Aperçu de l’architecture
Cette section fournit une vue d’ensemble du déploiement du StorageZones Controller pour des évaluations de validation de concept ou des environnements de production à haute disponibilité. Le déploiement haute disponibilité s’affiche avec et sans proxy DMZ tel que Citrix ADC.
Pour évaluer un déploiement avec plusieurs StorageZones Controller, suivez les instructions relatives à un déploiement haute disponibilité.
Chacun des scénarios de déploiement nécessite un compte ShareFile Enterprise. Par défaut, ShareFile stocke les données dans le cloud sécurisé géré par ShareFile. Pour utiliser le stockage de données privé, soit un partage réseau local, soit un système de stockage tiers pris en charge, configurez les zones de stockage pour ShareFile Data.
Pour fournir en toute sécurité des données aux utilisateurs à partir de partages de fichiers réseau ou de bibliothèques de documents SharePoint, configurez les StorageZone Connector.
Déploiement de la preuve de concept du StorageZones Controller
Attention :
Un déploiement de validation de concept est destiné uniquement à des fins d’évaluation et ne doit pas être utilisé pour le stockage de données critiques.
Un déploiement de validation de principe utilise un StorageZones Controller unique. L’exemple de déploiement décrit dans cette section a à la fois des zones de stockage pour les données ShareFile et des StorageZone Connector activés.
Pour évaluer un StorageZones Controller unique, vous pouvez éventuellement stocker des données dans un dossier (tel que C:\ZoneFiles) sur le disque dur du StorageZones Controller au lieu de sur un partage réseau distinct. Toutes les autres exigences système s’appliquent à un déploiement d’évaluation.
Déploiement de la preuve de concept pour les zones de stockage standard
Un StorageZones Controller configuré pour les zones standard doit accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, le Controller doit avoir une adresse Internet accessible au public et SSL activé pour les communications avec le cloud ShareFile. La figure suivante indique le flux de trafic entre les machines utilisateur, le cloud ShareFile et le StorageZones Controller.
Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. StorageZones Controller réside à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS du StorageZones Controller.
Déploiement haute disponibilité du StorageZones Controller
Pour un déploiement en production de ShareFile avec une haute disponibilité, la meilleure pratique recommandée consiste à installer au moins deux StorageZones Controller. Lorsque vous installez le premier Controller, vous créez une zone de stockage. Lorsque vous installez les autres contrôleurs, vous les joignez à la même zone. Les StorageZones Controller appartenant à la même zone doivent utiliser le même partage de fichiers pour le stockage.
Dans un déploiement à haute disponibilité, les serveurs secondaires sont des StorageZones Controller indépendants et entièrement fonctionnels. Le sous-système de contrôle des zones de stockage choisit aléatoirement un StorageZones Controller pour les opérations. Si le serveur principal se déconnecte, vous pouvez facilement promouvoir un serveur secondaire au rang de serveur principal. Vous pouvez également rétrograder un serveur primaire au rang de serveur secondaire.
Déploiement haute disponibilité pour les zones standard
Les StorageZones Controller configurés pour les zones de stockage standard doivent accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, chaque Controller doit avoir une adresse Internet accessible au public et SSL activé pour les communications avec le cloud ShareFile. Vous pouvez configurer plusieurs adresses publiques externes, chacune associée à un contrôleur de zones de stockage différent.La figure suivante illustre un déploiement de haute disponibilité pour les zones de stockage standard.
Comme dans le scénario de déploiement de la preuve de concept ci-dessus, un pare-feu se trouve entre Internet et le réseau sécurisé. Les StorageZones Controller résident à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS de tous les StorageZones Controller.
Configuration du stockage partagé
Les StorageZones Controller appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Les StorageZones Controller accèdent au partage à l’aide de l’utilisateur du pool de comptes IIS. Par défaut, les pools d’applications fonctionnent sous le compte d’utilisateur Service réseau, qui dispose de droits d’utilisateur de bas niveau. Un StorageZones Controller utilise le compte de service réseau par défaut.
Vous pouvez utiliser un compte d’utilisateur nommé au lieu du compte de service réseau pour accéder au partage. Pour utiliser un compte d’utilisateur nommé, spécifiez le nom d’utilisateur et le mot de passe dans la page Configuration de la console des zones de stockage. Exécutez le pool d’applications IIS et Citrix ShareFile Services à l’aide du compte Service réseau.
Connexions réseau
Les connexions réseau varient en fonction du type de zone (gérée par Citrix ou standard).
Zones gérées par Citrix
Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone gérée par Citrix. Toutes les connexions utilisent HTTPS.
| Étape | Source | Destination |
|---|---|---|
|
Client | company.sharefile.com:443 |
|
Client | URL du fournisseur d’identité SAML |
|
Client | company.sharefile.com:443 |
|
Client | storage-location.sharefile.com:443 |
Zones de stockage standard
Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone de stockage standard. Toutes les connexions utilisent HTTPS.
| Étape | Source | Destination |
|---|---|---|
|
Client | company.sharefile.com |
|
Client | URL du fournisseur d’identité SAML |
|
Client | company.sharefile.com |
|
company.sharefile.com |
szc.company.com |
|
Client | szc.company.com |
Déploiement du proxy DMZ du StorageZones Controller
Une zone démilitarisée (DMZ) fournit une couche supplémentaire de sécurité pour le réseau interne. Un proxy DMZ, tel que Citrix ADC VPX, est un composant facultatif utilisé pour :
-
Assurez-vous que toutes les demandes adressées à un StorageZones Controller proviennent du cloud ShareFile, de sorte que seul le trafic approuvé atteint les StorageZones Controller.
Le Controller de zones de stockage dispose d’une opération de validation qui vérifie la présence de signatures d’URI valides pour tous les messages entrants. Le composant DMZ est responsable de la validation des signatures avant le transfert des messages.
-
Demandes d’équilibrage de charge aux StorageZones Controller utilisant des indicateurs d’état en temps réel.
Les opérations peuvent être équilibrées de charge sur les StorageZones Controller s’ils peuvent tous accéder aux mêmes fichiers.
-
Déchargez SSL des StorageZones Controller.
-
Assurez-vous que les demandes de fichiers sur les lecteurs SharePoint ou réseau sont authentifiées avant de passer par la DMZ.
Déploiement des StorageZones Controller et d’Citrix ADC
Déploiement pour les zones de stockage standard
Les StorageZones Controller configurés pour les zones standard doivent accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, Citrix ADC doit disposer d’une adresse Internet accessible au public et d’une connexion SSL activée pour les communications avec le cloud ShareFile.
Dans ce scénario, deux pare-feu se trouvent entre Internet et le réseau sécurisé. Les contrôleurs de zones de stockage résident dans le réseau interne. Les connexions utilisateur à ShareFile doivent traverser le premier pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS des serveurs proxy DMZ (s’ils mettent fin à la connexion utilisateur).
Connexions réseau pour les zones standard
Le diagramme et le tableau suivants décrivent les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone standard déployée derrière Citrix ADC. Dans ce cas, le compte utilise les services ADFS (Active Directory Federation Services) pour l’ouverture de session SAML.
Le trafic d’authentification est géré dans la zone DMZ par un serveur proxy ADFS qui communique avec un serveur ADFS sur le réseau approuvé. L’activité des fichiers est accessible via Citrix ADC dans la DMZ, qui met fin à SSL, authentifie les demandes des utilisateurs, puis accède au StorageZones Controller dans le réseau approuvé pour le compte des utilisateurs authentifiés. L’adresse externe Citrix ADC pour ShareFile est accessible à l’aide du nom de domaine complet Internet szc.company.com.
| Étape | Source | Destination | Protocole |
|---|---|---|---|
|
Client | company.sharefile.com |
HTTPS |
|
Client | URL du fournisseur d’identité SAML | HTTPS |
| 2a. Ouverture de session ADFS | Proxy ADFS | Serveur ADFS | HTTPS |
|
Client | company.sharefile.com |
HTTPS |
|
ShareFile |
szc.company.com (adresse externe) |
HTTP(S) |
| 4a. Autorisation de téléchargement de fichier | IP Citrix ADC (NSIP) | StorageZones Controller | HTTPS |
|
Client |
szc.company.com (adresse externe) |
HTTPS |
| 5a. Téléchargement de fichier | IP Citrix ADC (NSIP) | StorageZones Controller | HTTP(S) |
Le diagramme et le tableau suivants étendent le scénario précédent pour afficher les connexions réseau pour les connecteurs StorageZone. Ce scénario inclut l’utilisation de NetScaler dans la DMZ pour mettre fin à SSL et effectuer l’authentification utilisateur pour l’accès des connecteurs.
| Étape | Source | Destination | Protocole |
|---|---|---|---|
|
Client | company.sharefile.com |
HTTPS |
|
Client | URL du fournisseur d’identité SAML | HTTPS |
| 2a. Ouverture de session ADFS | Proxy ADFS | Serveur ADFS | HTTPS |
|
Client | company.sharefile.com |
HTTPS |
|
Client |
szc.company.com (adresse externe) |
HTTPS |
|
IP Citrix ADC (NSIP) | Controller de domaine AD | LDAP(S) |
|
IP Citrix ADC (NSIP) | StorageZones Controller | HTTP(S) |
|
StorageZones Controller | Serveur de fichiers | CIFS ou DFS |
| 7a. Énumération SharePoint et téléchargement/téléchargement | StorageZones Controller | SharePoint | HTTP(S) |
Le diagramme suivant résume les combinaisons de types d’authentification prises en charge selon que l’utilisateur s’authentifie ou non.
