PDFを表示
アーキテクチャの概要
このセクションでは、概念実証評価または高可用性の実稼働環境のためのストレージゾーンController 導入の概要を説明します。高可用性展開は、Citrix ADCなどのDMZプロキシを使用する場合と使用しない場合の両方で示されています。
複数のストレージゾーンコントローラーを使用したデプロイを評価するには、高可用性デプロイのガイドラインに従います。
各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドにデータを保存します。プライベートデータストレージ(オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム)を使用するには、ShareFile Data用のストレージゾーンを構成します。
ネットワークファイル共有または SharePoint ドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。
ストレージゾーンController 概念実証導入
ご注意:
概念実証の展開は、評価のみを目的としており、重要なデータストレージには使用しないでください。
概念実証展開では、単一のストレージゾーンController を使用します。このセクションで説明する展開例では、ShareFile Data用のストレージゾーンとストレージゾーンコネクタの両方が有効になっています。
単一の記憶域ゾーン Controller を評価するには、必要に応じて、別のネットワーク共有ではなく、記憶域ゾーンコントローラーのハードドライブ上のフォルダ (C:\ZoneFiles など) にデータを格納できます。その他すべてのシステム要件は、評価配置に適用されます。
標準ストレージゾーンの概念実証導入
標準ゾーン用に構成されたストレージゾーンController は、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、Controller がShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFileクラウド、ストレージゾーンController 間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンController は、アクセスを制御するために、ファイアウォールの内側にあります。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、ストレージゾーン Controller の IIS サービスにパブリック SSL 証明書をインストールする必要があります。
ストレージゾーンController 高可用性導入
ShareFileの高可用性を実稼働環境に導入する場合、推奨されるベストプラクティスは、少なくとも2つのストレージゾーンコントローラをインストールすることです。最初のController をインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、同じゾーンに参加します。記憶域ゾーン同じゾーンに属するコントローラーは、記憶域に同じファイル共有を使用する必要があります。
高可用性展開では、セカンダリサーバーは独立しており、完全に機能するストレージゾーンコントローラです。ストレージゾーン制御サブシステムは、操作のためにストレージゾーンController をランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。サーバをプライマリからセカンダリに降格することもできます。
標準ゾーンの高可用性展開
標準ストレージゾーン用に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、各Controller がShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。複数の外部パブリックアドレスを構成でき、それぞれが異なるストレージゾーンコントローラに関連付けられます。次の図は、標準のStorageZoneの高可用性展開を示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、すべてのストレージゾーンコントローラの IIS サービスにパブリック SSL 証明書をインストールする必要があります。
共有ストレージ構成
同じ記憶域ゾーンに属する記憶域ゾーンコントローラーは、記憶域に同じファイル共有を使用する必要があります。ストレージゾーンコントローラは、IIS アカウントプールユーザーを使用して共有にアクセスします。既定では、アプリケーションプールは低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。ストレージゾーン Controller は、既定でネットワークサービスアカウントを使用します。
ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。指定ユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFileサービスを実行します。
ネットワーク接続
ネットワーク接続は、Citrixが管理するゾーンまたは標準ゾーンによって異なります。
Citrix-managed zones
次の表は、ユーザーがShareFileにログオンし、Citrixが管理するゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。
| ステップ | [ソース] | [宛先] |
|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com:443 |
| 2. (オプション) SAML IdP ログオンにリダイレクトする | クライアント | SAML アイデンティティプロバイダの URL |
| 3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com:443 |
| 4. ファイルのダウンロード | クライアント | storage-location.sharefile.com:443 |
標準ストレージゾーン
次の表は、ユーザーがShareFileにログオンし、標準ストレージゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。
| ステップ | [ソース] | [宛先] |
|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com |
| 2. (オプション)ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします。 | クライアント | SAML アイデンティティプロバイダの URL |
| 3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com |
| 4. ファイルダウンロードの承認 | company.sharefile.com |
szc.company.com |
| 5 ファイルのダウンロード | クライアント | szc.company.com |
ストレージゾーン Controller DMZ プロキシの展開
非武装地帯(DMZ)は、内部ネットワークのセキュリティ層を強化します。Citrix ADC VPXなどのDMZプロキシは、以下の目的で使用されるオプションのコンポーネントです。
-
承認されたトラフィックのみがストレージゾーンController に到達するように、ストレージゾーンコントローラへのすべての要求がShareFileクラウドから発信されるようにします。
ストレージゾーンController には、すべての受信メッセージの有効な URI 署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前にシグニチャを検証します。
-
リアルタイムのステータスインジケータを使用して、ストレージゾーンコントローラへの要求の負荷を分散します。
すべてのコントローラーが同じファイルにアクセスできる場合、操作はストレージゾーンコントローラーに対して負荷分散されます。
-
ストレージゾーンコントローラから SSL をオフロードします。
-
DMZ を通過する前に、SharePoint またはネットワークドライブ上のファイルに対する要求が認証されていることを確認します。
Citrix ADCおよびストレージゾーンController 導入
標準ストレージゾーンの導入
標準ゾーン用に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、Citrix ADCがShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。
このシナリオでは、2 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは内部ネットワークに存在します。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、DMZ プロキシサーバーの IIS サービスにパブリック SSL 証明書をインストールする必要があります (ユーザー接続を終了する場合)。
標準ゾーンのネットワーク接続
次の図と表は、ユーザーがShareFileにログオンし、Citrix ADC 背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。
認証トラフィックは、信頼されるネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ で処理されます。ファイルアクティビティは、DMZのCitrix ADCを介してアクセスされます。DMZでは、SSLを終了し、ユーザー要求を認証した後、認証されたユーザーに代わって信頼されるネットワーク内のストレージゾーンController にアクセスします。ShareFile 用のCitrix ADC 外部アドレスは、インターネットFQDN szc.company.comを使用してアクセスします。
| ステップ | [ソース] | [宛先] | プロトコル |
|---|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com |
HTTPS |
| 2. (オプション) SAML IdP ログオンにリダイレクトする | クライアント | SAML アイデンティティプロバイダの URL | HTTPS |
| 2a. ADFS ログオン | ADFS プロキシ | ADFS サーバー | HTTPS |
| 3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com |
HTTPS |
| 4. ファイルダウンロードの承認 | ShareFile |
szc.company.com ( 外部アドレス) |
HTTP |
| 4a. ファイルダウンロードの承認 | Citrix ADC IP(ADC) | ストレージゾーンController | HTTPS |
| 5 ファイルのダウンロード | クライアント |
szc.company.com ( 外部アドレス) |
HTTPS |
| 5a. ファイルのダウンロード | Citrix ADC IP(ADC) | ストレージゾーンController | HTTP |
次の図と表は、前述のシナリオを拡張して、StorageZone Connectorのネットワーク接続を示しています。このシナリオには、DMZでNetScaler を使用してSSLを終了し、Connectorにアクセスするためのユーザー認証を実行することが含まれます。
| ステップ | [ソース] | [宛先] | プロトコル |
|---|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com |
HTTPS |
| 2. (オプション) SAML IdP ログオンにリダイレクトする | クライアント | SAML アイデンティティプロバイダの URL | HTTPS |
| 2a. ADFS ログオン | ADFS プロキシ | ADFS サーバー | HTTPS |
| 3. 最上位コネクタの列挙 | クライアント | company.sharefile.com |
HTTPS |
| 4. ストレージゾーン Controller サーバにユーザーがログオンする | クライアント |
szc.company.com ( 外部アドレス) |
HTTPS |
| 5 ユーザー認証 | Citrix ADC IP(ADC) | AD ドメイン Controller | LDAP |
| 6. ファイル/フォルダの列挙と PARTIALURLPLACEHOLDER リクエスト | Citrix ADC IP(ADC) | ストレージゾーンController | HTTP (S) |
| 7. ネットワーク共有の列挙とアップロード/ダウンロード | ストレージゾーンController | ファイルサーバ | CIFSまたはDFSシステム |
| 7a. SharePoint 列挙とアップロード/ダウンロード | ストレージゾーンController | [SharePoint] をクリックします | HTTP |
次の図は、ユーザーが認証するかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。
