Architekturübersicht

Dieser Abschnitt bietet einen Überblick über die Bereitstellung von Storage Zones Controller für Proof-of-Concept-Auswertungen oder Hochverfügbarkeitsumgebungen. Hochverfügbarkeitsbereitstellung wird sowohl mit als auch ohne DMZ-Proxy wie Citrix ADC angezeigt.

Um eine Bereitstellung mit Controllern für mehrere Speicherzonen zu evaluieren, befolgen Sie die Richtlinien für eine Bereitstellung mit hoher Verfügbarkeit.

Jedes der Bereitstellungsszenarien erfordert ein ShareFile Enterprise Konto. Standardmäßig speichert ShareFile Daten in der sicheren Sharefile-verwalteten Cloud. Um den privaten Datenspeicher zu verwenden, entweder eine lokale Netzwerkfreigabe oder ein unterstütztes Speichersystem von Drittanbietern, konfigurieren Sie Speicherzonen für ShareFile Daten.

Um Daten aus Netzwerkdateifreigaben oder SharePoint-Dokumentbibliotheken sicher an Benutzer bereitzustellen, konfigurieren Sie StorageZone Connector.

Storage Zones Controller Nachweis der Konzeptbereitstellung

Achtung:

Eine Proof-of-Concept-Bereitstellung ist nur für Evaluierungszwecke vorgesehen und sollte nicht für die Speicherung kritischer Daten verwendet werden.

Bei einer Proof-of-Concept-Bereitstellung wird ein einzelner Storage Zones Controller verwendet. Für die in diesem Abschnitt erläuterte Beispielbereitstellung sind sowohl Speicherzonen für ShareFile Data als auch StorageZone Connector aktiviert.

Um einen einzelnen Storage Zones Controller auszuwerten, können Sie optional Daten in einem Ordner (z. B. C:\ZoneFiles) auf der Festplatte des Storage Zones Controllers anstatt auf einer separaten Netzwerkfreigabe speichern. Alle anderen Systemanforderungen gelten für eine Evaluierungsbereitstellung.

Proof-of-Concept-Bereitstellung für Standardspeicherzonen

Ein für Standardzonen konfigurierter StorageZones Controller muss eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss der Controller eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud aktiviert haben. Die folgende Abbildung zeigt den Datenverkehr zwischen Benutzergeräten, der ShareFile Cloud und dem StorageZones Controller.

Proof-of-Concept-Bereitstellung für Standard-Zonen

In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Der StorageZones Controller befindet sich innerhalb der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst des StorageZones Controller installieren.

Bereitstellung von Storage Zones Controller mit hoher Verfügbarkeit

Für eine Produktionsbereitstellung von ShareFile mit hoher Verfügbarkeit empfiehlt es sich, mindestens zwei StorageZones Controller zu installieren. Wenn Sie den ersten Controller installieren, erstellen Sie eine Speicherzone. Wenn Sie die anderen Controller installieren, verbinden Sie sie mit derselben Zone. StorageZones Controller, die zur gleichen Zone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden.

Bei einer Hochverfügbarkeitsbereitstellung handelt es sich bei den sekundären Servern um unabhängige, voll funktionsfähige StorageZones Controller. Das Teilsystem Storage Zones Control wählt zufällig einen Storage Zones Controller für den Betrieb aus. Wenn der primäre Server offline geschaltet wird, können Sie einen sekundären Server einfach auf den primären Server heraufstufen. Sie können einen Server auch von einem primären auf einen sekundären Server herabstufen.

Hochverfügbarkeitsbereitstellung für Standardzonen

StorageZones Controller, die für Standardspeicherzonen konfiguriert sind, müssen eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss jeder Controller über eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud verfügen. Sie können mehrere externe öffentliche Adressen konfigurieren, die jeweils einem anderen StorageZones Controller zugeordnet sind. Die folgende Abbildung zeigt eine Hochverfügbarkeitsbereitstellung für Standard-StorageZones.

Hochverfügbarkeitsbereitstellung für Standardspeicherzonen

In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Die StorageZones Controller befinden sich in der Firewall, um den Zugriff zu steuern. Benutzerverbindungen zu ShareFile müssen die Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 auf der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst aller StorageZones Controller installieren.

Konfiguration des gemeinsam genutzten Speichers

StorageZones Controller, die zur gleichen Speicherzone gehören, müssen dieselbe Dateifreigabe für die Speicherung verwenden. StorageZones Controller greifen mithilfe des IIS-Kontopool-Benutzers auf die Freigabe zu. Standardmäßig werden Anwendungspools unter dem Netzwerkdienstbenutzerkonto ausgeführt, das über Low-Level-Benutzerrechte verfügt. Ein StorageZones Controller verwendet standardmäßig das Netzwerkdienstkonto.

Sie können ein benanntes Benutzerkonto anstelle des Netzwerkdienstkontos verwenden, um auf die Freigabe zuzugreifen. Um ein benanntes Benutzerkonto zu verwenden, geben Sie den Benutzernamen und das Kennwort auf der Konfigurationsseite der Storage Zones Console an. Führen Sie den IIS-Anwendungspool und die Citrix ShareFile Dienste mithilfe des Netzwerkdienstkontos aus.

Netzwerkverbindungen

Netzwerkverbindungen variieren je nach Zonentyp — Citrix verwaltet oder Standard.

Citrix-verwaltete Zonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer von Citrix verwalteten Zone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
1. Benutzeranmeldeanforderung Client company.sharefile.com:443
2. (Optional) Umleitung zur SAML-IdP-Anmeldung Client SAML-Identitätsanbieter-URL
3. Datei-/Ordner-Aufzählung und Download-Anfrage Client company.sharefile.com:443
4. Dateidownload Client storage-location.sharefile.com:443

Standardlagerzonen

In der folgenden Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und dann ein Dokument aus einer Standardspeicherzone herunterlädt. Alle Verbindungen verwenden HTTPS.

Schritt Quelle Ziel
1. Benutzeranmeldeanforderung Client company.sharefile.com
2. (Optional) Bei Verwendung von ADFS zur SAML-IdP-Anmeldung umleiten Client SAML-Identitätsanbieter-URL
3. Datei-/Ordner-Aufzählung und Download-Anfrage Client company.sharefile.com
4. Datei-Download-Autorisierung company.sharefile.com szc.company.com
5. Dateidownload Client szc.company.com

DMZ-Proxybereitstellung für Storage Zones Controller

Eine demilitarisierte Zone (DMZ) bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk. Ein DMZ-Proxy, wie Citrix ADC VPX, ist eine optionale Komponente, die verwendet wird, um:

  • Stellen Sie sicher, dass alle Anforderungen an einen StorageZones Controller aus der ShareFile Cloud stammen, damit nur genehmigter Datenverkehr die StorageZones Controller erreicht.

    -StorageZones Controller verfügt über einen Validierungsvorgang, der für alle eingehenden Nachrichten nach gültigen URI-Signaturen sucht. Die DMZ-Komponente ist für die Validierung von Signaturen vor der Weiterleitung von Nachrichten verantwortlich.

  • Lastausgleichsanforderungen an StorageZones Controller mithilfe von Echtzeitstatusindikatoren.

    Operationen können Lastenausgleich auf StorageZones Controller erfolgen, wenn sie alle auf die gleichen Dateien zugreifen können.

  • SSL von StorageZones Controllern entladen.

  • Stellen Sie sicher, dass Anforderungen für Dateien auf SharePoint- oder Netzlaufwerken authentifiziert werden, bevor Sie die DMZ durchlaufen.

Citrix ADC und Storage Zones Controller Bereitstellung

Bereitstellung für Standardspeicherzonen

Für Standardzonen konfigurierte StorageZones Controller müssen eingehende Verbindungen aus der ShareFile e-Cloud akzeptieren. Dazu muss der Citrix ADC eine öffentlich zugängliche Internetadresse und SSL für die Kommunikation mit der ShareFile Cloud aktiviert sein.

StorageZones Controller mit Standardzonen

In diesem Szenario stehen zwei Firewalls zwischen dem Internet und dem sicheren Netzwerk. StorageZones Controller befinden sich im internen Netzwerk. Benutzerverbindungen zu ShareFile müssen die erste Firewall durchlaufen und das SSL-Protokoll auf Port 443 verwenden, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 an der Firewall öffnen und ein öffentliches SSL-Zertifikat auf dem IIS-Dienst der DMZ-Proxyserver installieren (wenn diese die Benutzerverbindung beenden).

Netzwerkverbindungen für Standardzonen

Im folgenden Diagramm und in der Tabelle werden die Netzwerkverbindungen beschrieben, die auftreten, wenn sich ein Benutzer bei ShareFile anmeldet und anschließend ein Dokument aus einer Standardzone herunterlädt, die hinter Citrix ADC bereitgestellt wird. In diesem Fall verwendet das Konto Active Directory Verbunddienste (ADFS) für die SAML-Anmeldung.

Der Authentifizierungsdatenverkehr wird in der DMZ von einem ADFS-Proxyserver verarbeitet, der mit einem ADFS-Server im vertrauenswürdigen Netzwerk kommuniziert. Auf die Dateiaktivität wird über Citrix ADC in der DMZ zugegriffen, wodurch SSL beendet wird, Benutzeranforderungen authentifiziert werden und dann im Auftrag authentifizierter Benutzer auf den StorageZones Controller im vertrauenswürdigen Netzwerk zugreift. Auf die externe Citrix ADC Adresse für ShareFile wird über den Internet-FQDN szc.company.com zugegriffen.

Anmelde- und Download-Verbindungen für lokale Speicherzonen

Schritt Quelle Ziel Protokoll
1. Benutzeranmeldeanforderung Client company.sharefile.com HTTPS
2. (Optional) Umleitung zur SAML-IdP-Anmeldung Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
3. Datei-/Ordner-Aufzählung und Download-Anfrage Client company.sharefile.com HTTPS
4. Datei-Download-Autorisierung ShareFile szc.company.com (externe Adresse) HTTP(S)
4a. Datei-Download-Autorisierung Citrix ADC IP (NSIP) StorageZones Controller HTTPS
5. Dateidownload Client szc.company.com (externe Adresse) HTTPS
5a. Dateidownload Citrix ADC IP (NSIP) StorageZones Controller HTTP(S)

Das folgende Diagramm und die folgende Tabelle erweitern das vorherige Szenario, um die Netzwerkverbindungen für StorageZone Connectors anzuzeigen. Dieses Szenario umfasst die Verwendung von NetScaler in der DMZ, um SSL zu beenden und Benutzerauthentifizierung für den Connectorzugriff durchzuführen.

Anmelde- und Download-Verbindungen für StorageZone Connector

Schritt Quelle Ziel Protokoll
1. Benutzeranmeldeanforderung Client company.sharefile.com HTTPS
2. (Optional) Umleitung zur SAML-IdP-Anmeldung Client SAML-Identitätsanbieter-URL HTTPS
2a. ADFS-Anmeldung ADFS-Proxy ADFS-Server HTTPS
3. Konnektorenaufzählung der obersten Ebene Client company.sharefile.com HTTPS
4. Benutzeranmeldung beim Storage Zones Controller -Server Client szc.company.com (externe Adresse) HTTPS
5. Benutzerauthentifizierung Citrix ADC IP (NSIP) AD-DomänenController LDAP (N)
6. Datei-/Ordner-Enumeration und Upload/Download Anforderungen Citrix ADC IP (NSIP) StorageZones Controller HTTP (S)
7. Netzwerkfreigabe-Aufzählung und Upload/Download StorageZones Controller Dateiserver CIFS oder DFS
7a. SharePoint-Aufzählung und Upload/Download StorageZones Controller SharePoint HTTP(S)

Das folgende Diagramm fasst die unterstützten Kombinationen von Authentifizierungstypen zusammen, basierend darauf, ob der Benutzer sich authentifiziert.

Unterstützte Authentifizierungstypkombinationen