Citrix SD-WAN-Plattformen

Bereitstellen der Citrix SD-WAN Standard Edition-Instanz in Azure — Version 10.2 und höher

Citrix SD-WAN Standard Edition für Azure verbindet logisch mehrere Netzwerkverbindungen zu einem einzigen sicheren logischen virtuellen Pfad. Die Lösung ermöglicht es Organisationen, Verbindungen verschiedener Dienstanbieter wie Breitband-, MPLS-, 4G/LTE-, Satellite- und Punkt-zu-Punkt-Verbindungen zu verwenden, um virtuelle WAN-Pfade mit hoher Ausfallsicherheit zu erhalten. Citrix SD-WAN für Azure ermöglicht Organisationen eine direkte sichere Verbindung von jeder Zweigstelle zu den in Azure gehosteten Anwendungen. Dadurch müssen Cloudgebundener Datenverkehr nicht über ein Rechenzentrum zurückgeholt werden. Einige der Vorteile der Verwendung von Citrix SD-WAN in Azure sind:

  • Erstellen Sie direkte Verbindungen von jedem Standort zu Azure.
  • Stellen Sie sicher, dass immer eine Verbindung zu Azure besteht.
  • Erweitern Sie Ihren sicheren Umfang in die Cloud.
  • Entwickeln Sie sich zu einem einfachen, einfach zu verwaltenden Zweignetz.

Hinweis:

Früher wurden 128 virtuelle Pfade in Azure unterstützt. Ab Version 11.2 werden 256 virtuelle Bauteile mit SD-WAN SE in Azure unterstützt.

Topologie — SD-WAN in Azure

Citrix SD-WAN Standard Edition kann nur im Gateway-Bereitstellungsmodus in Azure bereitgestellt werden. Eine öffentliche IP-Adresse (statisch/dynamisch) wird der WAN-Schnittstelle von SD-WAN zugewiesen, und der Verwaltungsschnittstelle wird eine öffentliche IP zugewiesen, um auf die Verwaltungsschnittstelle in Azure zuzugreifen.

SD-WAN in Azure-Topologie

Anwendungsfall

Eine Azure-VM wird in einer bestimmten Region bereitgestellt und kann über MPLS, Internet oder 4G/LTE mit mehreren Zweigstellen verbunden werden. Innerhalb einer VNET-Infrastruktur (Virtual Network) wird die SD-WAN Standard Edition-VM im Gateway-Modus bereitgestellt. Das VNET verfügt über Routen zum Azure Gateway. Die SD-WAN-Instanz hat eine Route zum Azure Gateway für die Internetverbindung.

Die Konnektivität zwischen Rechenzentrum, Zweig und Cloud wird durch die Verwendung verschiedener Transportmethoden erreicht, die mehrere WAN-Pfade gleichzeitig verwenden.

SD-WAN in Azure Sue Case

So stellen Sie Citrix SD-WAN Standard Edition in Microsoft Azure bereit

  1. Geben Sie in einem Webbrowser https://portal.azure.com/ein. Melden Sie sich bei Microsoft Azure-Konto an. Suchen Sie nach Citrix SD-WAN Standard Edition.

    Azure-Anmeldung

  2. Wählen Sie im Suchergebnisfenster die folgende Lösung aus. Klicken Sie auf Erstellen, nachdem Sie die Beschreibung durchlaufen haben und sicherstellen, dass die gewählte Lösung korrekt ist.

    Schritt 1

    Schritt 2

  3. Nachdem Sie auf Erstellen geklickt haben, wird ein Assistent zur Eingabe von Details angezeigt, die zum Erstellen der virtuellen Maschine in Azure erforderlich sind. Wählen Sie im ersten Schritt die Ressourcengruppe aus, in der Sie die Lösung bereitstellen möchten. Eine Ressourcengruppe ist ein Container, der zugehörige Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie können auf der Grundlage Ihrer Bereitstellung festlegen, wie Ressourcen Ressourcengruppen zugewiesen werden sollen. Einige wichtige Punkte, die Sie bei der Definition Ihrer Ressourcengruppe beachten sollten, sind:
    • Wenn eine Ressource, z. B. ein Datenbankserver, in einem anderen Bereitstellungszyklus vorhanden sein muss, kann sie sich in einer anderen Ressourcengruppe befinden.
    • Jede Ressource kann nur in einer Ressourcengruppe vorhanden sein.
    • Sie können eine Ressource jederzeit einer anderen Ressourcengruppe hinzufügen oder entfernen.
    • Sie können eine Ressource von einer Ressourcengruppe in eine andere Ressourcengruppe verschieben
    • Eine Ressourcengruppe kann Ressourcen enthalten, die sich in verschiedenen Regionen befinden.
    • Eine Ressourcengruppe kann verwendet werden, um die Zugriffssteuerung für administrative Aktionen zu bereichern.
    • Eine Ressource kann mit Ressourcen in anderen Ressourcengruppen interagieren. Diese Interaktion ist üblich, wenn die beiden Ressourcen verwandt sind, aber keinen Lebenszyklus teilen (z. B. Webanwendungen, die eine Verbindung zu einer Datenbank herstellen). Wählen Sie im folgenden Image Neu erstellen. Wählen Sie unter Speicherortden Bereich aus, in dem Sie die Lösung bereitstellen möchten. Beim Erstellen einer Ressourcengruppe müssen Sie einen Speicherort für diese Ressourcengruppe angeben. Die Ressourcengruppe speichert Metadaten zu den Ressourcen, die Sie erstellen. Wenn Sie also einen Speicherort für die Ressourcengruppe angeben, geben Sie an, wo diese Metadaten gespeichert werden.

    Schritt 3

    Hinweis

    Azure schreibt vor, eine Ressource innerhalb einer neuen Ressourcengruppe oder einer leeren Ressourcengruppe zu erstellen. Sie können die SD-WAN-Instanz nicht in einer nicht leeren Ressourcengruppe bereitstellen.

  4. Geben Sie einen Namen für die virtuelle Maschine an. Wählen Sie einen Benutzernamen und ein sicheres Kennwort. Das Kennwort muss aus einem Großbuchstaben und Sonderzeichen bestehen und muss mehr als neun Zeichen lang sein. Klicken Sie auf OK. Dieses Kennwort ist erforderlich, um sich an der Verwaltungsschnittstelle der Instanz anzumelden.

    Hinweis

    Sie können der Instanz nicht den Benutzernamen admin zuweisen, da es sich um einen reservierten Namen handelt. Um jedoch nach der Bereitstellung der Instanz Administratorzugriff zu erhalten, verwenden Sie admin als Benutzernamen und Kennwort, das bei der Bereitstellung der Instanz erstellt wurde. Wenn Sie den Benutzernamen verwenden, der während der Provisioning der Instanz erstellt wurde, erhalten Sie schreibgeschützte Zugriffsrechte.

    Schritt 4

  5. Wählen Sie die Instanz aus, in der das Image ausgeführt werden soll. Wählen Sie den Instanz-Typ je nach Anforderung, wie im Folgenden dargestellt.

    • Instanztyp D3_V2 für maximalen unidirektionalen Durchsatz von 200 MBit/s mit 16 maximalen virtuellen Pfaden/Zweigen.
    • Instanztyp D4_V2 für einen maximalen unidirektionalen Durchsatz von 500 MBit/s mit maximal 16 virtuellen Pfaden/Zweigen.
    • Instanztyp F8 Standard für maximalen unidirektionalen Durchsatz von 1 Gbit/s mit maximal 64 virtuellen Pfaden/Zweigen.
    • Instanztyp F16 Standard für maximalen unidirektionalen Durchsatz von 1 Gbit/s mit maximal 128 virtuellen Pfaden/Zweigen.

    Schritt 5

  6. Ab Citrix SD-WAN 11.0.3 werden standardmäßig 120 GB Datenträgergröße des Betriebssystems zugewiesen. Bei Bedarf können Sie die Datenträgergröße auf einen Wert zwischen 40 GB und 999 GB ändern.

    10-2 Azure HA Schritt 3a

  7. Erstellen Sie ein neues virtuelles Netzwerk (VNET) oder verwenden Sie ein vorhandenes VNET. Dies ist der kritischste Schritt für die Bereitstellung, da in diesem Schritt die Subnetze ausgewählt werden, die den Schnittstellen der SD-WAN VPX-VM zugewiesen werden sollen.

    10-2 Azure HA Schritt 3

  8. Sie können den Schnittstellen in der VM die erforderlichen Subnetze zuweisen. Die Reihenfolge für die Zuweisung von Subnetzen ist Management, LAN, WAN und AUX. Wählen Sie nach Bedarf aus und klicken Sie auf OK. In der folgenden Abbildung weisen Sie den einzelnen Schnittstellen die Subnetze zu.

    Netzwerkkarte Zugehöriges Netzwerk
    NIC 0 (Standard) Management-Subnetz
    NIC 1 LAN-Subnetz
    NIC 2 WAN-Subnetz
  9. Klicken Sie auf Überprüfen+Erstellen und stellen Sie sicher, dass die Validierung bestanden

    Schritt 8

    Die Bereitstellung wird gestartet, und Sie können den Status im Abschnitt Benachrichtigungen anzeigen.

  10. Weitere Details zu Ihrer Bereitstellung erhalten Sie, indem Sie zu der Ressourcengruppe gehen, in der Sie die Bereitstellung erstellen.

    Schritt 11

  11. Nach der Bereitstellung wird automatisch eine öffentliche IP-Adresse für die Verwaltungsschnittstelle erstellt. Verwenden Sie die öffentliche IP-Adresse, um auf die SD-WAN-GUI zuzugreifen.

    Öffentliche IP-Adresse für den Zugriff auf die GUI

  12. Um Administratorzugriff auf die Instanz zu erhalten, verwenden Sie admin als Benutzernamen und das im ersten Schritt erstellte Kennwort.

    Schritt 12

  13. Nachdem Sie sich bei der GUI angemeldet haben, beachten Sie, dass der virtuelle Dienst deaktiviert ist, da SD-WAN in Azure auf einem BYOL-Modell (Bring Your Own License) arbeitet. Wenden Sie die Lizenz über die Registerkarte Lizenzierung an, wenn Sie die Lizenz bereits haben, oder bestellen Sie eine neue, indem Sie zum Citrix Storegehen.

    Schritt 13

  14. Nachdem die Lizenz angewendet wurde, können Sie die Konfiguration auf die Appliance anwenden und sie wie jede andere Zweigstelle verwenden. Weitere Informationen zum Konfigurieren der Appliance finden Sie unter: SD-WAN-Lizenzierung

Internetbreakout für Azure MCN

Konfigurieren von Internetbreakout für Azure MCN:

  1. Konfigurieren Sie in der MCN-Appliance DHCP-IP auf der WAN-Schnittstelle mit öffentlicher IP, die für die WAN-Verbindung konfiguriert ist.
  2. Konfigurieren Sie den Internetdienst auf dem MCN.
  3. Fügen Sie eine NAT mit eingeschränkter dynamischer Port-Beschränkung für ausgehenden Verkehr mit dem Insider-Service
  4. Fügen Sie im MCN eine Firewall-Richtlinie hinzu, um Integritätsprüfungen des Azure-Lastausgleichsdiensts für Portnummer 500
  5. Fügen Sie eine weitere Load Balancing-Regel auf dem externen Azure-Load Balancer für TCP auf Portnummer 80 hinzu, wobei die Direct Server Return deaktiviert ist.

    Direkte Serverrückgabe deaktiviert

  6. Legen Sie auf dem Endclientcomputer, der zum Internet ausbrechen muss, die nächste Hop-IP-Adresse der Route auf die private IP-Adresse des Internal Load Balancer fest. Die Load Balancer-IP ist im MCN als LAN-VIP konfiguriert.

Problembehandlung

  1. Problem: Nach der Anmeldung bei einer frisch bereitgestellten Citrix SD-WAN-VM, die mit der Azure-Bereitstellungsvorlage für 11.2.3 erstellt wurde, zeigt die Benutzeroberfläche die folgende Warnmeldung an:

    Disk usage for the Active OS partition usage is at 70%

    Fehler bei der Datenträgernutzung

    Lösung: Azure-Abonnements können aus Sicherheitsgründen einige Standarderweiterungen aktiviert haben. Wenn ein Image neu erstellt wird, installiert waagent diese Plug-Ins im Standardpfad, wodurch die Verwendung der Active OS-Partition erhöht wird. Beim Aktualisieren der Software auf Citrix SD-WAN 11.3 oder höher wird die Warnmeldung von der Benutzeroberfläche entfernt.

  2. Problem: Wenn Sie mit dem Benutzernamen aus der Azure-Bereitstellungsvorlage bei der Citrix SD-WAN-Benutzeroberfläche angemeldet sind, werden Sie als schreibgeschützter Benutzer angemeldet. Sie können nur die Konfiguration anzeigen und keine Einstellungen auf der VM ändern.

    Lösung: Wenn Sie den Benutzernamen verwenden, der bei der Bereitstellung der Instanz erstellt wurde, erhalten Sie schreibgeschützten Zugriff. Um nach der Bereitstellung der Instanz Administratorzugriff zu erhalten, verwenden Sie admin als Benutzernamen und Kennwort, das bei der Bereitstellung der Instanz erstellt wurde.

Einschränkungen - Microsoft Azure-VMs

  • Nachdem eine VM in Azure erstellt und gestartet wurde, können die Schnittstellen nicht hinzugefügt oder gelöscht werden. Das VM-Profil (RAM/HD/CPUs) kann geändert werden.
  • Routen werden in der Virtual WAN-Konfigurationsdatei hinzugefügt, die den gesamten Virtual WAN-Datenverkehr aus dem WAN an das Client/Server-LAN-Subnetz weiterleitet.

Microsoft Azure unterstützt nur den Gateway modus für Bereitstellungen. Weitere Informationen zum Gatewaymodus finden Sie unter Gateway-Modus.

Bereitstellen der Citrix SD-WAN Standard Edition-Instanz in Azure — Version 10.2 und höher