SD-WAN-Konfiguration für CMD-Integration

Citrix SD-WAN ist eine WAN-Edge-Lösung der nächsten Generation, die die digitale Transformation mit flexibler, automatisierter und sicherer Konnektivität und Leistung für SaaS-, Cloud- und virtuelle Anwendungen beschleunigt, um ein stets aktives Workspace Erlebnis zu gewährleisten.

Citrix SD-WAN ist die empfohlene und beste Möglichkeit für Unternehmen, eine Verbindung zu Citrix Managed Desktops (CMD) mit einer schnellen und einfachen Einrichtung herzustellen. Weitere Informationen finden Sie unter Citrix Blog.

Vorteile

  • Einfaches Einrichten von SD-WAN in CMD durch einen geführten und automatisierten Workflow
  • Ständig aktive, leistungsstarke Konnektivität durch fortschrittliche SD-WAN-Technologien
  • Vorteile über alle Verbindungen hinweg (VDA-zu-DC, Benutzer-zu-VDA, VDA-zu-Cloud und Benutzer-zu-Cloud)
  • Reduziert die Latenz im Vergleich zum Backhauling von Datenverkehr zum Rechenzentrum
  • Verkehrsmanagement zur Gewährleistung der Quality of Service (QoS)

    • QoS über HDX/ICA-Datenströme hinweg (HDX-AutoQoS mit einem Port)
    • QoS zwischen HDX und anderem Datenverkehr
    • HDX QoS Fairness zwischen Benutzern
    • End-to-End-QoS
  • Link-Bonding liefert mehr Bandbreite für schnellere Leistung
  • Hohe Verfügbarkeit (HA) mit nahtlosem Verbindungs-Failover und SD-WAN-Redundanz in Azure
  • Optimierte VoIP-Erfahrung (Packet Racing für reduzierten Jitter und minimalen Paketverlust, QoS, lokaler Ausbruch für reduzierte Latenz)
  • Größere Kosteneinsparungen und viel schneller und einfacher bereitzustellen im Vergleich zu ExpressRoute

Voraussetzungen

Um diese neuen Funktionen zu bewerten, müssen folgende Voraussetzungen eingehalten werden:

  1. Sie müssen über ein vorhandenes SD-WAN-Netzwerk mit Orchestrator-Berechtigung verfügen. Wenn Sie kein vorhandenes SD-WAN-Netzwerk haben, müssen Sie eines mit einrichten SD-WAN Orchestrator. Weitere Informationen finden Sie unter Konfigurieren eines Master-Control-Knotens (MCN).

  2. Sie müssen über ein CMD-Abonnement verfügen.
  3. Derzeit ist diese Integrationsunterstützung nur für Kunden verfügbar. Wenn Sie Partner oder MSP sind und diesen Service ausprobieren müssen, müssen Sie CMD als Kunde abonnieren. Erst dann kann diese Integration aktiviert werden.
  4. Um SD-WAN-Funktionen (z. B. QoS für MSI, Anwendungssichtbarkeit) verwenden zu können, muss der Netzwerkortungsdienst (Network Location Service, NLS) für alle SD-WAN-Standorte im Netzwerk konfiguriert werden.
  5. Sie müssen einen DNS-Server und AD entweder dort bereitstellen, wo die Clientendpunkte vorhanden sind (in Ihrer Rechenzentrumsumgebung, in der auch der MCN vorhanden sind), oder Sie können auch Azure Active Directory (AAD) verwenden.
  6. Der DNS-Server muss sowohl interne (private) als auch externe (öffentliche) IPs auflösen können.
  7. Stellen Sie sicher, dass der FQDN sdwan-location.citrixnetworkapi.net in der Firewall auf die Whitelist gesetzt ist. Dies ist der FQDN für den Netzwerkstandortdienst, der beim Senden von Datenverkehr über den virtuellen SD-WAN-Pfad von entscheidender Bedeutung ist.

Eine Liste der Cloud-Dienste, die in der Firewall auf der Whitelist gesetzt werden müssen, finden Sie unter Voraussetzungen für die Verwendung von Orchestrator.

Bereitstellungsarchitektur

Bereitstellung auf hoher Ebene

Jede Bereitstellung würde die folgenden Entitäten umfassen:

  • Ein lokaler Standort, auf dem die SD-WAN-Appliance gehostet wird, der entweder im Zweigmodus oder als MCN bereitgestellt werden kann. Dieser Speicherort enthält die Clientcomputer, das Active Directory und DNS. Sie können jedoch auch Azure DNS und AD verwenden. In den meisten Szenarien dient der lokale Standort als lokales Rechenzentrum und beherbergt das MCN.

  • CMD-Clouddienst: Diese Entität bietet:

    • Die Benutzeroberfläche zum Aktivieren und Überwachen der SD-WAN-Konnektivität für CMD.
    • Erstellt Instanzen virtueller SD-WAN-Maschinen in Azure.
    • Verwaltet ihr Leben.
    • Bündelt SD-WAN-Instanzkosten mit CMD-Kosten für die Kundenabrechnung.
    • Konfiguriert die lokale Netzwerkumgebung (Subnetze, lokales Routing, Firewall-Regeln usw.) für SD-WAN-Instanzen.
    • Liefert SD-WAN-Instanzinformationen an den SD-WAN Orchestrator, um SD-WAN-Überwachung und andere Betriebsdaten bereitzustellen und zu verwenden.
  • SD-WAN Orchestrator: SD-WAN Orchestrator bietet die Benutzeroberfläche für die SD-WAN-Verwaltung:

    • Einschließlich Verwaltung von Instanzen, die in CMD bereitgestellt werden.
    • Implementiert die anfängliche Provisioning für CMD SD-WAN-Instanzen.
    • Implementiert Einschränkungen für die SD-WAN-Instanzverwaltung, um die CMD-Konfiguration widerzuspiegeln.
    • Integriert mit CMD, um SD-WAN-Überwachung und andere Betriebsdaten bereitzustellen und zu nutzen.
  • Virtuelle und physische SD-WAN-Appliances: Virtuelle und physische SD-WAN-Appliances werden als mehrere Instanzen innerhalb der Cloud (VMs), lokal im Rechenzentrum und in den Zweigstellen (physische Appliances oder VMs) ausgeführt, um Konnektivität zwischen diesen Standorten und zum öffentlichen Internet bereitzustellen.

    SD-WAN-Instanz im CMD-Abonnement wird als einzelne oder eine Gruppe virtueller Appliances (falls HA-Bereitstellung vorhanden war) vom CMD-Clouddienst in Azure innerhalb der Bereiche des CMD-Abonnements erstellt. SD-WAN-Appliances an anderen Standorten (DC und Filialen) werden vom Kunden erstellt. Alle diese SD-WAN-Appliances werden (in Bezug auf Konfiguration und Software-Upgrades) von SD-WAN-Administratoren über den SD-WAN Orchestrator verwaltet.

  • CMD VDA, Connector - Verwendet die CMD SD-WAN-Appliance als Gateway zu allen Ressourcen außerhalb des CMD VNet, einschließlich On-Prem-Ressourcen für Unternehmen, bestimmte Azure-Dienste und SaaS-Anwendungen im öffentlichen Internet.

Benutzerrollen

  1. CMD-Administrator: Beschließt, SD-WAN-Konnektivität zu verwenden und erhält die erforderlichen Netzwerkinformationen vom SD-WAN-Administrator (oder einer anderen Netzwerkadministratorrolle):

    • Startet die Konfiguration der SD-WAN-Konnektivität über die CMD-Benutzeroberfläche.
    • Sobald die SD-WAN-Konnektivität vollständig aktiviert ist, verwaltet CMD-Kataloge mit SD-WAN-Konnektivität.
    • Zusammen mit dem SD-WAN-Administrator überwacht die SD-WAN-Konnektivität und führt bei Bedarf weitere Aktionen durch.
  2. SD-WAN-Administrator: Stellt dem CMD-Administrator SD-WAN-Konfigurationsinformationen bereit:

  • Aktiviert SD-WAN-Instanzen in CMD, um die Konnektivität mit anderen Netzwerkelementen zu ermöglichen; führt zusätzliche Konfigurationsaktivitäten durch.
  • Gemeinsam mit dem SD-WAN-Administrator überwacht die SD-WAN-Konnektivität und ergreift bei Bedarf zusätzliche Aktionen.

Interaktion zwischen verschiedenen Entitäten und Benutzerrollen innerhalb der CMD-SDWAN-Integration

Zugriffsverwaltung für SD-WAN-CMD-Integration

  • Sowohl CMD als auch SD-WAN Orchestrator verlassen sich auf Citrix Cloud IDAM, um Benutzer mit Schreib- oder Schreibzugriff zu identifizieren.
  • Darüber hinaus verfügt der SD-WAN Orchestrator über die Möglichkeit, Benutzern ausschließlich innerhalb des Orchestrators ähnliche Zugriffsrechte zuzuweisen. Die beiden Autorisierungsmechanismen werden mit der OR-Logik kombiniert: Es genügt, Administratorzugriffsrechte entweder in Citrix Cloud oder in SD-WAN Orchestrator zu haben, um Zugriff auf die SD-WAN-Konfigurationsverwaltung zu erhalten.

Bereitstellung und Konfiguration

Typische Bereitstellung und die beteiligten Unternehmen

In einer typischen Bereitstellung würde ein Kunde die Citrix SD-WAN Appliance (H/W oder VPX) als MCN in seinem Rechenzentrum/großen Büro bereitstellen. Das Kundenrechenzentrum würde normalerweise On-Prem-Benutzer und Ressourcen wie AD- und DNS-Server hosten. In einigen Szenarien kann der Kunde Azure Active Directory Dienste (AADS) und DNS verwenden, die beide von der Citrix SD-WAN - und CMD-Integration unterstützt werden.

Innerhalb des Citrix Managed Azure-Abonnements muss der Kunde die virtuelle Citrix SD-WAN Appliance und die VDAs bereitstellen. Die SD-WAN-Appliances werden über den SD-WAN Orchestrator verwaltet. Für diese Integration wird jedoch die SD-WAN-Appliance innerhalb des Citrix Managed Azure-Abonnements über CMD-UI/Workflow konfiguriert. Sobald die SD-WAN-Appliance konfiguriert wurde, stellt sie eine Verbindung mit dem vorhandenen Citrix SD-WAN Netzwerk her. Weitere Aufgaben wie Konfiguration, Sichtbarkeit und Verwaltung werden über den SD-WAN Orchestrator verarbeitet. Sowohl SD-WAN Orchestrator als auch Citrix Managed Desktop Service (CMD) kommunizieren über APIs miteinander.

Die dritte Komponente dieser Integration ist der Netzwerkstandortdienst, der es internen Benutzern ermöglicht, das Gateway zu umgehen und direkt mit dem VDA zu verbinden, wodurch die Latenz für den internen Netzwerkverkehr reduziert wird. Für Phase 1 dieser Integration muss der Netzwerkstandortdienst manuell konfiguriert werden. Weitere Informationen finden Sie unter Netzwerkstandortdienst (NLS).

Konfiguration

  1. Nachdem Sie alle im Voraussetzungen Abschnitt hervorgehobenen Voraussetzungen befolgt haben, ist das erste Element, das konfiguriert werden muss, das DNS. Dies muss im SD-WAN Orchestrator konfiguriert werden. Sie benötigen Administratorrechte, um DNS im Orchestrator zu konfigurieren. Um DNS zu konfigurieren, navigieren Sie in der Orchestrator-Benutzeroberfläche zu Konfiguration > App- und DNS-Einstellungen > DNS-Server und klicken Sie auf +DNS-Server. Geben Sie im darauffolgenden Bildschirm den primären und sekundären DNS ein.

    DNS-Server hinzufügen

    Wie im obigen Bereitstellung und Konfiguration Abschnitt hervorgehoben, sind AD und DNS am lokalen Standort vorhanden, der als Rechenzentrum fungiert, und in einer Bereitstellung mit SD-WAN ist es hinter dem SD-WAN verfügbar, das sich auf der LAN-Netzwerk. Es ist die AD/DNS-IP, die Sie hier konfigurieren müssen. Wenn Sie Azure Active Directory Dienst/DNS verwenden, konfigurieren Sie 168.63. 129.16 als DNS-IP.

    Wenn Sie ein lokales AD/DNS verwenden, überprüfen Sie, ob Sie die IP-Adresse Ihres DNS von Ihrer SD-WAN-Appliance aus pingen können. Dazu navigieren Sie zu Fehlerbehebung > Diagnose. Aktivieren Sie das Kontrollkästchen Ping im darauffolgenden Bildschirm und initiieren Sie einen Ping von der LAN-Schnittstelle/Default-Schnittstelle der SD-WAN-Appliance an die IP Ihres AD/DNS.

    LAN-Schnittstelle Standard

    Wenn der Ping erfolgreich ist, bedeutet dies, dass Ihr AD/DNS erfolgreich erreicht werden kann. Wenn nicht, dann gibt es ein Routing-Problem in Ihrem Netzwerk, das die Erreichbarkeit zu Ihrem AD/DNS verhindert. Versuchen Sie, Ihre AD- und SD-WAN-Appliance möglichst im selben LAN-Segment zu hosten. Falls immer noch ein Problem auftritt, wenden Sie sich an Ihren Netzwerkadministrator. Ohne diesen Schritt erfolgreich abzuschließen, wird der Katalogerstellungsschritt nicht erfolgreich sein, und Sie erhalten wahrscheinlich eine Fehlermeldung mit der Meldung Globale DNS-IP nicht konfiguriert.

    Hinweis

    Stellen Sie sicher, dass der DNS sowohl interne als auch externe IP-Adressen auflösen kann.

  2. Melden Sie sich bei der Benutzeroberfläche von Citrix Managed Desktop (CMD) an. Sie können den folgenden Bildschirm anzeigen:

    CMD-Anmeldebildschirm

    Klicken Sie auf Netzwerkverbindungen, um eine Netzwerkverbindung zwischen Ihren lokalen Ressourcen und dem CMD-Abonnement zu erstellen. Klicken Sie auf + Verbindung hinzufügen.

    Verbindung hinzufügen

    Die SD-WAN-Option ist nur aktiviert, wenn Sie die folgenden Anforderungen erfüllen:

    • Sie müssen über ein vorhandenes SD-WAN-Netzwerk mit Orchestrator-Berechtigung verfügen. Wenn Sie kein vorhandenes SD-WAN-Netzwerk haben, richten Sie eines mit ein SD-WAN Orchestrator. Weitere Informationen finden Sie unter Konfigurieren eines Master-Control-Knotens (MCN).

    • Sie müssen über ein CMD-Abonnement verfügen.

    • Derzeit ist diese Integrationsunterstützung nur für Kunden verfügbar. Wenn Sie Partner oder MSP sind und diesen Service ausprobieren müssen, müssen Sie CMD als Kunde abonnieren, nur dann kann diese Integration aktiviert werden. Andernfalls bleibt diese Option deaktiviert.

    Wenn Sie diese Integration ausprobieren möchten und Testzugriff für den SD-WAN Orchestrator benötigen, fordern Sie eine Testversion an, indem Sie citrix.cloud.com oder sdwan.cloud.com besuchen.

  3. Nachdem Sie die in den Voraussetzungen hervorgehobenen Bedingungen erfüllt haben, klicken Sie auf die Registerkarte SD-WAN, um den gesamten Workflow anzuzeigen:

    Arbeitsablauf insgesamt

  4. Geben Sie die folgenden Details ein, um das SD-WAN zu konfigurieren:

    • Bereitstellungsmodus: Sie können zwei Optionen für den Bereitstellungsmodus sehen: Standalone und High Availability.

      • Standalone: Der Bereitstellungsmodus für SD-WAN kann entweder eigenständig sein, wenn eine einzelne SD-WAN-Instanz bereitgestellt wird. Wenn die SD-WAN-Instanz aufgrund eines Problems mit der SD-WAN-Firmware oder der zugrunde liegenden Azure-Infra fehlschlägt, können Sie nicht auf die Ressourcen zugreifen, die hinter der SD-WAN-Instanz in Azure bereitgestellt werden. Mit anderen Worten, die Instanz verhält sich in einem fehlgeschlagenen Blockmodus.

      • Hohe Verfügbarkeit: Zum Schutz vor Softwarefehlern der SD-WAN-Instanz können Sie die Instanz im Hochverfügbarkeitsmodus bereitstellen, der zwei SD-WAN-Instanzen im aktiven Standby-Modus bereitstellt. Citrix empfiehlt die Bereitstellung von Instanzen im Hochverfügbarkeitsmodus für Produktionsnetzwerke.

    • SD-WAN-Standortnameneingeben: Geben Sie den Standortnamen ein, um einen Standort in Ihrem SD-WAN-Netzwerk zu identifizieren. Stellen Sie sicher, dass der Name, den Sie wählen, einzigartig und leicht zurückrufbar ist.

    • Durchsatz und Anzahl der Büros: Derzeit wird nur die Option D3_V2 unterstützt. D3_V2 unterstützt einen Durchsatz von bis zu 200 Mbit/s und kann eine direkte Konnektivität zu 16 Standorten herstellen. Die Verbindungen, die nicht direkt sind, gehen über das MCN.

    • Region: Wählen Sie die Azure-Region aus, in der Sie die SD-WAN-Instanz bereitstellen möchten. Dies muss dieselbe Region sein, in der Sie Ihre CMD-Ressourcen bereitstellen möchten.

    • VDA-Subnetz: Das VDA-Subnetz ist das Subnetz, in dem Sie Ihren VDA und andere CMD-Ressourcen in Azure bereitstellen möchten.

    • SD-WAN-Subnetz: SD-WAN-Subnetz ist das Subnetz, in dem Sie Ihre SD-WAN-Appliance/s bereitstellen möchten.

    Hinweis

    Diese Integration unterstützt nur domänengebundene Kataloge, die nicht in einer Domäne beigetreten sind, werden ab heute nicht unterstützt.

  5. Sobald Sie alle Informationen angegeben haben, die im vorherigen Schritt angefordert wurden, erfolgt die Provisioning und Bereitstellung, und es dauert etwa 20 ungerade Minuten, bis der Prozess abgeschlossen ist. In dieser Zeit finden hinter den Kulissen folgende Schritte statt:

    • Eine virtuelle SD-WAN-Appliance (VPX) wird basierend auf der von Ihnen gewählten Konfiguration in Azure bereitgestellt. Sobald die Provisioning erfolgreich ist, enthält das SD-WAN VPX das ausgewählte CPU- und Speicherprofil sowie die Netzwerkkonfiguration, die im vorherigen Schritt bereitgestellt wurde.

    • Sobald die Provisioning erfolgreich ist, wendet sich die VPX-Appliance über das öffentliche Internet an den SD-WAN Orchestrator, um ein Konfigurationspaket anzufordern.

    Zusammenfassung der SD-WAN-Zweigstelle

  6. Sobald der SD-WAN-Zweig konfiguriert ist, können Sie die Konfigurationsdetails anzeigen.

    Details zur Konfiguration

  7. Sobald die Instanz bereitgestellt wurde, sehen Sie den folgenden Bildschirm. Zu diesem Zeitpunkt muss sich der Netzwerkadministrator beim SD-WAN Orchestrator anmelden, damit die SD-WAN VPX-Appliance zum Netzwerk hinzugefügt werden kann.

    Bereitgestellte Instanz

  8. Der Netzwerkadministrator muss sich beim SD-WAN Orchestrator anmelden und zur Homepage der Netzwerkkonfiguration navigieren, auf der Sie eine Zeile für den SD-WAN-Standort in CMD sehen können.

    PLine Artikel für SD-WAN-Website

  9. Der Netzwerkadministrator muss die Sites in diesem Stadium bereitstellen. Klicken Sie auf die Bereitstellungskonfiguration/Software.

    Konfiguration oder Software bereitstellen

  10. Sobald der Schritt Config/Software bereitstellen erfolgreich ist, können Sie sehen, dass sich der Status auf dem CMD-Bildschirm ändert und Sie können jetzt Kataloge mit SD-WAN erstellen.

Netzwerk-Standortdienst

Mit dem Netzwerkortungsdienst in Citrix Cloud können Sie den internen Datenverkehr für die Apps und Desktops optimieren, die Sie den Arbeitsbereichen der Abonnenten zur Verfügung stellen, um HDX-Sitzungen schneller zu machen.

Benutzer in internen und externen Netzwerken müssen über ein externes Gateway eine Verbindung zu VDAs herstellen. Während dies für externe Benutzer zu erwarten ist, können sich interne Benutzer dadurch langsamer mit virtuellen Ressourcen verbinden. Der Netzwerkortungsdienst ermöglicht internen Benutzern die Umgehung des Gateway und die direkte Verbindung zu den VDAs, wodurch die Latenz für den internen Netzwerkverkehr verringert wird.

Konfiguration

Um den Netzwerkstandortdienst einzurichten, konfigurieren Sie Netzwerkstandorte, die den VDAs in Ihrer Umgebung entsprechen, mit dem PowerShell Modul des Netzwerkstandortungsdienstes, das Citrix bereitstellt. Zu diesen Netzwerkstandorten gehören die öffentlichen IP-Bereiche der Netzwerke, von denen Ihre internen Benutzer eine Verbindung herstellen.

Wenn Abonnenten Virtual Apps and Desktops-Sitzungen über ihren Workspace starten, erkennt Citrix Cloud anhand der öffentlichen IP-Adresse des Netzwerks, von dem aus sie eine Verbindung herstellen, ob Abonnenten intern oder extern im Unternehmensnetzwerk sind.

  • Wenn ein Abonnent sich über das interne Netzwerk verbindet, leitet Citrix Cloud die Verbindung direkt an den VDA weiter und umgeht Citrix Gateway.

  • Wenn ein Abonnent eine externe Verbindung herstellt, leitet Citrix Cloud den Abonnenten erwartungsgemäß über Citrix Gateway und dann an den VDA im internen Netzwerk.

Hinweis

Die öffentliche IP, die im Netzwerkstandortdienst konfiguriert werden muss, muss die öffentliche IP sein, die den WAN-Verbindungen zugewiesen ist.

Öffentliche IP-Adresse, die der SD-WAN-Appliance zugewiesen ist

Die öffentliche IP, die in NLS konfiguriert werden muss, muss die WAN-Link-IPs aller Links sein, die zum Senden von Datenverkehr über den virtuellen Pfad verwendet werden. Sie finden diese Informationen, indem Sie zu Website > Berichte > Echtzeit> Statistiken > Zugriffsoberflächennavigieren.

Öffentliche IP

SD-WAN-Konfiguration für CMD-Integration