Storage zones controller

Architektur im Überblick

Dieser Abschnitt bietet einen Überblick über die Bereitstellung von Storage Zones Controller für die Bewertung von Proof-of-Concept oder Produktionsumgebungen mit hoher Verfügbarkeit. Die Bereitstellung mit hoher Verfügbarkeit wird sowohl mit als auch ohne DMZ-Proxy wie Citrix ADC angezeigt.

Um eine Bereitstellung mit mehreren Storage Zones Controllern zu bewerten, befolgen Sie die Richtlinien für eine Bereitstellung mit hoher Verfügbarkeit.

Für jedes Bereitstellungsszenario ist ein ShareFile Enterprise Konto erforderlich. Standardmäßig speichert ShareFile Daten in der sicheren ShareFile-verwalteten Cloud. Konfigurieren Sie Speicherzonen für ShareFile-Daten, um den privaten Datenspeicher entweder eine lokale Netzwerkfreigabe oder ein unterstütztes Speichersystem eines Drittanbieters zu verwenden.

Um Daten aus Netzwerkdateifreigaben oder SharePoint-Dokumentbibliotheken sicher an Benutzer bereitzustellen, konfigurieren Sie StorageZone Connector.

Storage Zones Controller Machbarkeitsnachweis Bereitstellung

Achtung:

Eine Proof-of-Concept-Bereitstellung ist nur zu Evaluierungszwecken gedacht und sollte nicht für die Speicherung kritischer Daten verwendet werden.

Bei einer Proof-of-Concept-Bereitstellung wird ein einzelner Storage Zones Controller verwendet. Für die in diesem Abschnitt erläuterte Beispielbereitstellung sind sowohl Speicherzonen für ShareFile Data als auch StorageZone Connector aktiviert.

Um einen einzelnen Storage Zones Controller auszuwerten, können Sie optional Daten in einem Ordner (z. B. C:\ZoneFiles) auf der Festplatte des Storage Zones Controllers statt auf einer separaten Netzwerkfreigabe speichern. Alle anderen Systemanforderungen gelten für eine Evaluierungsbereitstellung.

Proof-of-Concept-Bereitstellung für Standardspeicherzonen

Ein für Standardzonen konfigurierter StorageZones Controller muss eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss der Controller über eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud verfügen. Die folgende Abbildung zeigt den Datenverkehr zwischen Benutzergeräten, der ShareFile Cloud und dem StorageZones Controller.

Proof-of-Concept-Bereitstellung für Standardzonen

In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Der StorageZones Controller befindet sich innerhalb der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst des StorageZones Controller installieren.

Bereitstellung von Storage Zones Controller mit hoher Verfügbarkeit

Für eine Produktionsbereitstellung von ShareFile mit hoher Verfügbarkeit empfiehlt es sich, mindestens zwei StorageZones Controller zu installieren. Wenn Sie den ersten Controller installieren, erstellen Sie eine Speicherzone. Wenn Sie die anderen Controller installieren, verbinden Sie sie mit derselben Zone. StorageZones Controller, die zur gleichen Zone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden.

Bei einer Hochverfügbarkeitsbereitstellung handelt es sich bei den sekundären Servern um unabhängige, voll funktionsfähige StorageZones Controller. Das Speicherzonensteuerungs-Subsystem wählt zufällig einen StorageZones Controller für Vorgänge aus. Wenn der primäre Server offline geschaltet wird, können Sie problemlos einen sekundären Server zum primären Server heraufstufen. Sie können auch einen Server von primär auf sekundär herabstufen.

Hochverfügbarkeitsbereitstellung für Standardzonen

StorageZones Controller, die für Standardspeicherzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss jeder Controller über eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud verfügen. Sie können mehrere externe öffentliche Adressen konfigurieren, die jeweils einem anderen Storage Zones Controller zugeordnet sind. Die folgende Abbildung zeigt eine Bereitstellung mit hoher Verfügbarkeit für Standardspeicherzonen.

Hochverfügbarkeitsbereitstellung für Standardspeicherzonen

Ähnlich wie das oben genannte Proof-of-Concept-Bereitstellungsszenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Die StorageZones Controller befinden sich in der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst aller StorageZones Controller installieren.

Konfiguration des gemeinsam genutzten Speichers

StorageZones Controller, die zur gleichen Speicherzone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden. StorageZones Controller greifen mithilfe des IIS-Kontopool-Benutzers auf die Freigabe zu. Standardmäßig arbeiten Anwendungspools unter dem Netzwerkdienst-Benutzerkonto, das über Benutzerrechte auf niedriger Ebene verfügt. Ein StorageZones Controller verwendet standardmäßig das Netzwerkdienstkonto.

Sie können anstelle des Netzwerkdienstkontos ein benanntes Benutzerkonto verwenden, um auf die Freigabe zuzugreifen. Um ein benanntes Benutzerkonto zu verwenden, geben Sie den Benutzernamen und das Kennwort auf der Konfigurationsseite der Speicherzonen-Konsole an. Führen Sie den IIS-Anwendungspool und die Citrix ShareFile Dienste mit dem Netzwerkdienstkonto aus.

Netzwerkverbindungen

Die Netzwerkverbindungen variieren je nach Zonentyp — von Citrix verwaltet oder Standard.

Von Citrix verwaltete Zonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer von Citrix verwalteten Zone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
  1. Benutzeranmeldeanforderung
Client company.sharefile.com:443
  1. (Optional) Umleiten zur SAML-IdP-Anmeldung
Client SAML-Identitätsanbieter-URL
  1. Datei-/Ordner-Aufzählung und Download-Anforderung
Client company.sharefile.com:443
  1. Dateidownload
Client storage-location.sharefile.com:443

Standard-Speicherzonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer Standardspeicherzone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
  1. Benutzeranmeldeanforderung
Client company.sharefile.com
  1. (Optional) Bei Verwendung von ADFS zur SAML-IdP-Anmeldung umleiten
Client SAML-Identitätsanbieter-URL
  1. Datei-/Ordner-Aufzählung und Download-Anforderung
Client company.sharefile.com
  1. Autorisierung für den Dateidownload
company.sharefile.com szc.company.com
  1. Dateidownload
Client szc.company.com

StorageZones Controller DMZ-Proxy-Bereitstellung

Eine demilitarisierte Zone (DMZ) bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk. Ein DMZ-Proxy, z. B. Citrix ADC VPX, ist eine optionale Komponente, die verwendet wird, um:

  • Stellen Sie sicher, dass alle Anforderungen an einen StorageZones Controller aus der ShareFile Cloud stammen, damit nur genehmigter Datenverkehr die StorageZones Controller erreicht.

    -StorageZones Controller verfügt über einen Validierungsvorgang, der für alle eingehenden Nachrichten nach gültigen URI-Signaturen sucht. Die DMZ-Komponente ist für die Validierung von Signaturen vor dem Weiterleiten von Nachrichten verantwortlich.

  • Lastausgleichsanforderungen an StorageZones Controller mithilfe von Echtzeitstatusindikatoren.

    Operationen können Lastenausgleich auf StorageZones Controller erfolgen, wenn sie alle auf die gleichen Dateien zugreifen können.

  • SSL von StorageZones Controllern entladen.

  • Stellen Sie sicher, dass Anforderungen für Dateien auf SharePoint- oder Netzlaufwerken authentifiziert werden, bevor Sie die DMZ durchlaufen.

Citrix ADC - und Storage Zones Controller Bereitstellung

Bereitstellung für Standardspeicherzonen

Für Standardzonen konfigurierte StorageZones Controller müssen eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss Citrix ADC über eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud verfügen.

StorageZones Controller mit Standardzonen

In diesem Szenario stehen zwei Firewalls zwischen dem Internet und dem sicheren Netzwerk. StorageZones Controller befinden sich im internen Netzwerk. Benutzerverbindungen zu ShareFile müssen die erste Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst der DMZ-Proxyserver installieren (wenn die Benutzerverbindung beendet wird).

Netzwerkverbindungen für Standardzonen

Im folgenden Diagramm und in der Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer Standardzone herunterlädt, die hinter Citrix ADC bereitgestellt wird. In diesem Fall verwendet das Konto Active Directory Verbunddienste (ADFS) für die SAML-Anmeldung.

Authentifizierungsdatenverkehr wird in der DMZ von einem ADFS-Proxyserver verarbeitet, der mit einem ADFS-Server im vertrauenswürdigen Netzwerk kommuniziert. Auf die Dateiaktivität wird über Citrix ADC in der DMZ zugegriffen, wodurch SSL beendet wird, Benutzeranforderungen authentifiziert werden und dann im Auftrag authentifizierter Benutzer auf den StorageZones Controller im vertrauenswürdigen Netzwerk zugreift. Der Zugriff auf die externe Citrix ADC Adresse für ShareFile erfolgt über den Internet-FQDN szc.company.com.

Anmelden- und Downloadverbindungen für lokale Speicherzonen

Schritt Quelle Ziel Protokoll
  1. Benutzeranmeldeanforderung
Client company.sharefile.com HTTPS
  1. (Optional) Umleiten zur SAML-IdP-Anmeldung
Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
  1. Datei-/Ordner-Aufzählung und Download-Anforderung
Client company.sharefile.com HTTPS
  1. Autorisierung für den Dateidownload
ShareFile szc.company.com (externe Adresse) HTTP(S)
4a. Autorisierung für den Dateidownload Citrix ADC IP (NSIP) StorageZones Controller HTTPS
  1. Dateidownload
Client szc.company.com (externe Adresse) HTTPS
5a. Dateidownload Citrix ADC IP (NSIP) StorageZones Controller HTTP(S)

Das folgende Diagramm und die Tabelle erweitern das vorherige Szenario, um die Netzwerkverbindungen für StorageZone Connectors anzuzeigen. Dieses Szenario umfasst die Verwendung von NetScaler in der DMZ zum Beenden von SSL und zur Durchführung der Benutzerauthentifizierung für Connectors-Zugriff.

Anmelde- und Download-Verbindungen für StorageZone Connector

Schritt Quelle Ziel Protokoll
  1. Benutzeranmeldeanforderung
Client company.sharefile.com HTTPS
  1. (Optional) Umleiten zur SAML-IdP-Anmeldung
Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
  1. Connectorenumeration der obersten Ebene
Client company.sharefile.com HTTPS
  1. Benutzeranmeldung am StorageZones Controller-Server
Client szc.company.com (externe Adresse) HTTPS
  1. Benutzerauthentifizierung
Citrix ADC IP (NSIP) AD-Domänencontroller LDAP (S)
  1. Datei-/Ordner-Enumeration und Upload/Download Anforderungen
Citrix ADC IP (NSIP) StorageZones Controller HTTP (S)
  1. Enumeration von Netzwerkfreigaben und Upload/Download
StorageZones Controller Dateiserver CIFS oder DFS
7a. SharePoint-Aufzählung und Hochladen/Herunterladen StorageZones Controller SharePoint HTTP(S)

Das folgende Diagramm fasst die unterstützten Kombinationen von Authentifizierungstypen zusammen, je nachdem, ob sich der Benutzer authentifiziert.

Unterstützte Authentifizierungstyp-Kombinationen

Architektur im Überblick