Azure Virtual WAN × Citrix SD-WAN : Virtual Hub-ブランチ間のIPSec接続をクラウドで自動化する

はじめに

パーソルプロセス&テクノロジー佐藤です。
Citrix等のベンダーのSD-WAN製品は、組織のネットワークに組み込むことで、リンクアグリゲーションやインターネットブレークアウト機能を用いてIP-VPNの帯域枯渇やネットワークヘアピンといった組織のネットワークインフラ課題の解決に繋げることができます。
そしてこのSD-WAN製品の中にはAzure Virtual WANに対応しているものがあります。
Azure Virtual WANにより、各拠点のSD-WANはAzureバックボーンネットワークをルーティングに利用でき、またAzureとのIPSec接続を自動化された手順で構築することが可能です。
本稿ではCitrix SD-WANを使用し、WANリンク開通からAzure Virtual WAN(Virtual Hub )とのIPSec接続のステップを、各用語の簡単な説明を入れて解説します。

Citrix SD-WAN とは

SD-WAN とは

そもそもSD-WANとはSoftware Defined – WAN(直訳:ソフトウェア定義のWAN)の略で、WANを仮想化することで各拠点間のネットワーク接続をクラウド等から一元管理し、WANの可用性, パフォーマンス, コストマネジメント, 可視性を向上させる機能を持つネットワーク製品です。

Citrix SD-WANの機能

CitrixのSD-WAN製品であるCitrix SD-WAN(旧:Netscaler SD-WAN)は大きく分けて以下の3つの機能によりSD-WANとして働きます。

Virtual Path

Virtual Pathとは、MPLS回線とインターネット回線、ExpressRouteなどの異なる複数の回線をバンドルし、仮想的に一つの回線として扱うことができる機能です。
これによって帯域を効率化し、可用性の向上、パフォーマンスの改善に繋がります。

アプリベースのルーティング・インターネットブレークアウト

SD-WANデバイスはその組み込みのDPI(Deep Packet Inspection)エンジンによりアプリケーションの通信を自動識別し、各アプリケーションごとにルートを割り振るほか、インターネットブレークアウトによって、Office製品などのアプリケーションの通信を拠点から直接インターネットに出すことができます。

SD-WAN Orchestrator

SD-WAN OrchestratorとはCitrix CloudからCitrix SD-WAN を管理するサービスです。これによってネットワーク管理者は現地に赴くことなく機器の設定配布やアップグレード、WANリンクの構成を行うことができます。

この他にもCitrix SD-WANには、CitrixのVirtual Apps & Desktops等の通信、HDX通信を最適化し、DaaS環境のユーザエクスペリエンスを向上させる機能など多くの機能があります。

Azure Virtual WAN とは

Azure Virtual WANとは、拠点間の通信をVirtual Hubを介して接続することで、Azure バックボーンネットワークを経由してのルーティングを可能にするサービスです。
(参考:Azure Virtual WANとFirewall Managerを理解する)


さらにAzure Virtual WANにはブランチサイトのIPSec接続自動化機能があり、これを用いることで拠点の機器を触ることなくクラウドからVPN接続を完了させることが可能です。
(参考:https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-locations-partners

以下、本稿では実際にSD-WAN アプライアンスを使用してWANリンクの作成とAzure Virtual WANとの接続手順を試行します。

WAN リンク作成

それでは実際にCitrix SD-WANを使って、まずはWANリンクを作成します。

構成

今回は検証のため、オンプレデバイスではなくAzure Market Place で提供されているクラウドアプライアンスを使用し、2つの異なる仮想ネットワークに置いたSD-WANどうしをWANリンクで繋ぎ、さらにAzure Virtual WANとIPsecで接続してみます。

SD-WANアプライアンスデプロイ

それではAzure上にSD-WANアプライアンスを作成します。

Market PlaceからCitrix SD-WANを選択し、項目に従い新規リソースグループにデプロイします。
また仮想ネットワークもここで作成します。
管理用サブネット、LANサブネット、WANサブネット、AUXサブネットを割り振ります

デプロイが完了すると、SD-WANアプライアンスと関連ネットワークリソースが作成されます。

以上のリソースをMCNと呼ばれるWANリンク全体を司るマスターアプライアンスとブランチアプライアンスで合計2セット作成します。

SD-WAN Orchestrator サインイン

以降の作業はCitrix Cloud上のSD-WAN Orchestratorを操作し行います。
Citrix Cloudにサインインし、SD-WAN Orchestratorの管理ボタンをクリックするとダッシュボード画面に遷移します。

サイト作成

WANリンク作成完了までの流れは以下の通りです。

まずSD-WAN Orchestrator上にサイトを作成・登録します。

Configuration > [+ Add Site] からサイト作成画面に遷移し、項目に従いWANリンク,デバイス,NIC,ルーティングの詳細を設定します。

設定の検証・展開

サイトの設定を作成・保存したら、同じ画面から[Deploy Configuration]をクリックし、[Staging],続いて [Activate]をクリックして作成した設定を検証しアプライアンス上に展開します。

開通

展開が終わり、ダッシュボード画面に戻るとSD-WANアプライアンス間にWANリンクが開通したことがわかります。

Azure Virtual WAN × SD-WAN接続

続いてAzure Virtual WANとのIPsec接続を行います。

Azure Virtual WAN・Virtual Hub デプロイ

まずVirtual WANを作成し、そこからVirtual HubとS2Sスケールユニットをデプロイします。

Azure AD アプリケーション登録

SD-WAN Orchestrator が Azure 仮想 WAN API を介して認証され、自動接続を有効にするため、登録済みアプリケーションを作成して認証資格情報を使用する必要があります。
Azure ADからアプリケーションを登録してクライアントシークレットを作成し、アプリケーションID, テナントID,サブスクリプションID,クライアントシークレットはメモしておきましょう。

そして登録したアプリケーションにVirtual WANがあるリソースグループの所有者権限を追加します。

SD-WAN Orchestrator – Azure サブスクリプション関連付け

以上のVirtual WANの準備ができたらSD-WAN Orchestratorに戻り、
[Configuration] > [Bandwidth]からAzure Virtual WANにインターネット帯域を割り当てます。

設定後、歯車ボタンをクリックするとAzure 認証情報を要求されるので、記録したアプリケーション情報を記入して認証します。

認証に成功するとサイト設定画面が現れ、
ここでVirtual WAN,Virtual HubとSD-WANアプライアンスを対応させます。

設定後、サイト構成のステータスが[Site Provisioning Success]になったら再度Configurationから設定を展開して完了です。

IPSec開通

設定が反映されると、SD-WAN Orchestratorの[Reports]からIPsecトンネルの状態を確認できます。

さらにルートテーブルを見ると、Azure Virtual WANの情報がBGP経由で自動で学習されていることがわかります。

Azure ポータルでVirtual Hubを確認すると、S2S構成がこちらでも正しく反映されています。

まとめ

以上、本稿ではCitrix SD-WANを使用して、WANリンク開通からAzure Virtual WAN(Virtual Hub )とのIPSec接続のステップを各用語と機能の簡単な説明を交えて簡単に解説しました。
SD-WANを導入することで組織はクラウド移行のネットワーク課題を解消し、さらにAzure Virtual WANと組み合わせることで、組織のクラウドからオンプレまでのネットワークを集中管理し、簡便な拠点間・拠点-Azure間接続を構成することができます。
本稿が皆様の組織ネットワーク環境の改善およびクラウド移行の参考になれば幸いです。

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください