在 Azure 上部署 Citrix SD-WAN 标准版实例
适用于 Azure 的 Citrix SD-WAN 标准版 (SE) 在逻辑上将多个网络链接绑定到单个安全的逻辑虚拟路径中。该解决方案使组织能够使用来自不同服务提供商(包括宽带、MPLS、4G/LTE、Satellite 和点对点链路)的连接来获得高弹性的虚拟 WAN 路径。Citrix SD-WAN for Azure 使组织能够从每个分支与 Azure 中托管的应用程序建立直接安全连接,从而无需通过数据中心回传云绑定流量。在 Azure 中使用 Citrix SD-WAN 的一些好处包括:
- 创建从每个位置到 Azure 的直接连接。
- 确保与 Azure 的连接始终处于开启状态。
- 将安全外围扩展到云端。
- 演变为简单、易于管理的分支机构网络。
有关拓扑、用例和在 Azure 上手动配置 SD-WAN SE 实例的更多详细信息,请参阅在 Azure 上 部署 Citrix SD-WAN 标准版实例。
Citrix SD-WAN Orchestrator 服务允许在 Azure 中快速轻松地部署 Citrix SD-WAN 实例。Citrix SD-WAN Orchestrator 服务可在定义云站点的同时自动在 Azure 中置备虚拟机的过程。在 Azure 中为每个云站点创建一个由用户指定的新的唯一资源组。您可以选择资源组下的现有 VNET/Subnet,也可以创建用于配置的 VNET/Subnet。您可以使用虚拟机实例模板直接从 Citrix SD-WAN Orchestrator 服务部署 Citrix SD-WAN VPX。接口和广域网链接配置是根据在 Azure 中创建的资源在 Orchestrator 配置中自动填充的。然后,您可以通过 Citrix SD-WAN Orchestrator 服务在 VPX 实例上暂存和激活配置。
作为在 Azure 上部署 SD-WAN VPX 实例的先决条件,请确保你有 Citrix SD-WAN Orchestrator 服务订阅和微软 Azure 服务订阅。
要在 Azure 上部署软件定义广域网 VPX 实例,请执行以下操作:
-
在 “ 网络控制面板” 上,单击 “ + 新建站点 ” 以创建云站点。为该站点提供一个名称,然后选择 云站点。选择 Azure 作为 云提供商 ,然后选择要部署 SD-WAN 实例的 Azure 区域 。
-
提供网站详情。有关站点角色和高级设置的更多详细信息,请参阅 站点详细信息。
注意
“ 启用源 MAC 学习 ” 选项存储接收到的数据包的源 MAC 地址,以便发往相同目的地的传出数据包可以发送到同一个端口。
-
如有必要,启用高可用性 (HA)。如果启用了 HA,则在 Azure 上创建两个虚拟机,一个主虚拟机和一个辅助虚拟机。您不必提供设备序列号。设备序列号在配置期间自动获取。有关高级 HA 设置的更多详细信息,请参阅 设备详细信息。要允许流量通过 Azure 门户的 HA,请参阅 Azure HA 网站的互联网突破。
-
提供云服务订阅详细信息和虚拟机配置参数。
a. 点击 创建订阅 ID。提供 Azure 门户上提供的订阅 ID、租户 ID、应用程序 ID 和密钥。有关如何在 Azure 门户上找到订阅详细信息的信息,请参阅 识别 ID。
您可以添加多个订阅。保存订阅详细信息后,您可以选择订阅 ID。指定要部署实例的 Azure 区域 ,并提供新 资源组的名称。
b. 根据您的要求 选择以下虚拟机实例类型之一并提供登录证书。 - 实例类型 D3_V2,最大单向吞吐量为 200 Mbps,最大虚拟路径/分支为 16 个。 - 实例类型 D4_V2,最大单向吞吐量为 500 Mbps,最大虚拟路径/分支为 16 个。 -标准 实例类型 F8,最大单向吞吐量为 1 Gbps,最大虚拟路径/分支为 64 个。 -标准 实例类型 F16,最大单向吞吐量为 1 Gbps,最大虚拟路径/分支为 128 个。
注意
您不能使用用户名 admin 预置实例,因为它是预留名称。但是,要在置备实例后获得管理员访问权限,请使用 admin 作为预配实例时创建的用户名和密码。如果您使用在 Provisioning 实例时创建的用户名,则可获得只读访问权限。
用户名指南:
- 用户名只能包含字母、数字、连字符和下划线,不得以连字符或数字开头。
- 用户名不得包含保留字。
- 该值的长度介于 1 到 64 个字符之间。
密码指南:
- 该值不能为空。
- 密码必须包含以下三项:
- 一个小写字符
- 一个大写字符
- 一个特殊字符
- 该值的长度介于 12 到 72 个字符之间。
c. 创建新的 VNet 或选择现有的 VNet。根据选定的云订阅显示现有 VNET。对于选定的 VNet,您可以选择现有的 LAN 和 WAN 子网或创建子网。确保选中 “ 启用用于管理的公有 IP ” 选项,然后单击 “ 保存”。
注意
LAN 和 WAN 子网不得相同。
d. 单击 “ 部署配置 ” 以使用指定的虚拟机和网络设置在 Azure 中创建 SD-WAN VPX 实例。这将需要大约 10-15 分钟。部署状态显示在 UI 中。
注意
- 在 Azure 中创建实例后,继续执行 “ 暂存并激活 ” 流程,将 Azure VPX 升级到 Orchestrator 中定义的所需软件版本和配置。
- 部署启动后,您无法对 VPX 的资源组、VNET、子网、用户名和密码等云站点设置进行任何更改。如果部署失败,可以在启动部署之前提供修改后的设置。
- 要从 Azure 中删除 SD-WAN VPX 实例并继续进行全新部署,请单击 “ 删除配置”。这不会将该网站从 Citrix SD-WAN Orchestrator 服务中删除。它只移除 SD-WAN VPX 实例。您可以提供修改后的云站点详细信息,然后继续部署配置。
- 要在 Azure 上删除虚拟机并释放资源,请单击 “ 删除配置”。
-
接口、WAN 链接和路由是根据 Azure 上配置的资源自动创建的。您可以导航到接 口、 WAN 链接和 路由 选项卡以查看设置。
注意 IPv4 地址用于局域网、广域网和接入接口设置。尚不支持 IPv6 地址。
-
成功部署虚拟机后,虚拟机需要大约 5-10 分钟才能启动并运行。
摘要 部分提供站点详细信息、接口详细信息和 WAN 链接详细信息的摘要。单击保存。单击 “ 验证配置 ” 以填充设备序列号。
Azure 虚拟机已创建,配置已准备就绪。但是,该配置不适用于 SD-WAN 实例。
-
要将配置推送到 Azure 中已配置的 SD-WAN 实例,请导航到 网络配置:主页。选择所需的软件版本,然后单击 “ 部署配置/软件”。有关暂存和激活的更多详细信息,请参阅 部署跟踪器。
在完成试运行和激活过程并建立虚拟路径之后。现在,您可以使用 Citrix SD-WAN Orchestrator 服务管理和监控实例。
创建用于在 Azure 中部署 VPX 的服务主体
要使 Citrix SD-WAN Orchestrator 服务通过 Azure API 进行身份验证并启用自动连接,必须创建注册的应用程序并使用以下身份验证凭据进行标识:
- 订阅 ID
- 客户端 ID
- 客户端密码
- 租户 ID
注意
创建服务主体以允许 Azure API 通信后,请确保在订阅级别关联相应的角色。否则,Citrix SD-WAN Orchestrator 服务将没有足够的权限使用启用自动连接的 Azure API 对资源进行身份验证和部署。
执行以下步骤来创建应用程序注册:
- 在 Azure 门户中,导航到 Az ure Active Directory。
- 在 “管理” 下,选择 “ 应用程序注册”。
-
点击 + 新注册。
-
为以下字段提供值以注册应用程序:
- 名称 — 提供应用程序注册的名称。
- 支持的账户类型 — 选择 “仅限此组织目录中的账户(*-单租户)” 选项。
- 重定向 URI(可选) — 从下拉列表中选择 Web,然后输入一个随机的唯一 URL(例如,https://localhost: 4980)
- 单击注册。
您可以复制和存储在 Citrix SD-WAN Orchestrator 服务中使用的 应用程序(客户端)ID和目录(租户)ID ,用于对 Azure 订阅进行身份验证,以便使用 API。
应用程序注册的下一步是为身份验证目的创建服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到 Az ure Active Directory。
- 在 “ 管理” 下,导航到 “ 应用程序注册”。
- 选择已注册的应用程序(之前创建)。
- 在 Manage(管理)下,选择 Certificates & secrets(证书和密码)。
-
在 “ 客户端密钥” 下,单击 + 新建客户端密钥。
- 要添加客户端密钥,请为以下字段提供值:
- 描述:提供服务主体密钥的名称。
- 过期:根据需要选择到期时间。
- 单击添加。
-
在 “ 值 ” 列中禁用了客户端密钥。将密钥复制到剪贴板。这是您必须在 Citrix SD-WAN Orchestrator 服务中输入的客户端密钥。
注意在重新加载页面之前,请
复制并存储密钥值,因为之后它将不再显示。
角色分配
您可以在订阅级别为身份验证目的分配适当的角色。执行以下步骤进行角色分配:
-
在 Azure 门户上,导航到配置文件名称。右键单击配置文件名称并选择我的权限。
-
在 “我的权限” 页面上,选择 “单击此处查看此订阅的完整访问详细信息” 链接。
-
在左侧导航部分转到访问控制 (IAM),然后选择角色分配选项卡,然后单击 +。
-
对于 “添加角色分配”,选择角色 = “参与者”,将访问权限分配给 = “用户、组或服务负责人”,在第三个下拉列表中,选择 “选择 = Azure 应用程序名称”,然后选择 “保存”。这授予了使用服务主体对 Azure 进行 API 调用的足够权限。
-
在添加角色分配页面上,选择以下选项:
- Role(角色):贡献者
- 将访问权限分配给:用户、群组或服务主体
- 选择:提供 Azure 应用程序的名称。
-
单击保存。这些步骤为 Citrix SD-WAN Orchestrator 服务授予了足够的权限,使其能够使用服务主体对 Azure 进行 API 调用。
Azure HA 网站的互联网突破
要为 Azure HA 站点配置互联网分组,请执行以下操作:
- 在站点设备中,使用为广域网链接配置公共 IP 在 WAN 接口上配置 DHCP IP。
- 在网站上配置互联网服务。
- 使用内部服务添加出站动态端口受限的 NAT 作为 Internet。
-
在站点上添加防火墙策略,允许在端口号 500 上进行 Azure 负载平衡器运行状况探测。
-
在 Azure 外部负载平衡器上为端口号 80 的 TCP 添加另一条负载平衡规则,禁用直接服务器返回。
- 在必须连接到 Internet 的终端客户端计算机上,将路由下一跳 IP 地址设置为内部负载均衡器私有 IP 地址。负载平衡器 IP 地址在站点中配置为局域网 VIP。