Content Collaboration avec des zones de stockage sur Azure IaaS

Public

Cette architecture de référence est destinée aux personnes qui cherchent à déployer une zone de stockage gérée par le client pour Citrix Content Collaboration dans leur abonnement Azure. Ces personnes comprennent des décideurs informatiques, des consultants, des intégrateurs de solutions et des partenaires.

Objectif du présent document

Citrix Content Collaboration permet aux clients de sélectionner l’emplacement où leurs fichiers sont stockés. Les clients peuvent choisir de stocker des fichiers dans la zone de stockage natif du cloud de Citrix ou dans un emplacement de zone de stockage géré par le client. Les zones de stockage gérées par le client peuvent se trouver dans leur datacenter local, un cloud public de leur choix ou une combinaison. La zone de stockage gérée par le client fonctionne également comme passerelle vers les référentiels existants tels que les partages de fichiers réseau ou les bibliothèques de documents SharePoint Server. Ce document se concentre spécifiquement sur les conseils sur le déploiement de zones de stockage sur le cloud Azure. La portée du présent document est limitée aux éléments suivants :

  • Composants architecturaux pour une zone de stockage Azure
  • Fournir des conseils sur l’emplacement où stocker les objets de fichiers persistants et le cache
  • Fournir des conseils sur la configuration de Citrix Application Delivery Controller (ADC) pour une expérience utilisateur optimale
  • Meilleures pratiques recommandées pour intégrer des solutions antivirus dans la zone de stockage

Présentation de la plateforme Content Collaboration

Citrix Content Collaboration est une plateforme de collaboration de contenu d’entreprise qui permet aux services informatiques de fournir un service robuste de partage et de synchronisation des données. Ce service répond aux besoins de mobilité et de collaboration des utilisateurs et aux exigences de sécurité des données de l’entreprise. Citrix Content Collaboration offre la possibilité de choisir l’emplacement où les fichiers sont stockés au repos. Citrix Content Collaboration se compose de trois composants principaux : le plan de gestion Content Collaboration, les zones de stockage et les applications Citrix Files.

  • Plan de gestion : un composant géré par Citrix qui héberge les services Content Collaboration et la logique métier, hébergé aux États-Unis ou dans l’Union européenne.
  • Zones de stockage : l’emplacement où les fichiers client sont stockés. Les clients peuvent choisir où stocker les fichiers. Les fichiers sont hébergés par Citrix ou par le client. L’emplacement du client peut être son propre centre de données ou un cloud public. Cette architecture de référence se concentre sur une zone de stockage gérée par le client hébergée dans Azure.
  • Citrix Files (côté client) : applications natives donnant accès aux services Content Collaboration. Les applications Citrix Files sont disponibles pour Windows, macOS et iOS. Android, Outlook et Gmail.

Présentation du composant de collaboration de contenu

Cas d’utilisation

Les clients déploient leurs propres zones de stockage gérées par le client pour différentes raisons. Les cas d’utilisation typiques d’utilisation des zones de stockage sur Azure incluent :

  • Performances : alors que Citrix héberge des zones de stockage dans plusieurs régions géographiques, les clients de certaines régions peuvent ne pas avoir accès à une zone offrant l’expérience utilisateur attendue par les employés. Les clients peuvent déployer la zone de stockage directement dans leur datacenter plus près des utilisateurs, mais cette conception impose un coût de CAPEX avec des coûts opérationnels permanents. Avec 54 régions Azure à travers le monde, les clients ont plus de choix pour déployer la zone de stockage dans une région plus proche de leurs utilisateurs. Cela réduit la latence lors du transfert de fichiers, offrant une meilleure expérience utilisateur aux employés et aux collaborateurs externes. Lorsque vous déployez un emplacement de ressources Citrix Virtual App and Desktop dans Azure, déployez toujours une zone de stockage de collaboration de contenu dans la même région Azure. Cela permet aux données de se rapprocher de leurs App/Desktops.
  • Gouvernance et résidence des données : similaire à la déclaration précédente, un client peut être tenu d’héberger les données dans une zone géographique spécifique où Citrix pourrait ne pas avoir cette empreinte. L’alternative consisterait à héberger les clients dans leur propre centre de données et éventuellement être couverts par l’une des régions Azure.
  • Moderniser les référentiels existants : la migration des fichiers n’est pas toujours possible ou peut prendre du temps. En déployant une zone de stockage gérée par le client, les clients peuvent directement déverrouiller un style de travail moderne sur n’importe quel appareil sans avoir à migrer des données existantes.

Architecture de zone de stockage gérée par le client dans Azure

La zone de stockage gérée par le client stocke tous les objets de fichier téléchargés vers le service Content Collaboration. Il permet également d’accéder à ces objets de fichier, tant aux employés que aux personnes externes qui collaborent sur ces fichiers. Une autre fonction de la zone de stockage consiste à fournir l’accès aux référentiels existants hébergés sur site. Ces référentiels incluent les partages de fichiers réseau, les bibliothèques de documents SharePoint Server et le système de gestion de documents OpenText Documentum. Pour fournir ces fonctionnalités, la zone de stockage inclut ces composants.

  • Contrôleurs de zone de stockage : serveurs Web Windows qui hébergent les services de contrôleur de zone de stockage.
  • Référentiel de stockage : emplacement où les objets Citrix files sont stockés de manière persistante. Recommandation : Stockage blob Microsoft Azure ou un partage SMB hébergé par une machine virtuelle Azure IaaS. Nous vous recommandons de configurer le partage de fichiers pour qu’il soit hautement disponible à l’aide de Storage Spaces Direct. Pour améliorer les performances du partage SMB, attachez des disques de données premium.
  • Cache de stockage : emplacement où les fichiers de données du logiciel client Citrix Files sont temporairement mis en cache. Recommandation : Utilisez Azure Files ou un partage SMB standard attaché à une machine virtuelle. Si vous utilisez un partage SMB, Nous vous recommandons de configurer le partage de fichiers pour qu’il soit hautement disponible à l’aide de Storage Spaces Direct. Pour améliorer les performances du partage SMB, attachez des disques de données premium.
  • Citrix ADC : l’application Delivery Controller fournit des services d’équilibrage de charge réseau, de déchargement SSL et d’authentification pour le trafic entrant vers la zone de stockage.

Contrôleurs de zones de stockage

Le contrôleur de zone de stockage est un package Windows composé de services Web ASP.NET et de services Windows d’arrière-plan. Le logiciel du contrôleur s’exécute au-dessus d’une machine virtuelle IaaS Windows Server avec Internet Information Services (IIS). La configuration système requise pour un contrôleur de zone de stockage se trouve ici.

Le nombre de contrôleurs de zone de stockage requis dépend de la manière dont le déploiement de la zone de stockage est utilisé. Plusieurs facteurs influent sur ce nombre, dont les suivants :

  • Quantité de fichiers nouveaux et mis à jour stockés : impact sur la bande passante requise entre les contrôleurs de zone de stockage et le référentiel de stockage, afin d’empêcher l’accumulation de files d’attente d’E/S de fichiers sur le contrôleur de zone de stockage.
  • Taille des fichiers stockés : les fichiers entrants sont chargés en plusieurs parties et les contrôleurs de zone de stockage fusionnent ces parties en un seul objet de fichier. La fusion des pièces augmente l’utilisation du processeur, avec des fichiers plus volumineux nécessitant plus de puissance de traitement du processeur.
  • Nombre simultané de sessions : le nombre de sessions de transfert simultanées de fichiers vers la zone de stockage, pour les téléchargements de fichiers ou les téléchargements de fichiers, a une incidence sur la quantité d’hôtes de Controller nécessaire.
  • Utilisation de connecteurs locaux : les contrôleurs de zone de stockage mettent à jour les métadonnées des fichiers et des dossiers en temps réel lorsque l’utilisateur ouvre un connecteur ou accède à un autre dossier.

Nous vous recommandons de déployer au moins deux contrôleurs de zone de stockage par zone de stockage à des fins de haute disponibilité, avec Citrix ADC fournissant des services d’équilibrage de charge pour le trafic entrant. Le déploiement de base de 2 contrôleurs prend en charge jusqu’à 5 000 utilisateurs au sein du locataire Content Collaboration. Ajoutez un hôte de contrôleur de stockage à la zone de stockage pour 2 500 utilisateurs de plus de 5 000. L’utilisation réelle de la zone de stockage détermine le nombre d’hôtes de contrôleur nécessaires. Selon la taille du fichier et la fréquence d’accès, les déploiements peuvent aller de 2 hôtes de contrôleur par 250 utilisateurs à 4 hôtes de contrôleur pour 250 000 utilisateurs.

Des tests internes ont montré que le nombre maximal optimal de contrôleurs par zone de stockage est de 4. Pour les déploiements où plus de contrôleurs sont nécessaires sur un seul site, il est recommandé de configurer plusieurs zones de stockage.

Pour configurer le contrôleur des zones de stockage dans Azure, nous vous recommandons de :

  • Commencer avec des machines virtuelles DS ou FS série en tant que machines serveur : commencez par le type d’instance DS4v2 et modifiez à partir de là. La modification des types d’instance du contrôleur de stockage ne nécessite pas une réinstallation de composant, juste un redémarrage. Pour plus de détails sur les limites des machines virtuelles (IOPS/débit/CPU), vérifiez ce qui suit lien.
  • L’utilisation d’un disque premium dans la machine virtuelle est recommandée avec le cache hôte défini sur Lecture/écriture.
  • Activation du port 443 sur les NSG (Network Security Groups) sur les cartes du contrôleur de stockage.
  • Lors de la création de plusieurs contrôleurs, assurez-vous qu’ils sont créés dans un jeu de disponibilité ou une zone de disponibilité en fonction de vos exigences en matière de fiabilité/disponibilité.

Voir leSuivi des performanceschapitre pour plus de détails.

Référentiel de stockage

Stockage Blob Azure : utilisez le stockage Blob Azure pour stocker les objets fichier. Les hôtes du contrôleur de zone de stockage utilisent les API natives pour effectuer des transferts de fichiers.

Nous vous recommandons de créer un compte de stockage V2 avec des performances premium dans Azure avec GRS (Geo-Redundant Storage) comme mécanisme de réplication. Si l’utilisateur choisit de ne pas disposer de géo-redondance, il est nécessaire de configurer avec LRS (Local redondant storage). Toutefois, les utilisateurs doivent noter qu’il existe une limite de 20 000 IOPS pour les comptes de stockage Azure. Reportez-vous à cette documentation Microsoft pour le compte de stockage limites.

Partage de fichiers SMB : si la capacité requise dépasse 20 000 IOPS, nous vous recommandons d’utiliser un partage de fichiers SMB sur une machine virtuelle Azure. Attachez plusieurs disques de données gérés pour héberger le dossier partagé. Lorsque vous concevez l’architecture de votre partage de fichiers IaaS hautement disponible, assurez-vous d’utiliser Storage Spaces Direct et gardez un œil attentif sur les limites de performances. Les limites d’IOPS sont imposées aux disque géré types et tailles en plus de Types de machines virtuelles (selon la valeur la plus basse). L’utilisateur peut également prendre en compte Azure NetApp Files (hautement disponibles dès l’emballage).

Cache de stockage

Fichiers Azure : un cache local sur Azure Files stocke les derniers fichiers téléchargés ou téléchargés à partir de la zone de stockage. L’expérience montre que les fichiers récemment utilisés sont souvent synchronisés sur différents appareils ou partagés avec d’autres personnes. Ne pas avoir à récupérer ces fichiers à partir du référentiel de stockage Blob Azure chaque fois augmente l’expérience utilisateur et réduit la quantité de bande passante utilisée entre la zone de stockage et le référentiel cloud.

Azure Files prend en charge le protocole SMB et les partages peuvent être montés sur une machine Windows. Reportez-vous à cet article pour le montage Fichiers Azure.

Partage de fichiers SMB : Vous pouvez également utiliser un partage de fichiers SMB avec des disques de données haut de gamme hautement performants pour le cache. Cette option n’est pas hautement disponible par conception et nous vous suggérons d’utiliser Storage Spaces Direct et d’avoir la partie VM d’un jeu de disponibilité. Notre recommandation est d’attacher un SSD Premium à des machines virtuelles Azure de la série DS ou FS.

Remarque : Nos tests n’ont montré aucune différence significative de performances entre Azure Files et Premium SSD.

Architecture de zone de stockage sur Azure

Chiffrement des objets de fichier

La zone de stockage permet de configurer le chiffrement de tous les objets de fichier au niveau du fichier. Les hôtes du contrôleur de zone de stockage chiffrent à l’aide d’une clé de chiffrement AES 256 bits générée lors de la configuration initiale de la zone de stockage. L’activation du chiffrement affecte les performances des hôtes du contrôleur de zone de stockage, car le chiffrement et le déchiffrement des objets fichiers augmentent l’utilisation de l’UC.

Nous vous recommandons d’utiliser cette option lorsque le chiffrement de tous les fichiers est requis par la stratégie de sécurité de l’entreprise et qu’aucun autre moyen de chiffrer la couche de stockage n’est disponible. Le chiffrement par les hôtes du contrôleur de zone de stockage supprime la possibilité d’effectuer la déduplication des données sur le dossier de stockage persistant à l’intérieur de la zone de stockage. Le chiffrement rend également impossible la récupération des données lors de la reconstruction de la zone de stockage sans accès au fichier SCKeys.txt ou à la phrase secrète de configuration.

Citrix ADC

Le contrôleur de livraison d’application est utilisé en face de la zone de stockage. Citrix ADC exécute les fonctions suivantes :

  • Déchargement SSL : les sessions SSL entrantes pour la zone de stockage sont terminées sur l’ADC. Selon les exigences de sécurité et de surveillance du client, le trafic entre l’ADC et les hôtes du contrôleur de zone de stockage peut alors être chiffré ou non chiffré.
  • Équilibrage de charge : le trafic est équilibré de charge entre les hôtes du contrôleur de zone de stockage par l’ADC afin d’assurer une haute disponibilité. Pour déterminer quels hôtes de contrôleur de zone de stockage sont opérationnels, l’ADC surveille les résultats du rythme cardiaque sur chaque hôte. Les hôtes qui ont une réponse non valide au rythme cardiaque sont considérés comme hors connexion et aucune session de transfert de fichiers n’est dirigée vers ces hôtes.
  • Authentification : les utilisateurs doivent s’authentifier lors de l’accès aux connecteurs Il est recommandé d’effectuer cette authentification au sein de la DMZ et de ne pas laisser les utilisateurs distants entrer dans le réseau local non authentifié. En configurant Kerberos Constrained Délégation sur Citrix ADC, les utilisateurs locaux qui accèdent aux connecteurs à partir de périphériques rattachés au domaine sont authentifiés de manière transparente sans devoir fournir d’informations d’identification. Reportez-vous à cet article pour plus d’informations.
  • Changement de contenu : le trafic vers le référentiel Citrix Files diffère du trafic vers les connecteurs : les connecteurs nécessitent une authentification et le trafic vers le référentiel Citrix Files est toujours sans authentification. Ce trafic est dû au partage de fichiers avec des utilisateurs externes, qui ne disposent pas d’informations d’identification pour s’authentifier auprès de Active Directory du client. En raison de cette différence, ADC effectue la commutation de contenu pour séparer ce trafic et appliquer les stratégies d’authentification à l’équilibreur de charge pour le trafic des connecteurs. Sur l’équilibreur de charge pour le trafic Citrix Files, une stratégie de répondeur est configurée pour valider l’authenticité de la demande : seules les demandes provenant d’une demande provenant du plan de gestion Content Collaboration sont autorisées vers les hôtes du contrôleur de zone de stockage.

Séparation des sessions utilisateur locales et distantes

Pour offrir la meilleure expérience utilisateur possible aux utilisateurs locaux, la configuration sur Citrix ADC est séparée pour les utilisateurs locaux et distants. Les utilisateurs locaux sont considérés comme accédant à la zone de stockage à partir d’un périphérique connecté à un domaine ou d’un périphérique mobile. Les appareils mobiles utilisent l’application Citrix Files sur iOS ou Android gérée avec Citrix Endpoint Management. Une autre raison pour déployer des interfaces internes et externes sur l’ADC est d’augmenter la sécurité. Citrix ADC est situé à l’intérieur de la DMZ, avec l’interface externe sur le réseau DMZ et l’interface interne sur le réseau local. Pour permettre aux utilisateurs locaux d’accéder à l’adresse IP correcte, un DNS fractionné doit être configuré car la zone de stockage n’a qu’un seul nom DNS public et un seul certificat.

Les utilisateurs locaux accèdent à la zone de stockage à partir d’un serveur d’équilibrage de charge interne ou d’un serveur de commutation de contenu doté d’une adresse IP interne. Le choix d’un serveur d’équilibrage de charge ou d’un serveur de commutation de contenu dépend si l’authentification pour les connecteurs doit se produire sur Citrix ADC. Dans ce cas, un serveur de commutation de contenu est nécessaire et le serveur d’équilibrage de charge pour les connecteurs pour les utilisateurs locaux utilise Kerberos pour authentifier les utilisateurs lors de l’accès aux connecteurs. Les utilisateurs distants accèdent à la zone de stockage à partir d’un commutateur de contenu externe avec une adresse IP dans la plage DMZ. Le serveur d’équilibrage de charge pour les connecteurs pour les utilisateurs distants utilise l’authentification de base (nom d’utilisateur et mot de passe) pour authentifier les utilisateurs lors de l’accès aux connecteurs. L’authentification des connecteurs sur les hôtes du contrôleur de zone de stockage utilise l’authentification Windows, les référentiels de connecteurs utilisent la méthode d’authentification configurée sur le référentiel. Pour SharePoint Server, cette authentification est généralement Kerberos, pour les serveurs de fichiers, l’authentification est généralement NTLM.

Conception CAN unique au sein de la DMZ et du réseau interne

Remarque : Au lieu d’utiliser un seul CAN à la limite de la DMZ et du réseau local, une autre configuration utilise deux CAN distincts. Utilisez un Citrix ADC dans la zone DMZ pour les utilisateurs externes et un autre Citrix ADC sur le réseau local pour les utilisateurs internes.

Conception de deux CAN, un en DMZ et un sur réseau local

Autres considérations

En plus des composants architecturaux clés décrits ci-dessus, nous fournissons des conseils généraux sur les solutions antivirus et la surveillance des performances pour les zones de stockage.

Intégration avec des solutions antivirus

Nous vous recommandons d’analyser tous les fichiers téléchargés dans la zone de stockage à la recherche de virus et de logiciels malveillants. En raison de la séparation des métadonnées du fichier de l’objet de fichier, il n’est pas recommandé de rechercher et de supprimer les fichiers infectés ou suspects directement de la zone de stockage. Pendant que cela supprime le fichier, les métadonnées du fichier persistent et l’utilisateur voit le fichier dans ses applications Citrix Files et l’interface utilisateur Web. Lorsqu’ils essaient d’accéder au fichier, un message d’erreur s’affiche indiquant que le fichier n’existe pas.

Pour offrir une meilleure expérience utilisateur et maintenir le niveau de sécurité requis, la zone de stockage peut tirer parti des solutions antivirus via une interface ICAP. À la réception de fichiers nouveaux et mis à jour, les hôtes du contrôleur de zone de stockage ajoutent le fichier à la file d’attente d’analyse. Le fichier est envoyé via ICAP aux serveurs antivirus et après avoir analysé le fichier, les serveurs antivirus retournent le résultat. Les hôtes du Controller de zone de stockage téléchargent cet état à ajouter aux métadonnées de fichier stockées dans le plan de gestion Content Collaboration. En fonction de la stratégie antivirus configurée pour le compte de locataire, les utilisateurs ne peuvent pas télécharger ou partager des fichiers qui sont signalés infectés.

Conseils de surveillance des performances

Le contrôleur de zone de stockage est une application Web ASP.NET exécutée sur Internet Information Server. La surveillance des performances de l’hôte du contrôleur de zone de stockage suit les principes généraux de surveillance de tout serveur Web exécutant des applications ASP.NET. Voici les mesures recommandées pour identifier les problèmes de performances.

Memory

  • Moctets disponibles : valeur soutenue égale ou supérieure à 20 % de la mémoire vive totale disponible.
  • Pages Entrée/s : égale ou inférieure à 15. Plus la valeur est faible, meilleures sont les performances du contrôleur de zone de stockage.
  • Pages/sec : valeur maintenue de 5 ou moins.

Disque logique

  • % de temps disque : valeur maintenue de 50 % ou moins.
  • Longueur moyenne de la file d’attente du disque : inférieure ou égale au nombre de broches plus 2.
  • Longueur moyenne de la file d’attente de lecture du disque : inférieure à 2.
  • Longueur moyenne de la file d’attente d’écriture sur disque : inférieure à 4.
  • Disque moyen Se/Lecture : égal ou inférieur à 15 ms, avec des pointes inférieures à 25 ms.
  • Moyenne disque sec/écriture : égale ou inférieure à 15 ms, avec des pointes inférieures à 25 ms.
  • Moyenne disque sec/transfert : égal ou inférieur à 20 ms.

Processeur

Exécutez les moniteurs de performances du processeur sur le système d’exploitation et le processus W3WP exécutant l’application contrôleur de zone de stockage. Si les valeurs sont proches les unes des autres, les services Web consomment l’UC, sinon d’autres processus ont un impact sur les performances du système.

  • % Temps Privilégié : valeur soutenue de 75 % ou moins.
  • % de temps processeur : valeur soutenue de 85 % ou moins.

Système

  • Commutateurs de contenu/s : égal ou inférieur à 15 000/seconde par processeur.

Cache de service Web

  • Noyau : URI Cache Hits% : supérieur à 80 %.

ASP.NET Applications v4.0.30319 (Total)

  • Temps d’attente de demande : égal ou inférieur à 1 000 ms.

Synthèse

Citrix Content Collaboration offre la possibilité de stocker des fichiers à l’emplacement qui correspond le mieux aux besoins de votre organisation. Ce document décrit l’architecture pour déployer la zone de stockage Content Collaboration dans votre IaaS Microsoft Azure et tous les composants nécessaires. Le cas d’utilisation du service Content Collaboration dans votre organisation a une incidence sur les composants nécessaires :

  • L’endroit où les objets de fichiers persistants sont stockés
  • Cache de stockage où les fichiers récemment consultés peuvent être récupérés
  • Accès au référentiel de stockage Content Collaboration et aux référentiels existants via des connecteurs de zone de stockage.
  • Les types de périphériques des utilisateurs accédant à la zone de stockage et le type de collaboration externe. L’architecture décrite couvre le modèle de déploiement testé et pris en charge par nos clients avec les équipes Citrix Services. Le cas d’utilisation le plus courant consiste à accéder à la fois au référentiel de stockage Content Collaboration et aux référentiels existants via des connecteurs de zone de stockage.

Références

Ressources pour Citrix Content Collaboration

Ressources pour le contrôleur de zone de stockage

Guide de déploiement du service Citrix Files with Citrix Virtual Apps and Desktops

Content Collaboration avec des zones de stockage sur Azure IaaS