAN 支店の概要

  6. SD-WAN ブランチが設定されると、設定の詳細を表示できます。

    構成の詳細

  7. インスタンスがプロビジョニングされると、次の画面が表示されます。この時点で、ネットワーク管理者は SD-WAN VPX アプライアンスをネットワークに追加できるように、SD-WAN Orchestrator にログインする必要があります。

    プロビジョニングされたインスタンス

  8. ネットワーク管理者は SD-WAN Orchestrator にログインし、ネットワーク構成のホームページに移動する必要があります。このページでは、CMD で SD-WAN サイトの行項目を表示できます。

    SD-WANサイト用ポリラインアイテム

  9. ネットワーク管理者は、この段階でサイトを展開する必要があります。展開する [構成/ソフトウェアの 展開] をクリックします。

    構成またはソフトウェアの展開

  10. [ 構成/ソフトウェアの展開 ] ステップが成功すると、CMD 画面のステータスが変更され、 SD-WAN を使用してカタログを作成できるようになりました

ネットワークロケーションサービス

Citrix Cloudの ネットワークロケーション サービスを使用すると、加入者のワークスペースで使用できるようにするアプリやデスクトップへの内部トラフィックを最適化して、HDXセッションを高速化できます。

内部ネットワークと外部ネットワークのユーザーは、外部Gateway を介してVDAに接続する必要があります。これは外部ユーザーにとっては妥当な処理ですが、内部ユーザーにとっては仮想リソースへの接続が遅くなります。Network Location サービスを使用すると、内部ユーザーはGateway をバイパスしてVDAに直接接続できるため、内部ネットワークトラフィックの待ち時間が短縮されます。

構成

ネットワークロケーション サービスをセットアップするには、Citrix が提供するネットワークロケーションサービスPowerShell モジュールを使用して、環境内のVDAに対応する ネットワークのロケーション を構成します。これらのネットワークロケーションには、内部ユーザが接続しているネットワークのパブリック IP 範囲が含まれます。

加入者がWorkspace からVirtual Apps and Desktopsセッションを起動すると、Citrix Cloudは、加入者が接続元のネットワークのパブリックIPアドレスに基づいて、社内ネットワークの内部または外部にあるかどうかを検出します。

  • 利用者が内部ネットワークから接続している場合、Citrix Cloudでは接続がCitrix Gatewayを経由せずVDAに直接ルーティングされます。

  • 利用者が外部から接続している場合、Citrix Cloudでは利用者が予定どおりCitrix Gatewayを経由してルーティングされ、内部ネットワークのVDAにリダイレクトされます。

注:

ネットワークロケーションサービスで構成する必要のあるパブリック IP は、WAN リンクに割り当てられているパブリック IP である必要があります。

SD-WAN アプライアンスに割り当てられたパブリック IP

NLS で設定する必要があるパブリック IP は、仮想パス経由でトラフィックを送信するために使用されるすべてのリンクの WAN リンク IP である必要があります。この情報は、 [サイト] > [レポート] > [リアルタイム] > [統計] > [アクセスインターフェイス]で確認できます。

パブリックIP

CMD 統合のための SD-WAN 設定