Architektur im Überblick
Dieser Abschnitt bietet einen Überblick über die Bereitstellung von StorageZones Controller für Machbarkeitsstudien oder Produktionsumgebungen mit hoher Verfügbarkeit. Die Bereitstellung mit hoher Verfügbarkeit wird sowohl mit als auch ohne DMZ-Proxy wie Citrix ADC angezeigt.
Um eine Bereitstellung mit mehreren StorageZones Controllern zu evaluieren, folgen Sie den Richtlinien für eine Bereitstellung mit hoher Verfügbarkeit.
Für jedes der Bereitstellungsszenarien ist ein ShareFile Enterprise-Konto erforderlich. Standardmäßig speichert ShareFile Daten in der sicheren von ShareFile verwalteten Cloud. Um privaten Datenspeicher zu verwenden, entweder eine on-premises Netzwerkfreigabe oder ein unterstütztes Speichersystem eines Drittanbieters, konfigurieren Sie Speicherzonen für ShareFile-Daten.
Um Benutzern Daten aus Netzwerkdateifreigaben oder SharePoint-Dokumentbibliotheken sicher bereitzustellen, konfigurieren Sie Speicherzonenkonnektoren.
Machbarkeitsnachweis für StorageZones Controller
Achtung:
Eine Machbarkeitsstudie dient nur zu Evaluierungszwecken und sollte nicht für die Speicherung kritischer Daten verwendet werden.
Bei einer Machbarkeitsstudie wird ein einziger StorageZones Controller verwendet. Bei der in diesem Abschnitt erläuterten Beispielbereitstellung sind sowohl Speicherzonen für ShareFile-Daten als auch Speicherzonenconnectors aktiviert.
Um einen einzelnen StorageZones Controller zu evaluieren, können Sie optional Daten in einem Ordner (z. B. C:\ZoneFiles) auf der Festplatte des StorageZones Controllers statt auf einer separaten Netzwerkfreigabe speichern. Alle anderen Systemanforderungen gelten für eine Testbereitstellung.
Machbarkeitsnachweis für Standardspeicherzonen
Ein für Standardzonen konfigurierter StorageZones Controller muss eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss der Controller über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein. Die folgende Abbildung zeigt den Datenverkehr zwischen Benutzergeräten, der ShareFile-Cloud und dem StorageZone Controller.
In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Der Speicherzonen-Controller befindet sich innerhalb der Firewall, um den Zugriff zu steuern Benutzerverbindungen zu ShareFile müssen die Firewall durchqueren und das SSL-Protokoll an Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst des StorageZones Controllers installieren.
Bereitstellung von StorageZones Controllern mit hoher Verfügbarkeit
Für eine Produktionsbereitstellung von ShareFile mit hoher Verfügbarkeit empfiehlt es sich, mindestens zwei StorageZones Controller zu installieren. Wenn Sie den ersten Controller installieren, erstellen Sie eine Speicherzone. Wenn Sie die anderen Controller installieren, fügen Sie sie derselben Zone hinzu. StorageZones Controller, die zu derselben Zone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden.
In einer Hochverfügbarkeitsbereitstellung sind die sekundären Server unabhängige, voll funktionsfähige StorageZones Controller. Das Subsystem zur Speicherzonensteuerung wählt nach dem Zufallsprinzip einen Speicherzonencontroller für den Betrieb aus. Wenn der Primärserver offline geht, können Sie problemlos einen Sekundärserver zum Primärserver heraufstufen. Sie können einen Server auch vom Primär- zum Sekundärserver herabstufen.
Bereitstellung mit hoher Verfügbarkeit für Standardzonen
StorageZones Controller, die für Standardspeicherzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss jeder Controller über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein. Sie können mehrere externe öffentliche Adressen konfigurieren, die jeweils einem anderen StorageZones Controller zugeordnet sind. Die folgende Abbildung zeigt eine Hochverfügbarkeitsbereitstellung für Standardspeicherzonen.
Ähnlich wie im obigen Proof-of-Concept-Bereitstellungsszenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Die StorageZone Controller befinden sich innerhalb der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchqueren und das SSL-Protokoll an Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst aller StorageZones Controller installieren.
Konfiguration für gemeinsam genutzten Speicher
StorageZones Controller, die zu derselben Speicherzone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden. StorageZones Controller greifen mithilfe des IIS-Kontopool-Benutzers auf den Share zu. Standardmäßig werden Anwendungspools unter dem Netzwerkdienstbenutzerkonto betrieben, das über Benutzerrechte auf niedriger Ebene verfügt. Ein StorageZones Controller verwendet standardmäßig das Netzwerkdienstkonto.
Sie können ein benanntes Benutzerkonto anstelle des Netzwerkdienstkontos verwenden, um auf die Freigabe zuzugreifen. Um ein benanntes Benutzerkonto zu verwenden, geben Sie den Benutzernamen und das Kennwort auf der Konfigurationsseite der StorageZones Console an. Führen Sie den IIS-Anwendungspool und die ShareFile Services mithilfe des Netzwerkdienstkontos aus.
Netzwerkverbindungen
Netzwerkverbindungen variieren je nach Zonentyp — von ShareFile verwaltet oder Standard.
Von ShareFile verwaltete Zonen
In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer von ShareFile verwalteten Zone herunterlädt. Alle Verbindungen verwenden HTTPS.
| Schritt | Quelle | Ziel |
|---|---|---|
1. Anfrage zur Benutzeranmeldung |
Client | company.sharefile.com:443 |
2. (Optional) Zur SAML-IdP-Anmeldung umleiten |
Client | SAML-Identitätsanbieter-URL |
3. Aufzählung von Dateien/Ordnern und Download-Anfrage |
Client | company.sharefile.com:443 |
4. Datei herunterladen |
Client | storage-location.sharefile.com:443 |
Standardlagerzonen
In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument von einer Standardspeicherzone herunterlädt. Alle Verbindungen verwenden HTTPS.
| Schritt | Quelle | Ziel |
|---|---|---|
1. Anfrage zur Benutzeranmeldung |
Client | company.sharefile.com |
2. (Optional) Wenn Sie ADFS verwenden, leiten Sie zur SAML-IdP-Anmeldung um |
Client | SAML-Identitätsanbieter-URL |
3. Aufzählung von Dateien/Ordnern und Download-Anfrage |
Client | company.sharefile.com |
4. Autorisierung zum Herunterladen von Dateien |
company.sharefile.com |
szc.company.com |
5. Datei herunterladen |
Client | szc.company.com |
DMZ-Proxy-Bereitstellung von StorageZones Controller
Eine demilitarisierte Zone (DMZ) bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk. Ein DMZ-Proxy wie Citrix ADC VPX ist eine optionale Komponente, die verwendet wird, um:
-
Stellen Sie sicher, dass alle Anfragen an einen StorageZones Controller aus der ShareFile-Cloud stammen, sodass nur zugelassener Datenverkehr die StorageZones Controller erreicht.
Der StorageZones Controller verfügt über einen Validierungsvorgang, der für alle eingehenden Nachrichten nach gültigen URI-Signaturen sucht. Die DMZ-Komponente ist für die Validierung von Signaturen verantwortlich, bevor Nachrichten weitergeleitet werden.
-
Lastenausgleichsanforderungen an StorageZones Controller mithilfe von Statusanzeigen in Echtzeit.
Operationen können mit einem Lastenausgleich auf StorageZones Controller verteilt werden, wenn sie alle auf dieselben Dateien zugreifen können.
-
Entladen Sie SSL von den StorageZones Controllern.
-
Stellen Sie sicher, dass Anfragen für Dateien auf SharePoint oder Netzlaufwerken authentifiziert werden, bevor Sie die DMZ passieren.
Bereitstellung von Citrix ADC- und StorageZones Controllern
Bereitstellung für Standardspeicherzonen
StorageZones Controller, die für Standardzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile-Cloud akzeptieren. Dazu muss der Citrix ADC über eine öffentlich zugängliche Internetadresse verfügen und SSL für die Kommunikation mit der ShareFile-Cloud aktiviert sein.
In diesem Szenario stehen zwei Firewalls zwischen dem Internet und dem sicheren Netzwerk. StorageZones Controller befinden sich im internen Netzwerk. Benutzerverbindungen zu ShareFile müssen die erste Firewall passieren und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst der DMZ-Proxyserver installieren (falls diese die Benutzerverbindung beenden).
Netzwerkverbindungen für Standardzonen
Das folgende Diagramm und die folgende Tabelle beschreiben die Netzwerkverbindungen, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer Standardzone herunterlädt, die hinter Citrix ADC bereitgestellt wird. In diesem Fall verwendet das Konto Active Directory Federation Services (ADFS) für die SAML-Anmeldung.
Der Authentifizierungsverkehr wird in der DMZ von einem ADFS-Proxyserver verarbeitet, der mit einem ADFS-Server im vertrauenswürdigen Netzwerk kommuniziert. Auf die Dateiaktivität wird über Citrix ADC in der DMZ zugegriffen, das SSL beendet, Benutzeranforderungen authentifiziert und dann im Namen authentifizierter Benutzer auf den StorageZones Controller im vertrauenswürdigen Netzwerk zugreift. Auf die externe Citrix ADC-Adresse für ShareFile wird über den Internet-FQDN szc.company.com zugegriffen.
| Schritt | Quelle | Ziel | Protokoll |
|---|---|---|---|
1. Anfrage zur Benutzeranmeldung |
Client | company.sharefile.com |
HTTPS |
2. (Optional) Zur SAML-IdP-Anmeldung umleiten |
Client | SAML-Identitätsanbieter-URL | HTTPS |
2a. ADFS-Anmeldung |
ADFS-Proxy | ADFS-Server | HTTPS |
3. Aufzählung von Dateien/Ordnern und Download-Anfrage |
Client | company.sharefile.com |
HTTPS |
4. Autorisierung zum Herunterladen von Dateien |
ShareFile |
szc.company.com (externe Adresse) |
HTTP (S) |
4a. Autorisierung zum Herunterladen von Dateien |
Citrix ADC IP (NSIP) | Speicherzonencontroller | HTTPS |
5. Datei herunterladen |
Client |
szc.company.com (externe Adresse) |
HTTPS |
5a. Datei herunterladen |
Citrix ADC IP (NSIP) | Speicherzonencontroller | HTTP (S) |
Das folgende Diagramm und die folgende Tabelle erweitern das vorherige Szenario und zeigen die Netzwerkverbindungen für StorageZone Connectors. Dieses Szenario beinhaltet die Verwendung von NetScaler in der DMZ, um SSL zu beenden und die Benutzerauthentifizierung für den Connectors-Zugriff durchzuführen.
| Schritt | Quelle | Ziel | Protokoll |
|---|---|---|---|
1. Anfrage zur Benutzeranmeldung |
Client | company.sharefile.com |
HTTPS |
2. (Optional) Zur SAML-IdP-Anmeldung umleiten |
Client | SAML-Identitätsanbieter-URL | HTTPS |
2a. ADFS-Anmeldung |
ADFS-Proxy | ADFS-Server | HTTPS |
3. Connector-Enumeration auf oberster Ebene |
Client | company.sharefile.com |
HTTPS |
4. Benutzeranmeldung am StorageZones Controller-Server |
Client |
szc.company.com (externe Adresse) |
HTTPS |
5. Benutzerauthentifizierung |
Citrix ADC IP (NSIP) | AD-Domänencontroller | LDAP (S) |
6. Aufzählung von Dateien/Ordnern und Upload-/Download-Anfragen |
Citrix ADC IP (NSIP) | Speicherzonencontroller | HTTP (S) |
7. Aufzählung der Netzwerkfreigaben und Upload/Download |
Speicherzonencontroller | Dateiserver | CIFS oder DFS |
7a. SharePoint-Aufzählung und Upload/Download |
Speicherzonencontroller | SharePoint | HTTP (S) |
Das folgende Diagramm fasst die unterstützten Kombinationen von Authentifizierungstypen zusammen, je nachdem, ob sich der Benutzer authentifiziert.
