Content Collaboration avec zones de stockage locales

Public

Ce document d’architecture de référence s’adresse aux décideurs informatiques, aux consultants, aux intégrateurs de solutions et aux partenaires qui cherchent à déployer une zone de stockage gérée par le client pour Citrix Content Collaboration au sein du centre de données client.

Objectif

Citrix Content Collaboration permet aux clients de sélectionner l’emplacement où leurs fichiers sont stockés. Les clients peuvent choisir de stocker des fichiers dans la propre zone de stockage cloud native de Citrix, dans un emplacement de zone de stockage client dans le centre de données ou le cloud de leur choix, ou dans une combinaison. En plus de cet emplacement, la zone de stockage local fonctionne également comme passerelle vers les référentiels existants tels que les partages de fichiers réseau et les bibliothèques de documents SharePoint Server. La portée du présent document est limitée aux éléments suivants :

  • Composants architecturaux pour une zone de stockage sur site
  • Fournir des conseils sur l’emplacement où stocker les objets de fichiers persistants
  • Fournir des conseils sur la configuration de Citrix ADC pour une expérience utilisateur optimale
  • Intégrer des solutions antivirus dans la zone de stockage locale

Cas d’utilisation

Les clients déploient leurs propres zones de stockage gérées par le client pour différentes raisons. Les cas d’utilisation typiques comprennent :

  • Souveraineté des données : pour se conformer aux réglementations locales ou internes en matière de conformité, les clients peuvent avoir l’obligation de stocker tous les fichiers dans leur propre centre de données. Avec une zone de stockage gérée par le client, le client peut bénéficier des capacités de productivité et de collaboration de Citrix Content Collaboration, tout en stockant tous les fichiers dans son propre centre de données.
  • Performances : Citrix héberge des zones de stockage dans plusieurs régions géographiques, mais les clients de certaines régions ne peuvent pas avoir accès à une zone offrant l’expérience utilisateur attendue par les employés. En déployant une zone de stockage gérée par le client, ces clients peuvent héberger les objets de fichier plus près de leurs utilisateurs, ce qui réduit la latence lors du transfert de fichiers. Cela offre une meilleure expérience utilisateur aux employés et aux collaborateurs externes.
  • Moderniser les référentiels existants : La migration des fichiers n’est pas toujours possible ou peut prendre du temps. Avec Citrix Content Collaboration, cela ne signifie pas que les employés ne peuvent pas avoir ou doivent attendre des moyens modernes d’accéder aux fichiers et de les utiliser. En déployant une zone de stockage gérée par le client, les clients peuvent directement déverrouiller un style de travail moderne sur n’importe quel appareil sans avoir à migrer des données existantes.
  • Protéger les investissements en infrastructure : en hébergeant la zone de stockage sur site et en utilisant du matériel de stockage déjà déployé comme un NAS, les clients peuvent fournir une plate-forme de collaboration cloud native moderne sans que leur matériel de stockage ne devienne obsolète.

Présentation de la plateforme Content Collaboration

Citrix Content Collaboration est une plateforme de Content Collaboration d’entreprise qui permet au service informatique de fournir un service robuste de partage et de synchronisation des données qui répond aux besoins de mobilité et de collaboration des utilisateurs et aux exigences de sécurité des données de l’entreprise. Citrix Content Collaboration offre la flexibilité nécessaire pour choisir l’emplacement où les fichiers sont stockés au repos, soit dans un référentiel de stockage natif dans le cloud géré par Citrix ou dans un référentiel de stockage géré par le client.

Citrix Content Collaboration se compose de trois composants principaux : le plan de gestion Content Collaboration, les zones de stockage et les applications Citrix Files.

  • Plan de gestion : un composant géré par Citrix qui héberge les services Content Collaboration et la logique métier, hébergé aux États-Unis ou dans l’Union européenne.
  • Zones de stockage : l’emplacement où les fichiers client sont stockés. Les clients ont le choix d’où stocker des fichiers, hébergés par Citrix ou hébergés par le client dans leur propre centre de données ou sur leurs propres abonnements au service cloud public. Cette architecture de référence se concentre sur une zone de stockage gérée par le client hébergée à l’intérieur du datacenter client.
  • Citrix Files : applications natives donnant accès aux services Content Collaboration. Les applications Citrix Files sont disponibles pour Windows, macOS, iOS et Android, en plus d’Outlook et Gmail.

Présentation de Citrix Content Collaboration

Architecture de zone de stockage gérée par le client

La zone de stockage gérée par le client stocke tous les objets fichiers téléchargés vers le service Content Collaboration. Il permet également d’accéder à ces objets de fichier, tant aux employés que aux personnes externes qui collaborent sur ces fichiers. La troisième et dernière fonction de la zone de stockage consiste à fournir l’accès aux référentiels existants hébergés sur site, tels que les partages de fichiers réseau, les bibliothèques de documents SharePoint Server et le système de gestion de documents OpenText Documentum. Pour fournir ces fonctionnalités, la zone de stockage inclut ces composants.

  • Contrôleurs de zone de stockage : serveurs Web Windows qui hébergent les services de contrôleur de zone de stockage.
  • Référentiel de stockage : emplacement où les objets Citrix Files sont stockés. Cet emplacement est généralement un partage de fichiers réseau, mais peut également être un emplacement de stockage en nuage public tel qu’Amazon S3, Microsoft Azure Storage ou Google Cloud Storage.
  • Citrix ADC : l’application Delivery Controller fournit des services d’équilibrage de charge réseau, de déchargement SSL et d’authentification pour le trafic entrant vers la zone de stockage.

Contrôleurs de zone de stockage

Le contrôleur de zone de stockage est un package Windows composé de services Web ASP.NET et de services Windows d’arrière-plan. Le logiciel de contrôleur fonctionne sur Microsoft Windows Server avec Internet Information Services (IIS). La configuration système requise pour un contrôleur de zone de stockage se trouve ici :/en-us/storagezones-controller/5-0/system-requirements.html.

Pour réduire la surcharge du serveur et la surface d’attaque, il est recommandé d’utiliser des instances Windows Server Core avec les rôles de serveur d’applications Internet et ASP.NET activés.

Capacité à monter en charge

Le nombre de contrôleurs de zone de stockage requis dépend de la manière dont le déploiement de la zone de stockage est utilisé. Ce nombre est influencé par divers facteurs. Ces facteurs comprennent, sans s’y limiter, les suivants :

  • Quantité de fichiers nouveaux et mis à jour stockés : affecte la bande passante requise entre les contrôleurs de zone de stockage et le référentiel de stockage, afin d’empêcher les files d’attente d’E/S de fichiers de s’accumuler sur le contrôleur de zone de stockage.
  • Taille des fichiers stockés : les fichiers entrants sont chargés en plusieurs parties et les contrôleurs de zone de stockage fusionnent ces parties en un seul objet de fichier. La fusion des pièces augmente l’utilisation du processeur, avec des fichiers plus volumineux nécessitant plus de puissance de traitement du processeur.
  • Nombre simultané de sessions : le nombre de sessions de transfert simultanées de fichiers vers la zone de stockage, pour les téléchargements de fichiers ou les téléchargements de fichiers, a une incidence sur la quantité d’hôtes de Controller nécessaire.
  • Utilisation des connecteurs locaux : les métadonnées des fichiers et dossiers des référentiels existants sont récupérées en temps réel par les contrôleurs de zone de stockage lorsque l’utilisateur ouvre un connecteur ou navigue vers un autre dossier.

Il est recommandé de déployer au moins deux contrôleurs de zone de stockage par zone de stockage à des fins de haute disponibilité, le Citrix ADC fournissant des services d’équilibrage de charge pour le trafic entrant. Le chiffre de base pour un tel déploiement est de 5 000 utilisateurs à l’intérieur du locataire Content Collaboration, avec 2 500 utilisateurs par hôte contrôleur supplémentaire ajoutés à la zone de stockage. L’utilisation réelle de la zone de stockage détermine le nombre d’hôtes de contrôleur nécessaires. Les déploiements clients vont de 2 hôtes de contrôleur pour 250 utilisateurs, lorsque les utilisateurs travaillent avec des fichiers volumineux, à 4 hôtes de contrôleur pour 250 000 utilisateurs lorsque le cas d’utilisation est limité au partage de fichiers occasionnel.

Des tests internes ont montré que le nombre maximal optimal de contrôleurs par zone de stockage est de 4. Pour les déploiements nécessitant davantage de contrôleurs dans un seul site, il est recommandé de configurer plusieurs zones de stockage.

Voir leSuivi des performanceschapitre pour plus de détails.

Connecteurs

La fonctionnalité des connecteurs de zone de stockage permet aux employés d’accéder en toute sécurité aux référentiels existants. Les référentiels pris en charge sont les partages de fichiers réseau, les bibliothèques de documents SharePoint Server et OpenText Documentum. Les utilisateurs sont invités à s’authentifier avec leurs informations d’identification Active Directory lorsqu’ils accèdent à un connecteur configuré. Le contrôleur de zone de stockage utilise l’emprunt d’identité AD pour accéder aux référentiels sous-jacents pour le compte de l’utilisateur. Pour cela, tous les hôtes de contrôleur de zone de stockage doivent être membres de domaine et la délégation doit être configurée dans Active Directory pour permettre aux hôtes d’accéder à ces ressources.

Référentiel de stockage

Partage de fichiers réseau

Un partage de fichiers réseau est le référentiel le plus couramment utilisé pour les zones de stockage gérées par le client. Le partage de fichiers réseau peut être hébergé sur un serveur de fichiers distinct ou directement sur un référentiel de stockage prenant en charge cette fonctionnalité. Il est recommandé d’utiliser un NAS (NAS) d’E/S par seconde (NAS) à faible latence pour héberger le référentiel Content Collaboration afin d’offrir la meilleure expérience utilisateur pour les transferts de fichiers. La zone de stockage crée plusieurs dossiers à l’intérieur du dossier de stockage persistant pour augmenter le nombre total de fichiers pouvant être stockés dans le référentiel. Il est recommandé d’utiliser des serveurs de fichiers modernes pour pouvoir utiliser SMBv3 pour les transferts de fichiers entre les hôtes du contrôleur de zone de stockage et le référentiel de zone de stockage.

Important : l’utilisation de la fonction de réplication du système de fichiers distribués(DFS-R) de Microsoft n’est pas prise en charge. DFS-R verrouille les fichiers pour la réplication, ce qui rompt potentiellement le téléchargement réussi des fichiers vers la zone de stockage. Tous les fichiers téléchargés dans la zone de stockage sont divisés en plusieurs parties, lorsque toutes les parties sont arrivées et sont validées, les contrôleurs de zone de stockage fusionnent ces parties en un seul fichier. Les pièces individuelles étant verrouillées par DFS-R, les contrôleurs de zone de stockage ne peuvent pas effectuer cette action et le téléchargement échoue.

Zone de stockage gérée par le client avec référentiel local

Stockage en nuage public

Au lieu d’utiliser un partage de fichiers réseau, un référentiel de stockage en nuage public peut être utilisé pour stocker les objets de fichiers. Les hôtes du contrôleur de zone de stockage utilisent les API natives pour effectuer des transferts de fichiers. Dans cette architecture, un partage de fichiers réseau distinct est utilisé comme cache local. Le cache local stocke les derniers fichiers téléchargés ou téléchargés depuis la zone de stockage. L’expérience apprend que les fichiers récemment utilisés sont souvent synchronisés sur différents appareils ou partagés avec d’autres personnes. Ne pas avoir à récupérer ces fichiers du référentiel de stockage en nuage public à chaque fois augmente l’expérience utilisateur et réduit la quantité de bande passante utilisée entre la zone de stockage et le référentiel cloud.

Zone de stockage gérée par le client avec référentiel cloud

Chiffrement des objets de fichier

La zone de stockage permet de configurer le chiffrement de tous les objets de fichier au niveau du fichier. Le chiffrement est effectué par les hôtes du contrôleur de zone de stockage à l’aide d’une clé de chiffrement AES 256 bits générée lors de la configuration initiale de la zone de stockage. L’activation du chiffrement affecte les performances des hôtes du contrôleur de zone de stockage, car le chiffrement et le déchiffrement des objets de fichiers augmentent l’utilisation du processeur.

Il est recommandé d’utiliser cette option uniquement lorsque le chiffrement de tous les fichiers doit être activé conformément à la stratégie de sécurité de l’entreprise et qu’aucun autre moyen de chiffrer la couche de stockage n’est disponible. Le chiffrement par les hôtes du contrôleur de zone de stockage supprime la possibilité d’effectuer la déduplication des données sur le dossier de stockage persistant à l’intérieur de la zone de stockage. Cela rendra également impossible la récupération des données lors de la reconstruction de la zone de stockage sans accès au fichier SCKeys.txt contenant la clé de chiffrement ou la phrase secrète de configuration de la zone de stockage.

Citrix ADC

Le delivery controller de l’application est utilisé pour faire face à la zone de stockage. Citrix ADC exécute les fonctions suivantes :

  • Déchargement SSL : les sessions SSL entrantes pour la zone de stockage sont terminées sur l’ADC. Selon les exigences de sécurité et de surveillance du client, le trafic entre l’ADC et les hôtes du contrôleur de zone de stockage peut alors être chiffré ou non chiffré.
  • Équilibragede charge : le trafic est équilibré de charge entre les hôtes du contrôleur de zone de stockage par l’ADC pour assurer une haute disponibilité. Pour déterminer quels hôtes de contrôleur de zone de stockage sont opérationnels, l’ADC surveille les résultats du rythme cardiaque sur chaque hôte. Les hôtes qui ont une réponse non valide au rythme cardiaque sont considérés comme hors connexion et aucune session de transfert de fichiers n’est dirigée vers ces hôtes.
  • Authentification : les utilisateurs doivent s’authentifier lors de l’accès aux connecteurs Il est recommandé d’effectuer cette authentification à l’intérieur de la zone DMZ et de ne pas laisser les utilisateurs distants entrer dans le réseau local non authentifié. En configurant Kerberos Constrained Délégation sur Citrix ADC, les utilisateurs locaux qui accèdent aux connecteurs à partir de périphériques rattachés au domaine sont authentifiés de manière transparente sans devoir fournir d’informations d’identification.
  • Commutation de contenu : le trafic vers le référentiel de fichiers Citrix et les connecteurs diffère les uns des autres : les connecteurs nécessitent une authentification et le trafic vers le référentiel de fichiers Citrix est toujours sans authentification. Cela est dû au fait que le partage de fichiers avec des utilisateurs externes, qui n’ont pas d’informations d’identification pour s’authentifier auprès d’Active Directory du client. En raison de cette différence, ADC effectue la commutation de contenu pour séparer ce trafic et appliquer les stratégies d’authentification à l’équilibreur de charge pour le trafic des connecteurs. Sur l’équilibreur de charge pour le trafic de Citrix Files, une stratégie de répondeur est configurée pour valider l’authenticité de la demande : seules les demandes provenant d’une demande du plan de gestion Content Collaboration sont autorisées jusqu’aux hôtes du contrôleur de zone de stockage.

Séparation des sessions utilisateur locales et distantes

Pour offrir la meilleure expérience utilisateur possible aux utilisateurs locaux, la configuration sur Citrix ADC est séparée pour les utilisateurs locaux et distants. Les utilisateurs locaux sont considérés comme accédant à la zone de stockage à partir d’un périphérique joint au domaine ou des applications Citrix Files sur iOS et Android gérées avec Citrix Endpoint Management. Une autre raison pour déployer des interfaces internes et externes sur l’ADC est d’augmenter la sécurité. Le Citrix ADC est situé à l’intérieur de la zone DMZ, l’interface externe ayant une adresse IP à l’intérieur de la plage DMZ et l’interface interne ayant une adresse IP dans la plage locale. Pour permettre aux utilisateurs locaux d’accéder à l’adresse IP correcte, un DNS fractionné doit être configuré car la zone de stockage n’a qu’un seul nom DNS public et un seul certificat.

Les utilisateurs locaux accèdent à la zone de stockage à partir d’un serveur d’équilibrage de charge interne ou d’un serveur de commutation de contenu avec une adresse IP interne. Le choix d’un serveur d’équilibrage de charge ou d’un serveur de commutation de contenu est basé sur l’authentification des connecteurs sur Citrix ADC. Dans ce cas, un serveur de commutation de contenu est nécessaire et le serveur d’équilibrage de charge pour les connecteurs pour les utilisateurs locaux utilise Kerberos pour authentifier les utilisateurs lors de l’accès aux connecteurs. Les utilisateurs distants accèdent à la zone de stockage à partir d’un commutateur de contenu externe avec une adresse IP dans la plage DMZ. Le serveur d’équilibrage de charge pour les connecteurs pour les utilisateurs distants utilise l’authentification de base (nom d’utilisateur et mot de passe) pour authentifier les utilisateurs lors de l’accès aux connecteurs. L’authentification des connecteurs sur les hôtes du contrôleur de zone de stockage utilise l’authentification Windows, les référentiels de connecteurs utilisent la méthode d’authentification configurée sur le référentiel. Pour SharePoint Server, il s’agit généralement d’une authentification Kerberos, pour les serveurs de fichiers qui est généralement l’authentification NTLM.

Déploiement unique Citrix ADC

Remarque : au lieu de configurer un serveur de commutation de contenu interne et externe sur un seul ADC situé à la limite de la zone DMZ et du réseau local, il est également possible de configurer un Citrix ADC à l’intérieur de la zone DMZ pour les utilisateurs externes et un Citrix ADC sur le réseau local pour les utilisateurs internes.

Déploiement double Citrix ADC

Intégration avec des solutions antivirus

Tous les fichiers téléchargés dans la zone de stockage doivent être analysés à la recherche de virus et de logiciels malveillants. En raison de la séparation des métadonnées du fichier de l’objet de fichier, il n’est pas recommandé de rechercher et de supprimer les fichiers infectés ou suspects directement de la zone de stockage. Alors que cela supprimera le fichier, les métadonnées du fichier persistent et l’utilisateur verra le fichier dans ses applications Citrix Files et WebUI. Lorsqu’ils essaient d’accéder au fichier, un message d’erreur s’affiche indiquant que le fichier n’existe pas.

Pour offrir une meilleure expérience utilisateur et maintenir le niveau de sécurité requis, la zone de stockage peut appliquer des solutions antivirus via une interface ICAP. À la réception de fichiers nouveaux et mis à jour, les hôtes du contrôleur de zone de stockage ajoutent le fichier à la file d’attente d’analyse. Le fichier est envoyé via ICAP aux serveurs antivirus et après avoir analysé le fichier, les serveurs antivirus retournent le résultat. Les hôtes du Controller de zone de stockage téléchargent cet état à ajouter aux métadonnées de fichier stockées dans le plan de gestion Content Collaboration. En fonction de la stratégie antivirus configurée pour le compte locataire, les utilisateurs seront alors limités dans la possibilité de télécharger ou de partager des fichiers infectés.

Suivi des performances

Le contrôleur de zone de stockage est une application Web ASP.NET s’exécutant sur Internet Information Server. La surveillance des performances de l’hôte du contrôleur de zone de stockage suit les principes généraux de surveillance de tout serveur Web exécutant des applications ASP.NET. Vous trouverez ci-dessous des mesures recommandées pour identifier les problèmes de performance.

Memory

  • Moctets disponibles : Il n’est pas recommandé de descendre en dessous d’une valeur soutenue de 20 % de la RAM totale disponible.
  • Pages Entrée/sec : Il n’est pas recommandé de dépasser 15. Plus la valeur est faible, meilleures sont les performances du contrôleur de zone de stockage.
  • Pages/sec : ne peut pas dépasser une valeur maintenue de 5 ou plus.

Disque logique

  • % de temps disque : Il n’est pas recommandé de dépasser une valeur soutenue de 50 % ou plus.
  • Longueur moyenne de la file d’attente du disque : Il n’est pas recommandé de dépasser le nombre de broches plus 2.
  • Longueur moyenne de la file d’attente de lecture du disque : Il n’est pas recommandé d’être inférieure à 2.
  • Longueur moyenne de la file d’attente d’écriture du disque : Il n’est pas recommandé d’être inférieure à 4.
  • Sc de disque moyen : La moyenne n’est pas recommandée d’être de 15 ms ou moins, avec un maximum de 25 ms.
  • Moyenne disque sec/écriture : La moyenne n’est pas recommandée d’être de 15 ms ou moins, avec un maximum de 25 ms.
  • Disque/transfert moyen : Il n’est pas recommandé d’être inférieur à 20 ms.

Processeur

Les moniteurs de performances du processeur ne peuvent pas être effectués sur le système et pour le processus W3WP exécutant l’application contrôleur de zone de stockage. Si les valeurs sont proches les unes des autres, les services Web consomment l’UC, sinon d’autres processus ont un impact sur les performances du système.

  • % de temps privilégié : ne peut pas dépasser une valeur soutenue de 75 % ou plus.
  • % de temps processeur : ne peut pas dépasser une valeur soutenue de 85 % ou plus.

Système

  • Commutateurs de contenu/s : ne peut pas dépasser 15 000/seconde par processeur.

Cache de service Web

  • Kernel:URI Cache Hits% : Impossible de descendre en dessous de 80%.

ASP.NET Applications v4.0.30319 (Total)

  • Temps d’attente de la demande : ne peut pas dépasser 1 000 ms.

Synthèse

Citrix Content Collaboration offre la possibilité de stocker des fichiers dans l’emplacement qui correspond le mieux aux besoins de votre organisation. Ce document décrit l’architecture de déploiement de la zone de stockage Content Collaboration dans votre propre datacenter et tous les composants nécessaires.

Le cas d’utilisation du service Content Collaboration dans votre organisation a un impact sur les composants nécessaires :

  • Lieu où les objets de fichiers persistants sont stockés, sur site ou dans un référentiel de stockage en nuage public.
  • Accès au référentiel de stockage Content Collaboration et aux référentiels existants via des connecteurs de zone de stockage.
  • L’emplacement et les types de périphériques des utilisateurs accédant à la zone de stockage, ainsi que le type de collaboration externe.

L’architecture décrite couvre le modèle de déploiement le plus courant que nos clients implémentent en collaboration avec les équipes Citrix Services. Le cas d’utilisation le plus courant consiste à accéder à la fois au référentiel de stockage Content Collaboration et aux référentiels existants via des connecteurs de zone de stockage.

Références

Ressources pour Citrix Content Collaboration

Ressources pour le contrôleur de zone de stockage