Descripción general de la arquitectura

En esta sección se proporciona información general sobre la implementación de StorageZones Controller para evaluaciones de prueba de concepto o entornos de producción de alta disponibilidad. La implementación de alta disponibilidad se muestra con y sin un proxy DMZ como Citrix ADC.

Para evaluar una implementación con varios StorageZones Controller, siga las directrices para una implementación de alta disponibilidad.

Cada uno de los escenarios de implementación requiere una cuenta ShareFile Enterprise. De forma predeterminada, ShareFile almacena datos en la nube segura administrada por ShareFile. Para utilizar el almacenamiento de datos privado, ya sea un recurso compartido de red local o un sistema de almacenamiento de terceros compatible, configure zonas de almacenamiento para ShareFile Data.

Para entregar datos de forma segura a los usuarios desde recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint, configure StorageZone Connectors.

Implementación de prueba de concepto de StorageZones Controller

Precaución:

Una implementación de prueba de concepto está destinada únicamente a fines de evaluación y no debe utilizarse para el almacenamiento de datos críticos.

Una implementación de prueba de concepto utiliza un único StorageZones Controller. El ejemplo de implementación que se describe en esta sección tiene habilitadas las zonas de almacenamiento para los conectores de datos de ShareFile y de zona de almacenamiento.

Para evaluar un único StorageZones Controller, puede almacenar datos de forma opcional en una carpeta (como C:\ZoneFiles) en el disco duro del StorageZones Controller en lugar de en un recurso compartido de red independiente. Todos los demás requisitos del sistema se aplican a una implementación de evaluación.

Implementación de prueba de concepto para zonas de almacenamiento estándar

Un StorageZones Controller configurado para zonas estándar debe aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, el Controller debe tener una dirección de Internet accesible públicamente y SSL habilitado para las comunicaciones con la nube ShareFile. La siguiente figura indica el flujo de tráfico entre los dispositivos de usuario, la nube ShareFile y el StorageZones Controller.

Implementación de prueba de concepto para zonas estándar

En este escenario, un firewall se encuentra entre Internet y la red segura. El StorageZones Controller reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS del StorageZones Controller.

Implementación de alta disponibilidad del StorageZones Controller

Para una implementación de producción de ShareFile con alta disponibilidad, la práctica recomendada es instalar al menos dos StorageZones Controller. Al instalar el primer Controller, se crea una zona de almacenamiento. Cuando instala los otros controladores, los une a la misma zona. Los StorageZones Controller que pertenecen a la misma zona deben utilizar el mismo recurso compartido de archivos para el almacenamiento.

En una implementación de alta disponibilidad, los servidores secundarios son StorageZones Controller independientes y totalmente funcionales. El subsistema de control de zonas de almacenamiento elige aleatoriamente un StorageZones Controller para las operaciones. Si el servidor principal se desconecta, puede ascender fácilmente un servidor secundario a primario. También puede degradar un servidor de primario a secundario.

Implementación de alta disponibilidad para zonas estándar

Los StorageZones Controller configurados para zonas de almacenamiento estándar deben aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, cada Controller debe tener una dirección de Internet accesible públicamente y SSL habilitado para las comunicaciones con la nube ShareFile. Puede configurar varias direcciones públicas externas, cada una asociada con un controlador de zonas de almacenamiento diferente.La figura siguiente muestra una implementación de alta disponibilidad para StorageZones estándar.

Implementación de alta disponibilidad para zonas de almacenamiento estándar

En este escenario, un firewall se encuentra entre Internet y la red segura. Los StorageZones Controller residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS de todos los StorageZones Controller.

Configuración de almacenamiento compartido

Los StorageZones Controller que pertenecen a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Los StorageZones Controller acceden al recurso compartido mediante el usuario del grupo de cuentas de IIS. De forma predeterminada, los grupos de aplicaciones operan bajo la cuenta de usuario Servicio de red, que tiene derechos de usuario de bajo nivel. Un StorageZones Controller utiliza la cuenta Servicio de red de forma predeterminada.

Puede utilizar una cuenta de usuario con nombre en lugar de la cuenta Servicio de red para acceder al recurso compartido. Para utilizar una cuenta de usuario con nombre, especifique el nombre de usuario y la contraseña en la página Configuración de la consola de zonas de almacenamiento. Ejecute el grupo de aplicaciones IIS y Citrix ShareFile Services mediante la cuenta de servicio de red.

Conexiones de red

Las conexiones de red varían según el tipo de zona, administrada por Citrix o estándar.

Zonas administradas por Citrix

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona administrada por Citrix. Todas las conexiones usan HTTPS.

Paso Fuente Destino
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com:443
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML
3. Enumeración de archivos y carpetas y solicitud de descarga Cliente company.sharefile.com:443
4. Descarga de archivos Cliente storage-location.sharefile.com:443

Zonas de almacenamiento estándar

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona de almacenamiento estándar. Todas las conexiones usan HTTPS.

Paso Fuente Destino
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com
2. (Opcional) Si usa ADFS, redirija al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML
3. Enumeración de archivos y carpetas y solicitud de descarga Cliente company.sharefile.com
4. Autorización de descarga de archivos company.sharefile.com szc.company.com
5 Descarga de archivos Cliente szc.company.com

Implementación de proxy DMZ del StorageZones Controller

Una zona desmilitarizada (DMZ) proporciona una capa adicional de seguridad para la red interna. Un proxy DMZ, como Citrix ADC VPX, es un componente opcional que se utiliza para:

  • Asegúrese de que todas las solicitudes a un StorageZones Controller se originan en la nube de ShareFile, de modo que solo el tráfico aprobado llegue a los StorageZones Controller.

    StorageZones Controller tiene una operación de validación que comprueba si hay firmas URI válidas para todos los mensajes entrantes. El componente DMZ es responsable de validar las firmas antes de reenviar mensajes.

  • Solicitudes de equilibrio de carga a StorageZones Controller mediante indicadores de estado en tiempo real.

    Las operaciones pueden equilibrarse en la carga de los StorageZones Controller si todos pueden acceder a los mismos archivos.

  • Descarga SSL de los StorageZones Controller.

  • Asegúrese de que las solicitudes de archivos en SharePoint o unidades de red estén autenticadas antes de pasar a través de la DMZ.

Implementación de StorageZones Controller y Citrix ADC

Implementación para zonas de almacenamiento estándar

Los StorageZones Controller configurados para zonas estándar deben aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, Citrix ADC debe tener una dirección de Internet accesible públicamente y SSL habilitado para las comunicaciones con la nube ShareFile.

StorageZones Controller con zonas estándar

En este escenario, dos firewalls se encuentran entre Internet y la red segura. Los StorageZones Controller residen en la red interna. Las conexiones de usuario a ShareFile deben atravesar el primer firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS de los servidores proxy DMZ (si terminan la conexión del usuario).

Conexiones de red para zonas estándar

En el diagrama y la tabla siguientes se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona estándar implementada detrás de Citrix ADC. En este caso, la cuenta utiliza los Servicios de federación de Active Directory (ADFS) para el inicio de sesión SAML.

El tráfico de autenticación se controla en la DMZ mediante un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza. Se accede a la actividad de los archivos a través de Citrix ADC en la DMZ, que finaliza SSL, autentica las solicitudes de los usuarios y, a continuación, accede al StorageZones Controller en la red de confianza en nombre de los usuarios autenticados. Se accede a la dirección externa de Citrix ADC para ShareFile mediante Internet FQDN szc.company.com.

Conexiones de inicio de sesión y descarga para zonas de almacenamiento locales

Paso Fuente Destino Protocolo
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com HTTPS
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML HTTPS
2a. Inicio de sesión ADFS Proxy ADFS Servidor ADFS HTTPS
3. Enumeración de archivos y carpetas y solicitud de descarga Cliente company.sharefile.com HTTPS
4. Autorización de descarga de archivos ShareFile szc.company.com (dirección externa) HTTP(S)
4a. Autorización de descarga de archivos IP de Citrix ADC (NSIP) StorageZones Controller HTTPS
5 Descarga de archivos Cliente szc.company.com (dirección externa) HTTPS
5a. Descarga de archivos IP de Citrix ADC (NSIP) StorageZones Controller HTTP(S)

El diagrama y la tabla siguientes amplían el escenario anterior para mostrar las conexiones de red para los conectores StorageZone. Este escenario incluye el uso de NetScaler en la DMZ para terminar SSL y realizar la autenticación de usuario para el acceso a conectores.

Conexiones de inicio de sesión y descarga para StorageZone Connectors

Paso Fuente Destino Protocolo
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com HTTPS
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML HTTPS
2a. Inicio de sesión ADFS Proxy ADFS Servidor ADFS HTTPS
3. Enumeración de conector de nivel superior Cliente company.sharefile.com HTTPS
4. Inicio de sesión del usuario en el servidor del StorageZones Controller Cliente szc.company.com (dirección externa) HTTPS
5 Autenticación de usuario IP de Citrix ADC (NSIP) Controller de dominio AD LDAP(S)
6. Enumeración de archivos/carpetas y solicitudes de carga/descarga IP de Citrix ADC (NSIP) StorageZones Controller HTTP(S
7. Enumeración de recursos compartidos de red y carga/descarga StorageZones Controller Servidor de archivos CIFS o DFS
7a. Enumeración y carga/descarga de SharePoint StorageZones Controller SharePoint HTTP(S)

En el siguiente diagrama se resumen las combinaciones admitidas de tipos de autenticación en función de si el usuario se autentica.

Combinaciones de tipos de autenticación compatibles