アーキテクチャの概要
このセクションでは、概念実証評価または高可用性実稼働環境向けのStorage Zone Controller導入の概要を説明します。高可用性展開は、Citrix ADC などのDMZプロキシを使用する場合と使用しない場合の両方を示しています。
複数のStorage Zone Controllerがある展開を評価するには、高可用性展開のガイドラインに従います。
各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFile、セキュアなShareFileで管理されたクラウドにデータを保存します。オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステムのプライベートデータストレージを使用するには、ShareFile Data のストレージゾーンを構成します。
ネットワークファイル共有または SharePoint ドキュメントライブラリからデータをユーザーに安全に配信するには、ストレージゾーンコネクタを構成します。
Storage Zone Controllerの概念実証展開
注意:
概念実証デプロイメントは評価目的のみを目的としており、重要なデータストレージには使用しないでください。
概念実証展開では、単一のStorage Zone Controllerを使用します。このセクションで説明する展開例では、ShareFile Data用のストレージゾーンとストレージゾーンコネクターの両方が有効になっています。
単一のStorage Zone Controllerを評価するためには、別のネットワーク共有ではなく、Storage Zone Controllerのハードドライブ上のフォルダ (C:\ZoneFiles など) にデータを保存することもできます。他のすべてのシステム要件は、評価の展開に適用されます。
標準ストレージゾーンの概念実証の導入
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからの受信接続を受け入れる必要があります。そのためには、Controller がパブリックにアクセス可能なインターネットアドレスと、ShareFile クラウドとの通信にSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFileクラウド、Storage Zone Controller間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controllerは、アクセスを制御するためにファイアウォール内に存在します。ShareFile へのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスにパブリック SSL 証明書をインストールする必要があります。
Storage Zone Controllerの高可用性展開
高可用性を備えたShareFile の実稼働環境の場合、推奨されるベストプラクティスは、少なくとも2つのStorage Zone Controllerをインストールすることです。最初のController をインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、同じゾーンに参加します。同じゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。
高可用性展開では、セカンダリサーバーは独立した、完全に機能するStorage Zone Controllerです。ストレージゾーン制御サブシステムが、稼働するStorage Zone Controllerをランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバを簡単にプライマリに昇格できます。サーバをプライマリからセカンダリに降格することもできます。
標準ゾーンの高可用性展開
標準ストレージゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからの受信接続を受け入れる必要があります。そのためには、各Controller がShareFile クラウドとの通信にパブリックアクセス可能なインターネットアドレスとSSLを有効にする必要があります。異なるStorage Zone Controllerに関連付けられた複数の外部パブリックアドレスを構成できます。次の図に、標準ストレージゾーンの高可用性展開を示します。
上記の概念実証導入シナリオと同様に、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controllerは、アクセスを制御するためにファイアウォール内に存在します。ShareFile へのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、すべてのStorage Zone Controllerの IIS サービスにパブリック SSL 証明書をインストールする必要があります。
共有ストレージ構成
同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。Storage Zone Controllerは、IIS アカウントプールユーザーを使用して共有にアクセスします。デフォルトでは、アプリケーションプールは低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。Storage Zone Controller は、デフォルトでネットワークサービスアカウントを使用します。
ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。指定ユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFile サービスを実行します。
ネットワーク接続
ネットワーク接続は、ゾーンの種類(Citrix 管理または標準)によって異なります。
Citrix-managed zones
次の表は、ユーザーがShareFile にログオンし、Citrix管理ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。
手順 | 接続元 | 接続先 |
---|---|---|
1. ユーザーログオン要求 | クライアント | company.sharefile.com:443 |
2. (オプション)「SAML IdP ログオン」にリダイレクトします。 | クライアント | SAML ID プロバイダー URL |
3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com:443 |
4. ファイルのダウンロード | クライアント | storage-location.sharefile.com:443 |
標準ストレージゾーン
次の表は、ユーザーがShareFile にログオンし、標準ストレージゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。
手順 | 接続元 | 接続先 |
---|---|---|
1. ユーザーログオン要求 | クライアント | company.sharefile.com |
2. (オプション) ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします。 | クライアント | SAML ID プロバイダー URL |
3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com |
4. ファイルのダウンロードの承認 | company.sharefile.com |
szc.company.com |
5. ファイルのダウンロード | クライアント | szc.company.com |
Storage Zone Controller DMZ プロキシの展開
非武装地帯 (DMZ) は、内部ネットワークのセキュリティをさらに強化します。Citrix ADC VPX などのDMZプロキシは、次の目的で使用されるオプションのコンポーネントです。
-
Storage Zone Controller へのすべてのリクエストがShareFile クラウドから発信され、承認されたトラフィックのみがStorage Zone Controllerに到達するようにします。
Storage Zone Controller には、すべての受信メッセージに対して有効な URI 署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前にシグニチャを検証します。
-
リアルタイムのステータスインジケータを使用して、Storage Zone Controllerへの要求を負荷分散します。
すべての操作が同じファイルにアクセスできる場合は、Storage Zone Controllerに負荷分散できます。
-
Storage Zone Controllerから SSL をオフロードします。
-
DMZ を通過する前に、SharePoint またはネットワークドライブ上のファイルの要求が認証されていることを確認します。
Citrix ADC とStorage Zone Controller 展開
標準ストレージゾーンの展開
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからの受信接続を受け入れる必要があります。そのためには、Citrix ADC がShareFile クラウドとの通信にパブリックアクセス可能なインターネットアドレスとSSLを有効にする必要があります。
このシナリオでは、2 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controllerは、内部ネットワークに存在します。ShareFile へのユーザー接続は、最初のファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、DMZ プロキシサーバーの IIS サービスにパブリック SSL 証明書をインストールする必要があります (ユーザー接続が終了した場合)。
標準ゾーンのネットワーク接続
次の図と表は、ユーザーがShareFile にログオンし、Citrix ADC 背後に展開されている標準ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示しています。この場合、アカウントは、SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。
認証トラフィックは、信頼できるネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ で処理されます。ファイルアクティビティは、DMZのCitrix ADC を介してアクセスされます。DMZは、SSLを終了し、ユーザー要求を認証し、認証されたユーザーに代わって信頼されたネットワーク内のStorage Zone Controller にアクセスします。ShareFile 用のCitrix ADC 外部アドレスには、インターネットFQDN szc.company.comを使用してアクセスします。
手順 | 接続元 | 接続先 | プロトコル |
---|---|---|---|
1. ユーザーログオン要求 | クライアント | company.sharefile.com |
HTTPS |
2. (オプション)「SAML IdP ログオン」にリダイレクトします。 | クライアント | SAML ID プロバイダー URL | HTTPS |
2a. ADFS ログオン | ADFS プロキシ | ADFS サーバー | HTTPS |
3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | company.sharefile.com |
HTTPS |
4. ファイルのダウンロードの承認 | ShareFile |
szc.company.com ( 外部アドレス) |
HTTP |
4a. ファイルのダウンロードの承認 | Citrix ADC IP(NSIP) | Storage Zone Controller | HTTPS |
5. ファイルのダウンロード | クライアント |
szc.company.com ( 外部アドレス) |
HTTPS |
5a. ファイルのダウンロード | Citrix ADC IP(NSIP) | Storage Zone Controller | HTTP |
次の図と表は、前のシナリオを拡張して、StorageZone コネクタのネットワーク接続を示しています。このシナリオには、DMZでNetScaler を使用してSSLを終了し、Connectorアクセスのユーザー認証を実行することが含まれます。
手順 | 接続元 | 接続先 | プロトコル |
---|---|---|---|
1. ユーザーログオン要求 | クライアント | company.sharefile.com |
HTTPS |
2. (オプション)「SAML IdP ログオン」にリダイレクトします。 | クライアント | SAML ID プロバイダー URL | HTTPS |
2a. ADFS ログオン | ADFS プロキシ | ADFS サーバー | HTTPS |
3. 最上位コネクタの列挙 | クライアント | company.sharefile.com |
HTTPS |
4. ユーザーのStorage Zone Controllerサーバーへのログオン | クライアント |
szc.company.com ( 外部アドレス) |
HTTPS |
5. ユーザー認証 | Citrix ADC IP(NSIP) | AD ドメイン Controller | LDAP |
6. ファイル/フォルダの列挙とファイル/フォルダのリクエスト | Citrix ADC IP(NSIP) | Storage Zone Controller | HTTP (S |
7. ネットワーク共有の列挙とアップロード/ダウンロード | Storage Zone Controller | ファイルサーバ | CIFSまたはDFS |
7a. SharePoint の列挙とアップロード/ダウンロード | Storage Zone Controller | SharePoint | HTTP |
次の図は、ユーザーが認証するかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。