Content Collaboration con zonas de almacenamiento locales

Destinatarios

Este documento de arquitectura de referencia está destinado a los responsables de la toma de decisiones de TI, consultores, integradores de soluciones y partners que buscan implementar una zona de almacenamiento administrada por el cliente para Citrix Content Collaboration dentro del centro de datos del cliente.

Objetivo

Citrix Content Collaboration permite a los clientes seleccionar la ubicación donde se almacenan sus archivos. Los clientes pueden elegir almacenar archivos dentro de la propia zona de almacenamiento nativa de la nube de Citrix, en una ubicación de la zona de almacenamiento del cliente en el centro de datos o en la nube de su elección, o en una combinación. Además de esa ubicación, la zona de almacenamiento local también funciona como puerta de enlace a repositorios existentes, como recursos compartidos de archivos de red y bibliotecas de documentos de SharePoint Server. El alcance de este documento se limita a:

  • Componentes arquitectónicos para una zona de almacenamiento local
  • Proporcionar orientación sobre la ubicación en la que almacenar objetos de archivo persistentes
  • Proporcionar orientación sobre la configuración del Citrix ADC para una experiencia óptima del usuario
  • Integración de soluciones antivirus en la zona de almacenamiento local

Casos de uso

Los clientes implementan sus propias zonas de almacenamiento administradas por el cliente por diferentes razones. Los casos de uso típicos incluyen:

  • Soberanía de los datos: Para cumplir con las regulaciones locales o internas de cumplimiento, los clientes pueden tener el requisito de almacenar todos los archivos en su propio centro de datos. Con una zona de almacenamiento administrada por el cliente, el cliente puede beneficiarse de las capacidades de productividad y colaboración de Citrix Content Collaboration, mientras almacena todos los archivos dentro de su propio centro de datos.
  • Rendimiento: Citrix aloja zonas de almacenamiento en varias regiones geográficas, pero los clientes de determinadas regiones no pueden tener acceso a una zona que proporcione la experiencia de usuario que esperan los empleados. Al implementar una zona de almacenamiento administrada por el cliente, estos clientes pueden alojar los objetos de archivo más cerca de sus usuarios, reduciendo la latencia al transferir archivos. Esto proporciona una mejor experiencia de usuario a los empleados y colaboradores externos.
  • Modernizar repositorios existentes: La migración de archivos no siempre es posible o puede llevar mucho tiempo. Con Citrix Content Collaboration, esto no significa que los empleados no puedan tener o tengan que esperar formas modernas de acceder a los archivos y trabajar con ellos. Al implementar una zona de almacenamiento administrada por el cliente, los clientes pueden desbloquear directamente un estilo de trabajo moderno en cualquier dispositivo sin tener que migrar los datos existentes.
  • Proteja las inversiones en infraestructura: Al hospedar la zona de almacenamiento en las instalaciones y usar hardware de almacenamiento ya implementado, como un NAS, los clientes pueden proporcionar una plataforma de colaboración moderna nativa en la nube sin que su hardware de almacenamiento se vuelva obsoleto.

Introducción a la plataforma Content Collaboration

Citrix Content Collaboration es una plataforma de colaboración de contenido empresarial que permite a TI ofrecer un sólido servicio de sincronización y uso compartido de datos que satisface las necesidades de movilidad y colaboración de los usuarios y los requisitos de seguridad de datos de la empresa. Citrix Content Collaboration ofrece la flexibilidad de elegir la ubicación donde se almacenan los archivos en reposo, ya sea dentro de un repositorio de almacenamiento nativo en la nube administrado por Citrix o dentro de un repositorio de almacenamiento administrado por el cliente.

Citrix Content Collaboration consta de tres componentes principales: el plano de administración de Content Collaboration, las zonas de almacenamiento y las aplicaciones Citrix Files.

  • Plano de gestión: Componente gestionado por Citrix que aloja los servicios de Content Collaboration y la lógica empresarial, alojado en Estados Unidos o en la Unión Europea.
  • Zonas de almacenamiento: La ubicación donde se almacenan los archivos del cliente. Los clientes pueden elegir dónde almacenar archivos, ya sea hospedados por Citrix o alojados por el cliente en su propio centro de datos o en sus propias suscripciones a servicios públicos en la nube. Esta arquitectura de referencia se centra en una zona de almacenamiento administrada por el cliente alojada dentro del centro de datos del cliente.
  • Citrix Files: Aplicaciones nativas que proporcionan acceso a los servicios de Content Collaboration. Las aplicaciones Citrix Files están disponibles para Windows, macOS, iOS y Android, además de Outlook y Gmail.

Introducción a Citrix Content Collaboration

Arquitectura de zona de almacenamiento administrada por el cliente

La zona de almacenamiento administrada por el cliente almacena todos los objetos de archivos cargados en el servicio de Content Collaboration. También proporciona acceso a estos objetos de archivo, tanto a empleados como a personas externas que colaboran en estos archivos. La tercera y última función de la zona de almacenamiento es proporcionar acceso a repositorios existentes alojados en las instalaciones, como recursos compartidos de archivos de red, bibliotecas de documentos de SharePoint Server y el sistema de administración de documentos OpenText Documentum. Para proporcionar esas capacidades, la zona de almacenamiento incluye estos componentes.

  • Controladores de zona de almacenamiento: Servidores web basados en Windows que hospedan los servicios de controlador de zona de almacenamiento.
  • Repositorio de almacenamiento: La ubicación donde se almacenan los objetos de archivos Citrix. Esta ubicación suele ser un recurso compartido de archivos de red, pero también puede ser una ubicación de almacenamiento en la nube pública, como Amazon S3, Microsoft Azure Storage o Google Cloud Storage.
  • Citrix ADC: el controlador de entrega de aplicaciones proporciona equilibrio de carga de red, descarga SSL y servicios de autenticación para el tráfico entrante a la zona de almacenamiento.

Controladores de zona de almacenamiento

El Controller de zona de almacenamiento es un paquete de Windows que consiste en servicios web ASP.NET y servicios de Windows en segundo plano. El software del Controller se ejecuta en la parte superior de Microsoft Windows Server con Servicios de Internet Information Server (IIS). Los requisitos del sistema para un Controller de zonas de almacenamiento se encuentran aquí: /en-us/storagezones-controller/5-0/system-requirements.html.

Para reducir la sobrecarga del servidor y la superficie de ataque, se recomienda utilizar instancias de Windows Server Core con los roles de servidor de aplicaciones de Internet Information Server y ASP.NET habilitados.

Escalabilidad

El número de controladores de zona de almacenamiento necesarios depende de cómo se utiliza la implementación de la zona de almacenamiento. Este número se vaya afectado por varios factores. Estos factores incluyen, pero no se limitan a:

  • Cantidad de archivos nuevos y actualizados que se almacenan: afecta el ancho de banda requerido entre los controladores de zona de almacenamiento y el repositorio de almacenamiento, para evitar que se acumulen colas de E/S de archivos en el controlador de zona de almacenamiento.
  • Tamaño de los archivos almacenados: Los archivos entrantes se cargan en varias partes y los controladores de zona de almacenamiento vuelven a fusionar estas partes en un único objeto de archivo. La fusión de las piezas aumenta la utilización de la CPU, ya que los archivos más grandes requieren más potencia de procesamiento de la CPU.
  • Número simultáneo de sesiones: el número de sesiones simultáneas de transferencia de archivos a la zona de almacenamiento, ya sea para descargas de archivos o cargas de archivos, afecta a la cantidad de hosts de Controller necesarios.
  • Uso de conectores locales: los controladores de zona de almacenamiento recuperan los metadatos de los archivos y carpetas de los repositorios existentes en tiempo real, cuando el usuario abre un conector o navega a una carpeta diferente.

La recomendación es implementar al menos dos controladores de zona de almacenamiento por zona de almacenamiento con fines de alta disponibilidad, con Citrix ADC proporcionando servicios de equilibrio de carga para el tráfico entrante. La cifra de referencia para dicha implementación es de 5.000 usuarios dentro del arrendatario de Content Collaboration, con 2.500 usuarios por host de controlador adicional agregados a la zona de almacenamiento. El uso real de la zona de almacenamiento determina cuántos hosts de controlador se necesitan. Las implementaciones de clientes van desde 2 hosts de controlador para 250 usuarios, donde los usuarios están trabajando con archivos grandes, hasta 4 hosts de controlador para 250 000 usuarios en los que el caso de uso se limita al uso compartido ocasional de archivos.

Las pruebas internas han demostrado que el número máximo óptimo de controladores por zona de almacenamiento es 4. Para implementaciones en las que se necesitan más controladores en un único sitio, se recomienda configurar varias zonas de almacenamiento.

Consulte el capítulo Supervisión del rendimiento para obtener más detalles.

Conectores

La funcionalidad de conectores de zona de almacenamiento permite a los empleados acceder de forma segura a los repositorios existentes. Los repositorios compatibles son recursos compartidos de archivos de red, bibliotecas de documentos de SharePoint Server y OpenText Documentum. Se solicita a los usuarios que se autentiquen con sus credenciales de Active Directory cuando tengan acceso a un conector configurado. El controlador de zona de almacenamiento utiliza la suplantación de AD para acceder a los repositorios subyacentes en nombre del usuario. Para ello, todos los hosts del controlador de zona de almacenamiento deben ser miembros del dominio y la delegación debe configurarse en Active Directory para permitir que los hosts tengan acceso a esos recursos.

Repositorio de almacenamiento

Recurso compartido de archivos de red

Un recurso compartido de archivos de red es el repositorio más utilizado para las zonas de almacenamiento administradas por el cliente. El recurso compartido de archivos de red se puede hospedar en un servidor de archivos independiente o directamente en un repositorio de almacenamiento que admita esta capacidad. Se recomienda utilizar un NAS (NAS) de baja latencia y alta IOPS para alojar el repositorio de Content Collaboration a fin de proporcionar la mejor experiencia de usuario para las transferencias de archivos. La zona de almacenamiento crea varias carpetas dentro de la carpeta de almacenamiento persistente para aumentar el número total de archivos que se pueden almacenar dentro del repositorio. Se recomienda utilizar servidores de archivos modernos para poder utilizar SMBv3 para transferencias de archivos entre los hosts del controlador de zona de almacenamiento y el repositorio de la zona de almacenamiento.

Importante: No se admite el uso de la capacidad de replicación del sistema de archivos distribuido (DFS-R) de Microsoft. DFS-R bloquea los archivos para la replicación, lo que potencialmente interrumpe la carga correcta de archivos en la zona de almacenamiento. Todos los archivos que se cargan en la zona de almacenamiento se dividen en varias partes, cuando todas las partes han llegado y se validan, los controladores de zona de almacenamiento fusionan estas partes en un solo archivo. Con las partes individuales bloqueadas por DFS-R, los controladores de zona de almacenamiento no pueden completar esta acción y se produce un error en la carga.

Zona de almacenamiento administrada por el cliente con repositorio local

Almacenamiento en la nube pública

En lugar de utilizar un recurso compartido de archivos de red, se puede utilizar un repositorio de almacenamiento en la nube pública para almacenar los objetos de archivo. Los hosts del controlador de zona de almacenamiento utilizan las API nativas para realizar transferencias de archivos. En esta arquitectura, se está utilizando un recurso compartido de archivos de red independiente como caché local. La caché local almacena los últimos archivos que se cargan o descargan desde la zona de almacenamiento. La experiencia aprende que los archivos usados recientemente a menudo se sincronizan con diferentes dispositivos o se comparten con otras personas. No tener que recuperar esos archivos del repositorio de almacenamiento en la nube pública cada vez aumenta la experiencia del usuario y reduce la cantidad de ancho de banda que se utiliza entre la zona de almacenamiento y el repositorio en la nube.

Zona de almacenamiento administrada por el cliente con repositorio en la nube

Cifrado de objetos de archivo

La zona de almacenamiento permite configurar el cifrado de todos los objetos de archivo en un nivel de archivo. El cifrado lo realizan los hosts del Controller de zona de almacenamiento mediante una clave de cifrado AES de 256 bits que se genera durante la configuración inicial de la zona de almacenamiento. La habilitación del cifrado afecta el rendimiento de los hosts del controlador de zona de almacenamiento, ya que el cifrado y descifrado de objetos de archivo aumentan la utilización de la CPU.

Se recomienda utilizar esta opción solo cuando el cifrado de todos los archivos debe estar habilitado de acuerdo con la directiva de seguridad corporativa y no hay otros medios para cifrar la capa de almacenamiento disponibles. El cifrado por los hosts del controlador de zona de almacenamiento elimina la capacidad de realizar la deduplicación de datos en la carpeta de almacenamiento persistente dentro de la zona de almacenamiento. También hará imposible recuperar datos al reconstruir la zona de almacenamiento sin acceso al archivo SCKeys.txt que contiene la clave de cifrado o la frase de contraseña de configuración para la zona de almacenamiento.

Citrix ADC

El Delivery Controller de aplicaciones se está utilizando para presentar la zona de almacenamiento. Citrix ADC realiza las siguientes funciones:

  • Descarga SSL: Las sesiones SSL entrantes para la zona de almacenamiento terminan en el ADC. Dependiendo de los requisitos de seguridad y supervisión del cliente, el tráfico entre el ADC y los hosts del Controller de zona de almacenamiento puede cifrarse o no cifrarse.
  • Equilibrio de carga: El ADC equilibra la carga entre los hosts del controlador de zona de almacenamiento para proporcionar alta disponibilidad. Para determinar qué hosts de Controller de zona de almacenamiento están operativos, el ADC supervisa los resultados de los latidos de cada host. Los hosts que tienen una respuesta no válida al latido se consideran sin conexión y no se dirigen sesiones de transferencia de archivos hacia esos hosts.
  • Autenticación: los usuarios deben autenticarse al acceder a los conectores. Se recomienda realizar esta autenticación dentro de la DMZ y no permitir que los usuarios remotos entren en la LAN sin autenticar. Al configurar la delegación restringida de Kerberos en el Citrix ADC, los usuarios locales que acceden a conectores desde dispositivos unidos a un dominio se autentican sin problemas sin necesidad de proporcionar credenciales.
  • Content Switching: el tráfico al repositorio de archivos de Citrix y los conectores difieren entre sí: los conectores requieren autenticación y el tráfico al repositorio de archivos de Citrix siempre es sin autenticación. Esto se debe a permitir compartir archivos con usuarios externos, que no tienen credenciales para autenticarse con Active Directory del cliente. Debido a esta diferencia, el ADC realiza la conmutación de contenido para separar este tráfico y aplicar las directivas de autenticación al equilibrador de carga para el tráfico de conectores. En el equilibrador de carga para el tráfico de archivos Citrix, se configura una directiva de respuesta para validar la autenticidad de la solicitud: Solo se permiten las solicitudes que se originan con una solicitud del plano de administración de Content Collaboration a los hosts del controlador de zona de almacenamiento.

Separación de sesiones de usuario locales y remotas

Para proporcionar la mejor experiencia de usuario posible a los usuarios locales, la configuración del Citrix ADC se separa para los usuarios locales y remotos. Se considera que los usuarios locales acceden a la zona de almacenamiento desde un dispositivo unido a un dominio o desde las aplicaciones Citrix Files en iOS y Android administradas con Citrix Endpoint Management. Otra razón para implementar interfaces internas y externas en el ADC es aumentar la seguridad. El Citrix ADC se encuentra dentro de la DMZ, con la interfaz externa una dirección IP dentro del rango DMZ y la interfaz interna con una dirección IP dentro del rango local. Para permitir que los usuarios locales accedan a la dirección IP correcta, es necesario configurar un DNS dividido , ya que la zona de almacenamiento solo tiene un único nombre DNS público y un certificado.

Los usuarios locales acceden a la zona de almacenamiento desde un servidor de equilibrio de carga interno o un servidor de conmutación de contenido con una dirección IP interna. La opción para un servidor de equilibrio de carga o un servidor de conmutación de contenido se basa en si la autenticación para conectores debe realizarse en Citrix ADC. En ese caso, se necesita un servidor de conmutación de contenido y el servidor de equilibrio de carga para conectores para usuarios locales utiliza Kerberos para autenticar a los usuarios al acceder a conectores. Los usuarios remotos acceden a la zona de almacenamiento desde un conmutador de contenido externo con una dirección IP en el rango DMZ. El servidor de equilibrio de carga para conectores para usuarios remotos utiliza la autenticación básica (nombre de usuario y contraseña) para autenticar a los usuarios al acceder a conectores. La autenticación para conectores en los hosts del Controller de zona de almacenamiento utiliza la autenticación de Windows, los repositorios de conectores utilizan el método de autenticación configurado en el repositorio. Para SharePoint Server, suele ser autenticación Kerberos, para servidores de archivos que normalmente es autenticación NTLM.

Implementación única de Citrix ADC

Nota: En lugar de configurar un servidor de conmutación de contenido interno y externo en un único ADC sentado en el límite de la DMZ y la red local, también es posible configurar un Citrix ADC dentro de la DMZ para usuarios externos y un Citrix ADC en la red local para usuarios internos.

Implementación dual de Citrix ADC

Integración con soluciones antivirus

Todos los archivos cargados en la zona de almacenamiento deben analizarse en busca de virus y malware. Debido a la separación de los metadatos del archivo del objeto de archivo, no se recomienda analizar y eliminar archivos infectados o sospechosos directamente de la zona de almacenamiento. Aunque esto eliminará el archivo, los metadatos del archivo persisten y el usuario verá el archivo dentro de sus aplicaciones Citrix Files y WebUI. Cuando intentan tener acceso al archivo, se muestra un mensaje de error que indica que el archivo no existe.

Para proporcionar una mejor experiencia de usuario y mantener el nivel de seguridad requerido, la zona de almacenamiento puede aplicar soluciones antivirus a través de una interfaz ICAP. Al recibir archivos nuevos y actualizados, los hosts del controlador de zona de almacenamiento agregan el archivo a la cola de análisis. El archivo se envía a través de ICAP a los servidores antivirus y después de escanear el archivo, los servidores antivirus devuelven el resultado. Los hosts del Controller de zona de almacenamiento cargan este estado para agregarlos a los metadatos de archivo almacenados dentro del plano de administración de Content Collaboration. Según la directiva antivirus configurada para la cuenta de arrendatario, los usuarios estarán restringidos en la capacidad de descargar o compartir archivos marcados como infectados.

Supervisión del rendimiento

El controlador de zona de almacenamiento es una aplicación web ASP.NET que se ejecuta en Internet Information Server. La supervisión del rendimiento del host del Controller de zona de almacenamiento sigue los principios generales de supervisión de cualquier servidor web que ejecute aplicaciones ASP.NET. A continuación se muestran las métricas recomendadas para identificar problemas de rendimiento.

Memoria

  • Mbytes disponibles: No se recomienda caer por debajo de un valor sostenido del 20% del total de RAM disponible.
  • Entrada de páginas/seg.: No se recomienda superar los 15. Cuanto menor sea el valor, mejor será el rendimiento de la Controller de zona de almacenamiento.
  • Páginas/s: no puede exceder un valor sostenido de 5 o más.

Disco lógico

  • % de tiempo de disco: no se recomienda exceder un valor sostenido del 50% o superior.
  • Longitud media de la cola de disco: no se recomienda exceder el número de husillos más 2.
  • Longitud media de la cola de lectura de disco: no se recomienda estar por debajo de 2.
  • Longitud media de la cola de escritura en disco: no se recomienda estar por debajo de 4.
  • Promedio de Disco Sec/Lectura: No se recomienda que el promedio sea de 15 ms o inferior, con máximos de 25 ms.
  • Promedio de seg/escritura de disco: no se recomienda que el promedio sea de 15 ms o inferior, con máximos de 25 ms.
  • Disco/Transferencia Promedio: No se recomienda estar por debajo de 20 ms.

Procesador

Los monitores de rendimiento del procesador no se pueden realizar en el sistema y para el proceso W3WP que ejecuta la aplicación de controlador de zona de almacenamiento. Si los valores están cerca uno del otro, entonces los servicios web están consumiendo la CPU, si no, entonces otros procesos están afectando el rendimiento del sistema.

  • % de tiempo con privilegios: no puede exceder un valor sostenido del 75% o superior.
  • % de tiempo de procesador: no puede exceder un valor sostenido del 85% o superior.

Sistema

  • Conmutadores de contenido por segundo: no puede superar los 15.000 segundos por CPU.

Caché de servicios web

  • Núcleo:URI Caché Hits%: No se puede caer por debajo del 80%.

Aplicaciones ASP.NET v4.0.30319 (Total)

  • Tiempo de espera de solicitud: no puede exceder los 1.000 ms.

Resumen

Citrix Content Collaboration ofrece la capacidad de almacenar archivos en la ubicación que mejor se adapte a las necesidades de su organización. Este documento describe la arquitectura para implementar la zona de almacenamiento de Content Collaboration en su propio centro de datos y todos los componentes necesarios.

El caso de uso del servicio Content Collaboration en su organización afecta a los componentes necesarios:

  • Lugar donde se almacenan los objetos de archivo persistentes, ya sea local o en un repositorio de almacenamiento en la nube pública.
  • Acceso al repositorio de almacenamiento de Content Collaboration y a los repositorios existentes a través de conectores de zona de almacenamiento.
  • La ubicación y los tipos de dispositivo de los usuarios que acceden a la zona de almacenamiento y el tipo de colaboración externa.

La arquitectura descrita abarca el modelo de implementación más común que implementan nuestros clientes junto con los equipos de Citrix Services. El caso de uso más común es acceder tanto al repositorio de almacenamiento de Content Collaboration como a los repositorios existentes a través de conectores de zona de almacenamiento.

Referencias

Recursos para Citrix Content Collaboration

Recursos para el Controller de zona de almacenamiento