Citrix SD-WAN Platforms

Déployer l’instance Citrix SD-WAN Standard Edition sur Azure - Version 10.2 et ultérieure

Citrix SD-WAN Standard Edition pour Azure lie logiquement plusieurs liens réseau en un seul chemin virtuel logique sécurisé. La solution permet aux organisations d’utiliser des connexions provenant de différents fournisseurs de services, notamment des liaisons haut débit, MPLS, 4G/LTE, satellite et point à point pour obtenir des chemins WAN virtuels à haute résilience. Citrix SD-WAN pour Azure permet aux entreprises d’avoir une connexion sécurisée directe de chaque succursale aux applications hébergées dans Azure, ce qui élimine la nécessité de retransmettre le trafic lié au cloud via un centre de données. Certains des avantages de l’utilisation de Citrix SD-WAN dans Azure sont les suivants :

  • Créez des connexions directes à partir de n’importe quel emplacement vers Azure.
  • Assurez-vous d’une connexion permanente à Azure.
  • Étendez votre périmètre sécurisé jusqu’au cloud.
  • Passez à un réseau de succursales simple et facile à gérer.

Remarque

Auparavant, 128 chemins virtuels étaient pris en charge dans Azure. À partir de la version 11.2, 256 parties virtuelles sont prises en charge avec SD-WAN SE dans Azure.

Topologie - SD-WAN dans Azure

Citrix SD-WAN Standard Edition ne peut être déployé qu’en mode de déploiement Gateway dans Azure. Une adresse IP publique (statique/dynamique) est attribuée à l’interface orientée vers le WAN du SD-WAN et une adresse IP publique est attribuée à l’interface de gestion pour accéder à l’interface de gestion dans Azure.

SD-WAN dans la topologie Azure

Cas d’utilisation

Une machine virtuelle Azure est déployée dans une région spécifiée et peut être connectée à plusieurs sites distants via MPLS, Internet ou 4G/LTE. Au sein d’une infrastructure de réseau virtuel (VNET), la machine virtuelle SD-WAN Standard Edition est déployée en mode passerelle. Le réseau virtuel possède des routes vers la passerelle Azure. L’instance SD-WAN possède une route vers la passerelle Azure pour la connectivité Internet.

La connectivité entre le centre de données, la succursale et le cloud est obtenue en utilisant différentes méthodes de transport utilisant simultanément plusieurs chemins WAN.

Cas d'utilisation du SD-WAN dans Azure

Pour déployer l’édition standard Citrix SD-WAN dans Microsoft Azure

  1. Dans un navigateur Web, saisissez https://portal.azure.com/. Connectez-vous au compte Microsoft Azure. Recherchez Citrix SD-WAN Standard Edition.

    Connexion Azure

  2. Dans la fenêtre des résultats de la recherche, choisissez la solution suivante. Cliquez sur Créer après avoir parcouru la description et vérifié que la solution choisie est correcte.

    Étape 1

    Étape 2

  3. Une fois que vous avez cliqué sur Créer, un assistant vous demandant les détails nécessaires pour créer la machine virtuelle dans Azure s’affiche. Dans un premier temps, choisissez le groupe de ressources dans lequel vous souhaitez déployer la solution. Un groupe de ressources est un conteneur qui contient des ressources associées pour une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement les ressources que vous souhaitez gérer en tant que groupe. Vous pouvez décider de la façon dont vous souhaitez allouer des ressources aux groupes de ressources en fonction de votre déploiement. Voici certains points importants à prendre en compte lors de la définition de votre groupe de ressources :
    • Si une ressource, telle qu’un serveur de base de données, doit se trouver sur un cycle de déploiement différent, elle peut appartenir à un autre groupe de ressources.
    • Chaque ressource ne peut exister que dans un seul groupe de ressources.
    • Vous pouvez ajouter ou supprimer une ressource d’un autre groupe de ressources à tout moment.
    • Vous pouvez déplacer une ressource d’un groupe de ressources vers un autre groupe de ressources
    • Un groupe de ressources peut contenir des ressources résidant dans différentes régions.
    • Un groupe de ressources peut être utilisé pour définir le contrôle d’accès pour les actions administratives.
    • Une ressource peut interagir avec les ressources d’autres groupes de ressources. Cette interaction est courante lorsque les deux ressources sont liées mais ne partagent pas le même cycle de vie (par exemple, les applications Web se connectant à une base de données). Dans l’image suivante, choisissez Create New. Sous Emplacement, choisissez la région dans laquelle vous souhaitez déployer la solution. Lors de la création d’un groupe de ressources, vous devez fournir un emplacement pour ce groupe de ressources. Le groupe de ressources stocke les métadonnées relatives aux ressources que vous créez. Par conséquent, lorsque vous spécifiez un emplacement pour le groupe de ressources, vous spécifiez l’emplacement où ces métadonnées sont stockées.

    Étape 3

    Remarque

    Azure impose la création d’une ressource à l’intérieur d’un nouveau groupe de ressources ou d’un groupe de ressources vide, vous ne serez pas en mesure de déployer l’instance SD-WAN dans un groupe de ressources non vide.

  4. Entrez un nom pour la machine virtuelle. Choisissez un nom d’utilisateur et un mot de passe fort. Le mot de passe doit être composé d’une lettre majuscule, d’un caractère spécial et doit comporter plus de neuf caractères. Cliquez sur OK. Ce mot de passe est nécessaire pour se connecter à l’interface de gestion de l’instance.

    Remarque

    Vous ne pouvez pas provisionner l’instance avec le nom d’utilisateur admin car il s’agit d’un nom réservé. Toutefois, pour obtenir un accès administrateur après avoir provisionné l’instance, utilisez admin comme nom d’utilisateur et mot de passe créés lors du provisionnement de l’instance. Si vous utilisez le nom d’utilisateur créé lors du provisionnement de l’instance, vous bénéficiez d’un accès en lecture seule.

    Étape 4

  5. Choisissez l’instance dans laquelle vous souhaitez exécuter l’image. Choisissez le type d’instance en fonction de vos besoins, comme indiqué ci-dessous.

    • Type d’instance D3_V2 pour un débit unidirectionnel maximal de 200 Mbit/s avec 16 chemins/branches virtuels maximum.
    • Type d’instance D4_V2 pour un débit unidirectionnel maximal de 500 Mbit/s avec 16 chemins/branches virtuels maximum.
    • Type d’instance F8 standard pour un débit unidirectionnel maximal de 1 Gbit/s avec 64 chemins/branches virtuels maximum.
    • Type d’instance standard F16 pour un débit unidirectionnel maximal de 1 Gbit/s avec 128 chemins/branches virtuels maximum.

    Étape 5

  6. À partir de la version 11.0.3 de Citrix SD-WAN, 120 Go de taille de disque du système d’exploitation sont alloués par défaut. Si nécessaire, vous pouvez modifier la taille du disque à une valeur comprise entre 40 Go et 999 Go.

    10-2 Étape 3a d'Azure HA

  7. Créez un nouveau réseau virtuel (VNET) ou utilisez un réseau virtuel existant. Il s’agit de l’étape la plus critique pour le déploiement, car cette étape sélectionne les sous-réseaux à attribuer aux interfaces de la machine virtuelle SD-WAN VPX.

    10-2 Étape 3 d'Azure HA

  8. Vous pouvez attribuer les sous-réseaux requis à chacune des interfaces de la machine virtuelle. L’ordre d’attribution des sous-réseaux est respectivement Management, LAN, WAN et AUX. Choisissez selon vos besoins et cliquez sur OK. Dans l’image suivante, vous affectez les sous-réseaux à chacune des interfaces.

    Carte d’interface réseau Réseau associé
    NIC 0 (par défaut) Sous-réseau de gestion
    CARTE RÉSEAU 1 sous-réseau LAN
    NIC 2 sous-réseau WAN
  9. Cliquez sur Review+Create et assurez-vous que la validation est réussie.

    Étape 8

    Le déploiement démarre et vous pouvez consulter l’état dans la section des notifications.

  10. Vous pouvez obtenir plus de détails sur votre déploiement en accédant au groupe de ressources dans lequel vous créez le déploiement.

    Étape 11

  11. Après le provisionnement, une adresse IP publique pour l’interface de gestion est automatiquement créée. Utilisez l’adresse IP publique pour accéder à l’interface graphique SD-WAN.

    Adresse IP publique pour accéder à l'interface graphique

  12. Pour obtenir un accès administrateur à l’instance, utilisez admin comme nom d’utilisateur et mot de passe créé lors de la première étape.

    Étape 12

  13. Après vous être connecté à l’interface graphique, remarquez que le service virtuel est désactivé car le SD-WAN sur Azure fonctionne sur un modèle BYOL (Bring Your Own License). Appliquez la licence via l’onglet Licences, si vous avez déjà la licence ou commandez-en une nouvelle en vous rendant sur la boutique Citrix.

    Étape 13

  14. Une fois la licence appliquée, vous pouvez appliquer la configuration à l’appliance et l’utiliser comme n’importe quelle autre succursale. Pour plus d’informations sur la configuration de l’appliance, reportez-vous à : Licences SD-WAN

Breakout Internet pour Azure MCN

Pour configurer le breakout Internet pour Azure MCN, procédez comme suit :

  1. Dans l’appliance MCN, configurez l’adresse IP DHCP sur l’interface WAN avec l’adresse IP publique configurée pour la liaison WAN.
  2. Configurez le service Internet sur le MCN.
  3. Ajoutez un NAT restreint de port dynamique sortant avec le service interne comme Internet.
  4. Ajoutez une stratégie de pare-feu sur le MCN pour autoriser les sondes de santé de l’équilibreur de charge Azure sur le port numéro 500.
  5. Ajoutez une autre règle d’équilibrage de charge sur l’équilibreur de charge externe Azure pour TCP sur le port numéro 80, avec le retour direct du serveur désactivé.

    Retour direct au serveur désactivé

  6. Sur l’ordinateur client final qui doit se connecter à Internet, définissez l’adresse IP du saut suivant de route sur l’adresse IP privée de l’équilibreur de charge interne. L’adresse IP de l’équilibreur de charge est configurée en tant que VIP LAN dans le MCN.

Résolution des problèmes

  1. Problème : Après vous être connecté à une machine virtuelle Citrix SD-WAN récemment provisionnée créée à l’aide du modèle de déploiement Azure pour 11.2.3, l’interface utilisateur affiche le message d’avertissement suivant :

    Disk usage for the Active OS partition usage is at 70%

    Erreur d'utilisation du disque

    Résolution : les abonnements Azure peuvent avoir quelques extensions par défaut activées pour des raisons de sécurité. Lorsqu’une image est fraîchement créée, waagent installe ces plug-ins dans le chemin par défaut, ce qui augmente l’utilisation de la partition Active OS. La mise à niveau du logiciel vers Citrix SD-WAN 11.3 ou versions ultérieures supprime le message d’avertissement de l’interface utilisateur.

  2. Problème : Lorsque vous êtes connecté à l’interface utilisateur Citrix SD-WAN à l’aide du nom d’utilisateur du modèle de déploiement Azure, vous êtes connecté en tant qu’utilisateur en lecture seule. Vous pouvez uniquement afficher la configuration et ne pouvez pas modifier les paramètres de la machine virtuelle.

    Résolution : si vous utilisez le nom d’utilisateur créé lors du provisionnement de l’instance, vous bénéficiez d’un accès en lecture seule. Pour obtenir un accès administrateur après avoir provisionné l’instance, utilisez admin comme nom d’utilisateur et mot de passe créés lors du provisionnement de l’instance.

Restrictions - Machines virtuelles Microsoft Azure

  • Après la création et le démarrage d’une machine virtuelle dans Azure, les interfaces ne peuvent pas être ajoutées ou supprimées. Le profil de la machine virtuelle (RAM/HD/CPU) peut être modifié.
  • Des itinéraires sont ajoutés dans le fichier de configuration Virtual WAN dirigeant tout le trafic de données du réseau étendu virtuel provenant du réseau étendu vers le sous-réseau LAN client/serveur.

Microsoft Azure prend uniquement en charge le mode passerelle pour les déploiements. Pour plus d’informations sur le mode passerelle, reportez-vous à la section Mode passerelle.

Déployer l’instance Citrix SD-WAN Standard Edition sur Azure - Version 10.2 et ultérieure