Storage zones controller

Architektur im Überblick

Dieser Abschnitt bietet einen Überblick über die Bereitstellung von StorageZones Controller für Machbarkeitsstudien oder Produktionsumgebungen mit hoher Verfügbarkeit. Die Bereitstellung mit hoher Verfügbarkeit wird sowohl mit als auch ohne DMZ-Proxy wie Citrix ADC angezeigt.

Um eine Bereitstellung mit mehreren StorageZones Controllern zu evaluieren, folgen Sie den Richtlinien für eine Bereitstellung mit hoher Verfügbarkeit.

Für jedes der Bereitstellungsszenarien ist ein ShareFile Enterprise-Konto erforderlich. Standardmäßig speichert ShareFile Daten in der sicheren von ShareFile verwalteten Cloud. Um privaten Datenspeicher zu verwenden, entweder eine on-premises Netzwerkfreigabe oder ein unterstütztes Speichersystem eines Drittanbieters, konfigurieren Sie Speicherzonen für ShareFile-Daten.

Um Benutzern Daten aus Netzwerkdateifreigaben oder SharePoint-Dokumentbibliotheken sicher bereitzustellen, konfigurieren Sie Speicherzonenkonnektoren.

Machbarkeitsnachweis für StorageZones Controller

Achtung:

Eine Machbarkeitsstudie dient nur zu Evaluierungszwecken und sollte nicht für die Speicherung kritischer Daten verwendet werden.

Bei einer Machbarkeitsstudie wird ein einziger StorageZones Controller verwendet. Bei der in diesem Abschnitt erläuterten Beispielbereitstellung sind sowohl Speicherzonen für ShareFile-Daten als auch Speicherzonenconnectors aktiviert.

Um einen einzelnen StorageZones Controller zu evaluieren, können Sie optional Daten in einem Ordner (z. B. C:\ZoneFiles) auf der Festplatte des StorageZones Controllers statt auf einer separaten Netzwerkfreigabe speichern. Alle anderen Systemanforderungen gelten für eine Testbereitstellung.

Machbarkeitsnachweis für Standardspeicherzonen

Ein für Standardzonen konfigurierter StorageZones Controller muss eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss der Controller über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein. Die folgende Abbildung zeigt den Datenverkehr zwischen Benutzergeräten, der ShareFile-Cloud und dem StorageZone Controller.

Machbarkeitsnachweis für Standardzonen

In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Der Speicherzonen-Controller befindet sich innerhalb der Firewall, um den Zugriff zu steuern Benutzerverbindungen zu ShareFile müssen die Firewall durchqueren und das SSL-Protokoll an Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst des StorageZones Controllers installieren.

Bereitstellung von StorageZones Controllern mit hoher Verfügbarkeit

Für eine Produktionsbereitstellung von ShareFile mit hoher Verfügbarkeit empfiehlt es sich, mindestens zwei StorageZones Controller zu installieren. Wenn Sie den ersten Controller installieren, erstellen Sie eine Speicherzone. Wenn Sie die anderen Controller installieren, fügen Sie sie derselben Zone hinzu. StorageZones Controller, die zu derselben Zone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden.

In einer Hochverfügbarkeitsbereitstellung sind die sekundären Server unabhängige, voll funktionsfähige StorageZones Controller. Das Subsystem zur Speicherzonensteuerung wählt nach dem Zufallsprinzip einen Speicherzonencontroller für den Betrieb aus. Wenn der Primärserver offline geht, können Sie problemlos einen Sekundärserver zum Primärserver heraufstufen. Sie können einen Server auch vom Primär- zum Sekundärserver herabstufen.

Bereitstellung mit hoher Verfügbarkeit für Standardzonen

StorageZones Controller, die für Standardspeicherzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss jeder Controller über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein. Sie können mehrere externe öffentliche Adressen konfigurieren, die jeweils einem anderen StorageZones Controller zugeordnet sind. Die folgende Abbildung zeigt eine Hochverfügbarkeitsbereitstellung für Standardspeicherzonen.

Bereitstellung mit hoher Verfügbarkeit für Standardspeicherzonen

Ähnlich wie im obigen Proof-of-Concept-Bereitstellungsszenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Die StorageZone Controller befinden sich innerhalb der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchqueren und das SSL-Protokoll an Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst aller StorageZones Controller installieren.

Konfiguration für gemeinsam genutzten Speicher

StorageZones Controller, die zu derselben Speicherzone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden. StorageZones Controller greifen mithilfe des IIS-Kontopool-Benutzers auf den Share zu. Standardmäßig werden Anwendungspools unter dem Netzwerkdienstbenutzerkonto betrieben, das über Benutzerrechte auf niedriger Ebene verfügt. Ein StorageZones Controller verwendet standardmäßig das Netzwerkdienstkonto.

Sie können ein benanntes Benutzerkonto anstelle des Netzwerkdienstkontos verwenden, um auf die Freigabe zuzugreifen. Um ein benanntes Benutzerkonto zu verwenden, geben Sie den Benutzernamen und das Kennwort auf der Konfigurationsseite der StorageZones Console an. Führen Sie den IIS-Anwendungspool und die ShareFile Services mithilfe des Netzwerkdienstkontos aus.

Netzwerkverbindungen

Netzwerkverbindungen variieren je nach Zonentyp — von ShareFile verwaltet oder Standard.

Von ShareFile verwaltete Zonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer von ShareFile verwalteten Zone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
1. Anfrage zur Benutzeranmeldung Client company.sharefile.com:443
2. (Optional) Zur SAML-IdP-Anmeldung umleiten Client SAML-Identitätsanbieter-URL
3. Aufzählung von Dateien/Ordnern und Download-Anfrage Client company.sharefile.com:443
4. Datei herunterladen Client storage-location.sharefile.com:443

Standardlagerzonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument von einer Standardspeicherzone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
1. Anfrage zur Benutzeranmeldung Client company.sharefile.com
2. (Optional) Wenn Sie ADFS verwenden, leiten Sie zur SAML-IdP-Anmeldung um Client SAML-Identitätsanbieter-URL
3. Aufzählung von Dateien/Ordnern und Download-Anfrage Client company.sharefile.com
4. Autorisierung zum Herunterladen von Dateien company.sharefile.com szc.company.com
5. Datei herunterladen Client szc.company.com

DMZ-Proxy-Bereitstellung von StorageZones Controller

Eine demilitarisierte Zone (DMZ) bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk. Ein DMZ-Proxy wie Citrix ADC VPX ist eine optionale Komponente, die verwendet wird, um:

  • Stellen Sie sicher, dass alle Anfragen an einen StorageZones Controller aus der ShareFile-Cloud stammen, sodass nur zugelassener Datenverkehr die StorageZones Controller erreicht.

    Der StorageZones Controller verfügt über einen Validierungsvorgang, der für alle eingehenden Nachrichten nach gültigen URI-Signaturen sucht. Die DMZ-Komponente ist für die Validierung von Signaturen verantwortlich, bevor Nachrichten weitergeleitet werden.

  • Lastenausgleichsanforderungen an StorageZones Controller mithilfe von Statusanzeigen in Echtzeit.

    Operationen können mit einem Lastenausgleich auf StorageZones Controller verteilt werden, wenn sie alle auf dieselben Dateien zugreifen können.

  • Entladen Sie SSL von den StorageZones Controllern.

  • Stellen Sie sicher, dass Anfragen für Dateien auf SharePoint oder Netzlaufwerken authentifiziert werden, bevor Sie die DMZ passieren.

Bereitstellung von Citrix ADC- und StorageZones Controllern

Bereitstellung für Standardspeicherzonen

StorageZones Controller, die für Standardzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss der Citrix ADC über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein.

Speicherzonencontroller mit Standardzonen

In diesem Szenario stehen zwei Firewalls zwischen dem Internet und dem sicheren Netzwerk. StorageZones Controller befinden sich im internen Netzwerk. Benutzerverbindungen zu ShareFile müssen die erste Firewall passieren und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst der DMZ-Proxyserver installieren (falls diese die Benutzerverbindung beenden).

Netzwerkverbindungen für Standardzonen

Das folgende Diagramm und die folgende Tabelle beschreiben die Netzwerkverbindungen, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer Standardzone herunterlädt, die hinter Citrix ADC bereitgestellt wird. In diesem Fall verwendet das Konto Active Directory Federation Services (ADFS) für die SAML-Anmeldung.

Der Authentifizierungsverkehr wird in der DMZ von einem ADFS-Proxyserver verarbeitet, der mit einem ADFS-Server im vertrauenswürdigen Netzwerk kommuniziert. Auf die Dateiaktivität wird über Citrix ADC in der DMZ zugegriffen, das SSL beendet, Benutzeranforderungen authentifiziert und dann im Namen authentifizierter Benutzer auf den StorageZones Controller im vertrauenswürdigen Netzwerk zugreift. Auf die externe Citrix ADC-Adresse für ShareFile wird über den Internet-FQDN szc.company.com zugegriffen.

Anmelde- und Download-Verbindungen für on-premises Speicherzonen

Schritt Quelle Ziel Protokoll
1. Anfrage zur Benutzeranmeldung Client company.sharefile.com HTTPS
2. (Optional) Zur SAML-IdP-Anmeldung umleiten Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
3. Aufzählung von Dateien/Ordnern und Download-Anfrage Client company.sharefile.com HTTPS
4. Autorisierung zum Herunterladen von Dateien ShareFile szc.company.com (externe Adresse) HTTP (S)
4a. Autorisierung zum Herunterladen von Dateien Citrix ADC IP (NSIP) Speicherzonencontroller HTTPS
5. Datei herunterladen Client szc.company.com (externe Adresse) HTTPS
5a. Datei herunterladen Citrix ADC IP (NSIP) Speicherzonencontroller HTTP (S)

Das folgende Diagramm und die folgende Tabelle erweitern das vorherige Szenario und zeigen die Netzwerkverbindungen für StorageZone Connectors. Dieses Szenario beinhaltet die Verwendung von NetScaler in der DMZ, um SSL zu beenden und die Benutzerauthentifizierung für den Connectors-Zugriff durchzuführen.

Anmelde- und Download-Verbindungen für Storage Zone Connectors

Schritt Quelle Ziel Protokoll
1. Anfrage zur Benutzeranmeldung Client company.sharefile.com HTTPS
2. (Optional) Zur SAML-IdP-Anmeldung umleiten Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
3. Connector-Enumeration auf oberster Ebene Client company.sharefile.com HTTPS
4. Benutzeranmeldung am StorageZones Controller-Server Client szc.company.com (externe Adresse) HTTPS
5. Benutzerauthentifizierung Citrix ADC IP (NSIP) AD-Domänencontroller LDAP (S)
6. Aufzählung von Dateien/Ordnern und Upload-/Download-Anfragen Citrix ADC IP (NSIP) Speicherzonencontroller HTTP (S)
7. Aufzählung der Netzwerkfreigaben und Upload/Download Speicherzonencontroller Dateiserver CIFS oder DFS
7a. SharePoint-Aufzählung und Upload/Download Speicherzonencontroller SharePoint HTTP (S)

Das folgende Diagramm fasst die unterstützten Kombinationen von Authentifizierungstypen zusammen, je nachdem, ob sich der Benutzer authentifiziert.

Unterstützte Authentifizierungstyp-Kombinationen

Architektur im Überblick