アーキテクチャの概要
このセクションでは、概念実証評価や高可用性実稼働環境のためのストレージゾーンControllerのデプロイの概要を説明します。高可用性展開は、NetScaler ADCなどのDMZプロキシの有無の両方で表示されます。
複数のストレージゾーンControllerを使用するデプロイを評価するには、高可用性デプロイのガイドラインに従ってください。
各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFileは安全なShareFileマネージドクラウドにデータを保存します。プライベートデータストレージ (オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム) を使用するには、ShareFile Data 用のストレージゾーンを構成します。
ネットワークファイル共有または SharePoint ドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。
Storage Zone Controllerの概念実証導入
注意:
概念実証の導入は評価目的のみを目的としており、重要なデータストレージには使用しないでください。
概念実証デプロイメントでは、単一のStorage Zone Controllerを使用します。このセクションで説明した展開例では、ShareFile Data のストレージゾーンとストレージゾーンコネクタの両方が有効になっています。
単一のStorage Zone Controllerを評価するには、オプションで、別のネットワーク共有ではなく、Storage Zone Controllerのハードドライブ上のフォルダー (C:\ZoneFiles など) にデータを保存できます。他のすべてのシステム要件は、評価展開に適用されます。
標準ストレージゾーンの概念実証導入
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、コントローラがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFile クラウド、およびStorage Zone Controller 間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Storage Zone Controller は、アクセスを制御するためにファイアウォールの内側に常駐します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート443を開き、Storage Zone ControllerのIISサービスにパブリックSSL証明書をインストールする必要があります。
Storage Zone Controllerの高可用性デプロイ
可用性の高いShareFileを本番環境に導入する場合、推奨されるベストプラクティスは、少なくとも2つのストレージゾーンControllerをインストールすることです。最初のコントローラをインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、それらは同じゾーンに参加します。同じゾーンに属するStorage Zone Controllerは、同じファイル共有をストレージに使用する必要があります。
高可用性展開では、セカンダリサーバーは独立しており、完全に機能するStorage Zone Controllerです。ストレージゾーン制御サブシステムは、操作用のStorage Zone Controllerをランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。また、サーバをプライマリからセカンダリに降格することもできます。
標準ゾーンの高可用性の導入
標準ストレージゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからのインバウンド接続を受け入れる必要があります。そのためには、各コントローラーがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。複数の外部パブリックアドレスを構成でき、それぞれが異なるストレージゾーンControllerに関連付けられます。次の図は、標準ストレージゾーンの高可用性展開を示しています。
上記の概念実証の展開シナリオと同様に、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controller はファイアウォールの内側に配置され、アクセスを制御します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート443を開き、すべてのStorage Zone ControllerのIISサービスにパブリックSSL証明書をインストールする必要があります。
共有ストレージ構成
同じストレージゾーンに属するStorage Zone Controllerは、同じファイル共有をストレージに使用する必要があります。Storage Zone Controllerは IIS アカウントプールユーザーを使用して共有にアクセスします。既定では、アプリケーションプールは、低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。Storage Zone Controller は、デフォルトでネットワークサービスアカウントを使用します。
ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。名前付きユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して IIS アプリケーションプールと ShareFile サービスを実行します。
ネットワーク接続
ネットワーク接続は、ゾーンのタイプ(ShareFileマネージドまたはスタンダード)によって異なります。
ShareFile マネージドゾーン
次の表では、ユーザーがShareFileにログオンし、ShareFile管理ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続について説明します。すべての接続は HTTPS を使用します。
| 手順 | 接続元 | 接続先 |
|---|---|---|
1. ユーザーログオン要求 |
クライアント | company.sharefile.com:443 |
2. (オプション) SAML IdP ログオンへのリダイレクト |
クライアント | SAML IDプロバイダー URL |
3. ファイル/フォルダーの列挙とダウンロード要求 |
クライアント | company.sharefile.com:443 |
4. ファイルダウンロード |
クライアント | storage-location.sharefile.com:443 |
標準ストレージゾーン
次の表に、ユーザーが ShareFile にログオンし、標準記憶域ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。
| 手順 | 接続元 | 接続先 |
|---|---|---|
1. ユーザーログオン要求 |
クライアント | company.sharefile.com |
2. (オプション) ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします |
クライアント | SAML IDプロバイダー URL |
3. ファイル/フォルダーの列挙とダウンロード要求 |
クライアント | company.sharefile.com |
4. ファイルダウンロード認証 |
company.sharefile.com |
szc.company.com |
5. ファイルダウンロード |
クライアント | szc.company.com |
Storage Zone Controller DMZ プロキシデプロイ
非武装地帯(DMZ)は、内部ネットワークのセキュリティを強化します。NetScaler ADC VPXなどのDMZプロキシは、次の目的で使用されるオプションのコンポーネントです。
-
Storage Zone ControllerへのすべてのリクエストがShareFileクラウドから送信され、承認されたトラフィックのみがStorage Zone Controllerに到達するようにします。
ストレージゾーンControllerには、すべての受信メッセージの有効なURI署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前に署名を検証します。
-
リアルタイムのステータスインジケーターを使用して、Storage Zone Controllerへのリクエストを負荷分散します。
すべてのStorage Zone Controllerが同じファイルにアクセスできる場合、操作をStorage Zone Controllerに負荷分散できます。
-
Storage Zone Controllerから SSL をオフロードします。
-
DMZを通過する前に、SharePointまたはネットワーク・ドライブ上のファイルに対する要求が認証されていることを確認します。
Citrix ADC とStorage Zone Controllerの導入
標準ストレージゾーンの導入
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからのインバウンド接続を受け入れる必要があります。そのためには、NetScaler ADCで公開可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。
このシナリオでは、インターネットとセキュリティで保護されたネットワークの間に 2 つのファイアウォールがあります。Storage Zone Controllerは内部ネットワークにあります。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールのポート 443 を開き、DMZ プロキシサーバーの IIS サービスに (ユーザーがユーザー接続を終了する場合) パブリック SSL 証明書をインストールする必要があります。
標準ゾーンのネットワーク接続
次の図と表は、ユーザーがShareFileにログオンし、NetScaler ADC 背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。
認証トラフィックは、信頼されたネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ 内で処理されます。ファイルアクティビティには、DMZのCitrix ADCを介してアクセスします。Citrix ADCは、SSLを終了し、ユーザー要求を認証してから、認証されたユーザーに代わって信頼できるネットワーク内のStorage Zone Controllerにアクセスします。ShareFileのNetScaler ADC外部アドレスは、インターネットFQDN szc.company.company.comを使用してアクセスします。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
1. ユーザーログオン要求 |
クライアント | company.sharefile.com |
HTTPS |
2. (オプション) SAML IdP ログオンへのリダイレクト |
クライアント | SAML IDプロバイダー URL | HTTPS |
2a. ADFS ログオン |
ADFS プロキシ | ADFSサーバ | HTTPS |
3. ファイル/フォルダーの列挙とダウンロード要求 |
クライアント | company.sharefile.com |
HTTPS |
4. ファイルダウンロード認証 |
ShareFile |
szc.company.com (外部アドレス) |
HTTP (S) |
4a. ファイルダウンロード認証 |
NetScaler ADC IP(NSIP) | Storage Zone Controller | HTTPS |
5. ファイルダウンロード |
クライアント |
szc.company.com (外部アドレス) |
HTTPS |
5a. ファイルダウンロード |
NetScaler ADC IP(NSIP) | Storage Zone Controller | HTTP (S) |
次の図と表は、StorageZone コネクタのネットワーク接続を示すために、前のシナリオを拡張したものです。このシナリオには、DMZでNetScalerを使用してSSLを終了し、コネクタアクセスのユーザー認証を実行することが含まれます。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
1. ユーザーログオン要求 |
クライアント | company.sharefile.com |
HTTPS |
2. (オプション) SAML IdP ログオンへのリダイレクト |
クライアント | SAML IDプロバイダー URL | HTTPS |
2a. ADFS ログオン |
ADFS プロキシ | ADFSサーバ | HTTPS |
3. トップレベルのコネクタ列挙 |
クライアント | company.sharefile.com |
HTTPS |
4. StorageZone Controller サーバーへのユーザーログオン |
クライアント |
szc.company.com (外部アドレス) |
HTTPS |
5. ユーザー認証 |
NetScaler ADC IP(NSIP) | AD ドメインコントローラー | LDAP |
6. ファイル/フォルダーの列挙とアップロード/ダウンロード要求 |
NetScaler ADC IP(NSIP) | Storage Zone Controller | HTTP (S) |
7. ネットワーク共有の列挙とアップロード/ダウンロード |
Storage Zone Controller | ファイルサーバ | CIFSまたはDFS |
7a. SharePoint の列挙とアップロード/ダウンロード |
Storage Zone Controller | SharePoint | HTTP (S) |
次の図は、ユーザーが認証したかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。
