Aperçu de l’architecture

Cette section fournit une vue d’ensemble du déploiement du StorageZones Controller pour des évaluations de validation de concept ou des environnements de production à haute disponibilité. Le déploiement haute disponibilité est affiché avec et sans proxy DMZ tel que Citrix ADC.

Pour évaluer un déploiement avec plusieurs StorageZones Controller, suivez les instructions relatives à un déploiement haute disponibilité.

Chacun des scénarios de déploiement nécessite un compte ShareFile Enterprise. Par défaut, ShareFile stocke les données dans le cloud sécurisé géré par ShareFile. Pour utiliser le stockage de données privé, un partage réseau local ou un système de stockage tiers pris en charge, configurez des zones de stockage pour ShareFile Data.

Pour fournir en toute sécurité des données aux utilisateurs à partir de partages de fichiers réseau ou de bibliothèques de documents SharePoint, configurez les StorageZone Connector.

Déploiement de la preuve de concept du StorageZones Controller

Attention :

Un déploiement de validation de principe est destiné uniquement à des fins d’évaluation et ne doit pas être utilisé pour le stockage des données critiques.

Un déploiement de validation de principe utilise un StorageZones Controller unique. L’exemple de déploiement décrit dans cette section a à la fois des zones de stockage pour les données ShareFile et des StorageZone Connector activés.

Pour évaluer un StorageZones Controller unique, vous pouvez éventuellement stocker des données dans un dossier (tel que C:\ZoneFiles) sur le disque dur du StorageZones Controller au lieu de sur un partage réseau distinct. Toutes les autres exigences système s’appliquent à un déploiement d’évaluation.

Déploiement de validation de concept pour les zones de stockage standard

Un StorageZones Controller configuré pour les zones standard doit accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, le Controller doit avoir une adresse Internet accessible au public et SSL activés pour les communications avec le nuage ShareFile. La figure suivante indique le flux de trafic entre les machines utilisateur, le cloud ShareFile et le StorageZones Controller.

Déploiement de validation de concept pour les zones standard

Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. StorageZones Controller réside à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS du StorageZones Controller.

Déploiement haute disponibilité du StorageZones Controller

Pour un déploiement en production de ShareFile avec une haute disponibilité, la meilleure pratique recommandée consiste à installer au moins deux StorageZones Controller. Lorsque vous installez le premier Controller, vous créez une zone de stockage. Lorsque vous installez les autres contrôleurs, vous les joignez à la même zone. Les StorageZones Controller appartenant à la même zone doivent utiliser le même partage de fichiers pour le stockage.

Dans un déploiement à haute disponibilité, les serveurs secondaires sont des StorageZones Controller indépendants et entièrement fonctionnels. Le sous-système de contrôle des zones de stockage choisit aléatoirement un StorageZones Controller pour les opérations. Si le serveur principal se déconnecte, vous pouvez facilement promouvoir un serveur secondaire au rang de serveur principal. Vous pouvez également rétrograder un serveur primaire au rang de serveur secondaire.

Déploiement haute disponibilité pour les zones standard

Les StorageZones Controller configurés pour les zones de stockage standard doivent accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, chaque Controller doit avoir une adresse Internet accessible au public et SSL activés pour les communications avec le nuage ShareFile. Vous pouvez configurer plusieurs adresses publiques externes, chacune associée à un contrôleur de zones de stockage différent.La figure suivante montre un déploiement haute disponibilité pour les zones de stockage standard.

Déploiement haute disponibilité pour les zones de stockage standard

À l’instar du scénario de déploiement de la preuve de concept ci-dessus, un pare-feu se situe entre Internet et le réseau sécurisé. Les StorageZones Controller résident à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS de tous les StorageZones Controller.

Configuration du stockage partagé

Les StorageZones Controller appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Les StorageZones Controller accèdent au partage à l’aide de l’utilisateur du pool de comptes IIS. Par défaut, les pools d’applications fonctionnent sous le compte d’utilisateur Service réseau, qui dispose de droits d’utilisateur de bas niveau. Un StorageZones Controller utilise le compte de service réseau par défaut.

Vous pouvez utiliser un compte d’utilisateur nommé au lieu du compte Service réseau pour accéder au partage. Pour utiliser un compte d’utilisateur nommé, spécifiez le nom d’utilisateur et le mot de passe dans la page Configuration de la console des zones de stockage. Exécutez le pool d’applications IIS et Citrix ShareFile Services à l’aide du compte Service réseau.

Connexions réseau

Les connexions réseau varient en fonction du type de zone — géré par Citrix ou standard.

Zones gérées par Citrix

Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone gérée par Citrix. Toutes les connexions utilisent HTTPS.

Étape Source Destination
1. Demande d’ouverture de session utilisateur Client company.sharefile.com:443
2. (Facultatif) Rediriger vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML
3. Énumération de fichiers/dossiers et demande de téléchargement Client company.sharefile.com:443
4. Téléchargement de fichier Client storage-location.sharefile.com:443

Zones de stockage standard

Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone de stockage standard. Toutes les connexions utilisent HTTPS.

Étape Source Destination
1. Demande d’ouverture de session utilisateur Client company.sharefile.com
2. (Facultatif) Si vous utilisez ADFS, redirigez vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML
3. Énumération de fichiers/dossiers et demande de téléchargement Client company.sharefile.com
4. Autorisation de téléchargement de fichier company.sharefile.com szc.company.com
5. Téléchargement de fichier Client szc.company.com

Déploiement du proxy DMZ du StorageZones Controller

Une zone démilitarisée (DMZ) fournit une couche supplémentaire de sécurité pour le réseau interne. Un proxy DMZ, tel que Citrix ADC VPX, est un composant facultatif utilisé pour :

  • Assurez-vous que toutes les demandes adressées à un StorageZones Controller proviennent du cloud ShareFile, de sorte que seul le trafic approuvé atteint les StorageZones Controller.

    Controller de zones de stockage a une opération de validation qui vérifie les signatures d’URI valides pour tous les messages entrants. Le composant DMZ est chargé de valider les signatures avant de transférer les messages.

  • Demandes d’équilibrage de charge aux StorageZones Controller utilisant des indicateurs d’état en temps réel.

    Les opérations peuvent être équilibrées de charge sur les StorageZones Controller s’ils peuvent tous accéder aux mêmes fichiers.

  • Déchargez SSL des StorageZones Controller.

  • Assurez-vous que les demandes de fichiers sur des lecteurs SharePoint ou réseau sont authentifiées avant de passer par la DMZ.

Déploiement des StorageZones Controller et d’Citrix ADC

Déploiement pour les zones de stockage standard

Les StorageZones Controller configurés pour les zones standard doivent accepter les connexions entrantes à partir du cloud ShareFile. Pour ce faire, Citrix ADC doit disposer d’une adresse Internet accessible au public et d’une connexion SSL activée pour les communications avec le cloud ShareFile.

StorageZones Controller avec zones standard

Dans ce scénario, deux pare-feu se trouvent entre Internet et le réseau sécurisé. Les contrôleurs de zones de stockage résident dans le réseau interne. Les connexions utilisateur à ShareFile doivent traverser le premier pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL public sur le service IIS des serveurs proxy DMZ (s’ils mettent fin à la connexion utilisateur).

Connexions réseau pour les zones standard

Le diagramme et le tableau suivants décrivent les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone standard déployée derrière Citrix ADC. Dans ce cas, le compte utilise Active Directory Federation Services (ADFS) pour l’ouverture de session SAML.

Le trafic d’authentification est géré dans la zone DMZ par un serveur proxy ADFS qui communique avec un serveur ADFS sur le réseau approuvé. L’activité des fichiers est accessible via Citrix ADC dans la DMZ, qui met fin à SSL, authentifie les demandes des utilisateurs, puis accède au StorageZones Controller dans le réseau approuvé pour le compte des utilisateurs authentifiés. L’adresse externe Citrix ADC pour ShareFile est accessible à l’aide du nom de domaine complet Internet szc.company.com.

Connexions d'ouverture de session et de téléchargement pour les zones de stockage sur site

Étape Source Destination Protocole
1. Demande d’ouverture de session utilisateur Client company.sharefile.com HTTPS
2. (Facultatif) Rediriger vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML HTTPS
2a. Ouverture de session ADFS Proxy ADFS Serveur ADFS HTTPS
3. Énumération de fichiers/dossiers et demande de téléchargement Client company.sharefile.com HTTPS
4. Autorisation de téléchargement de fichier ShareFile szc.company.com (adresse externe) HTTP(S)
4a. Autorisation de téléchargement de fichier IP Citrix ADC (NSIP) StorageZones Controller HTTPS
5. Téléchargement de fichier Client szc.company.com (adresse externe) HTTPS
5a. Téléchargement de fichier IP Citrix ADC (NSIP) StorageZones Controller HTTP(S)

Le diagramme et le tableau suivants étendent le scénario précédent pour afficher les connexions réseau pour StorageZone Connector. Ce scénario inclut l’utilisation de NetScaler dans la zone DMZ pour mettre fin à SSL et effectuer l’authentification utilisateur pour l’accès aux connecteurs.

Connexions d'ouverture de session et de téléchargement pour les StorageZone Connector

Étape Source Destination Protocole
1. Demande d’ouverture de session utilisateur Client company.sharefile.com HTTPS
2. (Facultatif) Rediriger vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML HTTPS
2a. Ouverture de session ADFS Proxy ADFS Serveur ADFS HTTPS
3. Énumération des connecteurs de niveau supérieur Client company.sharefile.com HTTPS
4. Ouverture de session de l’utilisateur sur le serveur de StorageZones Controller Client szc.company.com (adresse externe) HTTPS
5. Authentification utilisateur IP Citrix ADC (NSIP) Controller de domaine AD LDAP(S)
6. Énumération de fichiers/dossiers et demandes de chargement/téléchargement IP Citrix ADC (NSIP) StorageZones Controller HTTP(S)
7. Énumération de partage réseau et téléchargement/téléchargement StorageZones Controller Serveur de fichiers CIFS ou DFS
7a. Énumération SharePoint et téléchargement/téléchargement StorageZones Controller SharePoint HTTP(S)

Le diagramme suivant résume les combinaisons de types d’authentification prises en charge selon que l’utilisateur s’authentifie.

Combinaisons de types d'authentification prises en charge