Citrix SD-WAN Orchestrator

Citrix CloudおよびGateway サービスの最適化

Citrix CloudおよびGatewayサービスの最適化機能の強化により、Citrix CloudおよびGatewayサービス宛てのトラフィックを検出してルーティングできます。ポリシーを作成して、トラフィックをインターネットに直接遮断したり、仮想パスを経由してバックホールルート経由で送信したりできます。この機能がない場合、Gateway サービスは顧客のデータセンターにヘアピン留めされ、Citrix Cloudに不要な遅延が追加されます。さらに、Citrix GatewayとCitrix Cloudのトラフィックを可視化し、仮想パスよりも優先するQoSポリシーを作成できます。

Citrix CloudおよびCitrix Gateway Service宛てのトラフィックの最初のパケット検出、分類、および選択ルーティング(直接インターネットブレークアウトまたは仮想パス経由)を有効にできるようになりました(制御とデータ)。

Citrix CloudおよびGateway サービスの最適化を構成するには、Citrix SD-WAN Orchestrator を使用します。** Citrix CloudおよびGateway サービスの機能は、Citrix SD-WAN ソフトウェアバージョン11.2.1以降でサポートされています。

Citrix Cloud およびCloud サービスのカテゴリ

Citrix SD-WANトラフィックの分類および最適化のために、すべてのCitrix Cloudトラフィックは次のカテゴリに分類されます。

  • Citrix Cloud:Citrix Cloud Web UIおよびAPI宛てのトラフィックを検出してルーティングできるようにします。

  • Citrix Gatewayサービス:Citrix Gatewayサービス宛てのトラフィック(制御およびデータ)を検出してルーティングできるようにします。

    • Gateway サービスクライアントデータ:クライアントとCitrix Gateway Service間のICAデータトンネルの直接インターネットブレークアウトを有効にします。高帯域幅と低レイテンシが必要です。

    • Gateway サービスサーバーデータ:仮想デリバリーエージェント(VDA)とCitrix Gatewayサービス間のICAデータトンネルの直接インターネットブレークアウトを有効にします。これは、高帯域幅と低レイテンシーを必要とし、VDAリソースの場所(VDAからCitrix Gatewayサービスへの接続)でのみ関連します。

    • Gateway サービス制御トラフィック:制御トラフィックの直接インターネットブレークアウトを有効にします。QoS に関する具体的な考慮事項はありません。

    • Gateway サービスWebプロキシトラフィック:Webプロキシトラフィックの直接インターネットブレークアウトを有効にします。高い帯域幅が必要ですが、レイテンシーの要件は異なる場合があります。

前提条件

次の項目があることを確認します。

  1. Citrix CloudおよびGatewayサービスのブレークアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。インターネットサービスの構成の詳細については、「 インターネットアクセス」を参照してください

  2. 管理インターフェイスにインターネット接続があることを確認します。専用の管理インターフェイスが接続されていない場合は、帯域内管理が有効になっていて、送信管理トラフィックがインターネットに接続されていることを確認します。

  3. Citrix SD-WAN Webインターフェイスを使用して、管理インターフェイスの設定を構成できます。

  4. 管理 DNS が設定されていることを確認します。管理インターフェイスの DNS を構成するには、サイトレベルで [ 構成] > [アプライアンスの設定] > [ネットワークアダプタ] に移動します。[ DNS 設定] セクションで、プライマリおよびセカンダリの DNS サーバーの詳細を入力し、[ 保存] をクリックします

Gateway サービスの DNS 設定

Citrix CloudとGateway サービスの最適化の仕組み

Citrix CloudおよびGatewayサービスのトラフィックの最初のパケット検出と分類は、Citrix CloudおよびGatewayサービスのブレークアウト機能が無効になっていない(この機能はデフォルトで有効になっています)場合にのみ実行されます。

  1. Citrix SD-WAN アプライアンスは、クラウドサービスAPIを使用してアプリケーション署名のリストをダウンロードします。

  2. Citrix CloudおよびGateway Serviceアプリケーションに対する要求が到着すると、アプリケーションは署名を使用して最初のパケットで分類されます。

  3. Citrix CloudおよびGateway Serviceのトラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットへのトラフィックを直接遮断します。

  4. Citrix CloudおよびGateway サービスは、DNS要求の転送にデフォルトでQuad9を使用します。

  • ブレークアウトが有効になっていない場合:

    ブレークアウトが有効になっていない場合

  • ブレークアウトを有効にした場合:

    ブレークアウトを有効にした場合

クラウドセキュリティスタック (Zscaler、Check Point、Palo Alto など) を使用してインターネットトラフィックを処理する場合、Gatewayサービスは SD-WAN ブランチではなく、そのセキュリティスタックのパブリック IP アドレスからパケットを受信します。これにより、直接ワークロード接続が無効になるため、クラウドホストの SD-WAN へのパケットは仮想パスを取得できなくなります。詳細については、「 ワークロードの直接接続」を参照してください

ブレークアウトを有効にすると、Gateway サービスは SD-WAN ブランチから直接パケットを受信します。SD-WAN ブランチとクラウドホストの SD-WAN 間でダイナミック仮想パスがアップし、トラフィックは 2 つのサイト間のこの仮想パスを経由します。動的仮想パスの有効化の詳細については、「 ブランチ間通信の動的パスをセットアップする」を参照してください

ブレークアウトを有効にした場合となし

ゲートウェイサービスのブレークアウトの設定

Citrix CloudおよびGatewayサービスのブレークアウトポリシーでは、SD-WANブランチから直接抜け出すことができるCitrix CloudおよびGatewayサービスのトラフィックのカテゴリを指定できます。

CitrixGatewayおよびCitrixGatewayサービスのオプションは、Citrix GatewayおよびCitrix Cloudの最適化設定で使用できます。

Citrixアプリケーションは、Citrix Cloud内の複数のサービスにアクセスできます。詳細については、「 システムと接続要件」を参照してください

Citrix SD-WAN Orchestrator では、デフォルトですべてのネットワークに Citrix CloudおよびGateway サービスルートがあります。移動するには、[ ネットワーク構成] > [ルーティング] > [ルーティングポリシー] > [アプリケーションルート] の順に移動します

CloudとGatewayサービス

ルートを削除することはできませんが、必要に応じて設定を構成できます。Citrix CloudおよびGatewayサービスはデフォルトで有効になっています。

CloudとGatewayサービスの設定

Citrix CloudおよびGateway サービスの透過フォワーダー

Citrix CloudのSD-WANブランチが開始され、Gateway サービスはDNS要求から始まります。Citrix CloudおよびGatewayサービスのドメインを経由するDNS要求は、ローカルで操作する必要があります。Citrix CloudおよびGatewayサービスのインターネットブレークアウトが有効になっている場合は、内部DNSルートが決定されます。Citrix CloudおよびGatewayサービスのDNS要求は、デフォルトでオープンソースのDNSサービスクワッド9に転送されます。Quad 9 DNSサービスは、安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて DNS サービスを変更できます。

DNS サーバーを追加するには、サイトレベルで、[ 構成] > [詳細設定] > [DNS] に移動します。[ サイト固有の DNS サーバー] セクションで、[ + DNS サーバー] をクリックします

サイト固有の設定

Citrix CloudおよびGateway Serviceアプリケーションの透過フォワーダーは、インターネットサービスおよびCitrix CloudおよびGatewayサービスのブレークアウトが有効になっているすべてのSD-WANブランチに作成されます。

特定の DNS 転送ルールを追加するには、[ NDS トランスペアレントフォワーダ] セクションで [ + アプリケーション固有の DNS 転送ルール ] をクリックします。この構成では、Citrix CloudおよびGatewayサービスアプリケーションのデフォルトのQuad9 DNS透過フォワーダーを変更できます。

NDS トランスペアレントフォワーダ

  • アプリケーション:[アプリケーション]ドロップダウンリストからCitrixCloudおよびGatewayサービスアプリケーションを選択します。

  • DNS サーバー:** ドロップダウンリストから、[ **サイト固有の DNS サーバー] の下に作成した DNS サーバーを選択します。

監視

Citrix CloudおよびGatewayサービスのリアルタイム統計と使用状況レポートは、次のように監視できます。

  • リアルタイム統計

Gateway サービス統計1

Gateway サービス統計2

  • リアルタイムファイアウォール接続

Gateway サービスファイアウォール接続 1

Gateway サービスファイアウォール接続 2

  • 用途

Gateway サービスの使用状況

トラブルシューティング

接続エラーは SDWAN_dpi.log ファイルに記録されます。ログファイルをダウンロードするには、[ トラブルシューティング] > [デバイスログ] に移動し、必要なサイトを選択し、ログファイルを選択して [ ダウンロード] をクリックします

Gateway サービスのトラブルシューティング

デバイスのアラートを確認することもできます。確認するには、[ ネットワーク] > [アラート] に移動します

Gateway サービスアラート

Citrix CloudおよびGateway サービスの最適化