Citrix SD-WAN Orchestrator

Azure仮想WAN

Microsoft Azure Virtual WANとCitrix SD-WANは、ハイブリッドクラウドワークロード全体のネットワーク接続と集中管理を簡素化します。ブランチアプライアンスの構成を自動化して Azure Virtual WAN ハブに接続し、ビジネス要件に応じてブランチトラフィック管理ポリシーを構成できます。組み込みのダッシュボードインターフェースは、時間を節約し、大規模なサイト間接続の可視性を提供するインスタントトラブルシューティングの洞察を提供します。

Microsoft Azure Virtual WANを使用すると、Azure Cloudワークロードへの接続を簡素化し、Azureバックボーンネットワークを越えてトラフィックをルーティングできます。Azure は、世界中の 54以上のリージョンと複数のプレゼンスを提供しています。Azure リージョンは、ブランチに接続するように選択できるハブとして機能します。ブランチが接続されたら、ハブ間接続を介してAzureクラウドサービスを使用します。Azure VNet でのハブピアリングを含む複数の Azure サービスを適用することで、接続を簡素化できます。ハブは、ブランチのトラフィックゲートウェイとして機能します。

Microsoft Azure Virtual WANには次の利点があります。

  • ハブアンドスポークに統合された接続ソリューション -接続パートナーソリューションを含むさまざまなソースからオンプレミスと Azure ハブ間のサイト間の接続と構成を自動化します。

  • 自動セットアップと構成 — 仮想ネットワークを Azure ハブにシームレスに接続します。

  • 直感的なトラブルシューティング — Azure 内でエンドツーエンドのフローを確認し、この情報を使用して必要なアクションを実行できます。

ハブ間通信

11.1.0 リリース以降、Azure 仮想 WAN は、 ** 標準型方式を使用したハブ間通信をサポートしています。

Azure 仮想 WAN のお客様は、リージョン間のハブ間通信 (グローバルトランジットネットワークアーキテクチャ) に Microsoft のグローバルバックボーンネットワークを使用できます。これにより、ブランチからAzure、ブランチからブランチへのAzureバックボーン、ブランチからハブ(すべてのAzureリージョン)の通信が可能になります。

Azure のバックボーンは、Azure 仮想 WAN の標準 SKU を購入した場合のみ、リージョン間の通信に使用できます。料金の詳細については、「 仮想 WAN 料金表」を参照してくださいBasic SKU では、リージョン間のハブとハブ間の通信に Azure のバックボーンを使用することはできません。詳細については、「 グローバルトランジットネットワークアーキテクチャ」および「仮想 WAN」を参照してください

ハブはすべて、仮想 WAN 内で相互に接続されています。これは、ローカルハブに接続されたブランチ、ユーザー、またはVNetが、接続されたハブのフルメッシュアーキテクチャを使用して別のブランチまたはVNetと通信できることを意味します。

また、仮想ハブを経由するハブ内の VNet と、ハブ間の接続フレームワークを使用して、ハブを経由する VNet を接続することもできます。

仮想 WAN には、次の 2 つのタイプがあります。

  • [ 基本]: [ 基本]方法を使用すると、ハブ間通信は 1 つのリージョン内で行われます。** 基本WANタイプを使用すると、基本ハブ(SKU = 基本)を作成できます。基本的なハブは、サイト間VPN機能に制限されています。

  • 標準: Standard 方式を使用すると、ハブ間通信はさまざまなリージョン間で行われます。標準 WAN は、標準ハブ (SKU = 標準) の作成に役立ちます。** 標準ハブには、ExpressRoute、ユーザ VPN(P2S)、フルメッシュハブ、およびハブを経由する VNet から VNet への転送が含まれます。

Microsoft AzureでAzure Virtual WANサービスを作成する

Azure Virtual WANリソースを作成するには、次の手順を実行します。

  1. Azure ポータルにログインし、[ リソースの作成] をクリックします

リソースを作成する

  1. 仮想 WAN を検索し、[ 作成] をクリックします

  2. [ 基本] で、次のフィールドの値を入力します。

  • サブスクリプション: ドロップダウンリストからサブスクリプションの詳細を選択し、入力します。

  • リソースグループ: 既存のリソースグループを選択するか、新しいリソースグループを作成します。

    Azure API 通信を許可するサービスプリンシパルを作成する場合は、仮想 WAN を含むリソースグループと同じリソースグループを使用してください。そうしないと、SD-WAN Orchestrator には、自動接続を有効にする Azure 仮想 WAN API を認証するための十分なアクセス許可がありません。

  • リソースグループの場所: ドロップダウンリストから Azure リージョンを選択します。

  • [ 名前]: 新しい仮想 WAN の名前を入力します。
  • タイプ: 異なるリージョン間でハブ間通信を使用する場合は [ 標準タイプ ] を選択し、それ以外の場合は [ 基本 ] を選択します。

    Azureタイプ

  1. [ 確認] + [作成] をクリックします
  2. 仮想 WAN を作成するために入力した詳細を確認し、[ Create ] をクリックして仮想 WAN の作成を終了します。

リソースのデプロイには1分もかかりません。

基本から標準にアップグレードできますが、標準から基本に戻すことはできません。仮想 WAN をアップグレードする手順については、「仮想 WAN の基本から標準へのアップグレード」を参照してください

Azure Virtual WANでハブを作成する

次の手順を実行して、さまざまなエンドポイント(オンプレミスVPNデバイス、SD-WANデバイスなど)からの接続を可能にするハブを作成します。

  1. 以前に作成したAzure Virtual WANを選択します。
  2. [ 接続 ]セクションで [ ハブ ] を選択し、[ + 新しいハブ] をクリックします

ハブを作成

  1. [ 基本] で、次のフィールドの値を入力します。
  • [ リージョン] — ドロップダウンリストから Azure リージョンを選択します。
  • 「名前」 — 新しいハブの名前を入力します。
  • 「ハブのプライベートアドレス空間」 — CIDR にアドレス範囲を入力します。ハブ専用の一意のネットワークを選択してください。
  1. 次へ:サイト」(Site to Site >) をクリックし、次のフィールドの値を入力します。
  • サイト間 (VPN Gateway) を作成しますか? — [ はい] を選択します
  • [ Gateway の尺度単位] — 必要に応じて、ドロップダウンリストから尺度単位を選択します。

    Gatewayスケールユニット

  1. [ 確認] + [作成] をクリックします
  2. 設定を確認し、[ Create ] をクリックして仮想ハブの作成を開始します。

リソースのデプロイには最大30分かかる場合があります。

Azure Virtual WANのサービスプリンシパルを作成し、IDを特定する

SD-WAN Orchestrator が Azure 仮想 WAN API を介して認証され、自動接続を有効にするには、登録済みアプリケーションを作成し、次の認証資格情報を使用して識別する必要があります。

  • サブスクリプションID
  • クライアントID
  • クライアントシークレット
  • テナント ID

Azure API 通信を許可するサービスプリンシパルを作成する場合は、仮想 WAN を含むリソースグループと同じリソースグループを使用してください。そうしないと、SD-WAN Orchestrator には、自動接続を有効にする Azure 仮想 WAN API を認証するための十分なアクセス許可がありません。

新しいアプリケーション登録を作成するには、次の手順を実行します。

  1. Azure ポータルで、 Azure Active Directory に移動します
  2. [管理] で、[ アプリの登録] を選択します
  3. [ + 新規登録] をクリックします

新規登録Azure

  1. 次のフィールドに値を入力して、アプリケーションを登録します。
  • 「名前」 — アプリケーション登録の名前を指定します。
  • サポートされているアカウントの種類 — [この組織ディレクトリのアカウントのみ (*-シングルテナント)] オプションを選択します。
  • リダイレクト URI(オプション) :ドロップダウンリストから [Web] を選択し、ランダムな一意の URL を入力します (https://localhost: 4980 など)。
  • [ 登録] をクリックします

    アプリケーションを登録する

    API を使用するために Azure サブスクリプションへの認証のために SD-WAN Orchestrator で使用できるアプリケーション (クライアント) IDとディレクトリ (テナント) ID をコピーして格納できます。

    クライアントとテナントID

    アプリケーション登録の次のステップでは、認証のためにサービスプリンシパルキーを作成します。

    サービスプリンシパルキーを作成するには、次の手順を実行します。

    1. Azure ポータルで、 Azure Active Directory に移動します
    2. [ 管理] で、[ アプリの登録] に移動します
    3. 登録済みのアプリケーション(以前に作成したもの)を選択します。
    4. [ 管理] で、[ 証明書とシークレット] を選択します
    5. [ クライアントのシークレット] で、[ + 新しいクライアントシークレット] をクリックします

    新しいクライアントシークレット

    1. クライアントシークレットを追加するには、次のフィールドに値を入力します。
      • 説明: サービスプリンシパルキーの名前を指定します。
      • 有効期限: 必要に応じて有効期限の期間を選択します。

    クライアントシークレットを追加する

    1. [ 追加] をクリックします
    2. クライアントの秘密は、** [ **値] 列で無効になっています。キーをクリップボードにコピーします。これは、SD-WAN Orchestrator に入力する必要があるクライアントシークレットです。

    クライアント秘密鍵

    ページを再ロードする前に、シークレットキーの値をコピーして格納してください。これは、後で表示されなくなるためです。

認証目的で適切なロールを割り当てるには、次の手順を実行します。

  1. Azure ポータルで、仮想 WAN ** が作成されたリソースグループに移動します。
  2. [ アクセスコントロール (IAM)] に移動します
  3. [ + 追加] をクリックし、[ 役割の割り当ての追加] を選択します

役割の割り当てを追加する

  1. 役割の割り当てを追加するには、次のフィールドに値を入力します。
  • 「ロール」 — ドロップダウンリストから「所有者」を選択します。この役割は、リソースへのアクセスを含むすべての管理を許可します。
  • [ アクセスの割り当て]Azure AD ユーザー、グループ、またはサービスプリンシパルを選択します
  • 「選択」 — 以前に作成した登録済みアプリケーションの名前を指定し、表示されたら、対応するエントリを選択します。
  1. [ 保存] をクリックします

役割の割り当て2を追加

最後に、AzureアカウントのサブスクリプションIDを取得する必要があります。Azure ポータルで [ サブスクリプション] を検索すると、サブスクリプション ID を識別できます。

サブスクリプションID

SD-WAN オーケストレータで Azure 仮想 WAN 配信サービスを構成する

Microsoft Azure仮想WANとCitrix SD-WAN は、クラウドワークロード全体にわたるネットワーク接続と集中管理を提供します。このサービスでは、Azure Virtual WAN に接続するためのブランチアプライアンスの自動構成と、ビジネス要件に応じてブランチトラフィック管理ポリシーを構成します。

Azure サービスプリンシパル情報を提供し、Citrix SD-WAN サイトを Azure 仮想 WAN にマッピングします。サイトを Azure 仮想 WAN サービスに設定する前に、各 Azure リージョンにサイト間接続Gateway リソースを使用して Azure 仮想 WAN ハブを作成する必要があります。サイト間接続は、Citrix SD-WAN アプライアンスと Azure の間で確立されます。

サブスクリプションの Azure Portal で作成された仮想 WAN ハブのみがマッピング対象として一覧表示されます。

Citrix SD-WAN ブランチを Azure 仮想 WAN にマッピングする一環として、事前に選択した IPSec IKE/IPSec 設定を使用して Azure 仮想ハブと IPsec トンネルを確立するために、ブランチサイトを Azure WAN リソースに関連付ける必要があります。サイトと Azure バックボーンルートは、デフォルトでは BGP 経由で学習されます。Citrix SD-WAN ブランチサイトに複数のインターネットWANリンクが構成されている場合、冗長性を提供するために2つのWANリンクが自動的に選択されます。選択したCitrix SD-WAN ソフトウェアには、プライマリとセカンダリのIPsecトンネルを切り替えるためのサポートが必要です。このトンネルは、11.1リリース以降でサポートされています。

1 つの Citrix SD-WAN サイトは、同じ Azure リージョンまたは異なる Azure リージョン内の複数の Azure 仮想ハブに接続できます。

一部のCitrix SD-WAN アプライアンスには、サポートできるIPsecトンネルの数に関するリソース制限があります。したがって、Citrix SD-WAN アプライアンスのトンネル数の制限が満たされていない場合、構成マッピングが失敗することがあります。

次に、SD-WAN プラットフォームごとの IPSec トンネルの制限を示します。

SD-WANアプライアンス IPSec トンネルがサポートされています
4100, 5100, 6100 256
1100, 2100 128
110, 210, 410, 1000, 2000 8

前提条件

SD-WAN Orchestrator で構成を開始する前に、次の前提条件を実行してください。

  • Azure インフラストラクチャの完全なセットアップ (ハブ付きピア VNet、オートメーション用の登録済みアプリケーションなど)
  • クラウドホストサービスとして SD-WAN Orchestrator へのアクセスを取得します。適切なオンボーディングプロセスを経たCitrix Cloudアカウントを使用してください。そうしないと、認証が失敗します。
  • Azure サブスクリプションが他の Orchestrator 構成でまだ使用されていないことを確認します。
  • MCN ノードとブランチの SD-WAN ノードを既に展開し、インターネット WAN リンクタイプを介した仮想パスを確認します。Orchestrator は、構成プロセスを通じてイントラネットサービスを自動的に有効にします。
  • ブランチの SD-WAN ノードが、インターネット WAN リンクのパブリック IP アドレスを自動学習するように設定されていることを確認します。

Azure 仮想 WAN の構成を完了し、SD-WAN デバイスで IPsec トンネルを確立するには、次の手順を実行します。

  1. Citrix SD-WAN Orchestrator から、[ すべてのサイト ] を選択し、[ 配信サービス] > [サービスと帯域幅] に移動します。Azure 仮想 WAN 配信サービスの帯域幅の割合 (20% など) を割り当てます。割り当てられた割合の合計が100になるように、他の配信サービス(たとえば、仮想パス)から割り当てられた割合を引く必要がある場合があります。

Azure 仮想 WAN サービス

Azure 仮想 WAN サービスのサブスクリプション帯域幅 (%) を指定します。サブスクリプション帯域幅は、グローバル([すべてのサイト] > [構成] > [配信サービス] > [サービスと帯域幅])とサイト([サイト] > [基本設定] > [WAN リンク] > [サービス])レベルの両方で予約できます。

オプションで、サイトごとに異なる帯域幅を割り当てることもできます。このためには、選択したサイトのリンク固有の構成を実行します。これを行うには、適切な [ サイト] > [WAN リンク] タブ > [サービス]セクションを選択します。グローバル帯域幅割り当てを上書きするには、[ サービス帯域幅設定] で [ リンク固有 ] を選択し、目的の帯域幅を割り当てます。

サービス帯域幅の設定

  1. [Azure 仮想 WAN] の横にある設定オプションをクリックして、Azure サブスクリプションに関連付けます。

Azure 仮想 WAN サービスの設定

  1. Azureサービスプリンシパルの作成中に以前にキャプチャされた Azure サブスクリプション ID、クライアント ID、クライアントシークレット、**およびテナント ID を指定します。資格情報が正しくない場合、認証は失敗し、それ以上のアクションは許可されません。[ **保存] をクリックします

Azure 仮想 WAN サービス

認証が成功したら、ブランチサイトを Azure 仮想 WAN リソースに関連付けて IPsec トンネルを確立する必要があります。1 つのブランチを Azure 仮想 WAN リソース内の複数のハブに接続でき、1 つの Azure 仮想 WAN リソースを複数のブランチサイトに接続できます。

  1. Azure 認証が成功したら、[ + サイト ] をクリックしてサイトを追加します。

Azure仮想WANがサイトを追加します

サブスクリプション帯域幅を予約していない場合は、[ + サイト ] オプションは無効になります。

  1. 次の詳細を入力します。
  • Azure 仮想 WAN -サブスクリプションに関連付けられているドロップダウンリストから Azure 仮想 WAN を選択します。同じサイトを複数のWANに接続することはできません。

  • Azure ハブ -Azure ハブを選択します。マッピングには、Azure 仮想ハブを使用する Azure 仮想 WAN のみが一覧表示されます。同じサイトに接続された複数のハブを追加できます。

    [ Azure 仮想 WAN ] フィールドには、対応するハブが既に作成されている仮想 WAN のみが一覧表示されます。

  • [ リージョン/グループの選択] — すべての領域またはグループを選択することも、選択することもできます。

  • [ サイトの選択] — マッピングするサイトをすべて選択するか、または選択したサイトを選択できます。

    Azure仮想WANがサイトを追加します

  1. [ レビュー] をクリックします

Azure仮想WANがサイトを追加します

ALB 内部 IP — 特定のサイトが Azure VPX であり、高可用性 (HA) モードでデプロイされている場合は、Azure ロードバランサー (ALB) IP 入力が必要です。それ以外の場合、このフィールドはオプションです。

  1. [ 保存] をクリックします

  2. サイトを展開すると、次の情報が表示されます。

Azure 仮想 WAN サイトの詳細

次の図は、Orchestrator と Azure 仮想 WAN 接続の高レベルのワークフローを示しています。

仮想 WAN ワークフロー

  • 情報 -Azure 仮想 WAN トンネルの構成の詳細と状態を表示します。
  • 「サイト名」 — 展開されたサイト名が表示されます。
  • [ 仮想 WAN] — 対応するサイトがマップされている Azure 仮想 WAN を表示します。
  • Hubs — ハブの数を表示します。
  • [ Status] :最終的な完了メッセージとともにさまざまな展開状態を表示します。サイトが正常にプロビジョニングされると、IPSec トンネルだけを作成できます。
  • アクション**** 構成済みのサイトを編集または削除できます。

Azure 仮想デプロイされたサイト情報

Azure 仮想デプロイされたサイト情報の詳細

Azure 仮想 WAN ハブへの Citrix SD-WAN サイトのマッピングには、Azure から IPSec 構成をダウンロードする必要があるため、多少時間がかかる場合があります。** ブランチ設定のダウンロード後、ブランチマッピングのステータスは [Configuration Downloded] と表示されます。構成をアクティブ化する前に、サイトのステータスを更新して、更新されたステータスを確認することをお勧めします。

サイトが正常にプロビジョニングされたら、 検証、ステージ、** およびアクティブプロセスを実行して IPSec トンネルを作成する必要があります。

Azure 仮想 WAN が構成を検証する

アクティブ化後、[ すべてのサイト] > [レポート] > [リアルタイム] > [統計] > [IPSec トンネル] に移動して、目的のサイトを選択し、[ 最新データの取得] をクリックすると、各サイトのトンネルの状態を確認できます。設定がアクティブになっていない場合、トンネル情報は利用できません。冗長性を目的として、2 つのトンネルが作成されます。

最新のデータを取得する

また、各サイトの Azure 仮想 WAN へのルートを表示するには、[ すべてのサイト] > [レポート] > [リアルタイム] > [統計] > [ルート] に移動して、目的のサイトを選択し、[ 最新データの取得] をクリックします

最新のデータを取得1

Azure 仮想 WAN の初期構成時に 10.0.1.0/24 VNet が関連付けられ、このルートはオンプレミスの SD-WAN によって学習され、配信サービスタイプとしてAzureVWANService を使用してルートテーブルに入力します。** ダイナミックを示すタイプと **BGP を示すプロトコルは 、ルートが BGP 経由でダイナミックに学習されたと判断できます。

Azure ポータルでは、正常にデプロイされた VPN サイトを Azure 仮想 WAN ハブで監視できます。また、オンプレミスの SD-WAN デバイスで学習されたハブに関連付けられたアドレススペースも表示されます。

Azure VPN サイト

接続された VPN サイトのいずれかを選択すると、接続された SD-WAN の詳細が表示されます。IPSec トンネルを終端するパブリック IP アドレス/FQDN、プライベート IP アドレス空間、および SD-WAN の WAN インターフェイス VIP アドレスになる BGP アドレス、さらに重要なのはハブへの速度と接続ステータスを含みます。

接続ステータス

Azure では、仮想ネットワーク接続を追加して、VNet を接続して Azure で利用可能なリソースを作成できます。この構成を完了するには、次の手順を実行します。

  1. Azure ポータルで、仮想 WAN リソースを選択します。
  2. [ 接続] で、[ 仮想ネットワーク接続] に移動します
  3. [ + 接続を追加] をクリックします

仮想ネットワーク接続

  1. 接続を追加するには、次のフィールドに値を指定します。
  • 「接続名」 — 新しい接続の名前を入力します。
  • 「ハブ」(Hubs) — ドロップダウンリストで使用可能なハブから選択します。
  • [ サブスクリプション] — ドロップダウンリストで使用可能なサブスクリプションから選択します。
  • 「リソースグループ」 — 仮想 WAN リソースがデプロイされているドロップダウンリストから、リソースグループを選択します。
  • [ 仮想ネットワーク] — ドロップダウンリストで使用可能な仮想ネットワークから選択します。

    Azureは接続を追加します

  1. [ 作成] をクリックします

仮想ネットワーク接続が作成

新しい VNet がハブにピア接続された場合、オンプレミスの SD-WAN デバイスは、BGP を介して新しいルートを動的に学習します。Orchestrator で SD-WAN デバイスの最新のルートテーブルを取得するには、[ すべてのサイト] > [レポート] > [リアルタイム] > [統計] > [ルート] に移動します。目的のサイトを選択し、[ 最新データの取得] をクリックします

Azure 仮想 WAN 統計

Citrix SD-WAN で展開されたVPNサイトは、前述の構成手順を通じて、Azure仮想WANハブにピア接続された VNet にデプロイされたリソースにアクセスできます。