Citrix SD-WAN

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド

Citrix SD-WANは、SaaS、クラウド、仮想アプリケーション向けに柔軟で自動化されたセキュアな接続性とパフォーマンスにより、デジタル変革を加速する次世代のWAN Edgeソリューションであり、常時稼働のWorkspace 環境を実現します。

Citrix SD-WAN は、Citrix Virtual Apps and Desktops Serviceを使用している組織がクラウド内のCitrix Virtual Apps and Desktopsのワークロードに接続するために推奨される最適な方法です。詳しくは、「Citrixブログ」を参照してください。

このドキュメントでは、Azure上のCitrix Virtual Apps and Desktopsワークロードとの接続用にCitrix SD-WANを構成する方法について説明します。

長所

  • ガイド付きワークフローにより、Citrix Virtual Apps and DesktopsでSD-WANを簡単にセットアップ
  • 高度な SD-WAN テクノロジーにより、常時オンで高性能な接続を実現
  • すべての接続(VDAからDC、ユーザーからVDA、VDAからクラウド、ユーザーからクラウド)にわたるメリット
  • データセンターへのトラフィックのバックホールに比べてレイテンシを低減
  • QoS(サービス品質)を確保するためのトラフィック管理
    • HDX/ICAトラフィックストリーム間のQoS(シングルポートマルチストリームHDX自動QoS)
    • HDXと他のトラフィック間のQoS
    • ユーザー間のHDX QoS公平性
    • エンドツーエンド QoS
  • リンク・ボンディングにより、より高速なパフォーマンスを実現する帯域幅を提供
  • Azure でのシームレスなリンクフェールオーバーと SD-WAN 冗長性による高可用性
  • 最適化されたVoIPエクスペリエンス(ジッタを削減し、パケット損失を最小限に抑えるためのパケットレース、QoS、ローカルブレイクアウトによるレイテンシ低減)
  • Azure ExpressRoute に比べて、コストを大幅に削減し、デプロイが迅速で容易であることが必要

前提条件

Citrix Virtual Apps and Desktopsのワークロード機能を評価および展開するには、次の前提条件に従ってください。

  • 既存の SD-WAN ネットワークがあるか、新しいネットワークを構築する必要があります。
  • Citrix Virtual Apps and Desktops サービスへのサブスクリプションが必要です。
  • マルチストリームのHDX AutoQoSや詳細な可視性などのSD-WAN機能を使用するには、ネットワーク内のすべてのSD-WANサイトに対してネットワークロケーションサービス(NLS)を構成する必要があります。
  • クライアントエンドポイントが存在する場所 (多くの場合、データセンター環境に共存する) に DNS サーバーと AD を展開する必要があります。または、Azure Active Directory (AAD) を利用することもできます。
  • DNS サーバーは、内部 (プライベート) と外部 (パブリック) IP の両方を解決できる必要があります。
  • ファイアウォール内の許可リストに FQDN(sdwan-location.citrixnetworkapi.net)が追加されていることを確認します。これは、SD-WAN 仮想パスを介してトラフィックを送信する際に重要な、ネットワークロケーションサービスの FQDN です。また、ワイルドカードFQDNのホワイトリストに慣れている場合は、*.citrixnetworkapi.netを許可リストに追加することをお勧めします。これは、ゼロタッチプロビジョニングなどの他のCitrix Cloudサービスのサブドメインであるため、*.citrixnetworkapi.netを許可リストに追加します。
  • SD-WAN オーケストレーターを使用して SD-WAN ネットワークを管理するには、sdwan.cloud.com に登録します。SD-WAN Orchestratorは、Citrix SD-WAN用のCitrix Cloudベースのマルチテナント管理プラットフォームです。

展開アーキテクチャ

展開アーキテクチャ

デプロイメントには、次のエンティティが必要です。

  • SD-WAN アプライアンスをホストするオンプレミスの場所。ブランチモードまたは MCN (マスターコントロールノード) として展開できます。ブランチモードまたは MCN には、クライアントマシン、アクティブディレクトリ、および DNS が含まれます。ただし、Azure の DNS と AD を使用することもできます。ほとんどのシナリオでは、オンプレミスの場所はデータセンターとして機能し、MCN を収容します。

  • Citrix Virtual Apps and Desktopsクラウドサービス — Citrix Virtual AppsとDesktopsは、IT部門が仮想マシン、アプリケーション、およびセキュリティを制御できる仮想化ソリューションを提供し、どのデバイスにもどこからでもアクセスできます。エンドユーザーは、デバイスのオペレーティングシステムやインターフェイスとは無関係に、アプリケーションとデスクトップを使用できます。

    Citrix Virtual Apps and Desktopsサービスを使用すると、セキュアな仮想アプリとデスクトップを任意のデバイスに配信できます。また、製品のインストール、セットアップ、構成、アップグレード、監視のほとんどをCitrix に任せます。どのデバイスに対しても最高のユーザーエクスペリエンスを提供しながら、アプリケーション、ポリシー、ユーザーを完全に制御できます。

  • Citrixコネクタ/クラウドコネクタ -Citrix Cloud Connectorを介してリソースをサービスに接続します。このコネクタは、Citrix Cloudとリソースの場所間の通信チャネルとして機能します。Cloud Connectorによって、VPNやIPsecトンネルなどの複雑なネットワークやインフラストラクチャを構成せずにクラウドを管理できます。リソースの場所には、アプリケーションとデスクトップを利用者に配信するためのマシンやその他のリソースが含まれています。

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator は、クラウド ホストされるマルチテナント管理サービスです。Citrixパートナーは、SD-WAN Orchestratorを使用して、単一の画面と適切なロールベースのアクセス制御で複数の顧客を管理できます。

  • 仮想および物理 SD-WAN アプライアン ス — これは、クラウド (VM) 内およびデータセンターおよびブランチ (物理アプライアンスまたは VM) 内のオンプレミスの複数のインスタンスとして実行され、これらの場所間およびパブリックインターネットとの接続を提供します。Citrix Virtual Apps and Desktops の SD-WAN インスタンスは、Azure Marketplace 経由でこれらのインスタンスをプロビジョニングすることにより、単一または仮想アプライアンスのセット(高可用性展開の場合)として作成されます。他の場所(DC および支店)の SD-WAN アプライアンスは、お客様によって作成されます。これらのすべての SD-WAN アプライアンスは、SD-WAN Orchestrator を介して SD-WAN 管理者によって(構成およびソフトウェアのアップグレードの観点から)管理されます。

展開と構成

展開と構成

一般的な展開では、Citrix SD-WANアプライアンス(ハードウェアまたはVPX)をDC/大規模オフィスにMCNとして展開します。通常、お客様の DC はオンプレミスのユーザーとリソース (AD や DNS サーバーなど) をホストします。一部のシナリオでは、Azure Active Directory サービス(AADS)とDNSを使用できます。これらのサービスは、Citrix SD-WANおよびCMD統合でサポートされています。

お客様が管理するAzureサブスクリプション内で、お客様はCitrix SD-WAN仮想アプライアンスとVDAを展開する必要があります。SD-WAN アプライアンスは、SD-WAN Orchestrator を介して管理されます。SD-WANアプライアンスが構成されると、既存のCitrix SD-WANネットワークに接続され、構成、可視性、管理などのタスクはSD-WAN Orchestratorを介して処理されます。

この統合の第3のコンポーネントは、内部ユーザーがGateway をバイパスしてVDAに直接接続できるようにする ネットワークロケーションサービス(NLS) です。これにより、内部ネットワークトラフィックの待ち時間が短縮されます。NLSは、手動またはCitrix SD-WAN Orchestrator を使用して構成できます。詳しくは、「NLS」を参照してください。

構成

Citrix SD-WAN VMは、(お客様の必要に応じて)指定されたリージョン内に展開され、MPLS、インターネット、または4G/LTEを介して複数のブランチオフィスの場所に接続できます。仮想ネットワーク (VNET) インフラストラクチャ内で、SD-WAN Standard Edition (SE) VM はGateway モードでデプロイされます。VNET には Azure Gateway へのルートがあります。SD-WAN インスタンスには、インターネット接続用の Azure Gateway へのルートがあります。このルートは手動で作成する必要があります。

  1. Webブラウザーで、 Azureポータルに移動します。Microsoft Azureアカウントにログインし、Citrix SD-WANStandard Editionを検索します。

  2. 検索結果で、Citrix SD-WANStandard Editionソリューションを選択します。説明を確認し、選択したソリューションが正しいことを確認した後、[ 作成 ] をクリックします。

    Azure 検索オプション

    [Create] をクリックすると、仮想マシン を作成するために必要な詳細を尋ねるウィザードが表示されます。

  3. [ 基本設定] ページで、SD-WAN SE ソリューションを展開するリソースグループを選択します。

    リソースグループは、Azureソリューションの関連リソースを保持するコンテナーです。リソースグループには、ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。デプロイメントに基づいて、リソースをリソースグループに割り当てる方法を決定できます。

    Citrix SD-WANの場合は、選択するリソースグループを空にする必要があります。同様に、SD-WAN インスタンスをデプロイする Azure リージョンを選択します。リージョンは、Citrix Virtual Apps and Desktopsリソースが展開されるリージョンと同じである必要があります。

    Azure の基本設定

  4. [ 管理者設定]ページで、仮想マシンの名前を指定します。ユーザ名と強力なパスワードを選択します。パスワードは大文字、特殊文字で構成され、9 文字以上である必要があります。[OK] をクリックします。

    このパスワードは、インスタンスの管理インターフェイスにゲストユーザーとしてログインするために必要です。インスタンスへの管理者アクセスを取得するには、インスタンスのProvisioning 中に作成されたユーザー名およびパスワードとして admin を使用します。インスタンスのProvisioning 中に作成されたユーザー名を使用すると、読み取り専用アクセスが取得されます。また、ここで展開の種類を選択します。

    単一のインスタンスをデプロイする場合は、[HA Deployment mode] オプションから [disabled] を選択し、それ以外の場合は [enabled] を選択します。本番ネットワークの場合、インスタンスの障害からネットワークを保護するため、インスタンスを常にHAモードで展開することをお勧めします。

    Azure 管理者の設定

  5. SD-WAN 設定 ページで、イメージを実行するインスタンスを選択します。要件に応じて、次のインスタンスタイプを選択します。

    • インスタンスタイプ D3_V2。最大単一方向スループットが 200 Mbps で、最大 16 のブランチに直接接続できます。
    • インスタンスタイプ D4_V2。最大単一方向スループットが 500 Mbps で、最大 16 のブランチに直接接続できます。
    • インスタンスタイプ F8 標準。最大単一方向スループットが 1 Gbps で、最大 64 のブランチに直接接続できます。
    • インスタンスタイプ F16 標準。最大単一方向スループットが 1 Gbps で、最大 128 のブランチに直接接続できます。

    Azure SD-WAN の設定

  6. 新しい仮想ネットワーク (VNet) を作成するか、既存の VNet を使用します。このステップでは、SD-WAN VPX VMのインターフェイスに割り当てるサブネットを選択するため、これは展開にとって最も重要なステップです。

    Azure VNet

    AUX サブネットは、HA モードでインスタンスをデプロイする場合のみ必要です。SD-WANインスタンスがCitrix Virtual Apps and Desktops リソースと同じVNetにデプロイされ、SD-WAN VPXアプライアンスのLANインターフェイスと同じサブネット上にあることを確認します。

    Azure サブネット

  7. 概要 ]ページで構成を確認し、[ OK]をクリックします。

    Azure の概要

  8. [ Buy ] ページで、[ Create ] をクリックして、インスタンスのProvisioning プロセスを開始します。インスタンスがプロビジョニングされるまでに約 10 分かかる場合があります。Azure 管理ポータルに、インスタンスの作成の成功/失敗を示す通知が表示されます。

    Azureが買う

    インスタンスが正常に作成されたら、SD-WAN インスタンスの管理インターフェイスに割り当てられたパブリック IP を取得します。これは、インスタンスがプロビジョニングされているリソースグループの networking セクションの下にあります。取得したら、それを使用してインスタンスにログインできます。

    注:

    管理者アクセスの場合、ユーザー名は admin で、パスワードはインスタンスの作成時に設定したパスワードです。

  9. サイトがプロビジョニングされたら、SD-WAN Orchestrator にログインして構成します。前提条件で説明したように、サイトを構成するには SD-WAN Orchestrator のエンタイトルメントが必要です。まだ持っていない場合は、Citrix SD-WAN Orchestrator オンボーディングを参照してください。

  10. SD-WAN ネットワークが既にある場合は、Azure でプロビジョニングしたサイトの構成の作成に進みます。それ以外の場合は、MCN を作成する必要があります。詳しくは、「ネットワーク構成」を参照してください。

  11. SD-WAN Orchestrator にアクセスし、すでに MCN をセットアップしたら、SD-WAN Orchestrator にログインし、[ + New] サイト をクリックして SD-WAN VPX アプライアンス (Azure でプロビジョニングした) の設定を開始します。

    Azure の新しいサイト

  12. 一意のサイト名を指定し、イメージをProvisioning するリージョンに基づいてアドレスを入力します。Azure でインスタンスをセットアップするには、基本設定を参照してください。

    注:

    Azure でインスタンスのシリアル番号を取得するには、パブリック管理 IP 経由でインスタンスにログインします。シリアル番号は、ダッシュボード画面に表示されます。HA でインスタンスを設定する場合は、両方のシリアル番号をキャプチャする必要があります。また、インスタンスの設定時に、インターフェイスが Trustedとして選択されていることを確認します。

  13. Azure 上の LAN および WAN インターフェイスに関連付けられた IP アドレスを取得します。Azure ポータル > リソースグループ > SD-WAN がプロビジョニングされているリソースグループ> SD-WAN VM > ネットワークに移動します。

    Azure SD-WAN のプロビジョニング

  14. 一度インスタンスの設定を完了します。[構成] > [ネットワーク構成のホーム] に移動して、[構成/ソフトウェアの展開] をクリックします。

    Azure が構成ソフトウェアをデプロイ

  15. 問題がなく、構成が正確である場合は、構成展開を実行した後、Azure のインスタンスと MCN の間の仮想パスを作成する必要があります。

Citrix Virtual Apps and Desktopsの構成

展開と構成セクションで強調されているように、AD/DNS は DC として機能するオンプレミスの場所に存在し、SD-WAN を備えた配置では、LAN ネットワーク上の SD-WAN の背後に表示されます。ここで設定する必要があるのは、AD/DNSのIPです。Azure Active Directory サービス/DNS を利用している場合は、DNS IP として 168.63.129.16 を構成します。

オンプレミスの AD/DNS を使用している場合。SD-WAN アプライアンスから DNS の IP に ping を実行できるかどうかを確認します。これを行うには、 [トラブルシューティング] > [診断]に移動します。[ Ping ] チェックボックスをオンにして、SD-WAN アプライアンスの LAN インターフェイス/デフォルトインターフェイスから AD/DNS の IP への ping を開始します。

Azure ping

pingが成功した場合、それはあなたのAD/DNSが正常に到達できることを意味し、そうでなければ、それはあなたのAD/DNSへの到達可能性を妨げているネットワークにルーティングの問題があることを意味します。可能であれば、同じ LAN セグメントで AD と SD-WAN アプライアンスをホストしてみてください。

それでも問題が解決しない場合は、ネットワーク管理者に連絡してください。この手順を正常に完了しないと、カタログの作成手順は成功せず、 グローバル DNS IP が構成されていないというエラーメッセージが表示されます。

注:

DNS が内部および外部 IP の両方を解決できることを確認します。

ネットワークロケーションサービス

Citrix Cloudの ネットワークロケーション サービスを使用すると、加入者のワークスペースで使用できるようにするアプリやデスクトップへの内部トラフィックを最適化して、HDXセッションを高速化できます。内部ネットワークと外部ネットワークの両方のユーザーは、外部Gateway を介してVDAに接続する必要があります。これは外部ユーザーにとっては妥当な処理ですが、内部ユーザーにとっては仮想リソースへの接続が遅くなります。Network Location サービスを使用すると、内部ユーザーはGateway をバイパスしてVDAに直接接続できるため、内部ネットワークトラフィックの待ち時間が短縮されます。

構成

ネットワークロケーションサービスをセットアップするには 、次のいずれかの方法を使用します。

  • Citrix SD-WAN Orchestrator:Citrix SD-WAN Orchestrator を使用した NLS の構成の詳細については、「ネットワークロケーションサービス」を参照してください 。
  • Citrixが提供するネットワークロケーションサービスPowerShellモジュール:PowerShellモジュールを使用してNLSを構成する方法の詳細については、PowerShell モジュールと構成を参照してください 。

ネットワークの場所は、内部ユーザが接続しているネットワークのパブリック IP 範囲を共有します。加入者がWorkspace からVirtual Apps and Desktopsセッションを起動すると、Citrix Cloudは、加入者が接続元のネットワークのパブリックIPアドレスに基づいて、社内ネットワークの内部または外部にあるかどうかを検出します。

利用者が内部ネットワークから接続している場合、Citrix Cloudでは接続がCitrix Gatewayを経由せずVDAに直接ルーティングされます。利用者が外部から接続している場合、Citrix Cloudでは利用者が予定どおりCitrix Gatewayを経由してルーティングされ、内部ネットワークのVDAにリダイレクトされます。

注:

ネットワークロケーションサービスで構成する必要があるパブリック IP は、WAN リンクに割り当てられたパブリック IP である必要があります。

Citrix Virtual Apps and Desktopsのワークロードの構成ガイド