Citrix DaaS

クイック展開でのネットワーク接続

注:

2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。

はじめに

この記事では、Citrix Managed Azureサブスクリプションを使用する場合に、企業リソースへのネットワーク接続を作成する方法について詳しく説明します。

独自の顧客管理のAzureサブスクリプションを使用する場合、ネットワーク接続を作成する必要はありません。

クイック展開カタログを作成するとき、ユーザーがCitrixのデスクトップとアプリから企業のオンプレミスネットワーク上の場所とリソースにアクセスするかどうか、およびアクセス方法を指定します。接続を使用する場合は、カタログを作成する前に接続を作成する必要があります。

Citrix Managed Azureサブスクリプションを使用する場合、選択肢は次のとおりです:

カタログの作成後にカタログの接続の種類を変更することはできません。

すべてのネットワーク接続の要件

  • 接続を作成するときは、有効なDNSサーバーエントリが必要です。
  • Secure DNSまたはサードパーティのDNSプロバイダーを使用する場合は、Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)で使用するために割り当てられたアドレス範囲を、許可リストにあるDNSプロバイダーのIPアドレスに追加する必要があります。このアドレス範囲は、接続を作成するときに指定します。
  • 接続を使用するすべてのサービスリソース(ドメイン参加済みマシン)は、確実に時間同期できるよう、ネットワークタイムプロトコル(NTP)サーバーに到達できる必要があります。

接続なし

カタログが [接続なし] で構成されている場合、ユーザーはオンプレミスまたは他のネットワーク上のリソースにアクセスできません。簡易作成を使用してカタログを作成する場合、これが唯一の選択肢です。

他のネットワークへの接続なし

Azure VNetピアリング接続について

仮想ネットワークピアリングは、2つのAzure仮想ネットワーク(VNet):つまりユーザーのネットワークとCitrix DaaS VNetを、シームレスに接続します。ピアリングは、ユーザーがオンプレミスネットワークからファイルやその他のアイテムにアクセスできるようにするのにも役立ちます。

次の図に示すように、Azure VNetピアリングを使用して、Citrix Managed Azureサブスクリプションから会社のAzureサブスクリプションのVNetへの接続を作成します。

顧客のオンプレミスネットワークを使用した展開シナリオ

これは、VNetピアリングの別の図です。

VNetピアリング図

ユーザーは、カタログの作成時にローカルドメインに参加することで、ネットワークリソース(ファイルサーバーなど)にアクセスできます(つまり、ファイル共有やその他の必要なリソースが存在するADドメインに参加します)。Azureサブスクリプションは、これらのリソースに接続します(図では、VPNまたはAzure ExpressRouteを使用しています)。カタログを作成するときに、ドメイン、OU、およびアカウントの資格情報を指定します。

重要:

  • このサービスで使用する前に、Azure VNetピアリングについて詳細を把握しておいてください。
  • VNetピアリング接続を使用するカタログを作成する前に、VNetピアリング接続を作成します。

Azure VNetピアリングカスタムルート

カスタムまたはユーザー定義のルートは、VNetピアリング、オンプレミスネットワーク、およびインターネットの仮想マシン間でトラフィックを転送するため、Azureのデフォルトのシステムルートよりも優先されます。Citrix DaaSのリソースがアクセスする予定だがVNetピアリングで直接接続されていないというネットワークがある場合は、カスタムルートを使用できます。たとえば、強制的にトラフィックをネットワークアプライアンス経由でインターネットまたはオンプレミスネットワークサブネットに転送するカスタムルートを作成できます。

カスタムルートを使用するには:

  • Citrix DaaS環境には、既存のAzure仮想ネットワークゲートウェイ、またはCitrix SD-WANなどのネットワークアプライアンスが必要です。
  • カスタムルートを追加するときは、エンドツーエンドの接続を確保するために、Citrix DaaSの接続先VNet情報を使用して会社のルートテーブルを更新する必要があります。
  • カスタムルートは、入力した順序でCitrix DaaSに表示されます。この表示順序は、Azureがルートを選択する順序には影響しません。

カスタムルートを使用する前に、Microsoft社の記事「仮想ネットワークトラフィックのルーティング」を確認して、カスタムルートの使用方法、次ホップの種類、およびAzureが送信トラフィックのルートを選択する方法について把握しておいてください。

Azure VNetピアリング接続を作成するとき、またはCitrix DaaS環境内の既存の接続に、カスタムルートを追加できます。VNetピアリングでカスタムルートを使用する準備ができたら、この記事の次のセクションを参照してください:

AzureVNetピアリングの要件と準備

  • Azureサブスクリプション所有者の資格情報。これはAzure Active Directoryアカウントである必要があります。このサービスは、live.comや外部のAzure ADアカウント(別のテナント内)など、他のアカウントの種類をサポートしていません。
  • Azureサブスクリプション、リソースグループ、および仮想ネットワーク(VNet)。
  • Citrix Managed AzureサブスクリプションのVDAがネットワークの場所と通信できるように、Azureネットワークルートを設定します。
  • VNetから指定IP範囲までのAzureネットワークセキュリティグループを開きます。
  • Active Directory: ドメイン参加済みのシナリオでは、ピアリングされたVNetでなんらかの形式のActive Directoryサービスを実行していることをお勧めします。これは、Azure VNetピアリングテクノロジの低遅延特性を利用します。

    たとえば、構成には、Azure Active Directory Domain Services(AADDS)、VNetのドメインコントローラーVM、またはオンプレミスActive DirectoryへのAzure AD Connectが含まれる場合があります。

    AADDSを有効にした後、管理対象ドメインを削除せずにその管理対象ドメインを別のVNetに移動することはできません。そのため、管理対象ドメインを有効にするには、正しいVNetを選択することが重要です。先に進む前に、Microsoft社の記事「Azure Active Directory Domain Servicesの仮想ネットワーク設計の考慮事項と構成オプション」を確認してください。

  • VNet IP範囲: 接続を作成するとき、ネットワークリソースと接続中Azure VNetとの間で一意の使用可能なCIDRアドレス空間(IPアドレスとネットワークプレフィックス)を入力する必要があります。これは、Citrix DaaSのピアリングされたVNet内のVMに割り当てられたIP範囲です。

    Azureおよびオンプレミスネットワークで使用するアドレスと重複しないIP範囲を指定していることを確認してください。

    • たとえば、Azure VNetのアドレス空間が10.0.0.0 /16の場合、Citrix DaaSで192.168.0.0 /24などのVNetピアリング接続を作成します。

    • この例では、10.0.0.0 /24のIP範囲でピアリング接続を作成すると、アドレス範囲に重複すると見なされます。

    アドレスが重複している場合、VNetピアリング接続が正常に作成されない可能性があります。また、サイト管理タスクで接続が正しく機能しません。

VNetピアリングについては、次のMicrosoft社の記事を参照してください。

Azure VNetピアリング接続の作成

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。既に接続を設定している場合は、それらの接続が一覧表示されます。

    接続の一覧

  2. [接続の追加] を選択します。
  3. [Azure VNetピアリングの追加] ボックスの任意の場所をクリックします。

    VNetピアリング接続を追加

  4. [Azureアカウントを認証する] を選択します。

    Azureアカウントを認証する

  5. Citrix DaaSでは、Azureサブスクリプションを認証するためにAzureサインインページに自動的に移動します。グローバル管理者アカウントの資格情報を使用してAzureにサインインし、条件に同意すると、接続作成の詳細ダイアログボックスに戻ります。

    VNetピアリング接続作成フィールド

  6. Azure VNetピアの名前を入力します。
  7. ピアリングするAzureサブスクリプション、リソースグループ、およびVNetを選択します。
  8. 選択したVNetがAzure仮想ネットワークゲートウェイを使用するかどうかを指定します。詳しくは、Microsoft社の記事「Azure VPNゲートウェイ」を参照してください。
  9. 前の手順で [はい] と答えた場合(VNetがAzure仮想ネットワークゲートウェイを使用する場合)は、仮想ネットワークゲートウェイのルート伝達を有効にするかどうかを指定します。有効にすると、Azureはゲートウェイを通過するすべてのルートを自動的に学習(追加)します。

    この設定は、後で接続の [詳細] ページで変更できます。ただし、これを変更すると、ルートパターンが変更され、VDAトラフィックが中断されることがあります。また、後で無効にする場合は、VDAが使用するネットワークに手動でルートを追加する必要があります。

  10. IPアドレスを入力し、ネットマスクを選択します。使用するアドレス範囲と、その範囲がサポートするアドレスの数が表示されます。IP範囲がAzureおよびオンプレミスネットワークで使用するアドレスと重複していないことを確認します。

    • たとえば、Azure VNetのアドレス空間が10.0.0.0 /16の場合、Citrix DaaSで192.168.0.0 /24などのVNetピアリング接続を作成します。
    • この例では、10.0.0.0 /24のIP範囲でVNetピアリング接続を作成すると、アドレス範囲に重複すると見なされます。

    アドレスが重複している場合、VNetピアリング接続が正常に作成されない可能性があります。また、サイト管理タスクで接続が正しく機能しません。

  11. VNetピアリング接続にカスタムルートを追加するかどうかを指定します。[はい] を選択した場合は、次の情報を入力します:
    1. カスタムルートのフレンドリ名を入力します。
    2. ターゲットIPアドレスとネットワークプレフィックスを入力します。ネットワークプレフィックスは16〜24である必要があります。
    3. トラフィックをルーティングする場所の次ホップの種類を選択します。[仮想アプライアンス] を選択した場合は、アプライアンスの内部IPアドレスを入力します。

      カスタムルート作成フィールド

      次ホップの種類について詳しくは、Microsoft社の記事「仮想ネットワークトラフィックのルーティング」の「カスタムルート」セクションを参照してください。

    4. 接続用に別のカスタムルートを作成するには、[ルートの追加]を選択します。
  12. [VNetピアリングの追加] を選択します。

接続が作成されると、[管理]>[クイック展開]ダッシュボードの右側にある [ネットワーク接続]>[Azure VNetピア] に表示されます。カタログを作成すると、この接続は使用可能なネットワーク接続の一覧に表示されます。

Azure VNetピアリング接続の詳細の表示

VNetピアリング接続の詳細

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. 表示するAzure VNetピアリング接続を選択します。

詳細には以下が表示されます:

  • この接続を使用するカタログ、マシン、イメージ、および踏み台マシンの数。
  • リージョン、割り当てネットワーク領域、およびピアリングされたVNet。
  • VNetピアリング接続用に現在構成されているルート。

既存のAzure VNetピア接続のカスタムルートの管理

新しいカスタムルートを既存の接続に追加したり、カスタムルートの無効化や削除など、既存のカスタムルートを変更したりできます。

重要:

カスタムルートを変更、無効化、または削除すると、接続のトラフィックフローが変更され、アクティブである可能性があるユーザーセッションが中断されることがあります。

カスタムルートを追加するには:

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. 削除する接続を選択します。
  3. 接続の詳細で、[ルート]を選択してから [ルートの追加] を選択します。
  4. フレンドリ名、ターゲットIPアドレスとプレフィックス、および使用する次ホップの種類を入力します。次ホップの種類として [仮想アプライアンス] を選択した場合は、アプライアンスの内部IPアドレスを入力します。
  5. カスタムルートを有効にするかどうかを指定します。デフォルトでは、カスタムルートは有効になっています。
  6. [ルートの追加] を選択します。

カスタムルートを変更または無効にするには:

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. 削除する接続を選択します。
  3. 接続の詳細で [ルート] を選択し、管理するカスタムルートを見つけます。
  4. 省略記号(…)メニューの [編集] を選択します。

    VNetピアリングの詳細ページの[ルート]タブ

  5. 必要に応じて、ターゲットIPアドレスとプレフィックス、または次ホップの種類に必要な変更を加えます。
  6. カスタムルートを有効または無効にするには、[このルートを有効にしますか?][はい] または [いいえ] を選択します。
  7. [Save] を選択します。

カスタムルートを削除するには:

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. 削除する接続を選択します。
  3. 接続の詳細で [ルート] を選択し、管理するカスタムルートを見つけます。
  4. 省略記号(…)メニューの [削除] を選択します。
  5. [ルートを削除すると、アクティブなセッションが中断される可能性があります] を選択すると、カスタムルートを削除したときの影響を確認できます。
  6. [ルートの削除] を選択します。

Azure VNetピアリング接続の削除

Azure VNetピアリング接続を削除する前に、それに関連付けられているカタログをすべて削除します。「カタログの削除」を参照してください。

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. 削除する接続を選択します。
  3. 接続の詳細から、[接続の削除]を選択します。

SD-WAN接続について

Citrix SD-WANは、Citrix DaaSに必要なすべてのネットワーク接続を最適化します。Citrix SD-WANは、HDXテクノロジと連携して、ICAと、アウトオブバンドのCitrix DaaSトラフィックに、QoS(サービス品質)と接続の信頼性を提供します。Citrix SD-WANは、次のネットワーク接続をサポートしています:

  • ユーザーとその仮想デスクトップ間のマルチストリームICA接続
  • 仮想デスクトップから、Webサイト、SaaSアプリ、およびその他のクラウドプロパティへのインターネットアクセス
  • 仮想デスクトップから、Active Directory、ファイルサーバー、およびデータベースサーバーなどのオンプレミスリソースに戻るアクセス
  • Workspaceアプリのメディアエンジンから、Microsoft Teamsなどのクラウドでホストされている総合コミュニケーションサービスへの、RTPで伝送されるリアルタイム/インタラクティブトラフィック
  • YouTubeやVimeoなどのサイトからのクライアント側の動画取得

次の図に示すように、Citrix Managed AzureサブスクリプションからサイトへのSD-WAN接続を作成します。接続の作成中に、SD-WAN VPXアプライアンスがCitrix Managed Azureサブスクリプションに作成されます。SD-WANの観点からは、この場所はブランチとして扱われます。

SD-WAN接続

SD-WAN接続の要件と準備

  • 以下の要件が満たされていない場合、SD-WANネットワーク接続オプションは使用できません。

    • Citrix Cloudサービスの使用権:Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)とSD-WAN Orchestrator。
    • インストールおよび構成されたSD-WAN展開。展開には、クラウド内かオンプレミスかに関係なく、マスターコントロールノード(MCN)が含まれ、SD-WAN Orchestratorで管理される必要があります。
  • VNet IP範囲:接続中のネットワークリソースの間で一意の使用可能なCIDRアドレス空間(IPアドレスとネットワークプレフィックス)を入力します。これは、Citrix DaaSのVNet内のVMに割り当てられたIP範囲です。

    クラウドおよびオンプレミスネットワークで使用するアドレスと重複しないIP範囲を指定していることを確認してください。

    • たとえば、ネットワークのアドレス空間が10.0.0.0 /16の場合、Citrix DaaSで192.168.0.0 /24などの接続を作成します。
    • この例では、10.0.0.0 /24のIP範囲で接続を作成すると、アドレス範囲に重複すると見なされます。

    アドレスが重複している場合、接続が正常に作成されない可能性があります。また、サイト管理タスクで接続が正しく機能しません。

  • 接続構成プロセスには、ユーザー(Citrix DaaS管理者)とSD-WAN Orchestrator管理者が完了する必要のあるタスクが含まれています。また、タスクを完了するには、SD-WAN Orchestrator管理者から提供される情報が必要です。

    実際に接続を作成する前に、このドキュメントのガイダンスとSD-WANドキュメントの両方を確認することをお勧めします。

SD-WAN接続の作成

重要:

SD-WAN構成について詳しくは、「Citrix DaaS統合のSD-WAN構成」を参照してください。

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. [接続の追加] を選択します。
  3. [ネットワーク接続の追加] ページで、[SD-WAN]ボックスの任意の場所をクリックします。
  4. 次のページには、この後にやることがまとめられています。読み終えたら、[SD-WANの構成を開始する]を選択します。
  5. [SD-WANの構成] ページで、SD-WAN Orchestrator管理者から提供された情報を入力します。

    • 展開モード: [高可用性] を選択すると、2つのVPXアプライアンスが作成されます(実稼働環境用に推奨)。[スタンドアロン] を選択すると、1つのアプライアンスが作成されます。この設定を後で変更することはできません。展開モードに変更するには、ブランチおよび関連するすべてのカタログを削除して再作成する必要があります。
    • 名前: SD-WANサイトの名前を入力します。
    • スループットとオフィス数: この情報は、SD-WAN Orchestrator管理者から提供されます。
    • リージョン: VPXアプライアンスが作成されるリージョン。
    • VDAサブネットとSD-WANサブネット: この情報は、SD-WAN Orchestrator管理者から提供されます。競合の回避については、「SD-WAN接続の要件と準備」を参照してください。
  6. 完了したら、[ブランチの作成]を選択します。
  7. 次のページには、[管理]>[クイック展開]ダッシュボードで何を探すかがまとめられています。読み終えたら、[了解]を選択します。
  8. [管理]>[クイック展開][ネットワーク接続] にある新しいSD-WANエントリは、構成プロセスの進行状況を示します。「Awaiting activation by SD-WAN administrator」というメッセージが表示されてエントリがオレンジ色に変わったら、SD-WAN Orchestrator管理者に知らせてください。
  9. SD-WAN Orchestrator管理者のタスクについては、SD-WAN Orchestratorの製品ドキュメントを参照してください。
  10. SD-WAN Orchestrator管理者が作業を完了すると、[ネットワーク接続]にあるSD-WANエントリが緑色に変わり、「You can create catalogs using this connection」というメッセージが表示されます。

SD-WAN接続の詳細の表示

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. SD-WANが唯一の選択肢ではない場合は、[SD-WAN] を選択します。
  3. 表示する接続を選択します。

画面には次のものが表示されます:

  • [詳細]タブ: 接続の構成時に指定した情報。
  • [ブランチ接続]タブ: 各ブランチとMCNの名前、クラウド接続、可用性、帯域幅階層、役割、および場所。

SD-WAN接続の削除

SD-WAN接続を削除する前に、それに関連付けられているカタログをすべて削除します。「カタログの削除」を参照してください。

  1. [管理]>[クイック展開] を選択し、右側にある [ネットワーク接続] を展開します。
  2. SD-WANが唯一の選択肢ではない場合は、[SD-WAN] を選択します。
  3. 削除する接続を選択し、詳細を表示します。
  4. [詳細] タブで、[接続の削除]を選択します。
  5. 削除を確認します。