Content Collaboration contenido con zonas de almacenamiento en IaaS de Azure

Destinatarios

Esta arquitectura de referencia está diseñada para personas que buscan implementar una zona de almacenamiento administrada por el cliente para Citrix Content Collaboration dentro de su suscripción a Azure. Estas personas incluyen responsables de la toma de decisiones de TI, consultores, integradores de soluciones y socios.

Objetivo del presente documento

Citrix Content Collaboration permite a los clientes seleccionar la ubicación donde se almacenan sus archivos. Los clientes pueden optar por almacenar archivos dentro de la zona de almacenamiento nativa de la nube de Citrix o en una ubicación de zona de almacenamiento administrada por el cliente. Las zonas de almacenamiento administradas por el cliente pueden estar en su centro de datos local, en una nube pública de su elección o en una combinación. La zona de almacenamiento administrada por el cliente también funciona como puerta de enlace a repositorios existentes, como recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint Server. Este documento se centra específicamente en la orientación para implementar zonas de almacenamiento en la nube de Azure. El alcance de este documento se limita a:

  • Componentes de arquitectura para una zona de almacenamiento de Azure
  • Proporcionar orientación sobre la ubicación donde almacenar objetos de archivo persistentes y caché
  • Proporcionar orientación sobre la configuración de Citrix Application Delivery Controller (ADC) para una experiencia óptima del usuario
  • Recomendación de prácticas recomendadas para integrar soluciones antivirus en la zona de almacenamiento

Introducción a la plataforma Content Collaboration

Citrix Content Collaboration es una plataforma de colaboración de contenido empresarial que permite a TI ofrecer un sólido servicio de sincronización y uso compartido de datos. Este servicio satisface las necesidades de movilidad y colaboración de los usuarios y los requisitos de seguridad de datos de la empresa. Citrix Content Collaboration ofrece la flexibilidad de elegir la ubicación donde se almacenan los archivos en reposo. Citrix Content Collaboration consta de tres componentes principales: el plano de administración de Content Collaboration, las zonas de almacenamiento y las aplicaciones Citrix Files.

  • Plano de gestión: Componente gestionado por Citrix que aloja los servicios de Content Collaboration y la lógica empresarial, alojado en Estados Unidos o en la Unión Europea.
  • Zonas de almacenamiento: La ubicación donde se almacenan los archivos del cliente. Los clientes pueden elegir dónde almacenar los archivos. Los archivos están alojados por Citrix o por el cliente. La ubicación del cliente puede ser su propio centro de datos o una nube pública. Esta arquitectura de referencia se centra en una zona de almacenamiento administrada por el cliente alojada en Azure.
  • Citrix Files (lado cliente): aplicaciones nativas que proporcionan acceso a los servicios de Content Collaboration. Las aplicaciones de Citrix Files están disponibles para Windows, macOS, iOS. Android, Outlook y Gmail.

Descripción general del componente de colaboración de contenido

Casos de uso

Los clientes implementan sus propias zonas de almacenamiento administradas por el cliente por diferentes razones. Entre los casos de uso típicos para utilizar zonas de almacenamiento en Azure se incluyen:

  • Rendimiento: mientras Citrix aloja zonas de almacenamiento en varias regiones geográficas, es posible que los clientes de determinadas regiones no tengan acceso a una zona que proporcione la experiencia de usuario que esperan los empleados. Los clientes pueden implementar la zona de almacenamiento directamente en su centro de datos más cerca de los usuarios, sin embargo, este diseño impone un coste de CAPEX con costes operativos continuos. Con 54 regiones de Azure en todo el mundo, los clientes tienen más opciones para implementar la zona de almacenamiento en una región más cercana a sus usuarios. Esto reduce la latencia al transferir archivos proporcionando una mejor experiencia de usuario a empleados y colaboradores externos. Cuando implemente una ubicación de recursos de Citrix Virtual App and Desktop en Azure, implemente siempre una zona de almacenamiento de colaboración de contenido en la misma región de Azure. Eso pone los datos en una proximidad más cercana a sus App/Desktops.
  • Gobernanza y residencia de datos: De manera similar a la declaración anterior, es posible que se requiera que un cliente aloje los datos en una geografía específica en la que Citrix podría no tener esa huella. La alternativa sería hospedar al cliente en su propio centro de datos y estar potencialmente cubierto por una de las regiones de Azure.
  • Modernizar los repositorios existentes: la migración de archivos no siempre es posible o puede llevar mucho tiempo. Al implementar una zona de almacenamiento administrada por el cliente, los clientes pueden desbloquear directamente un estilo de trabajo moderno en cualquier dispositivo sin tener que migrar los datos existentes.

Arquitectura de la zona de almacenamiento administrada por el Azure

La zona de almacenamiento administrada por el cliente almacena todos los objetos de archivo cargados en el servicio Content Collaboration. También proporciona acceso a estos objetos de archivo, tanto a empleados como a personas externas que colaboran en estos archivos. Otra función de la zona de almacenamiento es proporcionar acceso a repositorios existentes alojados en las instalaciones. Estos repositorios incluyen recursos compartidos de archivos de red, bibliotecas de documentos de SharePoint Server y el sistema de administración de documentos OpenText Documentum. Para proporcionar esas capacidades, la zona de almacenamiento incluye estos componentes.

  • Controladores de zona de almacenamiento: Servidores web basados en Windows que hospedan los servicios de controlador de zona de almacenamiento.
  • Repositorio de almacenamiento: la ubicación en la que se almacenan de forma persistente los objetos de archivos de Citrix. Recomendación: Almacenamiento de blobs de Microsoft Azure o un recurso compartido SMB alojado en una VM de Azure IaaS. Se recomienda configurar el recurso compartido de archivos para que esté altamente disponible mediante Storage Spaces Direct. Para mejorar el rendimiento del recurso compartido SMB, conecte discos de datos premium.
  • Caché de almacenamiento: ubicación en la que los archivos de datos del software cliente de Citrix Files se almacenan temporalmente en caché. Recomendación: Utilice archivos de Azure o un recurso compartido SMB estándar adjunto a una máquina virtual. Si utiliza un recurso compartido SMB, se recomienda configurar el recurso compartido de archivos para que esté altamente disponible mediante Storage Spaces Direct. Para mejorar el rendimiento del recurso compartido SMB, conecte discos de datos premium.
  • Citrix ADC: el controlador de entrega de aplicaciones proporciona equilibrio de carga de red, descarga SSL y servicios de autenticación para el tráfico entrante a la zona de almacenamiento.

Controladores de zonas de almacenamiento

El Controller de zona de almacenamiento es un paquete de Windows que consiste en servicios web ASP.NET y servicios de Windows en segundo plano. El software del controlador se ejecuta encima de una máquina virtual IaaS de Windows Server con Servicios de Internet Information Server (IIS). Se encuentran los requisitos del sistema para un controlador de zona de almacenamiento aquí.

El número de controladores de zona de almacenamiento necesarios depende de cómo se utiliza la implementación de la zona de almacenamiento. Varios factores influyen en este número, entre los que se incluyen los siguientes:

  • Cantidad de archivos nuevos y actualizados que se almacenan: Afecta el ancho de banda requerido entre los controladores de zona de almacenamiento y el repositorio de almacenamiento, para evitar que las colas de E/S de archivos se acumulen en el controlador de zona de almacenamiento.
  • Tamaño de los archivos almacenados: Los archivos entrantes se cargan en varias partes y los controladores de zona de almacenamiento vuelven a fusionar estas partes en un único objeto de archivo. La fusión de las piezas aumenta la utilización de la CPU, ya que los archivos más grandes requieren más potencia de procesamiento de la CPU.
  • Número simultáneo de sesiones: el número de sesiones simultáneas de transferencia de archivos a la zona de almacenamiento, ya sea para descargas de archivos o cargas de archivos, afecta a la cantidad de hosts de Controller necesarios.
  • Uso de conectores locales: los controladores de zona de almacenamiento actualizan los metadatos de archivos y carpetas en tiempo real cuando el usuario abre un conector o navega a otra carpeta.

Recomendamos implementar al menos dos controladores de zona de almacenamiento por zona de almacenamiento para propósitos de alta disponibilidad, y Citrix ADC proporciona servicios de equilibrio de carga para el tráfico entrante. La implementación de línea base de 2 controladores admite hasta 5.000 usuarios dentro del arrendatario de Content Collaboration. Agregue un host de controlador de almacenamiento a la zona de almacenamiento por cada 2.500 usuarios de más de 5.000 usuarios. El uso real de la zona de almacenamiento determina cuántos hosts de controlador se necesitan. Dependiendo del tamaño del archivo y la frecuencia de acceso, las implementaciones pueden variar desde 2 hosts de controlador por cada 250 usuarios hasta 4 hosts de controlador por cada 250.000 usuarios.

Las pruebas internas han demostrado que el número máximo óptimo de controladores por zona de almacenamiento es 4. Para implementaciones en las que se necesitan más controladores en un solo sitio, se recomienda configurar varias zonas de almacenamiento.

Para configurar el controlador de zonas de almacenamiento en Azure, se recomienda:

  • Liderando con las máquinas serie virtuales DS o FS como máquinas de servidor: comience con el tipo de instancia DS4v2 y modifique desde allí. La modificación de los tipos de instancia del controlador de almacenamiento no requiere una reinstalación de componentes, solo un reinicio. Para obtener más información sobre los límites de VM (IOPS/Throughput/CPU), consulte lo siguiente enlace.
  • Se recomienda utilizar un disco premium en la máquina virtual con Host Caché establecido en Lectura/Escritura.
  • Habilitación del puerto 443 en NSG (Grupos de seguridad de red) en los adaptadores de Storage Controller.
  • Al crear varios controladores, asegúrese de que se crean dentro de un Conjunto de Disponibilidad o Zona de Disponibilidad en función de sus requisitos de fiabilidad/disponibilidad.

Consulte el capítulo Supervisión del rendimiento para obtener más detalles.

Repositorio de almacenamiento

Almacenamiento de blobs de Azure: use Azure Blob Storage para almacenar los objetos de archivo. Los hosts del controlador de zona de almacenamiento utilizan las API nativas para realizar transferencias de archivos.

Se recomienda crear una cuenta de almacenamiento V2 con rendimiento premium en Azure con GRS (almacenamiento georedundante) como mecanismo de replicación. Si el usuario decide no tener una redundancia geográfica, la guía general es configurar con LRS (almacenamiento redundante localmente). Sin embargo, los usuarios deben tener en cuenta que hay un límite de 20.000 IOPS para las cuentas de almacenamiento de Azure. Consulte esta documentación de Microsoft para la cuenta de almacenamiento límites.

Usocompartido de archivos SMB: si la capacidad necesaria supera las 20.000 IOPS, se recomienda utilizar un recurso compartido de archivos SMB en una máquina virtual de Azure. Adjunte varios discos de datos administrados al host de la carpeta compartida. Cuando diseñe su recurso compartido de archivos IaaS de alta disponibilidad, asegúrese de utilizar Storage Spaces Direct y siga de cerca los límites de rendimiento. Los límites de IOPS se imponen a disco administrado los tipos y tamaños además de Tipos de VM (lo que sea más bajo). Alternativamente, el usuario puede considerar Azure NetApp Files (disponible de alta disponibilidad).

Memoria caché

Archivos de Azure: una caché local en Azure Files almacena los archivos más recientes que se cargan o se descargan desde la zona de almacenamiento. La experiencia muestra que los archivos usados recientemente a menudo se sincronizan con diferentes dispositivos o se comparten con otras personas. No tener que recuperar esos archivos del repositorio de almacenamiento de blob de Azure cada vez aumenta la experiencia del usuario y reduce la cantidad de ancho de banda que se utiliza entre la zona de almacenamiento y el repositorio en la nube.

Azure Files admite el protocolo SMB y los recursos compartidos se pueden montar en un equipo con Windows. Consulte este artículo para el montaje Archivos de Azure.

Compartir archivos SMB: Alternativamente, se puede utilizar un recurso compartido de archivos SMB con discos de datos premium de alto rendimiento para la caché. Esta opción no está muy disponible por diseño y le sugerimos que utilice Storage Spaces Direct y tenga la VM parte de un conjunto de disponibilidad. Nuestra recomendación es adjuntar un SSD Premium a una serie DS o FS Azure Virtual Machines.

Nota: Nuestras pruebas no han mostrado diferencias significativas de rendimiento entre Azure Files y SSD Premium.

Arquitectura de la zona de Azure

Cifrado de objetos de archivo

La zona de almacenamiento permite configurar el cifrado de todos los objetos de archivo en un nivel de archivo. Los hosts del controlador de zona de almacenamiento cifran mediante una clave de cifrado AES de 256 bits generada durante la configuración inicial de la zona de almacenamiento. La habilitación del cifrado afecta el rendimiento de los hosts del controlador de zona de almacenamiento, ya que el cifrado y descifrado de objetos de archivos aumenta la utilización de la CPU.

Se recomienda utilizar esta opción cuando la directiva de seguridad corporativa requiere el cifrado de todos los archivos y no hay otros medios disponibles para cifrar la capa de almacenamiento. El cifrado por los hosts del controlador de zona de almacenamiento elimina la capacidad de realizar la deduplicación de datos en la carpeta de almacenamiento persistente dentro de la zona de almacenamiento. El cifrado también hace imposible recuperar datos al reconstruir la zona de almacenamiento sin acceso al archivo SCKeys.txt o a la frase de contraseña de configuración.

Citrix ADC

El controlador de entrega de aplicaciones se utiliza delante de la zona de almacenamiento. Citrix ADC realiza las siguientes funciones:

  • Descarga SSL: Las sesiones SSL entrantes para la zona de almacenamiento se terminan en el ADC. Dependiendo de los requisitos de seguridad y supervisión del cliente, el tráfico entre el ADC y los hosts del Controller de zona de almacenamiento puede cifrarse o no cifrarse.
  • Equilibrio de carga: el ADC equilibra la carga del tráfico entre los hosts del controlador de zona de almacenamiento para proporcionar alta disponibilidad. Para determinar qué hosts de Controller de zona de almacenamiento están operativos, el ADC supervisa los resultados de los latidos de cada host. Los hosts que tienen una respuesta no válida al latido se consideran sin conexión y no se dirigen sesiones de transferencia de archivos hacia esos hosts.
  • Autenticación: los usuarios deben autenticarse al acceder a los conectores. Es recomendable realizar esta autenticación dentro de la DMZ y no permitir que los usuarios remotos entren en la LAN sin autenticar. Al configurar la delegación restringida de Kerberos en el Citrix ADC, los usuarios locales que acceden a conectores desde dispositivos unidos a un dominio se autentican sin problemas sin necesidad de proporcionar credenciales. Consulte este artículo para obtener más información.
  • Conmutación de contenido: el tráfico hacia el repositorio de Citrix Files difiere del tráfico a los conectores: los conectores requieren autenticación y el tráfico hacia el repositorio de Citrix Files siempre sin autenticación. Este tráfico se debe al uso compartido de archivos con usuarios externos, que no tienen credenciales para autenticarse con Active Directory del cliente. Debido a esta diferencia, el ADC realiza la conmutación de contenido para separar este tráfico y aplicar las directivas de autenticación al equilibrador de carga para el tráfico de conectores. En el equilibrador de carga para el tráfico de Citrix Files, se configura una directiva de respuesta para validar la autenticidad de la solicitud: solo se permiten las solicitudes que se originan con una solicitud desde el plano de administración de Content Collaboration a los hosts del controlador de zona de almacenamiento.

Separación de sesiones de usuario locales y remotas

Para proporcionar la mejor experiencia de usuario posible a los usuarios locales, la configuración del Citrix ADC se separa para los usuarios locales y remotos. Se considera que los usuarios locales acceden a la zona de almacenamiento desde un dispositivo unido al dominio o desde un dispositivo móvil. Los dispositivos móviles utilizan la aplicación Citrix Files en iOS o Android administrada con Citrix Endpoint Management. Otra razón para implementar interfaces internas y externas en el ADC es aumentar la seguridad. Citrix ADC se encuentra dentro de la DMZ, con la interfaz externa en la red DMZ y la interfaz interna en la red local. Para permitir que los usuarios locales accedan a la dirección IP correcta, es necesario configurar un DNS dividido , ya que la zona de almacenamiento solo tiene un único nombre DNS público y un certificado.

Los usuarios locales acceden a la zona de almacenamiento desde un servidor de equilibrio de carga interno o un servidor de conmutación de contenido con una dirección IP interna. La opción para un servidor de equilibrio de carga o un servidor de conmutación de contenido se basa en si la autenticación de conectores debe tener lugar en el Citrix ADC. En ese caso, se necesita un servidor de conmutación de contenido y el servidor de equilibrio de carga para conectores para usuarios locales utiliza Kerberos para autenticar a los usuarios al acceder a conectores. Los usuarios remotos acceden a la zona de almacenamiento desde un conmutador de contenido externo con una dirección IP en el rango DMZ. El servidor de equilibrio de carga para conectores para usuarios remotos utiliza Autenticación básica (nombre de usuario y contraseña) para autenticar a los usuarios al acceder a conectores. La autenticación para conectores en los hosts del Controller de zona de almacenamiento utiliza la autenticación de Windows, los repositorios de conectores utilizan el método de autenticación configurado en el repositorio. Para SharePoint Server, esta autenticación suele ser Kerberos, para servidores de archivos la autenticación suele ser NTLM.

Diseño ADC único dentro de DMZ y red interna

Nota: En lugar de utilizar un solo ADC en el límite de la DMZ y la red local, otra configuración está utilizando dos ADC independientes. Utilice un Citrix ADC dentro de la DMZ para usuarios externos y otro Citrix ADC en la red local para usuarios internos.

Diseño de dos ADC, uno en DMZ y otro en red local

Otras consideraciones

Además de los componentes arquitectónicos clave descritos anteriormente, incluimos orientaciones generales sobre las soluciones antivirus y la supervisión del rendimiento para zonas de almacenamiento.

Integración con soluciones antivirus

Recomendamos analizar todos los archivos cargados en la zona de almacenamiento en busca de virus y malware. Debido a la separación de los metadatos del archivo del objeto de archivo, no se recomienda analizar y eliminar archivos infectados o sospechosos directamente de la zona de almacenamiento. Si bien esto elimina el archivo, los metadatos del archivo persisten y el usuario vaya el archivo dentro de sus aplicaciones Citrix Files y la interfaz de usuario web. Cuando intentan acceder al archivo, se muestra un mensaje de error indicando que el archivo no existe.

Para proporcionar una mejor experiencia de usuario y mantener el nivel de seguridad requerido, la zona de almacenamiento puede aprovechar las soluciones antivirus a través de una interfaz ICAP. Al recibir archivos nuevos y actualizados, los hosts del controlador de zona de almacenamiento agregan el archivo a la cola de análisis. El archivo se envía a través de ICAP a los servidores antivirus y después de escanear el archivo, los servidores antivirus devuelven el resultado. Los hosts del Controller de zona de almacenamiento cargan este estado para agregarlos a los metadatos de archivo almacenados dentro del plano de administración de Content Collaboration. En función de la directiva antivirus configurada para la cuenta de arrendatario, los usuarios no pueden descargar o compartir archivos marcados como infectados.

Sugerencias para la supervisión

El Controller de zona de almacenamiento es una aplicación web ASP.NET que se ejecuta en Internet Information Server. La supervisión del rendimiento del host del Controller de zona de almacenamiento sigue los principios generales de supervisión de cualquier servidor web que ejecute aplicaciones ASP.NET. A continuación se indican las métricas recomendadas para identificar problemas de rendimiento.

Memoria

  • Mbytes disponibles: valor sostenido del 20% o superior del total de RAM disponible.
  • Páginas de entrada por seg.: igual o inferior a 15. Cuanto menor sea el valor, mejor será el rendimiento de la Controller de zona de almacenamiento.
  • Páginas/seg: valor sostenido de 5 o menos.

Disco lógico

  • % de tiempo de disco: valor sostenido del 50% o inferior.
  • Longitud media de la cola de disco: menor o igual al número de husillos más 2.
  • Duración media de la cola de lectura de disco: por debajo de 2.
  • Longitud media de la cola de escritura en disco: por debajo de 4.
  • Promedio de seg/lectura de disco: igual o menor que 15 ms, con picos inferiores a 25 ms.
  • Promedio de seg/escritura de disco: igual o inferior a 15 ms o inferior, con picos inferiores a 25 ms.
  • Promedio de sec/transferencia de disco: igual o inferior a 20 ms.

Procesador

Ejecute los monitores de rendimiento del procesador contra el sistema operativo y el proceso W3WP que ejecuta la aplicación de controlador de zona de almacenamiento. Si los valores están cerca uno del otro, entonces los servicios web están consumiendo la CPU, si no, entonces otros procesos están afectando el rendimiento del sistema.

  • % Tiempo privilegiado: valor sostenido del 75% o inferior.
  • % de tiempo de procesador: valor sostenido del 85% o inferior.

Sistema

  • Conmutadores de contenido por segundo: igual o inferior a 15.000 por segundo por CPU.

Caché de servicios web

  • Kernel: URI Caché Hits%: mayor que 80%.

Aplicaciones ASP.NET v4.0.30319 (Total)

  • Tiempo de espera de solicitud: igual o inferior a 1.000 ms.

Resumen

Citrix Content Collaboration ofrece la capacidad de almacenar archivos en la ubicación que mejor se adapte a las necesidades de su organización. En este documento se describe la arquitectura para implementar la zona de almacenamiento de Content Collaboration en sus IaaS de Microsoft Azure y todos los componentes necesarios. El caso de uso del servicio Content Collaboration en su organización afecta a los componentes necesarios:

  • Lugar donde se almacenan los objetos de archivo persistentes
  • Una caché de almacenamiento donde se pueden recuperar los archivos a los que se ha accedido recientemente
  • Acceso al repositorio de almacenamiento de Content Collaboration y a los repositorios existentes a través de conectores de zona de almacenamiento.
  • Los tipos de dispositivo de los usuarios que acceden a la zona de almacenamiento y el tipo de colaboración externa. La arquitectura descrita cubre el modelo de implementación probado y soportado que nuestros clientes implementan junto con los equipos de Citrix Services. El caso de uso más común es acceder tanto al repositorio de almacenamiento de Content Collaboration como a los repositorios existentes a través de conectores de zona de almacenamiento.

Referencias

Recursos para Citrix Content Collaboration

Recursos para el Controller de zona de almacenamiento

Guía de implementación de Citrix Files con Citrix Virtual Apps and Desktops Service

Content Collaboration contenido con zonas de almacenamiento en IaaS de Azure