Storage zones controller

アーキテクチャの概要

このセクションでは、概念実証評価や高可用性実稼働環境のためのストレージゾーンControllerのデプロイの概要を説明します。高可用性展開は、NetScaler ADCなどのDMZプロキシの有無の両方で表示されます。

複数のストレージゾーンControllerを使用するデプロイを評価するには、高可用性デプロイのガイドラインに従ってください。

各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFileは安全なShareFileマネージドクラウドにデータを保存します。プライベートデータストレージ (オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム) を使用するには、ShareFile Data 用のストレージゾーンを構成します。

ネットワークファイル共有または SharePoint ドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。

Storage Zone Controllerの概念実証導入

注意:

概念実証の導入は評価目的のみを目的としており、重要なデータストレージには使用しないでください。

概念実証デプロイメントでは、単一のStorage Zone Controllerを使用します。このセクションで説明した展開例では、ShareFile Data のストレージゾーンとストレージゾーンコネクタの両方が有効になっています。

単一のStorage Zone Controllerを評価するには、オプションで、別のネットワーク共有ではなく、Storage Zone Controllerのハードドライブ上のフォルダー (C:\ZoneFiles など) にデータを保存できます。他のすべてのシステム要件は、評価展開に適用されます。

標準ストレージゾーンの概念実証導入

標準ゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、コントローラがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFile クラウド、およびStorage Zone Controller 間のトラフィックフローを示しています。

標準ゾーンの概念実証の導入

このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Storage Zone Controller は、アクセスを制御するためにファイアウォールの内側に常駐します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート443を開き、Storage Zone ControllerのIISサービスにパブリックSSL証明書をインストールする必要があります。

Storage Zone Controllerの高可用性デプロイ

可用性の高いShareFileを本番環境に導入する場合、推奨されるベストプラクティスは、少なくとも2つのストレージゾーンControllerをインストールすることです。最初のコントローラをインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、それらは同じゾーンに参加します。同じゾーンに属するStorage Zone Controllerは、同じファイル共有をストレージに使用する必要があります。

高可用性展開では、セカンダリサーバーは独立しており、完全に機能するStorage Zone Controllerです。ストレージゾーン制御サブシステムは、操作用のStorage Zone Controllerをランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。また、サーバをプライマリからセカンダリに降格することもできます。

標準ゾーンの高可用性の導入

標準ストレージゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからのインバウンド接続を受け入れる必要があります。そのためには、各コントローラーがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。複数の外部パブリックアドレスを構成でき、それぞれが異なるストレージゾーンControllerに関連付けられます。次の図は、標準ストレージゾーンの高可用性展開を示しています。

標準ストレージゾーンの高可用性の導入

上記の概念実証の展開シナリオと同様に、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controller はファイアウォールの内側に配置され、アクセスを制御します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート443を開き、すべてのStorage Zone ControllerのIISサービスにパブリックSSL証明書をインストールする必要があります。

共有ストレージ構成

同じストレージゾーンに属するStorage Zone Controllerは、同じファイル共有をストレージに使用する必要があります。Storage Zone Controllerは IIS アカウントプールユーザーを使用して共有にアクセスします。既定では、アプリケーションプールは、低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。Storage Zone Controller は、デフォルトでネットワークサービスアカウントを使用します。

ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。名前付きユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して IIS アプリケーションプールと ShareFile サービスを実行します。

ネットワーク接続

ネットワーク接続は、ゾーンのタイプ(ShareFileマネージドまたはスタンダード)によって異なります。

ShareFile マネージドゾーン

次の表では、ユーザーがShareFileにログオンし、ShareFile管理ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続について説明します。すべての接続は HTTPS を使用します。

手順 接続元 接続先
1. ユーザーログオン要求 クライアント company.sharefile.com:443
2. (オプション) SAML IdP ログオンへのリダイレクト クライアント SAML IDプロバイダー URL
3. ファイル/フォルダーの列挙とダウンロード要求 クライアント company.sharefile.com:443
4. ファイルダウンロード クライアント storage-location.sharefile.com:443

標準ストレージゾーン

次の表に、ユーザーが ShareFile にログオンし、標準記憶域ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。

手順 接続元 接続先
1. ユーザーログオン要求 クライアント company.sharefile.com
2. (オプション) ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします クライアント SAML IDプロバイダー URL
3. ファイル/フォルダーの列挙とダウンロード要求 クライアント company.sharefile.com
4. ファイルダウンロード認証 company.sharefile.com szc.company.com
5. ファイルダウンロード クライアント szc.company.com

Storage Zone Controller DMZ プロキシデプロイ

非武装地帯(DMZ)は、内部ネットワークのセキュリティを強化します。NetScaler ADC VPXなどのDMZプロキシは、次の目的で使用されるオプションのコンポーネントです。

  • Storage Zone ControllerへのすべてのリクエストがShareFileクラウドから送信され、承認されたトラフィックのみがStorage Zone Controllerに到達するようにします。

    ストレージゾーンControllerには、すべての受信メッセージの有効なURI署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前に署名を検証します。

  • リアルタイムのステータスインジケーターを使用して、Storage Zone Controllerへのリクエストを負荷分散します。

    すべてのStorage Zone Controllerが同じファイルにアクセスできる場合、操作をStorage Zone Controllerに負荷分散できます。

  • Storage Zone Controllerから SSL をオフロードします。

  • DMZを通過する前に、SharePointまたはネットワーク・ドライブ上のファイルに対する要求が認証されていることを確認します。

Citrix ADC とStorage Zone Controllerの導入

標準ストレージゾーンの導入

標準ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからのインバウンド接続を受け入れる必要があります。そのためには、NetScaler ADCで公開可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。

Storage Zone Controller (標準ゾーン付き)

このシナリオでは、インターネットとセキュリティで保護されたネットワークの間に 2 つのファイアウォールがあります。Storage Zone Controllerは内部ネットワークにあります。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールのポート 443 を開き、DMZ プロキシサーバーの IIS サービスに (ユーザーがユーザー接続を終了する場合) パブリック SSL 証明書をインストールする必要があります。

標準ゾーンのネットワーク接続

次の図と表は、ユーザーがShareFileにログオンし、NetScaler ADC 背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。

認証トラフィックは、信頼されたネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ 内で処理されます。ファイルアクティビティには、DMZのCitrix ADCを介してアクセスします。Citrix ADCは、SSLを終了し、ユーザー要求を認証してから、認証されたユーザーに代わって信頼できるネットワーク内のStorage Zone Controllerにアクセスします。ShareFileのNetScaler ADC外部アドレスは、インターネットFQDN szc.company.company.comを使用してアクセスします。

オンプレミスのストレージゾーンのログオン接続とダウンロード接続

手順 接続元 接続先 プロトコル
1. ユーザーログオン要求 クライアント company.sharefile.com HTTPS
2. (オプション) SAML IdP ログオンへのリダイレクト クライアント SAML IDプロバイダー URL HTTPS
2a. ADFS ログオン ADFS プロキシ ADFSサーバ HTTPS
3. ファイル/フォルダーの列挙とダウンロード要求 クライアント company.sharefile.com HTTPS
4. ファイルダウンロード認証 ShareFile szc.company.com (外部アドレス) HTTP (S)
4a. ファイルダウンロード認証 NetScaler ADC IP(NSIP) Storage Zone Controller HTTPS
5. ファイルダウンロード クライアント szc.company.com (外部アドレス) HTTPS
5a. ファイルダウンロード NetScaler ADC IP(NSIP) Storage Zone Controller HTTP (S)

次の図と表は、StorageZone コネクタのネットワーク接続を示すために、前のシナリオを拡張したものです。このシナリオには、DMZでNetScalerを使用してSSLを終了し、コネクタアクセスのユーザー認証を実行することが含まれます。

ストレージゾーンコネクタのログオンおよびダウンロード接続

手順 接続元 接続先 プロトコル
1. ユーザーログオン要求 クライアント company.sharefile.com HTTPS
2. (オプション) SAML IdP ログオンへのリダイレクト クライアント SAML IDプロバイダー URL HTTPS
2a. ADFS ログオン ADFS プロキシ ADFSサーバ HTTPS
3. トップレベルのコネクタ列挙 クライアント company.sharefile.com HTTPS
4. StorageZone Controller サーバーへのユーザーログオン クライアント szc.company.com (外部アドレス) HTTPS
5. ユーザー認証 NetScaler ADC IP(NSIP) AD ドメインコントローラー LDAP
6. ファイル/フォルダーの列挙とアップロード/ダウンロード要求 NetScaler ADC IP(NSIP) Storage Zone Controller HTTP (S)
7. ネットワーク共有の列挙とアップロード/ダウンロード Storage Zone Controller ファイルサーバ CIFSまたはDFS
7a. SharePoint の列挙とアップロード/ダウンロード Storage Zone Controller SharePoint HTTP (S)

次の図は、ユーザーが認証したかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。

サポートされている認証タイプの組み合わせ

アーキテクチャの概要