ネットワーク接続

はじめに

この記事では,Citrix Azureサブスクリプションを使用する場合のいくつかの展開シナリオの詳細について説明します。

カタログを作成するときに,AzureデスクトップとアプリケーションのCitrix虚拟应用程序和桌面标准Azureデスクトップからユーザーが企業のオンプレミスネットワーク上の場所とリソースにアクセスするかどうか,および方法を指定します。

Citrix管理Azureサブスクリプションを使用する場合,次の選択肢があります。

• 接続なし
• Azure VNetピアリング
• SD-WAN

独自のカスタマー管理のAzureサブスクリプションのいずれかを使用する場合,サービスへの接続を作成する必要はありません。Azureサブスクリプションをサービスに追加するするだけです。

カタログの作成後は,カタログの接続タイプを変更することはできません。

すべてのネットワーク接続の要件

• 接続を作成するときは,有効なDNSサーバーエントリが必要です。
• セキュアDNSまたはサードパーティDNSプロバイダーを使用する場合は,許可リストのDNSプロバイダーのIPアドレスに,サービスによって使用するために割り当てられているアドレス範囲を追加する必要があります。このアドレス範囲は,接続の作成時に指定されます。
• 接続を使用するすべてのサービスリソース(ドメインに参加しているマシン)は,時刻の同期を確実にするために,ネットワークタイムプロトコル(NTP)サーバーに到達できる必要があります。

接続なし

カタログが接続なしで構成されている場合,ユーザーはオンプレミスまたは他のネットワークのリソースにアクセスできません。クイック作成を使用してカタログを作成する場合は,これが唯一の選択肢です。

Azure VNETピアリング接続について

仮想ネットワークピアリングは,2つのAzure仮想ネットワーク(联接)をシームレスに接続します。お客様とCitrix虚拟应用程序和桌面标准Azure。また,ピアリングにより,ユーザーはオンプレミスネットワークからファイルやその他のアイテムにアクセスできるようになります。

次の図に示すように,Citrix管理Azureサブスクリプションから会社のAzureサブスクリプション内のVNetへのAzure VNetピアリングを使用して接続を作成します。

VNetピアリングの別の図を次に示します。

ユーザーは,カタログの作成時にローカルドメインに参加することで,オンプレミスのネットワークリソース(ファイルサーバーなど)にアクセスできます。(つまり,ファイル共有やその他の必要なリソースが存在する广告ドメインに参加します)。Azureサブスクリプションは,これらのリソースに接続します(グラフィックでは,VPNまたはAzure ExpressRouteを使用して)。カタログを作成するときは,ドメイン,OU,およびアカウントの認証情報を指定します。

重要：

• このサービスでVNetピアリングを使用する前に,VNetピアリングについて学習します。
• VNetピア接続を使用するカタログを作成する前に,VNetピア接続を作成します。

Azure VNetピアリングカスタムルート

カスタムルートまたはユーザー定義のルートは,VNetピアリング,オンプレミスネットワーク,およびインターネット内の仮想マシン間のトラフィックを転送するためのAzureのデフォルトのシステムルートを上書きします。Citrix Virtual Apps and Desktops Standardリソースがアクセスすることが想定されているが、VNetピアリングを介して直接接続されていないネットワークがある場合は、カスタムルートを使用できます。たとえば、ネットワークアプライアンスを経由してインターネットまたはオンプレミスのネットワークサブネットへのトラフィックを強制するカスタムルートを作成できます。

カスタムルートを使用するには,次の手順に従います。

• Citrix虚拟应用程序和桌面标准環境に,既存のAzure仮想ネットワークゲートウェイまたはCitrix SD-WANなどのネットワークアプライアンスが必要です。
• カスタムルートを追加するときは,エンドツーエンドの接続性を確保するために,Citrix虚拟应用程序和桌面标准の宛先VNet情報で会社のルートテーブルを更新する必要があります。
• カスタムルートは,Citrix虚拟应用と桌面标准に入力された順序で表示されます。この表示順序は,Azureがルートを選択する順序には影響しません。

カスタムルートを使用する前に,カスタムルート,ネクストホップタイプの使用,およびAzureがアウトバウンドトラフィックのルートを選択する方法について,微软の記事仮想ネットワークトラフィックルーティングを参照してください。

カスタムルートは,Azure VNetピア接続を作成するとき,またはCitrix虚拟应用およびデスクトップ標準環境の既存のピア接続を作成するときに追加できます。VNetピアリングでカスタムルートを使用する準備ができたら,この記事の次のセクションを参照してください。

• 新しいAzure VNetピアリングを使用したカスタムルートの場合:Azure VNetピアリング接続を作成する
• 既存のAzure VNetピアリングを持つカスタムルートの場合:既存のAzure VNetピア接続のカスタムルートを管理する

Azure VNetピアリングの要件と準備

• Azure资源管理器サブスクリプション所有者の資格情報。これはAzure Active Directoryアカウントである必要があります。このサービスは,live.comや外部Azure广告アカウント(別のテナント)など,他のアカウントタイプをサポートしていません。
• Azureサブスクリプション,リソースグループ,および仮想ネットワーク(联接)。
• Citrix管理AzureサブスクリプションのVDAがネットワークの場所と通信できるように,Azureネットワークルートを設定します。
• VNetから指定されたIP範囲までAzureネットワークセキュリティグループを開きます。

• 活动目录:ドメインに参加しているシナリオでは,ピアリングされたVNetで何らかの形式のActive Directoryサービスを実行することをお勧めします。これは,Azure VNetピアリングテクノロジーの低レイテンシー特性を利用します。

  たとえば,構成には,Azure Active Directoryドメインサービス(AADDS) VNet内のドメインコントローラー仮想マシン,またはオンプレミスのActive DirectoryへのAzure广告接続などがあります。

  AADDSを有効にした後は,管理対象ドメインを削除せずに管理対象ドメインを別のVNetに移動することはできません。したがって,管理対象ドメインを有効にするには,正しいVNetを選択することが重要です。先に進む前に,微软の記事Azure广告ドメインサービスのネットワークに関する考慮事項を確認してください。

• VNet IP範囲:接続を作成するときは,ネットワークリソースとAzure VNetの間で一意な,使用可能なCIDRアドレス空間(IPアドレスとネットワークプレフィックス)を提供する必要があります。これはCitrix虚拟应用およびデスクトップ標準のピアリングされたVNet内の仮想マシンに割り当てられるIP範囲です。

  Azureネットワークとオンプレミスネットワークで使用するアドレスと重複しないIP範囲を指定してください。

  • たとえば,Azure VNetのアドレス空間が10.0.0.0 / 16の場合,Citrix虚拟应用およびデスクトップ標準で192.168.0.0 / 24などのVNetピア接続を作成します。

  • この例では、IP範囲が10.0.0.0 / 24のピア接続を作成すると,アドレス範囲が重複していると見なされます。

  アドレスが重複している場合,VNetピア接続が正常に作成されない可能性があります。また,サイト管理タスクでは正しく動作しません。

VNetピアリングの詳細については,次の微软の記事を参照してください。

• 仮想ネットワークピアリング
• Azure VPNゲートウェイ
• Azureポータルでサイト間接続を作成する
• VPNゲートウェイに関するよくある質問”(“オーバーラップを検索)

Azure VNetピアリング接続を作成する

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。接続をすでに設定している場合は,それらの接続が一覧表示されます。

   

2. ［接続の追加]をクリックします。

3. ［Azure VNetピアリングの追加]ボックスの任意の場所をクリックします。

   

4. (Azureアカウントの認証]をクリックします。

   

5. サービスによってAzureのサインインページが自動的に表示され,Azureサブスクリプションが認証されます。Azureに(グローバル管理者アカウントの認証情報を使用して)サインインし,条件に同意すると,[接続の作成の詳細]ダイアログに戻ります。

   

6. Azure VNetピアの名前を入力します。
7. Azureサブスクリプション,リソースグループ,ピアへのVNetを選択します。
8. 選択したVNetがAzure仮想ネットワークゲートウェイを使用するかどうかを指定します。詳細については,微软の記事Azure VPNゲートウェイを参照してください。

9. 前のステップ(選択したVNetがAzure仮想ネットワークゲートウェイを使用)で”はい“と答えた場合は,仮想ネットワークゲートウェイルート伝播を有効にするかどうかを指定します。有効にすると,Azureはゲートウェイを経由するすべてのルートを自動的に学習(追加)します。

   この設定は,後で接続の[詳細]ページで変更できます。ただし,これを変更すると,ルートパターンの変更やVDAトラフィックの中断が発生する可能性があります。また,後で無効にする場合は,VDAが使用するネットワークに手動でルートを追加する必要があります。

10. IPアドレスを入力し,ネットワークマスクを選択します。使用するアドレス範囲と,その範囲がサポートしているアドレスの数が表示されます。Azureネットワークとオンプレミスネットワークで使用するアドレスがIP範囲と重複しないようにします。

    • たとえば,Azure VNetのアドレス空間が10.0.0.0/16の場合,Citrix虚拟应用およびデスクトップ標準で,192.168.0.0 / 24などのVNetピア接続を作成します。
    • この例では、IP範囲が10.0.0.0 / 24のVNetピアリング接続を作成することは,重複するアドレス範囲と見なされます。

    アドレスが重複している場合,VNetピア接続が正常に作成されない可能性があります。また,サイト管理タスクでは正しく機能しません。

11. VNetピア接続にカスタムルートを追加するかどうかを指定します。［はい]を選択した場合は,次の情報を入力します。
    1. カスタムルートのフレンドリ名を入力します。
    2. 宛先IPアドレスとネットワークプレフィクスを入力します。ネットワークプレフィクスは16 ~ 24の間でなければなりません。

    3. トラフィックをルーティングする場所のネクストホップタイプを選択します。仮想アプライアンスを選択する場合は,アプライアンスの内部IPアドレスを入力します。

       

       ネクストホップタイプの詳細については,微软の記事仮想ネットワークトラフィックルーティングの”カスタムルート“を参照してください。

    4. ［ルートの追加]をクリックして,接続用の別のカスタムルートを作成します。
12. ［VNetピアリングを追加]をクリックします。

接続が作成されると,(管理]ダッシュボードの右側の[ネットワーク接続]> [Azure VNetピア]の下に表示されます。カタログを作成すると、この接続が [使用可能なネットワーク接続] リストに含まれます。

Azure VNetピア接続の詳細を表示する

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。
2. 表示するAzure VNetピアリング接続を選択します。

詳細には以下が含まれます。

• この接続を使用するカタログ,マシン,イメージ,および踏み台の数。
• リージョン,割り当てられたネットワーク領域,およびピア接続された联接。
• VNetピア接続用に現在構成されているルート。

既存のAzure VNetピア接続のカスタムルートを管理する

既存の接続に新しいカスタムルートを追加したり,カスタムルートの無効化や削除など,既存のカスタムルートを変更したりできます。

重要：

カスタムルートを変更,無効化,または削除すると,接続のトラフィックフローが変更され,アクティブなユーザセッションが中断される可能性があります。

カスタムルートを追加するには,次の手順を実行します。

1. VNetピア接続の詳細から,(ルート]を選択し,(ルートの追加]をクリックします。
2. フレンドリ名,宛先IPアドレスとプレフィックス,および使用するネクストホップタイプを入力します。ネクストホップタイプとして虚拟设备を選択した場合は,アプライアンスの内部IPアドレスを入力します。
3. カスタムルートを有効にするかどうかを指定します。デフォルトでは,カスタムルートは有効になっています。
4. ［ルートの追加]をクリックします。

カスタムルートを変更または無効にするには,次の手順を実行します。

1. VNetピア接続の詳細から,(ルート]を選択し,管理するカスタムルートを見つけます。

2. 省略記号メニューから,(編集]を選択します。

   

3. 必要に応じて,宛先IPアドレスとプレフィックス,またはネクストホップタイプに対して必要な変更を加えます。
4. カスタムルートを有効または無効にするには,”このルートを有効にする吗?」で,(はい]または[いいえ]を選択します。
5. ［保存］をクリックします。

カスタムルートを削除するには,次の手順を実行します。

1. VNetピア接続の詳細から,(ルート]を選択し,管理するカスタムルートを見つけます。
2. 省略記号メニューから,(削除]を選択します。
3. ［ルートを削除すると,アクティブなセッションが中断され,カスタムルートの削除による影響が認識されます。
4. ［ルートを削除]をクリックします。

Azure VNetピア接続を削除する

Azure VNetピアを削除する前に,そのピアに関連付けられているカタログをすべて削除します。「カタログの削除“を参照してください。

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。
2. 削除する接続を選択します。
3. 接続の詳細から,(接続の削除]をクリックします。

SD-WAN接続について

Citrix SD-WANはCitrix虚拟应用程序和桌面标准Azureで必要とされるすべてのネットワーク接続を最適化します。HDXテクノロジーと連携して,Citrix SD-WANは,ICAおよびアウトオブバンドCitrix虚拟应用およびデスクトップ標準トラフィックにサービス品質と接続の信頼性を提供します。Citrix SD-WANでは,以下のネットワーク接続がサポートされています。

• ユーザーと仮想デスクトップ間のマルチストリームICA接続
• 仮想デスクトップからWebサイト,SaaSアプリ,その他のクラウドプロパティへのインターネットアクセス
• 仮想デスクトップからActive Directory,ファイルサーバー,データベースサーバーなどのオンプレミスのリソースにアクセスする
• 工作区アプリのメディアエンジンから微软团队などのクラウドホスト型ユニファイドコミュニケーションサービスにRTP経由で伝送されるリアルタイム/インタラクティブなトラフィック
• YouTubeやVimeoなどのサイトからのクライアント側での動画の取得

次の図に示すように,Citrix管理AzureサブスクリプションからサイトへのSD-WAN接続を作成します。接続の作成時に,SD-WAN VPXアプライアンスはCitrix x管理Azureサブスクリプションに作成されます。SD-WANの観点からは,その場所はブランチとして扱われます。

SD-WAN接続要件と準備

• 次の要件が満たされない場合,SD-WANネットワーク接続オプションは使用できません。

  • Citrix云のエンタイトルメント:Citrix虚拟应用程序和桌面标准AzureおよびSD-WAN协调器。
  • インストールおよび構成済みのSD-WAN展開。デプロイには,クラウドかオンプレミスかにかかわらず,マスターコントロールノード(m cn)が含まれ,SD-WAN协调器で管理する必要があります。

• VNet IP範囲:接続されているネットワークリソース間で一意のCIDRアドレス空間(IPアドレスとネットワークプレフィックス)を提供します。これはCitrix虚拟应用程序和桌面标准VNet内の仮想マシンに割り当てられるIP範囲です。

  云ネットワークとオンプレミスネットワークで使用するアドレスと重複しないIP範囲を指定してください。

  • たとえば,ネットワークのアドレス空間が10.0.0.0/16の場合は,Citrix虚拟应用およびデスクトップ標準で,192.168.0.0 / 24などの接続を作成します。
  • この例では、IP範囲が10.0.0.0 / 24の接続を作成すると,アドレス範囲が重複していると見なされます。

  アドレスが重複している場合,接続が正常に作成されない可能性があります。また,サイト管理タスクでは正しく動作しません。

• 接続設定プロセスには,ユーザー(サービス管理者)とSD-WAN协调器管理者が完了する必要があるタスクが含まれます。また,タスクを完了するには,SD-WAN协调器管理者から提供された情報が必要です。

  実際に接続を作成する前に,このドキュメントに記載されているガイダンスとSD-WANのマニュアルの両方を確認することをお勧めします。

SD-WAN接続を作成する

重要：

SD-WANの設定の詳細については,Citrix虚拟应用程序和桌面标准AzureのSD-WAN構成を参照してください。

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。
2. ［接続の追加]をクリックします。
3. ［ネットワーク接続の追加]ページで,SD-WANボックスの任意の場所をクリックします。
4. 次のページでは,何が先にあるのかをまとめます。読み終わったら,(SD-WANの設定の開始]をクリックします。

5. ［SD-WANの設定]ページで,SD-WAN协调器管理者から提供された情報を入力します。

   • デプロイモード:［高可用性]を選択すると2つのVPXアプライアンスが作成されます(実稼働環境では推奨)。［スタンドアロン]を選択すると1つのアプライアンスが作成されます。この設定は後で変更できません。デプロイモードに変更するには,ブランチと関連するすべてのカタログを削除して再作成する必要があります。
   • 名前:SD-WANサイトの名前を入力します。
   • スループットとオフィスの数:この情報はSD-WAN协调器管理者によって提供されます。
   • リージョン:VPXアプライアンスが作成されるリージョン。
   • VDAサブネットとSD-WANサブネット:この情報は,SD-WAN协调器管理者によって提供されます。競合を回避する方法については,SD-WAN接続要件と準備を参照してください。
6. 完了したら,(ブランチの作成]をクリックします。
7. 次のページでは,(管理]ダッシュボードで何を探すべきかをまとめます。読み終わったら,(それを手に入れる]をクリックします。
8. ［管理]ダッシュボードの[ネットワーク接続]の下の新しいSD-WANエントリに,設定プロセスの進行状況が表示されます。エントリがオレンジ色に変わり,”SD-WAN管理者によるアクティベーションを待っています”というメッセージが表示されたら,SD-WAN协调器管理者に通知します。
9. SD-WAN协调器の管理タスクについては,SD-WAN协调器製品ドキュメントを参照してください。
10. SD-WAN协调器管理者が終了すると,(ネットワーク接続]のSD-WANエントリが緑色に変わり,(この接続を使用してカタログを作成できます]というメッセージが表示されます。

SD-WAN接続の詳細を表示する

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。
2. SD-WANだけが選択されていない場合は,[SD-WAN]を選択します。
3. 表示する接続をクリックします。

ディスプレイには以下が含まれます。

• [詳細]タブ:接続を構成するときに指定した情報。
• ［ブランチ接続]タブ:各ブランチおよびm cnの名前,クラウド接続,可用性,帯域幅層,ロール,場所。

SD-WAN接続を削除する

SD-WAN接続を削除する前に,SD-WAN接続に関連付けられているすべてのカタログを削除します。「カタログの削除“を参照してください。

1. サービスの[管理]ダッシュボードから,右側の[ネットワーク接続]を展開します。
2. SD-WANだけが選択されていない場合は,選択します。
3. 削除する接続をクリックし,詳細を展開します。
4. ［詳細]タブで,(接続の削除]をクリックします。
5. 削除を確認します。