Azure
借助 SD-WAN 9.3 版本,零接触部署功能已扩展到云实例。云实例的零接触部署过程与零接触服务的设备部署略有不同。
使用 SD-WAN Center 网络配置更新配置以添加支持 ZTD 的 SD-WAN 云设备的新远程站点
如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,请从 MCN 导入活动配置,并开始使用 SD-WAN Center 修改配置。对于零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加目标为零接触部署的新云节点。
-
首先概述新站点的详细信息(即 VPX 大小、接口组使用情况、虚拟 IP 地址、具有带宽的 WAN 链路及其各自的网关),从而设计用于 SD-WAN 云部署的新站点。
注意
-
云部署的 SD-WAN 实例必须以边缘/网关模式部署。
-
云实例的模板限于三个接口:管理、LAN 和 WAN(按此顺序)。
-
适用于 SD-WAN VPX 的可用 Azure 云模板当前硬编码为获取 WAN 的 10.9.4.106 IP、LAN 的 10.9.3.106 IP 和管理地址的 10.9.0.16 IP。目标为零接触的 Azure 节点的 SD-WAN 配置必须与此布局匹配。
-
配置中的 Azure 站点名称必须全部小写,不含特殊字符(例如 ztdazure)。
这是 SD-WAN 云部署站点的示例,Citrix SD-WAN™ 设备在此云网络中作为边缘设备部署,服务于单个 Internet WAN 链路。远程站点将能够利用连接到此相同云 Internet 网关的多个不同的 Internet WAN 链路,从而提供从任何 SD-WAN 部署站点到云基础架构的弹性连接和聚合带宽连接。这提供了经济高效且高度可靠的云连接。
-
-
打开 SD-WAN Center Web 管理界面,然后导航到“配置”>“网络配置”页面。
-
确保已存在工作配置,或从 MCN 导入配置。
-
导航到“基本”选项卡以创建新站点。
-
打开“站点”磁贴以显示当前配置的站点。
-
通过利用任何现有站点的克隆功能,快速构建新云站点的配置,或手动构建新站点。
-
根据之前为此新云站点设计的拓扑,填充所有必填字段。
请记住,适用于 Azure 云 ZTD 部署的模板当前硬编码为获取 WAN 的 10.9.4.106 IP、LAN 的 10.9.3.106 IP 和管理地址的 10.9.0.16 IP。如果配置未设置为匹配每个接口的预期 VIP 地址,则设备将无法正确建立到云环境网关的 ARP 和到 MCN 虚拟路径的 IP 连接。
站点名称必须符合 Azure 的预期。站点名称必须全部小写,至少 6 个字符,不含特殊字符,并且必须符合以下正则表达式 ^[a-z][a-z0-9-]{1,61}[a-z0-9]$。
-
克隆新站点后,导航到站点的“基本设置”,并验证是否正确选择了支持零接触服务的 SD-WAN 型号。
-
在 SD-WAN Center 上保存新配置,并使用导出到“更改管理收件箱”选项通过更改管理推送配置。
-
遵循更改管理过程以正确暂存新配置,这使得现有 SD-WAN 设备能够识别通过零接触部署的新站点,您需要利用“忽略不完整”选项以跳过尝试将配置推送到仍需要通过 ZTD 工作流的新站点。
导航到 SD-WAN Center 的“零接触部署”页面,在新活动配置运行的情况下,新站点将可用于 SD-WAN Center 预配和部署 Azure(步骤 1/2)
-
在“零接触部署”页面中,使用您的 Citrix® 帐户凭据登录。在“部署新站点”选项卡下,选择正在运行的网络配置文件。
-
选择正在运行的配置文件后,将显示所有具有 ZTD 功能的 Citrix SD-WAN 设备的分支站点列表。
-
选择要使用零接触服务部署的目标云站点,单击“启用”,然后单击“预配和部署”。
-
将出现一个弹出窗口,Citrix SD-WAN 管理员可以在其中启动零接触部署。验证站点名称是否符合 Azure 的要求(小写,不含特殊字符)。填写可接收激活 URL 的电子邮件地址,然后选择 Azure 作为所需云的“预配类型”,再单击“下一步”。
-
单击“下一步”后,将出现“预配和部署 Azure(步骤 1/2)”窗口,其中需要从 Azure 帐户获取输入。
从 Azure 帐户获取信息后,复制并粘贴每个必填字段。以下步骤概述了如何从 Azure 帐户获取所需的订阅 ID、应用程序 ID、密钥和租户 ID,然后单击“下一步”继续。
-
在 Azure 帐户上,我们可以通过导航到“更多服务”并选择“订阅”来识别所需的订阅 ID。
-
要识别所需的应用程序 ID,请导航到 Azure Active Directory,“应用注册”,然后单击“新建应用程序注册”。
-
在应用注册创建菜单中,输入名称和登录 URL(可以是任何 URL,唯一要求是它必须有效),然后单击“创建”。
-
搜索并打开新创建的注册应用,并记下应用程序 ID。
-
再次打开新创建的注册应用,并在“API 访问”下,选择“所需权限”以识别所需的安全密钥,从而允许第三方预配实例。然后选择“添加”。
-
添加所需权限时,选择“选择 API”,然后突出显示“Windows Azure 服务管理 API”。
-
启用“委托权限”以预配实例,然后单击“选择”和“完成”。
-
对于此注册应用,在“API 访问”下,选择“密钥”,并创建秘密密钥描述和密钥的所需持续时间。然后单击“保存”,这将生成一个密钥(该密钥仅在预配过程中需要,实例可用后即可删除)。
-
复制并保存密钥(请注意,以后将无法检索此密钥)。
-
要识别所需的租户 ID,请导航回“应用注册”窗格,然后选择“终结点”。
-
复制“联合元数据文档”,以识别您的租户 ID(请注意,租户 ID 是位于 URL 中“online.com/”和“/federation”之间的 36 个字符的字符串)。
-
所需的最后一项是SSH 公钥。可以使用 Putty Key Generator 或 ssh-keygen 创建此密钥,并将用于身份验证,从而无需密码即可登录。可以复制 SSH 公钥(包括标题 ssh-rsa 和尾随 rsa-key 字符串)。此公钥将通过 SD-WAN Center 输入共享给 Citrix 零接触部署服务。
-
需要其他步骤来为应用程序分配角色。导航回“更多服务”,然后导航到“订阅”。
-
选择活动订阅,然后选择“访问控制 (AIM)”,接下来单击“添加”。
-
在添加权限窗格中,选择“所有者”角色,将访问权限分配给“Azure AD 用户、组或应用程序”,并在“选择”字段中搜索注册应用,以允许零接触部署云服务在 Azure 订阅上创建和配置实例。识别应用后,选择它并确保它作为选定成员填充,然后单击“保存”。
-
收集所需的输入并将其输入到 SD-WAN Center 后,单击“下一步”。如果输入不正确,您将遇到身份验证失败。
-
SD-WAN Center 预配和部署 Azure(步骤 2/2)
-
Azure 身份验证成功后,填充相应的字段以选择所需的 Azure 区域和相应的实例大小,然后单击“部署”。
-
导航到 SD-WAN Center 中的“待激活”选项卡,将有助于跟踪部署的当前状态。
-
一封包含激活码的电子邮件将发送到步骤 1 中输入的电子邮件地址,获取电子邮件并打开“激活 URL”以触发过程并检查激活状态。
-
一封包含激活 URL 的电子邮件将发送到步骤 1 中输入的电子邮件地址。获取电子邮件并打开“激活 URL”以触发过程并检查激活状态。
-
SD-WAN 云服务预配实例需要几分钟时间。您可以在 Azure 门户上,在自动创建的“资源组”的“活动日志”下监控活动。任何预配问题或错误都将在此处填充,并复制到 SD-WAN Center 的“激活状态”中。
-
在 Azure 门户中,成功启动的实例将在“虚拟机”下可用。要获取分配的公共 IP,请导航到实例的“概述”。
-
VM 处于运行状态后,等待一分钟,服务将开始下载配置、软件和许可证的过程。
-
SD-WAN 云服务的每个步骤自动完成后,使用从 Azure 门户获取的公共 IP 登录到 SD-WAN 实例 Web 界面。
-
Citrix SD-WAN 监控统计信息页面将识别从 MCN 到 Azure 中 SD-WAN 实例的成功连接。
-
此外,成功(或不成功)的预配尝试将记录在 SD-WAN Center 的“激活历史记录”页面中。
