導入ガイド:Azure 仮想 WAN 搭載の Citrix SD-WAN

オーディエンス

このドキュメントは、Microsoft Azure Virtual WAN および Citrix SD-WAN ソリューションを評価しているクラウドソリューションアーキテクト、ネットワーク設計者、技術専門家、パートナー、コンサルタントを対象としています。また、ネットワーク管理者、Citrix管理者、マネージドService Provider 、またはこれらのソリューションの展開を検討しているユーザーも対象としています。

概要

このドキュメントでは、Azure 仮想 WAN が提供する利点、Azure VWAN と Citrix SD-WAN の共同ソリューションの利点、それらに対応するユースケース、および対応する構成ガイダンスについて説明します。

展開ガイドでは、以下の方法について説明しています。

  1. Azure 仮想 WAN での接続の確立

    • ハブからハブへの接続

    • VNet-to-Hub ピアリング

  2. SD-WAN と Azure VWAN 間の接続を確立します。

    • SD-WANを使用してクロスリージョン通信を確立する

    • SD-WAN での HA の設定を予期しました

使用例

この文書では、組織の典型的な要件を満たすように設計された 3 つのユースケースの実現に重点を置いています。

ユースケース 1: グローバルに分散しているブランチから、単一の Azure リージョンにデプロイされたリソースに安全に接続します。

ユースケース 2: さまざまな Azure リージョンにデプロイされたリソースに安全に接続するオンプレミスインフラストラクチャ。

ユースケース 3: Azure バックボーンを介して相互に通信するグローバルに分散したブランチロケーション。

Azure 仮想 WAN: 概要

Azure Virtual WAN (VWAN) は、Microsoftが提供するネットワークサービスで、高速グローバル中継ネットワークを提供し、支店、データセンター、ハブ、およびユーザー間の安全な接続を可能にします。サイト間 VPN (ブランチから Azure)、ユーザー VPN (ポイントツーサイト)、および ExpressRoute 接続をサポートします。VNET/ワークロード仮想ネットワークとハブ間のHub-to-VNet接続を自動化します。お客様は、Azure VWAN を使用して、プライベート Azure バックボーンを使用してリージョン間のブランチを接続することもできます。

Azure VWAN

参照: Azure Virtual WAN トラフィックパス

より良い:Azure VWAN と Citrix SD-WAN の共同ソリューションの利点

Citrix SD-WAN は、ネットワーク展開を自動化することにより、支社を Azure に接続するためのコスト、複雑さ、および時間を削減する、安全で信頼性の高いWAN エッジソリューションを提供します。 Microsoft の高速グローバルバックボーンを最大限に活用しながら、高レベルの冗長性、自動化、監視、および制御をグローバル規模で提供することで、Azure Virtual WAN のメリットを強化します。

  1. 利点 1: SD-WAN でネットワーク展開を自動化し、数百のブランチオフィスを Azure ハブに接続する

    数百のオンプレミスの場所から Azure へのサイト間 VPN トンネルをセットアップすると、非常に時間がかかり、エラーが発生しやすくなります。Citrix SD-WANとAzure 仮想WANとの統合により、そのプロセスを桁違いに高速化できます。Citrix SD-WAN Orchestratorは、API統合により、オンプレミスのCitrix SD-WAN アプライアンスをAzure 仮想WANに接続するための単一の管理ウィンドウを提供します。 別のアーキテクチャは、(Azureハブを使用する代わりに)Azure上にCitrix SD-WAN VPXを展開することです。これにより、オンプレミスの SD-WAN アプライアンスを使用したブックエンドソリューションが形成されます。これにより、ネットワークの耐障害性を高め、ユーザーのアプリケーションエクスペリエンスを向上させるメリットが得られます。利点としては、リンクボンディングと負荷分散、業界をリードするパケットごとの負荷分散テクノロジによるサブ秒フェイルオーバー、 および選択的パケット複製の双方向 QoS SD-WAN VPX インスタンスアプローチには帯域幅が制限される (つまり、最大 2 Gbps) があります。この場合、AzureVWAN ソリューションは、より高いスループット機能を提供します。

  2. メリット2: SD-WANによるWAN運用コストの削減

    MPLS と ExpressRoute は、Azure VWAN に接続するためのプライベートで高速かつ安全なチャネルを提供できます。ただし、通常は高価なソリューションであり、特にプライベートイントラネットへの接続を必要とするすべてのブランチサイトを考慮する必要がある場合です。SD-WAN は、コスト効率の高い複数の接続タイプ (4G/LTE、DSL、インターネットなど) を集約することにより、WAN の運用コストの削減に役立ちます。また、ブランチから Azure リソースに接続するための回復力も向上します。 企業のセキュリティ要件によっては、あるブランチからのトラフィックを Enterprise HQ にバックホールして、セキュリティコンプライアンスを確保し、回線に負担をかけて、レイテンシーを増大させる必要がある場合があります。仮想Citrix SD-WAN アプライアンスをAzure にデプロイすると、Citrix SD-WAN アプライアンス内の組み込みL2-L7ファイアウォールで作成されたセキュリティポリシーを処理することにより、ローカルのインターネットブレークアウトを実現できます。これにより、本社へのトラフィックをバックホールする必要性が制限されるため、従量制課金プランで発生する出力データ料金が削減され、ユーザーエクスペリエンスの維持にも役立ちます。

  3. メリット3: SD-WANによるラストマイルの接続性を向上

    より多くのワークロードがクラウドに移行するにつれ、リモートオフィスとの最後のマイル接続がより重要になります。リモートブランチに MPLS または ExpressRoute 接続を提供することは必ずしも可能とは限りません。純粋に経済的な理由から、MPLS または Express Route ネットワークのプロビジョニングには時間がかかり、実装できない場合があります。 リモートブランチサイトでの SD-WAN 展開は、複数のネットワークリンク (プライマリおよびセカンダリとして構成可能) を集約し、最も近い Azure/Microsoft POP を特定することで、Azure へのラストマイル接続エクスペリエンスを向上させることができます。ネットワークを常に監視することにより、SD-WAN は、リンク品質に応じて 1 つのリンクから別のリンクへのトラフィックを自動的に誘導し、リモートユーザに最適なエクスペリエンスを提供します。

  4. メリット 4: ネットワークの復元性と最適化されたWANエクスペリエンスを提供する、ブックエンドソリューション

    ネイティブ IPsec を使用してブランチオフィスを Azure VWAN に接続することは可能ですが、単一の IPSec トンネルではパケット損失やリンクの輻輳が発生しやすく、停止のリスクを軽減できません。ネットワーク停止が発生すると、数百万ドルの生産性と収益の損失につながる可能性があります。

    Citrix SD-WAN VPXネットワーク仮想アプライアンス(NVA)をAzure に展開する別のアプローチを採用して、オンプレミスのSD-WANアプライアンスを使用してブックエンドソリューションを形成すると、多くのメリットがもたらされます。これらのメリットには、リンクボンディングと負荷分散、サブ秒フェイルオーバー、選択的パケットレプリケーション、双方向 QoS などが含まれます。これにより、ネットワークの耐障害性が向上し、ユーザーのアプリケーションエクスペリエンスが向上します。

  5. 利点 5: SD-WAN Orchestrator による可視性の向上

    Citrix SD-WAN オーケストレータは、ネットワークの正常性と使用状況を管理および追跡するための単一のウィンドウを提供します。Orchestrator のテンプレートベースのクローン作成により、SD-WAN とネットワーク拡張の大規模な展開が簡素化され、ブランチオフィス全体の変更を拡張し、時間を節約できます。 SD-WAN Orchestrator は、新規または既存の VNET で SD-WAN VPX インスタンスをポイントアンドクリックプロビジョニングすることにより、Microsoft Azure への自動化されたオンランプも提供します。

参照トポロジ

指定されたリージョン(例:Azure VWAN イーストハブ)にデプロイされた Azure ワークロードは、インターネットまたは 4G/LTE を介して Citrix SD-WAN アプライアンスを使用して複数のブランチロケーションに接続できます。仮想ネットワーク(VNet)インフラストラクチャ内では、SD-WAN Standard Edition VM(SD-WAN VPX)がゲートウェイモードで展開されます。

参照トポロジ

上で概説したユースケースを実現するには、次のエンティティ間の接続/ペアリングを確立する必要があります。

  1. IPSec トンネルおよび BGP ピアリングを介した SDWAN VPX および Azure VWAN ハブ

  2. ローカルおよびグローバル VNet ピアリングを使用する Azure VWAN ハブと VNet

  3. 仮想パスを使用する SD-WAN ブランチアプライアンスと SD-WAN VPX (Azure 上)

3つの中でも、Citrix SD-WAN独自の仮想パステクノロジを介したSD-WANブランチアプライアンスとSD-WAN VPX(3)間の接続を確立することで、いくつかの機能がもたらされます。これらの機能には、パケット単位の負荷分散、選択的パケットレプリケーション、および双方向 QoS が含まれ、共同ソリューションの利点を提供します。以下のドキュメントでは、Azure 仮想 WAN をセットアップし、SD-WAN 仮想アプライアンスをデプロイするために必要な手順について説明します。

Azure のプロビジョニングとネットワーキング

Orchestrator から Azure 仮想 WAN を展開する前に、Azure 仮想 WAN に関連するリソースがプロビジョニングされ、ネットワーク設計がファイナライズされていることを確認してください。これにより、SD-WAN Orchestrator 管理コンソールから Azure 仮想 WAN の構成が簡単になります。

これは、Azure 仮想 WAN に関連するリソースの作成方法を示すフローチャートです。

手順のまとめ

このフローに従っている間は、リソースグループを作成する前に VNet を作成できます。ここでは、このトポロジを構築する際に実行された手順の概要を示します。各ステップについては、以降のセクションで詳しく説明します。

手順の概要

  1. リソースグループの作成
  2. 東西リージョンごとに VNet を作成します(前述のトポロジの場合)

    • Azure のトポロジごとに、異なるリージョンの任意の数のVNetにも同じことが適用されます
  3. Azure 仮想 WAN リソースを作成する
  4. 東および西部リージョンを管理する Azure 仮想 WAN ハブを作成します (単一の仮想 WAN 内に固有のハブからハブへの接続を使用します)。
    • 東部リージョンにハブを作成します。
    • 西リージョンにハブを作成します。
  5. 東西リージョン (手順 2 で作成した) の VNet を、それぞれのハブとピアリングします。
    • たとえば、東部リージョンの VNet は、東部リージョンのハブとピアリングされるため、SD-WAN サブネット (オンプレミスから Azure の SD-WAN VPX に接続され、最終的には BGP 経由でサブネットを提供するハブに接続する) への可視性が得られます。

リソースグループの作成

1. 東部リージョンでのリソースグループの作成

  • リージョンのリソースグループを作成します。このアーキテクチャでは、AzurevwaneastRescGrp という名前を付けました。
  • リージョンを [米国東部] (東部リージョンのワークロード/VNet) として選択してください。トポロジごとに、どのリージョンでもプロビジョニングできます。
  • リソースグループを確認して作成します。

    East にリソースグループを作成

2. 西部リージョンでのリソースグループの作成

  • 名前を指定してリソースグループを作成します。このアーキテクチャでは、AzurevwanWestrescGrp を使用しています。
  • リージョンを [米国西部] として選択してください (西リージョンのワークロード/VNet の場合)。
  • リソースグループを確認して作成します。

    West にリソースグループを作成する

東および西部リージョンで(リファレンストポロジごとに)VNet を作成します

このリンクをたどって 、リージョンの VNet を作成できます。

Azure 仮想 WAN リソースを作成する

  1. Azure の検索バーで [仮想 WAN] を検索し、[ 仮想 WAN] をクリックします。

    Azure VWAN を検索する

  2. [ + 追加] をクリックして、新しい仮想 WAN を追加します

    [追加] をクリックします

  3. Azure 仮想 WAN の基本的な詳細の記入を開始します

    • というドキュメントの先頭に作成されたAzureVWANEastRescGrpEast リソースグループを選択しました。
    • 米国東部として場所を選択 (上記のトポロジごとに)
    • 作成中の Azure 仮想 WAN リソースに名前を指定します。この文書では、EastUSVWANANDHubという名前です。

    注:SKUを「STANDARD」として選択して、ハブとハブ間の通信を地域間で実現できるようにします。ただし、ハブ間通信機能が不要な場合は、「BASIC」SKUを選択できます。

    WANを作成する

  4. 検証に合格したら、[ 検証を作成] をクリックします

  5. リソースが作成されたら、Azure 仮想 WAN のグローバルセクションにリソースを見つけることができます。

  6. 以下に示すように、我々は、AzurevwaneastRescGrp としてリソースグループと、東US2として場所が表示されている「EastusvwanAndHub」を参照してください。

    確認

注:Azure 仮想 WAN リソースは、米国東部 2 リージョンの東部リソースグループにデプロイされていますが、ネットワークトポロジごとに任意のリージョン/リソースグループにデプロイすることもできます。

各リージョンでの Azure VWAN ハブの作成

1. 東部リージョン用の Azure 仮想 WAN ハブの作成

前の手順で作成した仮想 WAN リソース ( 「eastusVwanandHub」) を選択します。

  • 仮想 WAN リソースには、[接続] セクションの下に [ハブ] があります。

    ハブを探す

  • [ Hubs ] をクリックすると、新しいハブを追加できます。

  • ハブセクションの「+ 新しいハブ」 をクリックすると、新しい設定ペインが開きます

    ハブを追加

  • 基本詳細を入力します

    • ハブを作成するリージョンを選択します。
    • この場合、リージョンは米国東部 2 です (ハブはこのリージョンに作成されます)
    • ハブに名前を付けます。この場合、それは「EastushuB」
    • このリソースグループの他のサブネットと重複しない、または重複しない一意のアドレス空間をこのハブに提供する

    バーチャルハブの設定

    • 最も重要な手順は、「サイトからサイト」セクションを構成することです。
      • [サイト間を作成しますか] で [はい] を選択します。
      • ASNは自動的に入力され、このハブでは65515になります。
      • 必要に応じてゲートウェイスケール単位を選択します。
        • この場合、1 スケール単位 — 500 Mbps x 2 として選択されます。

      注:1 つおきにセクションをデフォルトとして残します

    • [ 確認と作成] をクリックして、東部リージョンに Azure 仮想 WAN ハブを作成します。
    • ハブの作成プロセスが完了するまで最大 30 分かかる場合があります。

    バーチャルハブの設定

    • リソースが作成されると、[Virtual WAN] の下の [Hub] セクションに、作成したハブの名前が付いた新しいエントリが Geo マップの下に表示されます。
      • ハブのステータスは「成功しました」と表示されます。
      • アドレス空間は、設定したとおりである必要があります。
      • まだ接続されている VPN サイトがないので、カウントは ‘0’ です。以降の手順でVPNサイトを接続します。

    バーチャルハブの設定

    • 地理マップの下にある EastusHub リンクをクリックし、以下の属性を確認します。
      • ルーティングステータス — プロビジョニング済み
      • ハブのステータス — 成功しました
      • 場所 — 米国東部 2
      • VPN ゲートウェイのプロビジョニングステータス — 成功

    ステータスの検証

2. 西リージョン用の Azure 仮想 WAN ハブの作成

  • 仮想WANリソースEastusVwanandHub(最初に米国東ハブをプロビジョニングした場所)の内部には、「ハブ」接続セクションの下にあります。

  • [ Hubs ] をクリックして、新しいハブを追加します。

    新しいハブを追加

  • 基本詳細を入力します
    • ハブを作成するリージョンを選択します。
    • この場合、リージョンは米国西部 2(ハブはこのリージョンに作成されます)
    • ハブに名前を付けます。この場合、それは「WestHubus」です。 このリソースグループ内の他のサブネットと重複しない、または重複しない一意のアドレス空間を、このハブに提供します。

    ハブを設定

  • 最も重要な手順は、「サイト間」セクションを構成することです。
    • [サイト間を作成しますか (VPN ゲートウェイ)] で [はい] を選択します。
    • ASNは自動的に入力され、このハブでは65515になります
    • 選択に応じてゲートウェイスケールユニットを選択します (スループットの定義)
      • ここでは、 1スケールユニット-500Mbps×2を選択しました

    注:1 つおきセクションはデフォルトのままにします。

    ハブを設定

  • [ 確認と作成] をクリックして、西リージョンに仮想 WAN ハブを作成します。
  • ハブの作成には時間がかかり、作成が完了するまで約 30 分かかる場合があります。

    ハブを確認して作成する

  • リソースが作成されたら、Geo マップの下にある WestusHub リンクをクリックして WestHubus ハブのステータスを確認できます。ハブの詳細セクションに移動します。属性のステータスは、次のように確認できます。

    • ルーティングステータス — プロビジョニング済み
    • ハブのステータス — 成功しました
    • ロケーション — 米国西部 2
    • VPN ゲートウェイのプロビジョニングステータス — 成功

    確認

VNet をハブにピアする

1. East VNet をイーストハブにピアリング

  • 仮想WANリソース「eastusVwanandHub」内で、 「仮想ネットワーク接続」 をクリックし、 「+接続の追加」をクリックします。

    接続を追加

米国東部リージョンの Vnet1 を仮想ハブにピア接続するための接続の詳細を入力します。

  1. 接続名 — 仮想ネットワーク接続の名前 — Vnet1EastPeerHub
  2. ハブ — ピアするハブの名前 — eastusHub
  3. サブスクリプション — 仮想WANおよび仮想ハブリソースの作成に使用したサブスクリプションとしてサブスクリプションを選択してください
  4. リソースグループ — ハブとピアリングしようとしている東部リージョン VNet のリソースグループになります
  5. 仮想ネットワーク:ピアリングする East リージョンリソースグループに関連付けられた VNet
  6. 「なし」に伝播 —「いいえ」に設定します。
  7. ルートテーブルの関連付け -デフォルトを選択
  8. 「ルートテーブルへの伝播」— 東部リソース VNet のデフォルトルーティングテーブルであるデフォルト(EastusHuB)を選択します。
  9. 他のものをデフォルトのままにする
  10. 「作成」をクリックします。

    接続を設定

  • 仮想ネットワークを作成すると、次のスナップショットのようになります。これにより、East VNet プレフィクスを EastushuB(仮想ハブ)に伝播し、EastushuB が持つプレフィクスを(BGP 経由で)東の VNet のルーティングテーブルに伝播できます。

    接続を検証

2. 東の VNet をウェストハブにピアリング

  • 仮想WANリソースEastusVwanandHub内で、 「仮想ネットワーク接続」 をクリックし、 「+接続の追加」をクリックします。
  1. 接続名 — 仮想ネットワーク接続の名前 — WesthubvNet1Peer
  2. ハブ — ピアするハブの名前 — WestHubus
  3. サブスクリプション — 仮想WANおよび仮想ハブリソースの作成に使用したサブスクリプションとしてサブスクリプションを選択してください
  4. リソースグループ — ハブとピアリングしようとしている西リージョン VNet のリソースグループになります
  5. 仮想ネットワーク — ピアする西部リージョンリソースグループに関連付けられた VNet
  6. 「なし」に伝播 —「いいえ」に設定します。
  7. ルートテーブルの関連付け -デフォルトを選択
  8. 「ルートテーブルへの伝播」— West リソース VNet のデフォルトルーティングテーブルである「デフォルト (WestHubus)」を選択します。
  9. 他のものをデフォルトのままにする
  10. 「作成」をクリックします。

    接続を設定

  • 仮想ネットワーク接続を作成すると、以下のスナップショットのようになります。これにより、West VNet プレフィクスを WestHubus(仮想ハブ)に伝播し、WestHubus が持つプレフィクスを(BGP 経由)西 VNet のルーティングテーブルに伝播できます。

    接続を検証

SD-WAN Orchestrator の前提条件

1. Azure での SD-WAN インスタンスのプロビジョニング

  • Azure で SD-WAN 仮想アプライアンスをプライマリ MCN (マスターコントロールノード) としてプロビジョニングし、第 2 および Geo MCN を東部 US2 リージョンでプロビジョニングします。

    プライマリ MCN およびセカンダリ/ジオMCN は、特定のユースケースを提供します(リファレンストポロジごとに)。ただし、SD-WAN VPXはブランチモードでも展開できます。

    MCN は SD-WAN ネットワークのコントローラーとして機能し、Azure API をインジェストして、Azure 仮想 WAN リソースとのサイト間の接続を確立します。MCN は、SD-WAN オーバーレイのメインコントローラとして機能します。セカンダリ/ジオMCN は、プライマリ MCN がダウンした場合にコントローラの役割を引き継ぐことで、このコントローラ機能の冗長性を提供します。

  • AzureでCitrix SD-WAN VPXをプロビジョニングするには、 このドキュメントを参照してください

    注:上記の文書を通過しながら、あなたは10.2が言及されていることがわかります, しかし、市場で検索すると、あなたは「Citrix SD-WAN Standard Edition 10.2.5」または「Citrix SD-WAN Standard Edition 11.0.3」を見つけるでしょう. Citrix SD-WAN ネットワークの残りのファームウェアバージョンに基づいて、これらのバージョンのいずれかを選択できます。

  • Azure でCitrix SD-WAN VPXをプロビジョニングした後、SD-WAN Orchestrator を介して構成を完了する必要があります。

    注:SD-WAN Orchestrator で構成を開始する前に、次の情報を便利にしておいてください。

2. Azure の SD-WAN VPX インスタンスのシリアル番号

  • あなたは、Azure のシリアルコンソールに移動し、インスタンスのCLIに管理者の資格情報を入力し、「system_info」と入力してコマンドを入力することができます。アプライアンス/インスタンスのシリアル番号はこちらからご覧いただけます。
  • それ以外の場合は、Azure インスタンス仮想マシンに移動し、[ ネットワーク] をクリックし、以下のような管理インターフェイスのパブリックIPを取得することができます。

    管理インターフェースのパブリック IP を取得する

  • パブリックIPを取得したら、アプライアンスにアクセスし、https://<public_IP>を使用して任意のブラウザ(CHROME/FIREFOX/SAFARI) でアクセスし、ログインするための管理者資格情報を提供することができます。
  • アプライアンスのダッシュボードが開きます。今後の使用に備えて、シリアル番号をメモしておきます。

3. Azure から VPX の LAN および WAN インターフェイス IP を入手する

  • プライマリ MCN およびセカンダリ/ジオMCN IP のプロビジョニング中に LAN および WAN インターフェイス IP を取得します。
  • Azure プライマリ MCN およびセカンダリ/地域 MCN の [ネットワーク] セクションから同じ情報を取得できます。
  • たとえば、プライマリ MCN LAN IP は 10.1.1.4 です(以下のスナップショットに従って)
    • セカンダリ/地域 MCN についても同じことを実行し、LAN IP もメモします。

    プライマリ MCN LAN IP を取得する

  • プライマリ MCN WAN IP は 10.1.2.4 です。以下のスナップショットごとに

    • セカンダリ/地域 MCN についても同じことを実行し、WAN IP もメモします。

    セカンダリ MCN WAN IP を取得する

4. プライマリ MCN とセカンダリ/地域 MCN の両方の WAN リンクのパブリック IP アドレスを取得します

  • この情報は、仮想マシンの WAN インターフェイス (MCN/geo MCN) の [ネットワーク] セクションから取得できます。

  • プライマリ MCN やセカンダリ/ジオMCN などのコントローラは、アプライアンスの WAN リンクの作成時に、任意の管理インフラストラクチャ上で静的パブリック IP アドレスを使用して構成する必要があります。ただし、ブランチモードでVPXを展開した場合は、IPアドレスも動的に取得できます。

    プライマリ MCN パブリック WAN IP を取得する

  • この時点で、私たちは便利な次の情報を持っています。

    フローチャート

次の手順:

  • MCN、セカンダリ/ジオMCN、およびブランチオフィスの上記のすべての情報を使用して SD-WAN Orchestrator を設定します。 このリンクをたどって、標準の Orchestrator 構成方法を使用して、オンプレミスの SD-WAN アプライアンスの構成を完了します。

5. Azure サービスプリンシパルの作成

サブスクリプションに Azure サービスプリンシパルを作成して、SD-WAN Orchestrator から展開 (オートメーション) を管理するためのプログラム的な方法を有効にします。Microsoft Azure では、サードパーティによるプログラムによる管理が必要なすべてのリソース、IAM ロールを関連付け、アプリケーション登録を作成して、リソースを外部から自動化できることが義務付けられています。

そのためには、 ここに記載されている手順に従ってください。詳細については、 付録セクションのこのセグメントを参照してください

6. SD-WAN Orchestrator で Azure 認証資格情報を入力

  • サブスクリプションに Azure プリンシパルを作成し、プログラムによる展開の管理方法を有効にします。
  • Azure プリンシパルのクライアント ID、クライアントシークレット、テナント/ディレクトリ ID (Azure サブスクリプションの詳細を含む) を書き留めます。
  • [グローバル設定] で、[ 構成]-> [配信サービス]-> [Azure 仮想 WAN ] サービスの設定アイコンをクリックします。
  • [認証] リンクをクリックします。これで準備できた詳細がポップアップ表示されます。
  • 詳細を慎重に入力して保存します。SAVE が成功すると、次の手順で、サブスクリプションで構成された仮想 WAN とハブが表示されます。表示できない場合は、詳細を再確認し、認証の詳細をクリアしてから、もう一度お試しください。

    Azure 認証資格情報

SD-WAN オーケストレータで Azure 仮想 WAN サービスを作成する

1. 前提条件

ここまで作成した場合は、SD-WAN サイトの接続先となる仮想 WAN の内部に Azure 仮想 WAN および仮想ハブを作成しておく必要があります。前提条件を完了する前に、このセクションに進んでおくことはお勧めしません。

2. DCMCN サイトを仮想 WAN リソースおよび仮想ハブに関連付ける

  • [グローバル構成] で、[ 構成]、[配信サービス]、[Azure Virtual WAN] の [設定] アイコンをクリックします

    サイトの追加

  • サービスを選択すると、[仮想 WAN 自動構成] ページに移動します。
  • 「+ サイト」をクリックします。

    VWAN 作成検証

  • Azure サブスクリプションおよびその他のプリンシパル詳細の認証が成功したかどうかに基づいて、サブスクリプションの一部として構成されたすべての VWAN が Azure 仮想 WAN に表示されます。

A. 仮想 WAN 統合のためのサイトの追加、構成、および展開**

Now for this architecture, the MCN will be associated with East REGION and connect to the EastHubUS.
  • 私たちは、東と西のハブを作成した仮想WANであるEastusVwanandHubを選択します.
  • Eastushub を選択します

    DCMCNサイトを指名する

  • サイトを「DCMCN」として選択します
    • サイトはすでに構成の一部であり、ステージングされ、アクティブ化されているため、サイトはこの中に表示されます
  • 情報を確認して保存する

    レビューサイト

    • 保存後、自動化キックインが表示され始め、SD-WAN は構成情報をプッシュしてサイトを準備し、VPN サイトの確立を成功させるために SD-WAN 側と Azure 側の両方を構成します。

      • 設定が有効になる間、「プッシュされたサイト情報-VPN 設定を待っています」という通知が表示されます。
      • すべてが成功すると、 サイトプロビジョニングの成功を示します
      • この時点で、Azure 仮想 WAN 構成が自動化され、完了します。次に、IPsec トンネルを開始するために、アプライアンス上で同じことをアクティブにする必要があります。

    設定を確認

    • Azure 仮想 WAN オートメーションの一部として、SD-WAN Orchestrator は Azure API の使用を開始し、自動化のために SD-WAN アプライアンスを構成フォーカス (DCMCN) に準備します。

      • 自動化中のこの側面では、我々は2つの側面でそれを支配します。Azure で IPSec エンドポイントと BGP エンドポイントをプロビジョニングするために SD-WAN アプライアンスからすべての情報を取得する。
      • Azure に話し、SD-WAN アプライアンスで IPSec および BGP エンドポイントを構成するための詳細情報を入手します。
      • BGP ピアリングは、IPSec トンネルが正常に確立された時点で確立されます。
      • これにより、DCMCN によって学習されたネットワークプレフィクスを BGP 経由で EastusHuB へのローカルルートを含め、仮想パス経由で交換できます。

B. SD-WAN 側の詳細**

  • 自動化スクリプトは利用可能な WAN リンクから、ローカル BGP ピアエンドポイントをローカル IP としてピックアップします。
  • パブリック IP エンドポイントを持つ WAN インターフェイスを形成する Tunnel が選択されています

C. Azure 側の詳細**

  • 以下のスナップショットで見ることができるように、自動化されたスクリプトは、Azure からEastusHubの情報を収集し、次の詳細を取得しています。
    • リージョン
    • パブリック IP アドレス:トンネルエンドポイント(単一のハブのアクティブ/パッシブ VPN トンネル。しかし、両方のトンネルが確立されます。データパスはプライマリトンネル経由で処理され、フェールオーバーの前夜にはセカンダリが使用されます)。
    • Eastushub 設定から取得された GP プライベートエンドポイント
    • BGP ASN — 65515
  • ハブは、Azure から取得した標準の IPsec/IKE パラメーターを使用します。これにより、ローカルエンドポイントの DCMCN を同様の属性で準備して、ネゴシエーションが成功すると IPsec トンネルの形成が可能になります。

    Azure VWAN トンネル構成ステータス

3. SD-WAN 仮想 WAN の準備 MCN を仮想 WAN ハブに接続するための自動構成

  • MCN とセカンダリ/ geo-MCN をそれぞれのハブで設定したら、それらを Azure 仮想 WAN に 1 つのショットで自動的に展開できるようにする時が来ました。

    Azure VWAN とサイト構成ステータス

  • サイト(ハブの追加後)が「サイトのプロビジョニング成功」状態であることがわかります。

    サイトプロビジョニングステータス

4. SD-WAN Orchestrator で構成をアクティブ化し、Azure 仮想 WAN の自動化を有効にします

  • [ 構成] > [ネットワーク構成ホーム] を選択します

    サイトプロビジョニングステータス

  • [ 構成/ソフトウェアの展開] > [ステージ]を選択します。

    サイトプロビジョニングステータス

  • アクティブ化を選択します

    サイトプロビジョニングステータス

仮想 WAN サービスのステータスの確認

注: Azure 仮想 WAN サイトの [ 情報] アイコンをクリックして、Azure 仮想 WAN トンネルの構成と状態の詳細を取得します。

すべてのサイト-> 構成-> 配信サービス-> Azure Virtual WAN-> アクティブ化されたサイトの ‘I’ (情報アイコン) をクリックします。

  • IPSec トンネルがアップし、MCN(EastusHuB)で実行されていることを確認します。
    • 私たちは、2つのAzure 仮想WANインスタンスがプロビジョニングされていることがわかります。2 番目のインスタンスは、フェールオーバーが発生した場合に Active-Standby として機能します。
    • Azure 仮想 WAN の自動化は、既定で 2 つのインスタンスで IPsec トンネルを有効にするため、手動による介入がまったく必要ありません。
    • また、両方のトンネルが稼動していても、データパス上の接続とパケットを処理するアクティブなトンネルは 1 つだけであることに注意してください。

    MCN でトンネルを確認する

  • セカンダリ MCN(WestHubus)で IPSec トンネルがアップし、実行されていることを確認する

    セカンダリ MCN のトンネルを確認する

導入の自動化後、SD-WAN とハブ間の IPSec トンネルを確認する

1. Eastushub で VPN サイトの作成を確認する

In this step, we verify that a NEW VPN Site is created in EastUSHub. This site will serve as the DCMCN site (Done via SD-WAN Azure Virtual WAN Automation).
  • 地理マップの下に「VPN サイト」セクションの表が表示され、EastusHub には MCN デバイスである 1 つの VPN サイトが接続されています。

    米国東部ハブの概要

  • Eastushub リンクをクリックします。それは、東ジオのためのハブのドリルダウンに私たちを取ります.
  • VPN 接続サイトの数を確認するには、[ 概要] をクリックします。1 つの接続されたサイト (MCN) が表示されます。

    米国東部のハブ統計

  • VPN(サイトからサイト) をクリックし、接続ステータスが DCMCN(SD-WAN MCN)に 「成功」 および「接続済み」であることを確認します。

    接続ステータス

2. WestHubus で VPN サイトの作成を確認する

In this step, we verify that a NEW VPN Site is created in WestHubUS. This site will serve as the DCGEOMCN site (Done via SD-WAN Azure Virtual WAN Automation)
  • 地理マップの下に「VPN サイト」セクションの表が表示され、WestHubus に 1 つの VPN サイトが接続されています。これは geo-MCN デバイス「DCGEOMCN」です。

    米国西部ハブの概要

  • WestHubus リンクをクリックすると、West Geo のハブのドリルダウンが表示されます。

  • これで、「概要」はVPNに接続されたサイトの数を述べていることがわかります 1 現時点では (私たちのMCNで)

    米国西部のハブ統計

  • [ VPN](サイトからサイト) をクリックし、接続ステータスが [ 成功] および [接続] で [セカンダリ MCN (SD-WAN ジオMCN)] であることを確認します。

    接続ステータス

SD-WAN MCN から EastushuB へのルーティング

  • ネクストホップタイプ: 最も重要なのは、ネクストホップタイプは、ルートがどのように学習され、ルーティングテーブルにインストールされたかを示します。

  • ネクストホップタイプが VPN_S2S_Gateway の場合
    • VPN_S2S_Gateway 経由で受信するすべてのルートは、Azure オートメーションがデプロイされた SD-WAN と IPsec と BGP との統合を持つルートです。
    • EastusHuB ルーティングテーブルを確認し、BGP が伝搬した SD-WAN が MCN から学習したルートが適切かどうかを確認します。
    • EastusHub ルーティングでは、42472 として設定された SD-WAN の AS 番号を介して MCN 経由でメジャールートがインストールされます(自動化中は自動的に処理されます)。
  • ネクストホップの種類が「仮想ネットワーク接続」の場合
    • これは、Eastushub と東の VNet 間の東の VNet ピアリングを経由するため、すべてのルートがインストールされます。
  • ネクストホップタイプが「リモートハブ」の場合
    • これは、WestHubus Hub (同じ Azure 仮想 WAN インスタンスの下で作成された) によって伝播されたすべてのルートになります。
    • また、リモートハブタイプのルートには、ルーティングループを回避するために、Origin と AS パスが適切に追加されていることがわかります。
    • このテーブルには、WestHubus ハブを介して EastusHub から伝播されるすべての個別の VNet(ウェストハブを使用して西リージョンでピア接続)が含まれます。

    eastusHub ルーティング

SD-WAN GEOMCN から WestHubus へのルーティング

WestHubus ルーティングテーブルを確認し、セカンダリMCN から SD-WAN 学習ルートを BGP が伝播したかどうかを確認します。

  • ネクストホップタイプ: 最も重要なのは、ネクストホップタイプは、ルートがどのように学習され、ルーティングテーブルにインストールされたかを示します。

  • ネクストホップタイプが VPN_S2S_Gateway の場合
    • VPN_S2S_Gateway 経由で受信されたすべてのルートは、Azure オートメーションがデプロイされた SD-WAN と IPsec と BGP の統合を持つルートです。
    • WestHubus ルーティングテーブルを確認し、BGP が伝搬した SD-WAN がセカンダリ MCN から学習したルートが適切かどうかを確認します。
    • WestHubus ルーティングでは、22338 として設定された SD-WAN の AS 番号を介して MCN 経由で主要ルートがインストールされます(自動化中は自動的に処理されます)。
  • ネクストホップの種類が「仮想ネットワーク接続」の場合
    • これは、WestHubus と西の VNet 間の西の VNet ピアリングを介してインストールされるすべてのルートになります。
  • ネクストホップタイプが「リモートハブ」の場合
    • これには、WestHubus Hub (同じ Azure 仮想 WAN インスタンスの下で作成された) によって伝播されたすべてのルートが含まれます。
    • また、リモートハブタイプのルートには、ルーティングループを回避するために、Origin と AS パスが適切に追加されていることがわかります。
    • このテーブルには、Eastushub ハブを介して WestHub から WestHubus から伝播されるすべての個別の VNet(イーストハブを使用して東部リージョンでピア接続)が含まれます。

    Westhubus ルーティング

東VNet から EASTTushub へのルート伝搬の確認

このステップでは、グローバル VNet ピアリングを使用して、ルートが東 VNet から東 VWAN ハブ-Eastushub に伝播されていることを確認します。

  • EASTusHub が、デフォルトルートテーブルから East US2 リージョンでピア接続された VNet に MCN 学習プレフィクスの可視性を提供していることを確認します。
  • Eastus2 VNet のルーティングテーブルをチェックし、ルーティングがインタクトであることを確認します
  • VNet は Azure におけるワークロードの実際の発信元と宛先であり、SD-WAN のサブネット/プレフィックスにリモートで到達するための適切なルーティングフロー/情報を含むように VNet が収束していることを理解する必要があります。
  • VNet 自体のルートの大半は、仮想ネットワークゲートウェイ経由で直接ルーティングされます。仮想ネットワークゲートウェイは、接続先のハブです。
  • この場合、EastushuB は、East VNet のルーティングテーブル内のすべてのルートの起点です。
  • VNet ピアリングネクストホップの種類は、VNet ピアリングで作成された Azure 仮想 WAN プレフィクスの実際のプレフィックスになります。
  • 仮想ネットワークは、VNet 自体のローカルアドレスになります

    EasthHub ルートの伝播を確認する

    EasthHub ルートの伝播を確認する

ウェスト VNet から WestHubus へのルート伝搬の確認

このステップでは、ルートが西 VNet から西 VWAN ハブに伝播されていることを確認します。グローバル VNet ピアリングを使用して WestHubus

  • WestHubus がデフォルトのルートテーブルから、US2 西リージョンでピア接続された VNet に GEOMCN 学習したプレフィクスの可視性が提供されていることを確認します
  • Westus2 VNet のルーティングテーブルをチェックし、ルーティングがインタクトであることを確認します
  • VNet は Azure におけるワークロードの実際の発信元と宛先であり、SD-WAN のサブネット/プレフィックスにリモートで到達するための適切なルーティングフロー/情報を含むように VNet が収束していることを理解する必要があります。
  • VNet 自体のルートの大半は、仮想ネットワークゲートウェイ経由で直接ルーティングされます。仮想ネットワークゲートウェイは、接続先のハブです。
  • この場合、WestHubus は、West VNet のルーティングテーブル内のすべてのルートの起点です
  • VNet ピアリングネクストホップタイプは、VNet ピアリングで作成された Azure 仮想 WAN プレフィクスの実際のプレフィックスになります。
  • 仮想ネットワークは、VNet 自体のローカルアドレスになります

    Westhub のルート伝播を検証する

    Westhub のルート伝播を検証する

行動を促す

Azure Virtual WAN をまだ試していない場合は、 portal.azure.com にアクセスしてください。SD-WANソリューションのメリットを直接体験したい場合は、 こちらから無料トライアルをリクエストしてください

付録

Azure サービスプリンシパルの作成

1. アプリケーションを登録する

サブスクリプションに Azure サービスプリンシパルを作成して、SD-WAN Orchestrator からの展開 (自動化) の管理をプログラム的に可能にします。Microsoft Azure では、サードパーティがプログラム的に管理する必要があるすべてのリソースが IAM ロールを関連付けて、外部でリソースを自動化できるようにアプリケーション登録を作成することを義務付けています。

アプリ登録

アプリケーションを登録する

クライアントシークレットを追加

注:アプリのクライアントシークレットを作成したら、それをメモするか、後で参照できる場所にすぐにコピーします。

2. Azure サービスプリンシパルの詳細を書き留めます

  • クライアント ID、クライアントシークレット、テナント/ディレクトリ ID を Azure サブスクリプションの詳細を含めて書き留めます。
  • 作成したアプリ (Azure サービスプリンシパル) から、クライアント ID、クライアントシークレット、テナント ID を取得します
  • サブスクリプション ID — アカウントの Azure の [サブスクリプション] セクションから取得できます
  • クライアント ID — アプリケーションIDとも呼ばれ、新しく登録したアプリの「概要」セクションから入手できます
  • ディレクトリ ID — テナント ID とも呼ばれ、新しく登録したアプリの [概要] セクションから取得できます

Azure プリンシパルの詳細

  • クライアントシークレット — 作成後すぐにクライアントシークレットを書き留める、またはコピーします。この手順は、サブスクリプションアカウントを認証し、作成したアプリが (Azure で) 自動化を有効にするリソースのプログラム可能性を管理する資格があることを確認するために非常に重要です。

Azure プリンシパルの詳細

3. Azure サービスプリンシパルをリソースに関連付ける

  • 仮想 WAN リソース 「eastusvwanandHub」に移動します。
  • アクセスコントロール (IAM)に移動します
  • 下に強調表示されている [役割の割り当ての追加 ] セクションの [追加] ボタンをクリックします。
  • [ ロール割り当て ] セクションをクリックし、[ + 追加](ロール割り当てのダウンロード) をクリックして、サービスプリンシパルに IAM ロールを追加することもできます。

Azure プリンシパルの詳細

  • 「追加」をクリックすると、右側にポップアップペインが表示され、ロールを追加します
    • 役割の種類を 「共同作成者」として選択します
    • アクセスの割り当てを既定のままにする (Azure AD ユーザー、グループ、またはサービスプリンシパル)
    • [ 選択] セクションでは、作成したアプリケーション (「オーケストレーター」) を検索できます。(これは単なる文字列であり、カスタム名前を付けることができます。Orchestrator を使用してプロビジョニングを自動化する場合、「オーケストレーター」という文字列を Azure プリンシパルとして使用すると、混乱が生じることはありません)。
      • 検索が成功したら、アプリを選択できます。
    • [保存] ボタンを選択します。(これで Azure サービスプリンシパルの作成とリソースへの関連付けは終了です)

Azure プリンシパルの詳細

導入ガイド:Azure 仮想 WAN 搭載の Citrix SD-WAN

この記事の概要