Storage zones controller

Descripción de la arquitectura

En esta sección se proporciona información general sobre la implementación de controlador de zonas de almacenamiento para evaluaciones de prueba de concepto o entornos de producción de alta disponibilidad. La implementación de alta disponibilidad se muestra con y sin un proxy DMZ como Citrix ADC.

Para evaluar una implementación con varios controladores de zonas de almacenamiento, siga las directrices para una implementación de alta disponibilidad.

Cada uno de los casos de implementación requiere una cuenta ShareFile Enterprise. De forma predeterminada, ShareFile almacena datos en la nube segura administrada por ShareFile. Para utilizar el almacenamiento de datos privado, ya sea un recurso compartido de red local o un sistema de almacenamiento de terceros compatible, configure las zonas de almacenamiento para ShareFile Data.

Para entregar datos de forma segura a los usuarios desde recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint, configure conectores de zonas de almacenamiento.

Implementación de prueba de concepto de controlador de zonas de almacenamiento

Precaución:

Una implementación de prueba de concepto está destinada únicamente a fines de evaluación y no debe utilizarse para el almacenamiento de datos críticos.

Una implementación de prueba de concepto utiliza un único controlador de zonas de almacenamiento. La implementación de ejemplo que se describe en esta sección tiene habilitadas las zonas de almacenamiento para ShareFile Data y los conectores de zonas de almacenamiento.

Para evaluar un único controlador de zonas de almacenamiento, puede almacenar datos de forma opcional en una carpeta (como C:\ZoneFiles) en el disco duro del controlador de zonas de almacenamiento en lugar de en un recurso compartido de red independiente. Todos los demás requisitos del sistema se aplican a una implementación de evaluación.

Implementación de prueba de concepto para zonas de almacenamiento estándar

Un controlador de zonas de almacenamiento configurado para zonas estándar debe aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, el Controller debe tener una dirección de Internet accesible públicamente y SSL habilitada para las comunicaciones con la nube ShareFile. La siguiente figura indica el flujo de tráfico entre los dispositivos de usuario, la nube ShareFile y el controlador de zonas de almacenamiento.

Implementación de prueba de concepto para zonas estándar

En este caso, un firewall se encuentra entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS del controlador de zonas de almacenamiento.

Implementación de alta disponibilidad del controlador de zonas de almacenamiento

Para una implementación de producción de ShareFile con alta disponibilidad, la práctica recomendada es instalar al menos dos controladores de zonas de almacenamiento. Cuando instala el primer Controller, crea una zona de almacenamiento. Cuando instala los otros controladores, los une a la misma zona. Los controladores de zonas de almacenamiento que pertenecen a la misma zona deben utilizar el mismo recurso compartido de archivos para el almacenamiento.

En una implementación de alta disponibilidad, los servidores secundarios son controlador de zonas de almacenamiento independientes y totalmente funcionales. El subsistema de control de zonas de almacenamiento elige aleatoriamente un controlador de zonas de almacenamiento para las operaciones. Si el servidor principal se desconecta, puede ascender fácilmente un servidor secundario a primario. También puede degradar un servidor de primario a secundario.

Implementación de alta disponibilidad para zonas estándar

Los controladores de zonas de almacenamiento configurados para zonas de almacenamiento estándar deben aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, cada Controller debe tener una dirección de Internet accesible públicamente y SSL habilitada para las comunicaciones con la nube ShareFile. Puede configurar varias direcciones públicas externas, cada una asociada a un controlador de zonas de almacenamiento diferentes.La siguiente figura muestra una implementación de alta disponibilidad para zonas de almacenamiento estándar.

Implementación de alta disponibilidad para zonas de almacenamiento estándar

Al igual que el caso de implementación de prueba de concepto anterior, un firewall se encuentra entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS de todos los controladores de zonas de almacenamiento.

Configuración de almacenamiento compartido

Los controladores de zonas de almacenamiento que pertenecen a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Los controladores de zonas de almacenamiento acceden al recurso compartido mediante el usuario del grupo de cuentas de IIS. De forma predeterminada, los grupos de aplicaciones operan bajo la cuenta de usuario del Servicio de red, que tiene derechos de usuario de bajo nivel. Un controlador de zonas de almacenamiento utiliza la cuenta Servicio de red de forma predeterminada.

Puede utilizar una cuenta de usuario con nombre en lugar de la cuenta Servicio de red para acceder al recurso compartido. Para utilizar una cuenta de usuario con nombre asignado, especifique el nombre de usuario y la contraseña en la página Configuración de la consola de zonas de almacenamiento. Ejecute el grupo de aplicaciones de IIS y los servicios de Citrix ShareFile con la cuenta de servicio de red.

Conexiones de red

Las conexiones de red varían según el tipo de zona, administrada por Citrix o estándar.

Zonas administradas por Citrix

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona administrada por Citrix. Todas las conexiones utilizan HTTPS.

Paso Origen Destino
  1. solicitud de inicio de sesión de usuario
Cliente company.sharefile.com:443
  1. (Opcional) Redirigir al inicio de sesión de IdP de SAML
Cliente URL del proveedor de identidades SAML
  1. Enumeración de archivos/carpetas y solicitud de descarga
Cliente company.sharefile.com:443
  1. Descarga de archivos
Cliente storage-location.sharefile.com:443

Zonas de almacenamiento estándar

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona de almacenamiento estándar. Todas las conexiones utilizan HTTPS.

Paso Origen Destino
  1. solicitud de inicio de sesión de usuario
Cliente company.sharefile.com
  1. (Opcional) Si utiliza ADFS, redireccione al inicio de sesión de IdP de SAML
Cliente URL del proveedor de identidades SAML
  1. Enumeración de archivos/carpetas y solicitud de descarga
Cliente company.sharefile.com
  1. Autorización de descarga de archivos
company.sharefile.com szc.company.com
  1. Descarga de archivos
Cliente szc.company.com

Implementación de proxy DMZ del controlador de zonas de almacenamiento

Una zona desmilitarizada (DMZ) proporciona una capa adicional de seguridad para la red interna. Un proxy DMZ, como Citrix ADC VPX, es un componente opcional utilizado para:

  • Asegúrese de que todas las solicitudes a un controlador de zonas de almacenamiento se originan en la nube de ShareFile, de modo que solo el tráfico aprobado llegue a los controlador de zonas de almacenamiento.

    StorageZones Controller tiene una operación de validación que comprueba si hay firmas URI válidas para todos los mensajes entrantes. El componente DMZ es responsable de validar las firmas antes de reenviar mensajes.

  • Solicitudes de equilibrio de carga a controlador de zonas de almacenamiento mediante indicadores de estado en tiempo real.

    Las operaciones pueden equilibrarse en la carga de los controlador de zonas de almacenamiento si todos pueden acceder a los mismos archivos.

  • Descarga SSL de los controlador de zonas de almacenamiento.

  • Asegúrese de que las solicitudes de archivos en SharePoint o unidades de red estén autenticadas antes de pasar por la DMZ.

Implementación de controlador de zonas de almacenamiento y Citrix ADC

Implementación para zonas de almacenamiento estándar

Los controlador de zonas de almacenamiento configurados para zonas estándar deben aceptar conexiones enlazadas desde la nube de ShareFile. Para ello, el Citrix ADC debe tener una dirección de Internet de acceso público y SSL habilitada para las comunicaciones con la nube ShareFile.

StorageZones Controller con zonas estándar

En este caso, dos firewall se interponen entre Internet y la red segura. Los controlador de zonas de almacenamiento residen en la red interna. Las conexiones de usuario a ShareFile deben atravesar el primer firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS de los servidores proxy DMZ (si terminan la conexión del usuario).

Conexiones de red para zonas estándar

El diagrama y la tabla siguientes describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona estándar implementada detrás de Citrix ADC. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML.

El tráfico de autenticación es manejado en la DMZ por un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza. Se accede a la actividad de los archivos a través de Citrix ADC en la DMZ, que finaliza SSL, autentica las solicitudes de los usuarios y, a continuación, accede al controlador de zonas de almacenamiento en la red de confianza en nombre de los usuarios autenticados. Se accede a la dirección externa de Citrix ADC para ShareFile mediante el FQDN de Internet szc.company.com.

Conexiones de inicio de sesión y descarga para zonas de almacenamiento locales

Paso Origen Destino Protocolo
  1. solicitud de inicio de sesión de usuario
Cliente company.sharefile.com HTTPS
  1. (Opcional) Redirigir al inicio de sesión de IdP de SAML
Cliente URL del proveedor de identidades SAML HTTPS
2a. Inicio de sesión de ADFS Proxy ADFS Servidor ADFS HTTPS
  1. Enumeración de archivos/carpetas y solicitud de descarga
Cliente company.sharefile.com HTTPS
  1. Autorización de descarga de archivos
ShareFile szc.company.com (dirección externa) HTTP(S)
4a. Autorización de descarga de archivos IP de Citrix ADC (NSIP) Controlador de zonas de almacenamiento HTTPS
  1. Descarga de archivos
Cliente szc.company.com (dirección externa) HTTPS
5a. Descarga de archivos IP de Citrix ADC (NSIP) Controlador de zonas de almacenamiento HTTP(S)

El diagrama y la tabla siguientes amplían el caso anterior para mostrar las conexiones de red para StorageZone Connectors. Este caso incluye el uso de NetScaler en la DMZ para finalizar SSL y realizar la autenticación de usuario para el acceso a Conectores.

Conexiones de inicio de sesión y descarga para StorageZone Connectors

Paso Origen Destino Protocolo
  1. solicitud de inicio de sesión de usuario
Cliente company.sharefile.com HTTPS
  1. (Opcional) Redirigir al inicio de sesión de IdP de SAML
Cliente URL del proveedor de identidades SAML HTTPS
2a. Inicio de sesión de ADFS Proxy ADFS Servidor ADFS HTTPS
  1. Enumeración de conectores de nivel superior
Cliente company.sharefile.com HTTPS
  1. Inicio de sesión del usuario en el servidor del controlador de zonas de almacenamiento
Cliente szc.company.com (dirección externa) HTTPS
  1. Autenticación de usuarios
IP de Citrix ADC (NSIP) Controller de dominio AD LDAP(S)
  1. Enumeración de archivos/carpetas y solicitudes de carga/descarga
IP de Citrix ADC (NSIP) Controlador de zonas de almacenamiento HTTP(S
  1. Enumeración de recursos compartidos de red y cargar/descargar
Controlador de zonas de almacenamiento Servidor de archivos CIFS o DFS
7a. Enumeración de SharePoint y cargar/descargar Controlador de zonas de almacenamiento SharePoint HTTP(S)

En el siguiente diagrama se resumen las combinaciones admitidas de tipos de autenticación en función de si el usuario se autentica.

Combinaciones de tipos de autenticación compatibles

Descripción de la arquitectura