ゼロタッチ
注
ゼロタッチ展開サービスは、一部のCitrix SD-WANアプライアンスでのみサポートされています。
- SD-WAN 110 Standard Edition
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition(再イメージ化が必要)
- SD-WAN 1000 Enterprise Edition(Premium Edition)(再イメージが必要です)
- SD-WAN 1100 Standard Edition
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 Standard Edition(再イメージ化が必要)
- SD-WAN 2000 Enterprise Edition(Premium Edition(再イメージが必要です)
- SD-WAN AWS VPXインスタンス
ゼロタッチ展開(ZTD)クラウドサービスは、Citrix SD-WANネットワークで新しいアプライアンスを検出できる、シトリックスが運用および管理するクラウドベースのサービスです。主な目的は、支店またはクラウドサービスオフィスでのCitrix SD-WANの展開プロセスの合理化です。ゼロタッチデプロイメントクラウドサービスは、パブリックインターネットアクセスを介して、ネットワーク内のどこからでもパブリックにアクセスできます。ゼロタッチデプロイメントクラウドサービスは、セキュアソケットレイヤー(SSL)プロトコル経由でアクセスされます。
ゼロタッチ展開クラウドサービスは、ゼロタッチ対応デバイス(SD-WAN 410-SE、2100-SE)を購入したCitrixのお客様の格納された識別情報をホストするバックエンドのCitrixサービスと安全に通信します。バックエンドサービスは、ゼロタッチ展開リクエストを認証し、Citrix SD-WANアプライアンスのカスタマーアカウントとシリアル番号間の関連付けを適切に検証するために実施されています。
ZTD ハイレベルアーキテクチャとワークフロー:
データ・センター・サイト:
Citrix SD-WAN管理者 :SD-WAN環境の管理権限を持つユーザーで、主に次の責任があります。
-
Citrix SD-WAN Center ネットワーク構成ツールを使用した構成の作成、またはマスターコントロールノード(MCN)SD-WANアプライアンスからの構成のインポート
-
新しいサイトノードの展開のためにゼロタッチ展開サービスを開始するCitrix Cloudログイン。
注
SD-WAN Centerがプロキシサーバ経由でインターネットに接続されている場合は、SD-WAN Centerでプロキシサーバの設定を構成する必要があります。詳細については、「ゼロタッチ展開の プロキシサーバー設定」を参照してください。
ネットワーク管理者 — エンタープライズネットワーク管理(DHCP、DNS、インターネット、ファイアウォールなど)を担当するユーザー
- 必要に応じて、 SD-WAN センター から FQDN sdwanzt.citrixnetworkapi.net へのアウトバウンド通信用のファイアウォールを構成します。
リモート・サイト:
オンサイト・インストーラ — 次の主な責任を持つオンサイト・アクティビティの現地担当者または採用されたインストーラ
-
Citrix SD-WANアプライアンスを物理的に解凍します。
-
ZTD対応でないアプライアンスのイメージを再作成します。
-
必須:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
-
不要:SD-WAN 410-SE、2100-SE
-
-
アプライアンスの電源ケーブル。
-
管理インターフェイス(MGMT、0/1 など)でインターネットに接続するためにアプライアンスをケーブル接続します。
-
データインターフェイス(Apa.WAN、Apb.WAN、apc.WAN、0/2、0/3、0/5 など)で WAN リンク接続用にアプライアンスをケーブル接続します。
注
インタフェースのレイアウトはモデルごとに異なるため、データおよび管理ポートの識別に関するドキュメントを参照してください。
ゼロタッチ展開サービスを開始する前に、次の前提条件が必要です。
-
マスターコントロールノード(MCN)に昇格したアクティブに実行されているSD-WAN。
-
仮想パス経由の MCN に接続して、SD-WAN Centerをアクティブに実行しています。
-
https://onboarding.cloud.com で作成された Citrix Cloudログイン資格情報 (アカウント作成については、下記の手順を参照してください)。
-
管理ネットワーク接続(SD-WAN Centerおよび SD-WAN アプライアンス)をポート 443 でインターネットに直接接続するか、プロキシサーバー経由で接続します。
-
(オプション)MCNへの有効な仮想パス接続を使用してクライアントモードでブランチオフィスで動作するアクティブに実行されている少なくとも1つのSD-WANアプライアンス。
最後の前提条件は必須ではありませんが、新しく追加されたサイトで Zero Touch Deployment が完了したときに、アンダーレイネットワークで仮想パスを確立できるかどうかをSD-WAN 管理者が検証できます。これは、主に、NAT トラフィックに応じて、適切なファイアウォールおよびルートポリシーが適用されているか、UDP ポート 4980 がネットワークに正常に侵入して MCN に到達できるかどうかを検証します。
ゼロタッチ導入サービスの概要:
Zero Touch Deployment Service は、SD-WAN Centerと連携して機能し、ブランチオフィスの SD-WAN アプライアンスを簡単に導入できます。SD-WAN Center は、SD-WAN 標準およびEnterprise (Premium) Editionアプライアンスの中央管理ツールとして構成および使用されます。ゼロタッチ展開サービス(またはゼロタッチ展開クラウドサービス)を利用するには、まず、環境内に最初の SD-WAN デバイスを展開し、管理の中心点として SD-WAN Centerを構成して展開する必要があります。リリース 9.1 以降の SD-WAN Center がポート 443 にパブリックインターネットに接続してインストールされると、SD-WAN Center は自動的にクラウドサービスを開始し、必要なコンポーネントをインストールします。これにより、ゼロタッチデプロイ機能のロックを解除し、GUI でゼロタッチデプロイオプションを使用できるようになります。SD-WAN Centerの.ゼロタッチ展開は、SD-WAN Center ソフトウェアでは既定では使用できません。これは、管理者がゼロタッチ配置に関連するオンサイトアクティビティを開始する前に、アンダーレイネットワーク上に適切な予備コンポーネントが存在することを確認するために意図的に設計されています。
SD-WAN環境が稼働し始めたら、Citrix Cloudアカウントのログインを作成することにより、ゼロタッチ展開サービスへの登録が完了します。SD-WAN Center がゼロタッチ展開サービスと通信できる場合、GUI は** [ **構成] タブの下にゼロタッチ展開オプションを表示します。ゼロタッチサービスにログインすると、特定の SD-WAN 環境に関連付けられたカスタマー ID が認証され、SD-WAN Centerが登録されます。さらに、ゼロタッチデプロイアプライアンスの展開をさらに認証するためのアカウントのロックが解除されます。
SD-WAN センターのネットワーク構成ツールを使用して、SD-WAN 管理者は、テンプレートまたはクローンサイトの機能を使用して SD-WAN 構成を構築し、新しいサイトを追加する必要があります。新しい設定は SD-WAN Centerで使用され、新しく追加されたサイトのゼロタッチ展開の展開を開始します。SD-WAN 管理者がゼロタッチ展開プロセスを使用して展開するサイトを開始する場合、シリアル番号を事前に入力し、オンサイトインストーラーへの電子メール通信を開始して、ゼロタッチ展開に使用するアプライアンスを事前認証するオプションがあります。アクティビティ。
オンサイトインストーラーは、サイトがゼロタッチ展開の準備ができているという電子メール通信を受信し、DHCP IPアドレスの割り当てとMGMTポートでのインターネットアクセスのためにアプライアンスの電源を入れてケーブル接続するインストール手順を開始できます。また、LANポートおよびWANポートでのケーブル配線。それ以外はすべてゼロタッチ展開サービスによって開始され、進捗状況は、アクティベーション URL を利用して監視されます。インストールするリモートノードがクラウドインスタンスである場合、アクティベーションURLを開くと、ワークフローが開始され、指定されたクラウド環境にインスタンスが自動的にインストールされます。ローカルインストーラーによるアクションは必要ありません。
ゼロタッチデプロイメントクラウドサービスは、次のアクションを自動化します。
ブランチアプライアンスで新機能が利用できる場合は、ゼロタッチデプロイメントエージェントをダウンロードして更新します。
-
シリアル番号を検証して、ブランチアプライアンスを認証します。
-
SD-WAN 管理者がサイトを SD-WAN Centerを使用してゼロタッチ展開を受け入れたことを認証します。
-
SD-WAN Centerから、ターゲットアプライアンスに固有の設定ファイルをプルします。
-
対象のアプライアンスに固有の構成ファイルをブランチアプライアンスにプッシュします。
-
ブランチアプライアンスに構成ファイルをインストールします。
-
不足しているSD-WANソフトウェアコンポーネントまたは必要な更新をブランチアプライアンスにプッシュします。
-
仮想パスの確立を確認するための一時的な10 Mbpsライセンスファイルをブランチアプライアンスにプッシュします。
-
ブランチアプライアンスでSD-WANサービスを有効にします。
SD-WAN管理者がアプライアンスに永久ライセンスファイルをインストールするには、さらに多くの手順が必要です。
注
MCN で使用されているのと同じバージョンのアプライアンスソフトウェアがすでにあるブランチ構成を実行している場合、ゼロタッチ展開プロセスではアプライアンスソフトウェアファイルが再度ダウンロードされません。この変更は、工場出荷時の新品のアプライアンス、工場出荷時のデフォルトにリセットされたアプライアンス、および管理上の構成のリセットに適用されます。設定をリセットする場合は、[Re boot after revert] チェックボックスをオンにして ZTD プロセスを開始します。
ゼロタッチ展開デバイス手順
以下の手順では、ゼロタッチ展開サービスを使用して新しいサイトを展開するために必要な手順を詳しく説明します。実行中の MCN と 1 つのクライアントノードが SD-WAN Center への適切な通信をすでに使用していること、およびアンダーレイネットワーク経由の接続を確認する仮想パスを確立していること。SD-WAN管理者がゼロタッチの展開を開始するには、次の手順が必要です。
ゼロタッチ展開サービスを構成する方法
SD-WAN Centerには、新しく接続されたアプライアンスから SD-WAN エンタープライズネットワークに参加するための要求を受け付ける機能があります。要求は、ゼロタッチ展開サービスを介してWebインターフェイスに転送されます。アプライアンスがサービスに接続すると、構成とソフトウェアのアップグレードパッケージがダウンロードされます。
設定ワークフロー:
-
[ SD-WAN センター ] > [新しいサイト構成 の作成] または [既存の構成のインポート] にアクセスして保存します。
-
Citrix Cloudにログインして、ゼロタッチ展開サービスを有効にします。SD-WAN Center Web 管理インターフェイスに「ゼロタッチ配置」メニューオプションが表示されるようになりました。
-
SD-WAN Center で、[ 構成 ] > [ ゼロタッチ展開]> [新しいサイトの 展開] に移動します。
-
アプライアンスを選択し、[ Enable]、[ Deploy] の順にクリックします。
-
インストーラはアクティベーション電子メールを受信します。> シリアル番号を入力 > アクティベート > アプライアンスは正常にデプロイされました。
ゼロタッチ展開サービスを構成するには:
-
ゼロタッチ展開機能を有効にしたSD-WAN Centerをインストールします。
-
DHCP が割り当てられた IP アドレスを持つ SD-WAN Centerをインストールします。
-
SD-WAN Center に適切な管理IPアドレスとネットワークDNSアドレスが割り当てられ、管理ネットワークを介してパブリックインターネットに接続できることを確認します。
-
SD-WAN Centerを最新の SD-WAN ソフトウェアリリースバージョンにアップグレードします。
-
適切なインターネット接続があれば、SD-WAN Center はゼロタッチ展開クラウドサービスを開始し、ゼロタッチ展開に固有のファームウェアアップデートを自動的にダウンロードしてインストールします。このコールホームプロシージャが失敗した場合、次の Zero Touch Deployment オプションは GUI では利用できません。
-
利用規約を読み、[上記の利用規約を読み、同意したことを認めます] を選択します **。
-
Citrix Cloudアカウントがすでに作成されている場合は、[Citrix Workspaceクラウド にログインする] ボタンをクリックします。
-
Citrix Cloudアカウントにログインし、ログインに成功したことを示すメッセージが表示されたら、このウィンドウを閉じ ないでください。SD-WAN CenterのGUIを更新するにはさらに20秒かかります。 完了すると、ウィンドウは自動的に閉じます。
-
クラウドログインアカウントを作成するには、以下の手順に従ってください。ウェブブラウザを開き、 https://onboarding.cloud.com
-
「 待機」のリンクをクリックします。Citrix.comアカウントがあります。
- 既存のCitrixアカウントでサインインします。
- SD-WAN Center Zero Touch Deployment ページにログインすると、次の理由により、ゼロタッチ展開に使用できるサイトがないことがあります。
-
アクティブな構成が[構成]ドロップダウンメニューから選択されていません
-
現在アクティブな構成のすべてのサイトが既に展開されています
-
構成は SD-WAN Centerを使用して構築されたものではなく、MCN で利用可能な構成エディタを使用して構築されたものでした。
-
ゼロタッチ対応アプライアンス(410-SE、2100-SE、Cloud VPXなど)を参照する構成でサイトが構築されていない
- 設定を更新して、SD-WAN センターネットワーク構成を使用して、ZTD 対応の SD-WAN アプライアンスを持つ 新しいリモート サイトを追加します。
SD-WAN 設定が SD-WAN Centerネットワーク設定を使用して構築されていない場合は、MCN からアクティブな設定をインポートし、SD-WAN Center を使用して設定の変更を開始します。Zero Touch Deployment 機能を使用するには、SD-WAN 管理者は SD-WAN Centerを使用して設定を構築する必要があります。ゼロタッチ展開の対象となる新しいサイトを追加するには、以下の手順を使用する必要があります。
- 新しいサイトの詳細(つまり、アプライアンスモデル、インターフェイスグループの使用、仮想IPアドレス、帯域幅を備えたWANリンク、およびそれぞれのGateway)を最初に概説することにより、SD-WANアプライアンス展開用の新しいサイトを設計します。
> **重要**
>
> モデルとして VPX が選択されているサイトノードも一覧表示されますが、現在、ゼロタッチデプロイメントサポートは AWS VPX インスタンスでのみ利用可能です。
>
> **注**
>
> - Citrix SD-WAN CenterのサポートWebブラウザを使用していることを確認します
>
> - Citrix Workspaceログイン中にWebブラウザがポップアップウィンドウをブロックしていないことを確認してください

これは、ブランチオフィスサイトの展開の例です。SD-WAN アプライアンスは、172.16.30.0/24 ネットワーク経由で既存の MPLS WAN リンクのパスに物理的に展開され、既存のバックアップリンクを使用してアクティブ状態にし、その 2 番目の WAN リンクを別のサブネット 172.16.31.0/24.
> **注**
>
> SD-WAN アプライアンスは、デフォルトの IP アドレス 192.168.100.1/16 を自動的に割り当てます。DHCPがデフォルトで有効になっている場合、ネットワーク内のDHCPサーバは、デフォルトと重複するサブネット内の2番目のIPアドレスをアプライアンスに提供することがあります。これにより、アプライアンスがゼロタッチデプロイメントCloud Serviceに接続できない可能性があるアプライアンスでルーティングの問題が発生する可能性があります。DHCPサーバーを構成して、192.168.0.0/16の範囲外のIPアドレスを割り当てます。
>
> ネットワーク内のSD-WAN製品の配置には、さまざまな展開モードを使用できます。上記の例では、SD-WANが既存のネットワークインフラストラクチャの上にオーバーレイとして展開されています。新しいサイトの場合、SD-WAN 管理者は、SD-WAN をエッジモードまたはゲートウェイモードで展開することを選択できます。これにより、WAN エッジルータとファイアウォールが不要になり、エッジルーティングとファイアウォールのネットワークニーズを SD-WAN ソリューションに統合できます。
-
SD-WAN Center Web 管理インターフェイスを開き、[ 構成 ] > [ ネットワーク構成] ページに移動します。
-
動作中の構成がすでに配置されていることを確認するか、MCN から構成をインポートします。
-
[詳細]タブに移動して、サイトを作成します。
-
[サイト]タイルを開いて、現在構成されているサイトを表示します。
-
既存のサイトのクローン機能を利用して、新しいサイトの構成をすばやく構築しました。
-
この新しいブランチサイトの
-
新しいサイトのクローンを作成した後、サイトの [ 基本設定] に移動し、ゼロタッチサービスをサポートする SD-WAN のモデルが正しく選択されていることを確認します。
サイトの SD-WAN モデルは更新できますが、更新されたアプライアンスの新しいインターフェイスレイアウトがクローンに使用されたインターフェイスレイアウトになる可能性があるため、インターフェイスグループを再定義する必要があることに注意してください。
-
新しい構成を SD-WAN Center に保存し、[ 変更管理] 受信トレイへのエクスポート オプションを使用して、変更管理を使用して構成をプッシュします。
-
変更管理手順に従って新しい構成を適切にステージングします。これにより、既存の SD-WAN デバイスが、ゼロタッチで展開する新しいサイトを認識します。「Ignore Incompret」オプションを使用して、移行する必要のある新しいサイトに構成をプッシュすることをスキップする必要があります。をゼロタッチ展開ワークフローで導入できます。
-
SD-WAN Center のゼロタッチ展開ページに戻り、新しいアクティブな構成が実行されている状態で、新しいサイトを展開できます。
-
[ゼロタッチデプロイ] ページの [新しいサイトの デプロイ ] タブで、実行中のネットワーク構成ファイルを選択します
-
実行構成ファイルを選択すると、ゼロタッチでサポートされている未展開の SD-WAN デバイスを持つすべてのブランチサイトのリストが表示されます。
-
ゼロタッチサービス用に構成するブランチサイトを選択し、[ 有効]、[ 展開] の順にクリックします。
-
Deploy New Siteポップアップウィンドウが表示されます。管理者は、必要に応じて、シリアル番号、ブランチサイトのストリートアドレス、インストーラの電子メールアドレス、その他のメモを提供できます。
注
シリアル番号入力フィールドはオプションであり、入力されているかどうかに応じて、インストーラーが担当するオンサイトのアクティビティが変更されます。
>-[Serial Number] フィールドが入力されている場合 — インストーラは、deploy site コマンドで生成されたアクティベーション URL にシリアル番号を入力する必要はありません。>-[Serial Number] フィールドが黒色のままの場合 — インストーラは、アプライアンスの正しいシリアル番号をアクティベーションに入力する必要があります。サイト展開コマンドで生成された URL
-
[ Deploy ] ボタンをクリックすると、「サイト構成がデプロイされました。この操作により、以前にゼロタッチデプロイ Cloud Service に登録された SD-WAN Centerがトリガーされ、この特定のサイトの構成がゼロタッチデプロイ Cloud Service に格納される一時的なものになります。
-
[保留中のアクティブ化]タブに移動して、ブランチサイト情報が正常に入力され、インストーラーアクティビティが保留中の状態になったことを確認します。
注
情報が正しくない場合は、[Pending Activation] 状態のゼロタッチ展開を [Delete] または [Modify] にオプションとして選択できます。保留中のアクティブ化ページからサイトが削除されると、そのサイトは[新しいサイトのデプロイ]タブページでデプロイできるようになります。アクティベーションの保留からブランチサイトを削除することを選択すると、インストーラーに送信されたアクティベーションリンクは無効になります。
SD-WAN 管理者が [シリアル番号] フィールドに入力しなかった場合、ステータスフィールドには「接続中」ではなく「インストーラを待機中」と表示されます。
-
次の一連の作業は、オンサイトインストーラによって実行されます。
-
インストーラーは、SD-WAN 管理者がサイトの展開時に使用した電子メールアドレスのメールボックスを確認します。
2. インターネットブラウザウィンドウで、ゼロタッチ展開のアクティベーション URL を開きます (例: https://sdwanzt.citrixnetworkapi.net
)。
3. SD-WAN 管理者が導入サイトの手順でシリアル番号をあらかじめ入力しなかった場合、インストーラは物理アプライアンスでシリアル番号を特定し、アクティベーション URL にシリアル番号を手動で入力する必要があります。次に、 ボタンをクリックします。

4. 管理者がシリアル番号情報を事前に入力している場合、アクティベーションURLは次のステップに進んでいます。

5. 次のアクションを実行するには、設置者が現場にいる必要があります。
- 前の手順で構築したトポロジと構成に一致するように、すべてのWANおよびLANインターフェイスをケーブルで接続します。
- 管理インターフェース(MGMT、 0/1) DHCP IPアドレスと、DNSおよびFQDNからIPアドレスへの解決によりインターネットへの接続を提供するネットワークのセグメント内。
- SD-WANアプライアンスの電源ケーブル。
- アプライアンスの電源スイッチをオンにします。
> **注**
>
> ほとんどのアプライアンスは、電源ケーブルを接続すると自動的に電源が入ります。アプライアンスによっては、アプライアンスの前面にある電源スイッチを使用して電源をオンにする必要がある場合や、アプライアンスの背面にある電源スイッチを使用する場合があります。一部の電源スイッチでは、ユニットの電源が入るまで電源ボタンを押し続ける必要があります。
- 次の一連のステップは、ゼロタッチ展開サービスの助けを借りて自動化されますが、次の前提条件が利用可能であることが必要です。
-
ブランチアプライアンスの電源がオンになっている必要があります
-
管理とDNS IPアドレスを割り当てるには、既存のネットワークでDHCPを使用できる必要があります
-
DHCPが割り当てたIPアドレスには、FQDNを解決する機能を備えたインターネットへの接続が必要です
-
IP 割り当ては、他の前提条件が満たされている限り、手動で構成できます。
- アプライアンスはネットワークのDHCPサーバーからIPアドレスを取得します。この例のトポロジでは、これは工場出荷時のデフォルト状態のアプライアンスのバイパスされたデータインターフェイスを介して行われます。

-
アプライアンスがアンダーレイネットワークDHCPサーバーからWeb管理およびDNS IPアドレスを取得すると、アプライアンスはゼロタッチ展開サービスを開始し、ゼロタッチ展開に関連するソフトウェアアップデートをダウンロードします。
-
ゼロタッチデプロイメントクラウドサービスへの接続に成功すると、デプロイメントプロセスは自動的に次の処理を実行します。
-
SD-WAN Centerによって以前に保存された構成ファイルをダウンロードします。
-
ローカルアプライアンスへの構成の適用
-
10 MBの一時ライセンスファイルをダウンロードしてインストールする
-
必要に応じて、ソフトウェアの更新をダウンロードしてインストールします
-
SD-WANサービスをアクティブ化する

- さらに確認は SD-WAN Center Web 管理インターフェイスで実行できます。Zero Touch Deployment メニューには、正常にアクティベートされたアプライアンスが [ アクティベーション履歴 ] タブに表示されます。

- 仮想パスは、ゼロタッチデプロイメントクラウドサービスから渡された構成をMCNが信頼せず、MCNダッシュボードに「構成バージョンの不一致」と報告するため、接続状態ですぐに表示されない場合があります。

- 構成は新しくインストールされたブランチオフィスアプライアンスに再配信され、 MCN \ > 構成\ >仮想WAN** \ > [ **変更管理] ページ (このプロセスが完了するまで数分かかる場合があります)。

- SD-WAN管理者は、リモートサイトの確立された仮想パスのヘッドエンドMCN Web管理ページを監視できます。

- SD-WAN Centerは、[ 構成]>[ネットワーク検出]>[インベントリとステータス] ページから、オンサイトアプライアンスのDHCP割り当てIPアドレスを識別するためにも使用できます。

- この時点で、SD-WANネットワーク管理者は、SD-WANオーバーレイネットワークを利用して、オンサイトアプライアンスへのWeb管理アクセスを取得できます。

- リモートサイトアプライアンスへのWeb管理アクセスは、アプライアンスに10 Mbpsの一時的な猶予ライセンスがインストールされていることを示しています。これにより、仮想パスサービスステータスをアクティブとして報告することができます。

- アプライアンスの構成は、[構成]\ > [ **仮想WAN ]\ > [構成の 表示] ページを使用して検証できます。 **

- アプライアンスライセンスファイルは、[ 構成]>[アプライアンスの設定] \ >[ライセンス]ページを使用して、永続ライセンスに更新できます。

永続ライセンスファイルをアップロードしてインストールすると、Grace License 警告バナーが消え、ライセンスインストールプロセス中にリモートサイトへの接続が失われることはありません(ping がゼロにドロップされます)。