アーキテクチャの概要
このセクションでは、概念実証評価または高可用性実稼働環境向けのStorage Zone Controller導入の概要を説明します。高可用性展開は、Citrix ADCなどのDMZプロキシの有無の両方で表示されます。
複数のStorage Zone Controllerがある展開を評価するには、高可用性展開のガイドラインに従います。
各展開シナリオには、ShareFile Enterprise アカウントが必要です。デフォルトでは、ShareFileは安全なShareFileで管理されたクラウドにデータを格納します。プライベートデータストレージ (オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム) を使用するには、ShareFile Data 用のストレージゾーンを構成します。
ネットワークファイル共有または SharePoint ドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。
Storage Zone Controllerの概念実証展開
注意:
概念実証の導入は評価目的のみを目的としており、重要なデータストレージには使用しないでください。
概念実証展開では、単一のStorage Zone Controllerを使用します。このセクションで説明した展開例では、ShareFile Data のストレージゾーンとストレージゾーンコネクタの両方が有効になっています。
単一のStorage Zone Controllerを評価するためには、別のネットワーク共有ではなく、Storage Zone Controllerのハードドライブ上のフォルダ (C:\ZoneFiles など) にデータを保存することもできます。他のすべてのシステム要件は、評価展開に適用されます。
標準ストレージゾーンの概念実証導入
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからの受信接続を受け入れる必要があります。そのためには、コントローラがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFile クラウド、Storage Zone Controller 間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Storage Zone Controller は、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスにパブリック SSL 証明書をインストールする必要があります。
Storage Zone Controllerの高可用性展開
高可用性を備えたShareFile の実稼働環境の場合、推奨されるベストプラクティスは、少なくとも2つのStorage Zone Controllerをインストールすることです。最初のコントローラをインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、それらは同じゾーンに参加します。同じゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。
高可用性展開では、セカンダリサーバーは独立しており、完全に機能するStorage Zone Controllerです。ストレージゾーン制御サブシステムが、稼働するStorage Zone Controllerをランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。また、サーバをプライマリからセカンダリに降格することもできます。
標準ゾーンの高可用性の導入
標準ストレージゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからの受信接続を受け入れる必要があります。そのためには、各コントローラーがパブリックにアクセス可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。異なるStorage Zone Controllerに関連付けられた複数の外部パブリックアドレスを構成できます。次の図に、標準ストレージゾーンの高可用性展開を示します。
上記の概念実証の展開シナリオと同様に、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controllerは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、すべてのStorage Zone Controllerの IIS サービスにパブリック SSL 証明書をインストールする必要があります。
共有ストレージ構成
同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。Storage Zone Controllerは、IIS アカウントプールユーザーを使用して共有にアクセスします。既定では、アプリケーションプールは、低レベルのユーザー権限を持つ Network Service ユーザーアカウントで動作します。Storage Zone Controller は、デフォルトでネットワークサービスアカウントを使用します。
ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して、共有にアクセスできます。名前付きユーザーアカウントを使用するには、ストレージゾーンコンソールの [構成] ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFileサービスを実行します。
ネットワーク接続
ネットワーク接続は、ゾーンの種類(Citrix 管理または標準)によって異なります。
Citrix-managed zones
次の表に、ユーザーが ShareFile にログオンし、Citrix 管理ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。
| 手順 | 接続元 | 接続先 |
|---|---|---|
|
クライアント | company.sharefile.com:443 |
|
クライアント | SAML アイデンティティプロバイダー URL |
|
クライアント | company.sharefile.com:443 |
|
クライアント | storage-location.sharefile.com:443 |
標準ストレージゾーン
次の表に、ユーザーが ShareFile にログオンし、標準記憶域ゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。
| 手順 | 接続元 | 接続先 |
|---|---|---|
|
クライアント | company.sharefile.com |
|
クライアント | SAML アイデンティティプロバイダー URL |
|
クライアント | company.sharefile.com |
|
company.sharefile.com |
szc.company.com |
|
クライアント | szc.company.com |
Storage Zone Controller DMZ プロキシの展開
非武装地帯(DMZ)は、内部ネットワークのセキュリティを強化します。Citrix ADC VPXなどのDMZプロキシは、次の目的で使用されるオプションのコンポーネントです。
-
Storage Zone Controller へのすべてのリクエストがShareFile クラウドから発信され、承認されたトラフィックのみがStorage Zone Controllerに到達するようにします。
Storage Zone Controller には、すべての受信メッセージに対して有効な URI 署名をチェックする検証操作があります。DMZ コンポーネントは、メッセージを転送する前に署名を検証します。
-
リアルタイムのステータスインジケータを使用して、Storage Zone Controllerへの要求を負荷分散します。
すべての操作が同じファイルにアクセスできる場合は、Storage Zone Controllerに負荷分散できます。
-
Storage Zone Controllerから SSL をオフロードします。
-
DMZを通過する前に、SharePointまたはネットワーク・ドライブ上のファイルに対する要求が認証されていることを確認します。
Citrix ADC とStorage Zone Controller 展開
標準ストレージゾーンの導入
標準ゾーン用に構成されたStorage Zone Controllerは、ShareFileクラウドからの受信接続を受け入れる必要があります。そのためには、Citrix ADCで公開可能なインターネットアドレスと、ShareFileクラウドとの通信用にSSLを有効にする必要があります。
このシナリオでは、インターネットとセキュリティで保護されたネットワークの間に 2 つのファイアウォールがあります。Storage Zone Controllerは、内部ネットワークに存在します。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールのポート 443 を開き、DMZ プロキシサーバーの IIS サービスに (ユーザーがユーザー接続を終了する場合) パブリック SSL 証明書をインストールする必要があります。
標準ゾーンのネットワーク接続
次の図と表は、ユーザーがShareFileにログオンし、Citrix ADC 背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。
認証トラフィックは、信頼されたネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって DMZ 内で処理されます。ファイルアクティビティは、DMZのCitrix ADC を介してアクセスされます。DMZは、SSLを終了し、ユーザー要求を認証し、認証されたユーザーに代わって信頼されたネットワーク内のStorage Zone Controller にアクセスします。ShareFileのCitrix ADC外部アドレスは、インターネットFQDN szc.company.company.comを使用してアクセスします。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
|
クライアント | company.sharefile.com |
HTTPS |
|
クライアント | SAML アイデンティティプロバイダー URL | HTTPS |
| 2a. ADFS ログオン | ADFS プロキシ | ADFSサーバ | HTTPS |
|
クライアント | company.sharefile.com |
HTTPS |
|
ShareFile |
szc.company.com (外部アドレス) |
HTTP (S) |
| 4a. ファイルダウンロードの承認 | Citrix ADC IP(NSIP) | Storage Zone Controller | HTTPS |
|
クライアント |
szc.company.com (外部アドレス) |
HTTPS |
| 5a. ファイルのダウンロード | Citrix ADC IP(NSIP) | Storage Zone Controller | HTTP (S) |
次の図と表は、StorageZone コネクタのネットワーク接続を示すために、前のシナリオを拡張したものです。このシナリオには、DMZでNetScalerを使用してSSLを終了し、コネクタアクセスのユーザー認証を実行することが含まれます。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
|
クライアント | company.sharefile.com |
HTTPS |
|
クライアント | SAML アイデンティティプロバイダー URL | HTTPS |
| 2a. ADFS ログオン | ADFS プロキシ | ADFSサーバ | HTTPS |
|
クライアント | company.sharefile.com |
HTTPS |
|
クライアント |
szc.company.com (外部アドレス) |
HTTPS |
|
Citrix ADC IP(NSIP) | AD ドメインコントローラー | LDAP |
|
Citrix ADC IP(NSIP) | Storage Zone Controller | HTTP (S |
|
Storage Zone Controller | ファイルサーバ | CIFSまたはDFS |
| 7a. SharePoint の列挙とアップロード/ダウンロード | Storage Zone Controller | SharePoint | HTTP (S) |
次の図は、ユーザーが認証したかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。
