Storage Zone Controller用のCitrix ADCの構成

NetScalerバージョン10.1ビルド120.1316.e以降には、ストレージゾーンコントローラー環境に関する基本情報の入力を求めるウィザードが含まれています。 次に、次のような構成が生成されます。

• ストレージゾーンコントローラー間でのトラフィックの負荷分散
• ストレージ・ゾーン・コネクタのユーザー認証を提供
• ShareFileのアップロードとダウンロードのURI署名を検証します
• Citrix ADCアプライアンスでSSL接続を終了します

この図は、構成によって作成されたこれらのCitrix ADCコンポーネントを示しています。

• Citrix ADCコンテンツスイッチング仮想サーバー— ShareFileおよびストレージゾーンコネクタからのデータに対するユーザー要求を適切なCitrix ADC負荷分散仮想サーバーに送信します。
• Citrix ADC負荷分散仮想サーバー — ストレージゾーンコントローラのトラフィックをロードバランシングし、以下も処理します。

  • プライベートデータストレージからのデータに対する要求の場合、負荷分散仮想サーバーはハッシュ検証を実行して、受信要求に有効な URI 署名が存在することを確認します。

  • ストレージゾーンコネクタからのデータの要求の場合、負荷分散仮想サーバーはユーザー認証を実行できます。 Citrix ADCでユーザー要求を停止し、ユーザーを認証してから、ストレージゾーンコントローラーへのユーザーのシングルサインオンを実行します。

  注意:

  Citrix ADCを介したストレージゾーンコネクタへの認証はオプションです。 既知の問題により、Citrix ADCで認証が有効になっている場合、WebAppのストレージゾーンコネクタはChrome、Chromium、Safari、およびEdgeブラウザで機能しません。 他のブラウザやデスクトップ/モバイルクライアントと互換性があります。

ストレージゾーンController 4.0以降、管理者はストレージゾーンController へのインバウンド接続をTLS v1.2に制限できます。 TLS v1.2 より前のプロトコルがストレージゾーンコントローラへのインバウンドトラフィックで無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートしている必要があります。 追加情報と設定手順については、ここをクリックしてください。

注意:

10.1ビルド120.1316.eより前のNetScalerバージョンを設定するには、以下を参照してください。 Citrix ADCを手動で構成する.

Citrix ADC for ShareFileウィザードのセットアップでは、Citrix Endpoint ManagementをShareFileのSAMLアイデンティティプロバイダとして使用するために必要な構成は処理されません。 詳細については、 ここをクリック.

前提条件

• 動作中のCitrix ADC構成
• セキュリティ証明書:Citrix ADCでまだ使用できない場合は、ウィザードを使用してコンテンツスイッチング仮想サーバーにインストールできます。
• Active Directoryの設定に関する情報(Citrix ADC for ShareFileウィザードは、Citrix NetScaler Enterprise Editionライセンスで完了する必要があります):
  • Active Directory サーバーの IP アドレスとポート
  • Active Directory ドメイン名
  • ユーザーが格納されるLDAPベースDN
  • Active Directory と通信するアクセス許可を持つ管理者アカウントのアカウント名とパスワード

Citrix ADCをストレージゾーンコントローラー用に構成する

次の手順では、Citrix ADC for ShareFileウィザードの使用方法について説明します。

1. Citrix ADCアプライアンスにログオンし、[ 構成 ]タブで[ トラフィック管理]に移動します。

2. [ShareFile]で、[ShareFile用のCitrix ADCのセットアップ]をクリックします。

   ウィザードには、次のようにしてアクセスすることもできます。「Mobility」で、 Endpoint Management、ShareFile、Citrix Gatewayの構成.

3. ウィザードで要求された情報を入力します。

コネクタへのWebアクセス用にCitrix ADCを構成する

ストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFileウィザードの完了後に、追加のCitrix ADC構成を実行する必要があります。

• 3 番目の Citrix ADC 負荷分散仮想サーバーを作成して構成し、信頼された ShareFile ドメインにログオンしたときにのみ ShareFile クライアントが資格情報を送信するようにします。

  次の手順で説明するように、HTTP OPTIONS verb のクライアントからの匿名アクセスを許可するように、追加の仮想サーバーを構成します。 OPTIONS リクエストは、認証されず、署名を検証するための HTTPS コールアウトも使用せずに、ストレージゾーンコントローラーに渡されます。 CORS プレフライト チェックでは、資格情報を送信する前にドメインの信頼が検証されます。

  設定を実行するために CORS の理解は必要ありません。 ただし、CORS の詳細については、以下を参照してください。 http://enable-cors.org/.

• ストレージゾーンコネクタへの Web アクセスをサポートするには、/cifs と /sp へのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) を追加します。

Citrix ADC for ShareFileウィザードを完了した後、Citrix ADCで次の手順を実行します。

1. 3 番目の負荷分散仮想サーバーを作成します。

   1. Traffic Management > Load Balancing > Virtual Serversに移動します。

   2. ［追加］ をクリックします。

   3. 次の値を指定します。

      オプション	値
      名前	ポリシー名 (SF_ZONE_OPTIONS など)
      プロトコル	SSL
      IP アドレスの種類	アドレス指定不可

   4. クリックして仮想サーバーを作成します。

   5. ウィザードによって作成された負荷分散仮想サーバーと同じサービスをバインドするには: [負荷分散仮想サーバー] 画面で、[サービス] の反対側で > をクリックし、[保存] をクリックします。

   6. 仮想サーバーに証明書を追加します。

2. 追加した仮想サーバーのポリシーを作成します。

   1. Traffic Management > Content Switching > Policiesに移動します。

   2. 詳細ペインで、[追加] をクリックし、[名前]、[ターゲット LB 仮想サーバー]、および [式] の値を指定します。 クリック エクスプレッションエディター 次に、この式を作成します。 選ぶ HTTPの. 選ぶ 必要条件. 選ぶ 方式. [EQ(String)] を選択し、「OPTIONS」と入力します。 式は次のように読む必要があります。 HTTP です。必要条件方式。EQ( "オプション")

   3. ［完了］ をクリックします。

   4. ［Create］ をクリックします。

3. 作成したポリシーを新しい負荷分散仮想サーバーにバインドします。

   1. [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。

   2. 一覧で、仮想サーバーをクリックし、 編集.

   3. 「コンテンツスイッチングポリシーバインディング」のセクションに移動し、「2 コンテンツスイッチングポリシー」をクリックします。

   4. ［Add Binding］ をクリックします。

   5. 新しいコンテンツポリシーを選択し、ターゲット負荷分散仮想サーバーを選択します。

   6. ［Bind］ をクリックします。

   7. クリック バインディングの編集 をクリックし、 優先権. 新しいポリシーの優先度を変更して、3 つのポリシーの中で最も低い番号になるようにします。

      最も低い値を持つポリシーが最も高い優先度を持つため、最初に処理されます。

4. ストレージゾーンコネクタ(_SF_CIF_SP_CSPOL)へのトラフィックに使用されるポリシーを更新します。

   1. Traffic Management > Content Switching > Policiesに移動します。

   2. _SF_CIF_SP_CSPOLポリシーを選択します。

   3. ポリシー式に以下を追加します。

        || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      完全なポリシー表現は、次のとおりにする必要があります。

        HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

5. ShareFileデータ (_SF_SZ_CSPOL) のストレージゾーンへのトラフィックに使用されるポリシーを更新します。

   1. Traffic Management > Content Switching > Policiesに移動します。

   2. を選択します。 _SF_SZ_CSPOL 政策。

   3. ポリシー式に以下を追加します。

        && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      完全なポリシー表現は、次のとおりにする必要があります。

        HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

Citrix ADCを表示専用共有用に構成する

表示専用共有をサポートするには、ユーザーが Microsoft Office Web Apps サーバー (OWA) にアクセスできる必要があります。 OWAサーバーが独自のアドレスで外部からアクセス可能な場合は、ストレージゾーンコントローラーに追加のCitrix ADC構成は必要ありません。

Citrix ADCコンテンツスイッチングポリシーを使用してストレージゾーンコントローラーとOffice Web Appサーバーを1つの外部アドレスに結合する場合は、Citrix ADC for ShareFileウィザードの完了後に追加のCitrix ADC構成を実行する必要があります。 Citrix ADCの構成は、トラフィックが外部からアクセス可能なOWAサーバーに適切にルーティングされるようにするために必要です。

次のCitrix ADCルールを設定すると、管理者はストレージゾーンコントローラーゾーンの既存の外部アドレスを再利用できるため、OWA用に追加の外部アドレスを作成する必要がなくなります。

追加のCitrix ADC負荷分散仮想サーバーを作成および構成するには:

1. 追加のロード・バランシング・サービスを作成します。
   • Traffic Management > Load Balancing > Servicesに移動します。
   • ［追加］ をクリックします。
   • OWAサーバーに対応するサービスを作成するために必要な情報を入力します。 ［OK］をクリックします。
2. 追加の負荷分散仮想サーバーを作成します。
   • Traffic Management > Load Balancing > Virtual Serversに移動します。
   • ［追加］ をクリックします。

   • 次の値を指定します。

     オプション	値
     名前	ポリシー名 (SF_OWA_vServer など)
     プロトコル	SSL
     IP アドレスの種類	アドレス指定不可

   • クリックして仮想サーバーを作成します。
   • 前の手順で作成した OWA サービスに仮想サーバーをバインドするには、 負荷分散仮想サービスバインディング > サービスを選択. 前の手順で作成したサービスの横にあるチェックボックスをクリックします。
   • ［Select］ をクリックします。
   • ［Bind］ をクリックします。
3. トラフィックを OWA サーバーにルーティングするために使用される新しいポリシーを作成します。
   • Traffic Management > Content Switching > Policiesに移動します。
   • ［Add］ を選択します。
   • ポリシーに名前を付けます。

   • 次の式を追加します。 - HTTPです。必要条件URL です。CONTAINS(“/ホスティング/ディスカバリー”)

     HTTP です。必要条件URL です。次を含む (“/x/”)

     HTTP です。必要条件URL です。次を含む (“/wv/”)

           The full policy expression should be as follows:
           
         HTTP.REQ.URL.CONTAINS("/hosting/discovery")
         \|| HTTP.REQ.URL.CONTAINS\(\"/x/\")
         \|| HTTP.REQ.URL.CONTAINS\(\"/wv/\")
         \|| HTTP.REQ.URL.CONTAINS\(\"/p/\")
     

4. ロードバランシング仮想内の新しいポリシーの優先度を更新します
   • [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
   • 負荷分散仮想サーバーをクリックし、[ コンテンツスイッチングポリシー] を選択します。

   • ポリシーの優先度を変更して、(例) “_SF_OWA” ポリシーの優先度が 3 番目になるようにします。

     優先度	ポリシー名
     90	SF_ZK_OPTIONS
     95	_SF_CIF_SP_SPOL
     99	_SF_OWA
     100	_SF_SZ_CSPOL

• ［閉じる］ をクリックします。 「完了」をクリックします

ストレージゾーンコントローラーサービスのモニターを作成する

デフォルトでは、Citrix ADCはストレージゾーンコントローラーサーバーにpingを送信して、オンラインかどうかを判断します。 ただし、コントローラーがオンラインであっても、ShareFile Web サイトにハートビートメッセージを送信できない場合があります。 その場合、Citrix ADCはShareFileと通信していないにもかかわらず、ストレージゾーンコントローラーにトラフィックを送信します。

ストレージゾーンコントローラーからShareFileへの送信接続を確認するには、heartbeat.aspxをチェックするモニターを作成し、各ストレージゾーンコントローラーのCitrix ADCサービスにバインドできます。

      add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "***ONLINE***” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_Svcは、ストレージゾーンコントローラーに対応するCitrix ADCサービスです。 そのサービス名は、Citrix ADC for ShareFileウィザードによって自動的に作成されます。 サービス名には、コントローラの IP アドレス (SF_SVC_ip-address など) が含まれます。

-secure YES は、サービスがポート 443 でリッスンしている場合に必要です。

Citrix ADC構成の確認

ウィザードが完了したら、次の場所に移動します トラフィック管理 > ロードバランシング > 仮想サーバー ウィザードによって作成された負荷分散仮想サーバーのステータスを表示します。

Citrix ADCを介したShareFileリクエストのスループットの表示

スループット統計は、 ダッシュボード メニュー。