体系结构概述
本节概述了为概念验证评估或高可用性生产环境部署 StorageZones Controller 的情况。高可用性部署将显示带有和不带 DMZ 代理(如 Citrix ADC)的情况。
要评估具有多个 StorageZones Controller 的部署,请遵循高可用性部署的准则。
每个部署方案都需要一个 ShareFile Enterprise 帐户。默认情况下,ShareFile 将数据存储在安全的 ShareFile 管理云中。要使用专用数据存储(本地网络共享或受支持的第三方存储系统),请为 ShareFile Data 配置存储区域。
要从网络文件共享或 SharePoint 文档库安全地向用户传送数据,请配置存储区域连接器。
StorageZones Controller 概念验证部署
小心:
概念验证部署仅用于评估目的,不应用于关键数据存储。
概念验证部署使用单个 StorageZones Controller。本节中讨论的示例部署启用了 ShareFile 数据的存储区域和存储区域连接器。
要评估单个 StorageZones Controller,您可以选择将数据存储在 StorageZones Controller 硬盘驱动器上的文件夹(如 C:\ZoneFiles)中,而不是单独的网络共享上。所有其他系统要求都适用于评估部署。
标准存储区域的概念验证部署
为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。要做到这一点,Controller 必须具有可公开访问的互联网地址和 SSL,以便与 ShareFile 云进行通信。下图显示了用户设备、ShareFile 云和 StorageZones Controller 之间的流量。
在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。
StorageZones Controller 高可用性部署
对于具有高可用性的 ShareFile 生产部署,建议的最佳做法是至少安装两个 StorageZones Controller。安装第一个 Controller 时,将创建一个存储区域。当您安装其他控制器时,您将它们加入到同一区域。属于同一区域的 StorageZones Controller 必须为存储使用相同的文件共享。
在高可用性部署中,辅助服务器是独立的、功能齐全的 StorageZones Controller。存储区域控制子系统随机选择一个 StorageZones Controller 进行操作。如果主服务器脱机,您可以轻松地将从属服务器升级为主服务器。您还可以将服务器从主服务器降级为辅助服务器。
标准区域的高可用性部署
为标准存储区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。要做到这一点,每个 Controller 都必须具有可公开访问的互联网地址和 SSL,以便与 ShareFile 云进行通信。您可以配置多个外部公有地址,每个地址都与不同的存储区域控制器相关联。下图显示了标准存储区域的高可用性部署。
与上述概念验证部署方案类似,Internet 和安全网络之间有一个防火墙。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议建立此连接。要支持此连接,必须在防火墙上打开端口 443,并在所有 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。
共享存储配置
属于同一存储区域的 StorageZones Controller 必须为存储使用相同的文件共享。StorageZones Controller 使用 IIS 帐户池用户访问共享。默认情况下,应用程序池在具有低级别用户权限的网络服务用户帐户下运行。默认情况下, StorageZones Controller 使用网络服务帐户。
您可以使用命名用户帐户而不是网络服务帐户来访问共享。要使用指定用户帐户,请在存储区域控制台“配置”页中指定用户名和密码。使用网络服务帐户运行 IIS 应用程序池和 Citrix ShareFile 服务。
网络连接
网络连接因区域类型而异 — Citrix 管理或标准。
Citrix 管理的区域
下表介绍了用户登录到 ShareFile,然后从 Citrix 管理的区域下载文档时发生的网络连接。所有连接都使用 HTTPS。
步骤 | 源 | 目标位置 |
---|---|---|
|
客户端 | company.sharefile.com:443 |
|
客户端 | SAML 身份提供程序 URL |
|
客户端 | company.sharefile.com:443 |
|
客户端 | storage-location.sharefile.com:443 |
标准存储区
下表介绍了用户登录到 ShareFile,然后从标准存储区域下载文档时发生的网络连接。所有连接都使用 HTTPS。
步骤 | 源 | 目标位置 |
---|---|---|
|
客户端 | company.sharefile.com |
|
客户端 | SAML 身份提供程序 URL |
|
客户端 | company.sharefile.com |
|
company.sharefile.com |
szc.company.com |
|
客户端 | szc.company.com |
StorageZones Controller DMZ 代理部署
非军事区域 (DMZ) 为内部网络提供了额外的安全层。DMZ 代理(如 Citrix ADC VPX)是一个可选组件,用于:
-
确保对 StorageZones Controller 的所有请求都源自 ShareFile 云,以便只有批准的流量到达 StorageZones Controller.
StorageZones Controller 具有验证操作,用于检查所有传入消息的有效 URI 签名。DMZ 组件负责在转发邮件之前验证签名。
-
使用实时状态指示器向 StorageZones Controller 发出负载平衡请求。
如果操作都可以访问相同的文件,则可以对 StorageZones Controller 进行负载平衡。
-
从 StorageZones Controller 卸载 SSL。
-
确保在通过 DMZ 之前对 SharePoint 或网络驱动器上的文件请求进行身份验证。
Citrix ADC 和 StorageZones Controller 部署
标准存储区域的部署
为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,Citrix ADC 必须具有可公开访问的互联网地址和 SSL,以便与 ShareFile 云进行通信。
在这种情况下,两个防火墙位于互联网和安全网络之间。StorageZones Controller 驻留在内部网络中。与 ShareFile 的用户连接必须遍历第一个防火墙,并使用端口 443 上的 SSL 协议建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 DMZ 代理服务器的 IIS 服务上安装公用 SSL 证书(如果它们终止用户连接)。
标准区域的网络连接
下图和表格描述了当用户登录到 ShareFile,然后从部署在 Citrix ADC 之后的标准区域下载文档时发生的网络连接。在这种情况下,帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。
身份验证流量由 ADFS 代理服务器在 DMZ 中处理,该服务器与受信任网络上的 ADFS 服务器进行通信。文件活动是通过 DMZ 中的 Citrix ADC 访问的,该 ADC 将终止 SSL,对用户请求进行身份验证,然后代表身份验证的用户访问受信任网络中的 StorageZones Controller。使用互联网 FQDN 公司网站访问 ShareFile 的 Citrix ADC 外部地址。
步骤 | 源 | 目标位置 | 协议 |
---|---|---|---|
|
客户端 | company.sharefile.com |
HTTPS |
|
客户端 | SAML 身份提供程序 URL | HTTPS |
2a. ADFS 登录 | ADFS 代理 | ADFS 服务器 | HTTPS |
|
客户端 | company.sharefile.com |
HTTPS |
|
ShareFile |
szc.company.com (外部地址) |
HTTP |
4a. 文件下载授权 | Citrix ADC IP (NSIP) | StorageZones Controller | HTTPS |
|
客户端 |
szc.company.com (外部地址) |
HTTPS |
5a. 文件下载 | Citrix ADC IP (NSIP) | StorageZones Controller | HTTP |
下图和表格扩展了上一场景,显示了 StorageZone 连接器的网络连接。此方案包括在 DMZ 中使用 NetScaler 终止 SSL 并对连接器访问执行用户身份验证。
步骤 | 源 | 目标位置 | 协议 |
---|---|---|---|
|
客户端 | company.sharefile.com |
HTTPS |
|
客户端 | SAML 身份提供程序 URL | HTTPS |
2a. ADFS 登录 | ADFS 代理 | ADFS 服务器 | HTTPS |
|
客户端 | company.sharefile.com |
HTTPS |
|
客户端 |
szc.company.com (外部地址) |
HTTPS |
|
Citrix ADC IP (NSIP) | AD 域 Controller | LDAP |
|
Citrix ADC IP (NSIP) | StorageZones Controller | HTTP |
|
存储区域控制器 | 文件服务器 | CIFS 或 DFS |
7a. SharePoint 枚举和上载/下载 | 存储区域控制器 | SharePoint | HTTP |
下图汇总了基于用户是否进行身份验证的受支持的身份验证类型组合。