Citrix SD-WAN

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド

Citrix SD-WAN は、SaaS、クラウド、仮想アプリケーションの柔軟で自動化された安全な接続性とパフォーマンスにより、デジタルトランスフォーメーションを加速し、常時稼働のWorkspace エクスペリエンスを実現する次世代WAN Edgeソリューションです。

Citrix SD-WAN は、Citrix Virtual Apps and Desktops(CVAD)サービスを使用してクラウド内のCVADワークロードに接続するための推奨される最良の方法です。詳しくは、「Citrixブログ」を参照してください。

このドキュメントでは、Azure 上の CVAD ワークロードとの間で接続するための Citrix SD-WAN の構成に重点を置いています。

長所

  • ガイド付きワークフローにより、CVADにSD-WANを簡単に設定可能
  • 高度な SD-WAN テクノロジーによる常時稼働の高パフォーマンス接続
  • すべての接続における利点(VDAからDC、ユーザーからVDA、VDAからクラウド、ユーザーからクラウド)
  • データセンターへのトラフィックをバックホールする場合と比較して、レイテンシを低減
  • QoS(サービス品質)を確保するためのトラフィック管理
    • HDX/ICAトラフィックストリーム全体のQoS(シングルポートマルチストリームHDX AutoQoS)
    • HDXと他のトラフィック間のQoS
    • ユーザー間のHDX QoS公平性
    • エンドツーエンドの QoS
  • リンク・ボンディングにより、より高速なパフォーマンスを実現
  • Azure でのシームレスなリンクフェールオーバーと SD-WAN 冗長性を備えた高可用性
  • 最適化されたVoIPエクスペリエンス(パケットレースによるジッタ低減とパケット損失の最小化、QoS、ローカルブレークアウトによるレイテンシの低減)
  • Azure ExpressRoute に比べて、大幅なコスト削減とデプロイが迅速かつ容易であることが必要

前提条件

CVAD ワークロード機能を評価および展開するには、次の前提条件に従います。

  • 既存の SD-WAN ネットワークを持っているか、新しいネットワークを構築する必要があります。
  • CVADサービスのサブスクリプションが必要です。
  • マルチストリームHDX AutoQoSや詳細な可視性などのSD-WAN機能を使用するには、ネットワーク内のすべてのSD-WANサイトに対してネットワークロケーションサービス(NLS)を構成する必要があります。
  • クライアントエンドポイントが存在する場所 (多くの場合、データセンター環境に共存している) に DNS サーバーと AD をデプロイする必要があります。または、Azure Active Directory (AAD) を利用することもできます。
  • DNS サーバーは、内部(pvt)と外部(パブリック)IP の両方を解決できる必要があります。
  • FQDN(sdwan-location.citrixnetworkapi.net)がファイアウォールでホワイトリストに登録されていることを確認します。これは、SD-WAN 仮想パス経由でトラフィックを送信する際に重要なネットワークロケーションサービスの FQDN です。また、ワイルドカードFQDNのホワイトリスト登録に慣れている場合は、*.citrixnetworkapi.netをホワイトリストに登録することをお勧めします。これは、ゼロタッチProvisioning などの他のCitrix Cloudサービスのサブドメインです。
  • SD-WAN ネットワークの管理に SD-WAN オーケストレータを使用するには、sdwan.cloud.com に登録します。SD-WAN Orchestrator は、Citrix SD-WAN用のCitrix Cloudベースのマルチテナント管理プラットフォームです。

展開アーキテクチャ

展開アーキテクチャ

デプロイメントには、次のエンティティが必要です。

  • SD-WAN アプライアンスをホストするオンプレミスの場所。ブランチモードまたは MCN (マスターコントロールノード) として展開できます。ブランチモードまたは MCN には、クライアントマシン、アクティブディレクトリ、および DNS が含まれます。ただし、Azure の DNS と AD を使用することもできます。ほとんどのシナリオでは、オンプレミスの場所はデータセンターとして機能し、MCN を収容します。

  • CVADクラウドサービス — Citrix Virtual Apps and Desktopsは、IT部門が仮想マシン、アプリケーション、セキュリティを制御する仮想化ソリューションを提供します。これにより、あらゆるデバイスに対してどこからでもアクセスできるようになります。エンドユーザーは、デバイスのオペレーティングシステムおよびインターフェイスとは無関係に、アプリケーションやデスクトップを使用できます。

    Citrix Virtual Apps and Desktopsサービスを使用すると、セキュアな仮想アプリとデスクトップを任意のデバイスに配信できます。また、製品のインストール、セットアップ、構成、アップグレード、監視のほとんどをCitrix に任せます。どのデバイスに対しても最高のユーザーエクスペリエンスを提供しながら、アプリケーション、ポリシー、ユーザーを完全に制御できます。

  • Citrixコネクタ/クラウドコネクタ -Citrix Cloud Connectorを介してリソースをサービスに接続します。このコネクタは、Citrix Cloudとリソースの場所間の通信チャネルとして機能します。Cloud Connectorによって、VPNやIPsecトンネルなどの複雑なネットワークやインフラストラクチャを構成せずにクラウドを管理できます。リソースの場所には、アプリケーションとデスクトップを利用者に配信するためのマシンやその他のリソースが含まれています。

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator は、クラウド ホストされるマルチテナント管理サービスです。Citrix パートナーは、SD-WAN Orchestrator を使用して、単一の画面と適切なロールベースのアクセス制御で複数の顧客を管理できます。

  • 仮想および物理 SD-WAN アプライアン ス — これは、クラウド (VM) 内およびデータセンターおよびブランチ (物理アプライアンスまたは VM) 内のオンプレミスの複数のインスタンスとして実行され、これらの場所間およびパブリックインターネットとの接続を提供します。CVAD の SD-WAN インスタンスは、Azure Marketplace 経由でこれらのインスタンスをProvisioning することによって、単一または一連の仮想アプライアンス (HA デプロイの場合) として作成されます。他の場所(DC および支店)の SD-WAN アプライアンスは、お客様によって作成されます。これらすべての SD-WAN アプライアンスは、SD-WAN Orchestrator を通じて SD-WAN 管理者が管理します(構成とソフトウェアのアップグレードに関して)。

展開と構成

展開と構成

一般的な展開では、お客様は、DC/大規模オフィスにMCNとして展開するCitrix SD-WAN アプライアンス(H/WまたはVPX)を使用します。顧客の DC は通常、オンプレミスのユーザーとリソース (AD サーバーや DNS サーバーなど) をホストします。一部のシナリオでは、Azure Active Directory サービス (AADS) と DNS を使用できます。どちらのサービスも、Citrix SD-WAN と CMD の統合でサポートされています。

お客様が管理するAzureサブスクリプション内で、お客様はCitrix SD-WAN 仮想アプライアンスとVDAを展開する必要があります。SD-WAN アプライアンスは、SD-WAN Orchestrator を介して管理されます。SD-WANアプライアンスが構成されると、既存のCitrix SD-WAN ネットワークに接続され、構成、可視性、管理などのタスクがSD-WAN Orchestrator を介して処理されます。

この統合の第3のコンポーネントは、内部ユーザーがGateway をバイパスしてVDAに直接接続できるようにする ネットワークロケーションサービス(NLS) です。これにより、内部ネットワークトラフィックの待ち時間が短縮されます。この統合のフェーズ 1 では、ネットワークロケーションサービスを手動で構成する必要があります。この手順については、以降のセクションを参照してください。詳しくは、「NLS」を参照してください。

構成

Citrix SD-WAN VMは、(お客様の必要に応じて)指定されたリージョン内に展開され、MPLS、インターネット、または4G/LTEを介して複数のブランチオフィスに接続できます。仮想ネットワーク(VNET)インフラストラクチャ内では、SD-WAN Standard Edition(SE)仮想マシンがGateway モードで展開されます。VNET には、Azure Gateway へのルートがあります。SD-WAN インスタンスには、インターネット接続のための Azure Gateway へのルートがあります。このルートは手動で作成する必要があります。

  1. Webブラウザーで、 Azureポータルに移動します。Microsoft Azureアカウントにログインし、Citrix SD-WAN 標準版を検索します。

  2. 検索結果で、Citrix SD-WAN スタンダードエディションソリューションを選択します。説明を確認し、選択したソリューションが正しいことを確認した後、[ 作成 ] をクリックします。

    Azure 検索オプション

    [Create] をクリックすると、仮想マシン を作成するために必要な詳細を尋ねるウィザードが表示されます。

  3. [ 基本設定] ページで、SD-WAN SE ソリューションを展開するリソースグループを選択します。

    リソースグループは、Azure ソリューションの関連リソースを保持するコンテナーです。リソースグループには、ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。デプロイに基づいて、リソースグループにリソースを割り当てる方法を決定できます。

    Citrix SD-WANでは、選択するリソースグループを空にすることをお勧めします。同様に、SD-WAN インスタンスをデプロイする Azure リージョンを選択します。リージョンは、CVAD リソースがデプロイされているリージョンと同じである必要があります。

    Azure の基本設定

  4. [ 管理者設定] ページで、仮想マシンの名前を指定します。ユーザ名と強力なパスワードを選択します。パスワードは、大文字、特殊文字で構成され、9 文字以上である必要があります。[OK] をクリックします。

    このパスワードは、ゲストユーザーとしてインスタンスの管理インターフェイスにログインするために必要です。インスタンスへの管理者アクセスを取得するには、ユーザー名として admin を使用し、インスタンスのProvisioning 中に作成したパスワードを使用します。インスタンスのProvisioning 中に作成されたユーザー名を使用すると、読み取り専用アクセス権が付与されます。また、ここで展開の種類を選択します。

    単一のインスタンスをデプロイする場合は、[HA Deployment mode] オプションから [disabled] を選択し、そうでない場合は [enabled] を選択します。実稼働ネットワークでは、インスタンスの障害からネットワークを保護するため、HAモードでインスタンスを展開することをお勧めします。

    Azure 管理者の設定

  5. SD-WAN 設定 ページで、イメージを実行するインスタンスを選択します。要件に応じて、次のインスタンスタイプを選択します。

    • インスタンスタイプ D3_V2 は、最大 16 のブランチに直接接続して、200 Mbps の最大単方向スループット。
    • インスタンスタイプ D4_V2 では、最大 16 のブランチに直接接続して 500 Mbps の最大単方向スループット。
    • インスタンスタイプ F8 標準で、最大 64 のブランチに直接接続して 1 Gbps の最大単方向スループット。
    • インスタンスタイプ F16 標準で、最大 128 のブランチに直接接続して、1 Gbps の最大単方向スループット。

    Azure SD-WAN の設定

  6. 新しい仮想ネットワーク (VNet) を作成するか、既存の VNet を使用します。この手順では、SD-WAN VPX VMのインターフェイスに割り当てるサブネットを選択するため、これはデプロイメントにとって最も重要なステップです。

    Azure VNet

    AUX サブネットが必要になるのは、インスタンスを HA モードでデプロイする場合だけです。SD-WAN インスタンスがCVAD リソースと同じ VNet にデプロイされ、SD-WAN VPX アプライアンスのLAN インターフェイスと同じサブネット上にあることを確認します。

    Azure サブネット

  7. 概要 ]ページで構成を確認し、[ OK]をクリックします。

    Azure の概要

  8. [ Buy ] ページで、[ Create ] をクリックして、インスタンスのProvisioning プロセスを開始します。インスタンスがプロビジョニングされるまでに約 10 分かかることがあります。インスタンス作成の成功/失敗を示す通知が Azure 管理ポータルに表示されます。

    Azureが買う

    インスタンスが正常に作成されたら、SD-WAN インスタンスの管理インターフェイスに割り当てられたパブリック IP を取得します。これは、インスタンスがプロビジョニングされているリソースグループの networking セクションの下にあります。取得すると、インスタンスへのログインに使用することができます。

    注:

    admin アクセスでは、ユーザー名は admin で、パスワードはインスタンスの作成時に設定したものです。

  9. サイトのプロビジョニングが完了したら、SD-WAN Orchestrator にログインして設定します。前提条件で説明したように、サイトを構成するには SD-WAN Orchestrator の資格が必要です。まだ持っていない場合は、Citrix SD-WAN Orchestrator オンボーディングを参照してください。

  10. すでに SD-WAN ネットワークがある場合は、Azure でプロビジョニングしたサイトの構成の作成に進みます。それ以外の場合は、MCN を作成する必要があります。詳しくは、「ネットワーク構成」を参照してください。

  11. SD-WAN Orchestrator にアクセスし、すでに MCN をセットアップしたら、SD-WAN Orchestrator にログインし、[ + New] サイト をクリックして SD-WAN VPX アプライアンス (Azure でプロビジョニングした) の設定を開始します。

    Azure の新しいサイト

  12. 一意のサイト名を指定し、イメージをProvisioning するリージョンに基づいてアドレスを入力します。Azure でインスタンスをセットアップするには、基本設定を参照してください。

    注:

    Azure でインスタンスのシリアル番号を取得するには、パブリック管理 IP 経由でインスタンスにログインします。シリアル番号は、ダッシュボード画面に表示されます。HA でインスタンスを設定する場合は、両方のシリアル番号を取得する必要があります。また、インスタンスの設定時に、インターフェイスが Trustedとして選択されていることを確認します。

  13. Azure の LAN および WAN インターフェイスに関連付けられた IP アドレスを取得する場合。Azure ポータル > リソースグループ > SD-WAN がプロビジョニングされているリソースグループ> SD-WAN VM > ネットワークに移動します。

    Azure SD-WAN のプロビジョニング

  14. インスタンスの設定が完了したら、[構成] > [ネットワーク構成のホーム] に移動して、[構成/ソフトウェアの展開] をクリックします。

    Azure が構成ソフトウェアをデプロイ

  15. 問題がなく、構成が正確である場合は、構成デプロイが実行された後に、Azure のインスタンスと MCN の間の仮想パスを作成する必要があります。

CVAD 構成

展開と構成セクションで強調されているように、AD/DNS は DC として機能するオンプレミスの場所に存在し、SD-WAN を備えた配置では、LAN ネットワーク上の SD-WAN の背後に表示されます。ここで設定する必要があるのは、AD/DNSのIPです。Azure Active Directory サービス/DNS を利用している場合は、DNS IP として 168.63.129.16 を構成します。

オンプレミスの AD/DNS を使用する場合は、SD-WAN アプライアンスから DNS の IP に ping を実行できるかどうかを確認します。これを行うには、 [トラブルシューティング] > [診断]に移動します。[ Ping ] チェックボックスをオンにして、SD-WAN アプライアンスの LAN インターフェイス/デフォルトインターフェイスから AD/DNS の IP への ping を開始します。

Azure ping

pingが成功した場合、それはあなたのAD/DNSが正常に到達できることを意味し、そうでない場合は、それはあなたのAD/DNSへの到達可能性を妨げているネットワーク内のルーティングの問題があることを意味します。可能であれば、AD と SD-WAN アプライアンスを同じ LAN セグメントでホストしてみます。

それでも問題が解決しない場合は、ネットワーク管理者に連絡してください。この手順を正常に完了しないと、カタログの作成手順は成功せず、 グローバル DNS IP が構成されていないというエラーメッセージが表示されます。

注:

DNS が内部 IP と外部 IP の両方を解決できることを確認します。

ネットワークロケーションサービス

Citrix Cloudの ネットワークロケーション サービスを使用すると、加入者のワークスペースで使用できるようにするアプリやデスクトップへの内部トラフィックを最適化して、HDXセッションを高速化できます。内部ネットワークと外部ネットワークのユーザーは、外部Gateway を介してVDAに接続する必要があります。これは外部ユーザーにとっては妥当な処理ですが、内部ユーザーにとっては仮想リソースへの接続が遅くなります。Network Location サービスを使用すると、内部ユーザーはGateway をバイパスしてVDAに直接接続できるため、内部ネットワークトラフィックの待ち時間が短縮されます。

構成

ネットワークロケーション サービスをセットアップするには、Citrix が提供するネットワークロケーションサービスPowerShell モジュールを使用して、環境内のVDAに対応するネットワークのロケーションを構成できます。これらのネットワークロケーションには、内部ユーザが接続しているネットワークのパブリック IP 範囲が含まれます。

加入者がWorkspace からVirtual AppsおよびDesktopsセッションを起動すると、Citrix Cloudは、加入者が接続元のネットワークのパブリックIPアドレスに基づいて、社内ネットワークの内部または外部にあるかどうかを検出します。

利用者が内部ネットワークから接続している場合、Citrix Cloudでは接続がCitrix Gatewayを経由せずVDAに直接ルーティングされます。利用者が外部から接続している場合、Citrix Cloudでは利用者が予定どおりCitrix Gatewayを経由してルーティングされ、内部ネットワークのVDAにリダイレクトされます。

注:

ネットワークロケーションサービスで設定する必要があるパブリック IP は、WAN リンクに割り当てられるパブリック IP である必要があります。

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド