アーキテクチャの概要

このセクションでは、概念実証評価または高可用性の実稼働環境のためのストレージゾーンController 導入の概要を説明します。高可用性展開は、Citrix ADCなどのDMZプロキシを使用する場合と使用しない場合の両方で示されています。

複数のストレージゾーンコントローラーを使用したデプロイを評価するには、高可用性デプロイのガイドラインに従います。

各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドにデータを保存します。プライベートデータストレージ(オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム)を使用するには、ShareFile Data用のストレージゾーンを構成します。

ネットワークファイル共有または SharePoint ドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。

ストレージゾーンController 概念実証導入

ご注意:

概念実証の展開は、評価のみを目的としており、重要なデータストレージには使用しないでください。

概念実証展開では、単一のストレージゾーンController を使用します。このセクションで説明する展開例では、ShareFile Data用のストレージゾーンとストレージゾーンコネクタの両方が有効になっています。

単一の記憶域ゾーン Controller を評価するには、必要に応じて、別のネットワーク共有ではなく、記憶域ゾーンコントローラーのハードドライブ上のフォルダ (C:\ZoneFiles など) にデータを格納できます。その他すべてのシステム要件は、評価配置に適用されます。

標準ストレージゾーンの概念実証導入

標準ゾーン用に構成されたストレージゾーンController は、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、Controller がShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFileクラウド、ストレージゾーンController 間のトラフィックフローを示しています。

標準ゾーン向けの概念実証導入

このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンController は、アクセスを制御するために、ファイアウォールの内側にあります。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、ストレージゾーン Controller の IIS サービスにパブリック SSL 証明書をインストールする必要があります。

ストレージゾーンController 高可用性導入

ShareFileの高可用性を実稼働環境に導入する場合、推奨されるベストプラクティスは、少なくとも2つのストレージゾーンコントローラをインストールすることです。最初のController をインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、同じゾーンに参加します。記憶域ゾーン同じゾーンに属するコントローラーは、記憶域に同じファイル共有を使用する必要があります。

高可用性展開では、セカンダリサーバーは独立しており、完全に機能するストレージゾーンコントローラです。ストレージゾーン制御サブシステムは、操作のためにストレージゾーンController をランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。サーバをプライマリからセカンダリに降格することもできます。

標準ゾーンの高可用性展開

標準ストレージゾーン用に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、各Controller がShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。複数の外部パブリックアドレスを構成でき、それぞれが異なるストレージゾーンコントローラに関連付けられます。次の図は、標準のStorageZoneの高可用性展開を示しています。

標準ストレージゾーンの高可用性の導入

このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、すべてのストレージゾーンコントローラの IIS サービスにパブリック SSL 証明書をインストールする必要があります。

共有ストレージ構成

同じ記憶域ゾーンに属する記憶域ゾーンコントローラーは、記憶域に同じファイル共有を使用する必要があります。ストレージゾーンコントローラは、IIS アカウントプールユーザーを使用して共有にアクセスします。既定では、アプリケーションプールは低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。ストレージゾーン Controller は、既定でネットワークサービスアカウントを使用します。

ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。指定ユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFileサービスを実行します。

ネットワーク接続

ネットワーク接続は、Citrixが管理するゾーンまたは標準ゾーンによって異なります。

Citrix-managed zones

次の表は、ユーザーがShareFileにログオンし、Citrixが管理するゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。

ステップ [ソース] [宛先]
1. ユーザーログオン要求 クライアント company.sharefile.com:443
2. (オプション) SAML IdP ログオンにリダイレクトする クライアント SAML アイデンティティプロバイダの URL
3. ファイル/フォルダの列挙とダウンロード要求 クライアント company.sharefile.com:443
4. ファイルのダウンロード クライアント storage-location.sharefile.com:443

標準ストレージゾーン

次の表は、ユーザーがShareFileにログオンし、標準ストレージゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。

ステップ [ソース] [宛先]
1. ユーザーログオン要求 クライアント company.sharefile.com
2. (オプション)ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします。 クライアント SAML アイデンティティプロバイダの URL
3. ファイル/フォルダの列挙とダウンロード要求 クライアント company.sharefile.com
4. ファイルダウンロードの承認 company.sharefile.com szc.company.com
5 ファイルのダウンロード クライアント szc.company.com

ストレージゾーン Controller DMZ プロキシの展開

非武装地帯(DMZ)は、内部ネットワークのセキュリティ層を強化します。Citrix ADC VPXなどのDMZプロキシは、以下の目的で使用されるオプションのコンポーネントです。

  • 承認されたトラフィックのみがストレージゾーンController に到達するように、ストレージゾーンコントローラへのすべての要求がShareFileクラウドから発信されるようにします。

    ストレージゾーンController には、すべての受信メッセージの有効な URI 署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前にシグニチャを検証します。

  • リアルタイムのステータスインジケータを使用して、ストレージゾーンコントローラへの要求の負荷を分散します。

    すべてのコントローラーが同じファイルにアクセスできる場合、操作はストレージゾーンコントローラーに対して負荷分散されます。

  • ストレージゾーンコントローラから SSL をオフロードします。

  • DMZ を通過する前に、SharePoint またはネットワークドライブ上のファイルに対する要求が認証されていることを確認します。

Citrix ADCおよびストレージゾーンController 導入

標準ストレージゾーンの導入

標準ゾーン用に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け入れる必要があります。そのためには、Citrix ADCがShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスとSSLを有効にする必要があります。

ストレージゾーン標準ゾーンを持つコントローラ

このシナリオでは、2 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは内部ネットワークに存在します。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、DMZ プロキシサーバーの IIS サービスにパブリック SSL 証明書をインストールする必要があります (ユーザー接続を終了する場合)。

標準ゾーンのネットワーク接続

次の図と表は、ユーザーがShareFileにログオンし、Citrix ADC 背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。

認証トラフィックは、信頼されるネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ で処理されます。ファイルアクティビティは、DMZのCitrix ADCを介してアクセスされます。DMZでは、SSLを終了し、ユーザー要求を認証した後、認証されたユーザーに代わって信頼されるネットワーク内のストレージゾーンController にアクセスします。ShareFile 用のCitrix ADC 外部アドレスは、インターネットFQDN szc.company.comを使用してアクセスします。

オンプレミスのストレージゾーンのログオンと接続のダウンロード

ステップ [ソース] [宛先] プロトコル
1. ユーザーログオン要求 クライアント company.sharefile.com HTTPS
2. (オプション) SAML IdP ログオンにリダイレクトする クライアント SAML アイデンティティプロバイダの URL HTTPS
2a. ADFS ログオン ADFS プロキシ ADFS サーバー HTTPS
3. ファイル/フォルダの列挙とダウンロード要求 クライアント company.sharefile.com HTTPS
4. ファイルダウンロードの承認 ShareFile szc.company.com ( 外部アドレス) HTTP
4a. ファイルダウンロードの承認 Citrix ADC IP(ADC) ストレージゾーンController HTTPS
5 ファイルのダウンロード クライアント szc.company.com ( 外部アドレス) HTTPS
5a. ファイルのダウンロード Citrix ADC IP(ADC) ストレージゾーンController HTTP

次の図と表は、前述のシナリオを拡張して、StorageZone Connectorのネットワーク接続を示しています。このシナリオには、DMZでNetScaler を使用してSSLを終了し、Connectorにアクセスするためのユーザー認証を実行することが含まれます。

ストレージゾーンコネクタのログオンとダウンロード接続

ステップ [ソース] [宛先] プロトコル
1. ユーザーログオン要求 クライアント company.sharefile.com HTTPS
2. (オプション) SAML IdP ログオンにリダイレクトする クライアント SAML アイデンティティプロバイダの URL HTTPS
2a. ADFS ログオン ADFS プロキシ ADFS サーバー HTTPS
3. 最上位コネクタの列挙 クライアント company.sharefile.com HTTPS
4. ストレージゾーン Controller サーバにユーザーがログオンする クライアント szc.company.com ( 外部アドレス) HTTPS
5 ユーザー認証 Citrix ADC IP(ADC) AD ドメイン Controller LDAP
6. ファイル/フォルダの列挙と PARTIALURLPLACEHOLDER リクエスト Citrix ADC IP(ADC) ストレージゾーンController HTTP (S)
7. ネットワーク共有の列挙とアップロード/ダウンロード ストレージゾーンController ファイルサーバ CIFSまたはDFSシステム
7a. SharePoint 列挙とアップロード/ダウンロード ストレージゾーンController [SharePoint] をクリックします HTTP

次の図は、ユーザーが認証するかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。

サポートされている認証タイプの組み合わせ