Citrix SD-WAN

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド

Citrix SD-WANは、SaaS、クラウド、仮想アプリケーション向けに柔軟で自動化されたセキュアな接続性とパフォーマンスにより、デジタル変革を加速する次世代のWAN Edgeソリューションであり、常時稼働のWorkspace 環境を実現します。

Citrix SD-WANは、Citrix Virtual Apps and Desktops(CVAD)サービスを使用してクラウドのCVADワークロードに接続するための推奨および最適な方法です。詳細については、 Citrixのブログを参照してください

このドキュメントでは、Azure上のCVADワークロードとの接続用にCitrix SD-WANを構成する方法について説明します。

長所

  • ガイド付きのワークフローにより、CVADでSD-WANを簡単に設定可能
  • 高度な SD-WAN テクノロジーにより、常時オンで高性能な接続を実現
  • すべての接続(VDAからDC、ユーザーからVDA、VDAからクラウド、ユーザーからクラウド)にわたるメリット
  • データセンターへのトラフィックのバックホールに比べてレイテンシを低減
  • QoS(サービス品質)を確保するためのトラフィック管理
    • HDX/ICAトラフィックストリーム間のQoS(シングルポートマルチストリームHDX自動QoS)
    • HDXと他のトラフィック間のQoS
    • ユーザー間のHDX QoS公平性
    • エンドツーエンド QoS
  • リンク・ボンディングにより、より高速なパフォーマンスを実現する帯域幅を提供
  • Azure でのシームレスなリンクフェールオーバーと SD-WAN 冗長性による高可用性
  • 最適化されたVoIPエクスペリエンス(ジッタを削減し、パケット損失を最小限に抑えるためのパケットレース、QoS、ローカルブレイクアウトによるレイテンシ低減)
  • Azure ExpressRoute に比べて、コストを大幅に削減し、デプロイが迅速で容易であることが必要

前提条件

次の前提条件に従って、CVAD ワークロードの機能を評価および展開します。

  • 既存の SD-WAN ネットワークがあるか、新しいネットワークを構築する必要があります。
  • CVAD サービスのサブスクリプションが必要です。
  • マルチストリームのHDX AutoQoSや詳細な可視性などのSD-WAN機能を使用するには、ネットワーク内のすべてのSD-WANサイトに対してネットワークロケーションサービス(NLS)を構成する必要があります。
  • クライアントエンドポイントが存在する場所 (多くの場合、データセンター環境に共存する) に DNS サーバーと AD を展開する必要があります。または、Azure Active Directory (AAD) を利用することもできます。
  • DNS サーバーは、内部 (pvt) IP と外部 (パブリック) IP の両方を解決できる必要があります。
  • FQDN(sdwan-location.citrixnetworkapi.net)がファイアウォールでホワイトリストに登録されていることを確認します。これは、SD-WAN 仮想パスを介してトラフィックを送信する際に重要な、ネットワークロケーションサービスの FQDN です。また、ワイルドカードFQDNをホワイトリストに登録するのに慣れている場合は、*.citrixnetworkapi.netをホワイトリストに登録することをお勧めします。これは、ゼロタッチProvisioning などの他のCitrix Cloudサービスのサブドメインです。
  • SD-WAN オーケストレーターを使用して SD-WAN ネットワークを管理するには、sdwan.cloud.com に登録します。SD-WAN Orchestratorは、Citrix SD-WAN用のCitrix Cloudベースのマルチテナント管理プラットフォームです。

展開アーキテクチャ

展開アーキテクチャ

デプロイメントには、次のエンティティが必要です。

  • ブランチモードまたは MCN (マスターコントロールノード) として展開できる SD-WAN アプライアンスをホストするオンプレミスの場所。ブランチモードまたは MCN には、クライアントマシン、アクティブディレクトリ、および DNS が含まれます。ただし、Azure の DNS と AD を使用することもできます。ほとんどのシナリオでは、オンプレミスの場所はデータセンターとして機能し、MCN を収容します。

  • CVADクラウドサービス — Citrix Virtual Apps and Desktops topsは、仮想マシン、アプリケーション、セキュリティをIT部門が制御できる仮想化ソリューションを提供し、あらゆるデバイスにどこからでもアクセスできるようにします。エンドユーザーは、デバイスのオペレーティングシステムやインターフェイスとは無関係に、アプリケーションとデスクトップを使用できます。

    Citrix Virtual Apps and Desktopsサービスを使用すると、セキュアな仮想アプリとデスクトップを任意のデバイスに配信できます。また、製品のインストール、セットアップ、構成、アップグレード、監視のほとんどをCitrix に任せます。どのデバイスに対しても最高のユーザーエクスペリエンスを提供しながら、アプリケーション、ポリシー、ユーザーを完全に制御できます。

  • Citrixコネクタ/クラウドコネクタ -Citrix Cloud Connectorを介してリソースをサービスに接続します。これは、Citrix Cloudとリソースの場所との間の通信チャネルとして機能します。Cloud Connectorによって、VPNやIPsecトンネルなどの複雑なネットワークやインフラストラクチャを構成せずにクラウドを管理できます。リソースの場所には、アプリケーションとデスクトップを利用者に配信するためのマシンやその他のリソースが含まれています。

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestratorは、クラウドでホストされるマルチテナント管理サービスです。エンタープライズおよびCitrixパートナーが利用可能です。Citrixパートナーは、SD-WAN Orchestratorを使用して、単一の画面と適切なロールベースのアクセス制御で複数の顧客を管理できます。

  • 仮想および物理 SD-WAN アプライアンス — クラウド (VM) 内およびデータセンター内および支店 (物理アプライアンスまたは VM) のオンプレミス内で複数のインスタンスとして実行され、これらの場所間およびパブリックインターネットとの間で接続できます。CVAD の SD-WAN インスタンスは、Azure Marketplace 経由でこれらのインスタンスをProvisioning することにより、単一または一連の仮想アプライアンス (HA 展開の場合) として作成されます。他の場所(DC および支店)の SD-WAN アプライアンスは、お客様によって作成されます。これらのすべての SD-WAN アプライアンスは、SD-WAN Orchestrator を介して SD-WAN 管理者によって(構成およびソフトウェアのアップグレードの観点から)管理されます。

導入と構成

導入と構成

一般的な展開では、Citrix SD-WANアプライアンス(ハードウェアまたはVPX)をDC/大規模オフィスにMCNとして展開します。通常、お客様の DC はオンプレミスのユーザーとリソース (AD や DNS サーバーなど) をホストします。一部のシナリオでは、Azure Active Directory サービス(AADS)とDNSを使用できます。これらのサービスは、Citrix SD-WANおよびCMD統合でサポートされています。

お客様が管理するAzureサブスクリプション内で、お客様はCitrix SD-WAN仮想アプライアンスとVDAを展開する必要があります。SD-WAN アプライアンスは、SD-WAN Orchestrator を介して管理されます。SD-WANアプライアンスが構成されると、既存のCitrix SD-WANネットワークに接続され、構成、可視性、管理などのタスクはSD-WAN Orchestratorを介して処理されます。

この統合の3番目のコンポーネントは、内部ユーザーがGateway をバイパスしてVDAに直接接続できるネットワークロケーションサービス(NLS)です。これにより、内部ネットワークトラフィックのレイテンシーが低減されます。この統合のフェーズ 1 では、ネットワークロケーションサービスを手動で設定する必要があります。これについては、以降のセクションを参照してください。詳細については、「 NLS」を参照してください

構成

Citrix SD-WAN VMは、(お客様の必要に応じて)指定されたリージョン内に展開され、MPLS、インターネット、または4G/LTEを介して複数のブランチオフィスの場所に接続できます。仮想ネットワーク (VNET) インフラストラクチャ内で、SD-WAN Standard Edition (SE) VM はGateway モードでデプロイされます。VNET には Azure Gateway へのルートがあります。SD-WAN インスタンスには、インターネット接続用の Azure Gateway へのルートがあります。このルートは手動で作成する必要があります。

  1. Web ブラウザーで、 Azure ポータルに移動します。Microsoft Azureアカウントにログインし、Citrix SD-WANStandard Editionを検索します。

  2. 検索結果で、Citrix SD-WANStandard Editionソリューションを選択します。説明を参照し、選択したソリューションが正しいことを確認** した後、[ **Create] をクリックします。

Azure 検索オプション

作成]をクリックすると、仮想マシンを作成するために必要な詳細を尋ねるウィザードが表示されます。

  1. [ 基本設定] ページで、SD-WAN SE ソリューションを展開するリソースグループを選択します。

リソースグループは、Azureソリューションの関連リソースを保持するコンテナーです。リソースグループには、ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。デプロイメントに基づいて、リソースをリソースグループに割り当てる方法を決定できます。

Citrix SD-WANの場合は、選択するリソースグループを空にする必要があります。同様に、SD-WAN インスタンスをデプロイする Azure リージョンを選択します。リージョンは、CVAD リソースがデプロイされているリージョンと同じである必要があります。

Azure の基本設定

  1. [ 管理者設定]ページで、仮想マシンの名前を入力します。ユーザ名と強力なパスワードを選択します。パスワードは大文字、特殊文字で構成され、9 文字以上である必要があります。[ OK] をクリックします

このパスワードは、インスタンスの管理インターフェイスにゲストユーザーとしてログインするために必要です。インスタンスへの管理者アクセスを取得するには、インスタンスのProvisioning 中に作成されたユーザー名およびパスワードとして admin を使用します。インスタンスのProvisioning 中に作成されたユーザー名を使用すると、読み取り専用アクセスが取得されます。また、ここで展開の種類を選択します。

単一のインスタンスをデプロイする場合は、[HA Deployment mode] オプションから [disabled] を選択し、それ以外の場合は [enabled] を選択します。本番ネットワークの場合、インスタンスの障害からネットワークを保護するため、インスタンスを常にHAモードで展開することをお勧めします。

Azure 管理者の設定

  1. [ SD-WAN 設定] ページで、イメージを実行するインスタンスを選択します。要件に応じて、次のインスタンスタイプを選択します。
  • インスタンスタイプ D3_V2。最大単一方向スループットが 200 Mbps で、最大 16 のブランチに直接接続できます。
  • インスタンスタイプ D4_V2。最大単一方向スループットが 500 Mbps で、最大 16 のブランチに直接接続できます。
  • インスタンスタイプ F8 標準。最大単一方向スループットが 1 Gbps で、最大 64 のブランチに直接接続できます。
  • インスタンスタイプ F16 標準。最大単一方向スループットが 1 Gbps で、最大 128 のブランチに直接接続できます。

    Azure SD-WAN の設定

  1. 新しい仮想ネットワーク (VNet) を作成するか、既存の VNet を使用します。このステップでは、SD-WAN VPX VMのインターフェイスに割り当てるサブネットを選択するため、これは展開にとって最も重要なステップです。

Azure VNet

AUX サブネットは、HA モードでインスタンスをデプロイする場合のみ必要です。SD-WAN インスタンスが CVAD リソースと同じ VNet にデプロイされ、SD-WAN VPX アプライアンスの LAN インターフェイスと同じサブネット上にあることを確認します。

Azure サブネット

  1. [ Summary]ページで設定を確認し、[ OK] をクリックします

Azure のサマリー

  1. [ Buy] ページで [ Create ] をクリックして、インスタンスのProvisioning プロセスを開始します。インスタンスがプロビジョニングされるまでに約 10 分かかる場合があります。Azure 管理ポータルに、インスタンスの作成の成功/失敗を示す通知が表示されます。

Azure buys

インスタンスが正常に作成されたら、SD-WAN インスタンスの管理インターフェイスに割り当てられたパブリック IP を取得します。これは、インスタンスがプロビジョニングされているリソースグループの networking セクションの下にあります。取得したら、それを使用してインスタンスにログインできます。

admin アクセスの場合、ユーザー名は admin で、パスワードはインスタンスの作成時に設定したパスワードです。

  1. サイトがプロビジョニングされたら、SD-WAN Orchestrator にログインして構成します。前提条件で説明したように、サイトを構成するには SD-WAN Orchestrator のエンタイトルメントが必要です。まだインストールしていない場合は、「 Citrix SD-WAN Orchestratorのオンボーディング」を参照してください

  2. SD-WAN ネットワークが既にある場合は、Azure でプロビジョニングしたサイトの構成の作成に進みます。それ以外の場合は、MCN を作成する必要があります。詳細については、「 ネットワークの構成」を参照してください

  3. SD-WAN Orchestrator にアクセスして MCN をセットアップしたら、SD-WAN オーケストレーターにログインし、[ + New] サイト をクリックして、SD-WAN VPX アプライアンス(Azure でプロビジョニングした)の構成を開始します。

Azure の新しいサイト

  1. 一意のサイト名を指定し、イメージをProvisioning するリージョンに基づいてアドレスを入力します。Azure でインスタンスをセットアップするには、「 基本設定」を参照してください

Azure でインスタンスのシリアル番号を取得するには、パブリック管理 IP 経由でインスタンスにログインします。シリアル番号は、ダッシュボード画面に表示されます。HA でインスタンスを設定する場合は、両方のシリアル番号をキャプチャする必要があります。また、インスタンスの設定時に、インターフェイスが Trusted として選択されていることを確認します

  1. Azure 上の LAN および WAN インターフェイスに関連付けられた IP アドレスを取得します。[ Azure ポータル] > [リソースグループ] > [SD-WAN を **プロビジョニング するリソースグループ] > [SD-WAN VM] > [ネットワーク] に移動します**。

Azure SD-WAN のプロビジョニング済み

  1. 一度インスタンスの設定を完了します。[構成] > [ネットワーク構成] ホームに移動して、[ **構成/ソフトウェアの **展開] をクリックします

Azure は構成ソフトウェアをデプロイ

  1. 問題がなく、構成が正確である場合は、構成のデプロイが実行されたら、Azure のインスタンスと MCN の間に仮想パスを作成する必要があります。

CVAD 構成

展開と構成 」セクションで強調されているように、AD/DNS は DC として機能するオンプレミスの場所にあり、SD-WAN を搭載する展開では LAN ネットワーク上の SD-WAN の背後に表示されます。ここで設定する必要があるのは、AD/DNSのIPです。Azure Active Directory サービス/DNS を使用する場合は、 168.63.129.16 を DNS IP として構成します。

オンプレミスの AD/DNS を使用している場合。SD-WAN アプライアンスから DNS の IP に ping を実行できるかどうかを確認します。これを行うには、[ トラブルシューティング] > [診断] に移動します。[ Ping] チェックボックスをオンにして、SD-WAN アプライアンスの LAN インターフェイス/デフォルトインターフェイスから AD/DNS の IP への ping を開始します。

Azure ping

pingが成功した場合、それはあなたのAD/DNSが正常に到達できることを意味し、そうでなければ、それはあなたのAD/DNSへの到達可能性を妨げているネットワークにルーティングの問題があることを意味します。可能であれば、同じ LAN セグメントで AD と SD-WAN アプライアンスをホストしてみてください。

それでも問題が解決しない場合は、ネットワーク管理者に連絡してください。この手順を正常に完了しないと、カタログの作成手順は成功せず、 グローバル DNS IP が構成されていないというエラーメッセージが表示されます

DNS が内部 IP と外部 IP の両方を解決できることを確認します。

ネットワークロケーションサービス

Citrix Cloudの ネットワークロケーション サービスを使用すると、サブスクライバーのワークスペースで使用できるアプリやデスクトップへの内部トラフィックを最適化して、HDXセッションを高速化できます。内部ネットワークと外部ネットワークの両方のユーザーは、外部Gateway を介してVDAに接続する必要があります。これは外部ユーザーにとっては妥当な処理ですが、内部ユーザーにとっては仮想リソースへの接続が遅くなります。ネットワークロケーション サービスを使用すると、内部ユーザーはGateway をバイパスしてVDAに直接接続できるため、内部ネットワークトラフィックのレイテンシーが軽減されます。

構成

ネットワークロケーション サービスを設定するには、Citrixが提供するネットワークロケーションサービスPowerShellモジュールを使用して、環境内のVDAに対応するネットワークのロケーションを構成します。これらのネットワークロケーションには、内部ユーザが接続しているネットワークのパブリック IP 範囲が含まれます。

加入者がWorkspace からVirtual Apps and Desktopsセッションを起動すると、Citrix Cloudは、加入者が接続元のネットワークのパブリックIPアドレスに基づいて、社内ネットワークの内部または外部にあるかどうかを検出します。

利用者が内部ネットワークから接続している場合、Citrix Cloudでは接続がCitrix Gatewayを経由せずVDAに直接ルーティングされます。利用者が外部から接続している場合、Citrix Cloudでは利用者が予定どおりCitrix Gatewayを経由してルーティングされ、内部ネットワークのVDAにリダイレクトされます。

ネットワークロケーションサービスで設定する必要があるパブリック IP は、WAN リンクに割り当てられたパブリック IP である必要があります。

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド