Storage zones controller

Storage Zone Controller用のCitrix ADCの構成

NetScalerバージョン10.1ビルド120.1316.e以降には、Storage Zone Controller 環境に関する基本情報の入力を求めるウィザードが含まれています。次に、次の設定を生成します。

  • Storage Zone Controller間でトラフィックの負荷分散
  • ストレージゾーンコネクタのユーザー認証を提供
  • ShareFile アップロードおよびダウンロードのURI署名を検証する
  • Citrix ADC アプライアンスでのSSL接続を終了します。

この図は、構成によって作成される次のCitrix ADC コンポーネントを示しています。

  • Citrix ADC コンテンツスイッチング仮想サーバー — ShareFile およびストレージゾーンコネクタから適切なCitrix ADC 負荷分散仮想サーバーにデータに対するユーザー要求を送信します。
  • Citrix ADC 負荷分散仮想サーバー — Storage Zone Controllerのトラフィックを負荷分散し、以下の処理も行います。
    • プライベートデータストレージからのデータ要求については、負荷分散仮想サーバーがハッシュ検証を実行し、受信要求に有効な URI 署名が存在することを確認します。

    • ストレージゾーンコネクタからのデータの要求については、負荷分散仮想サーバーがユーザー認証を実行します。これは、Citrix ADC でユーザー要求を停止し、ユーザーを認証し、Storage Zone Controller にユーザーのシングルサインオンを実行します。

    Citrix ADC への認証はオプションですが、推奨されるベストプラクティスです。

Storage Zone Controller 4.0 以降、管理者はStorage Zone Controllerへの受信接続を TLS v1.2 に制限できます。TLS v1.2 より前のプロトコルがStorage Zone Controller への受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。 詳細情報と構成手順については、ここをクリックしてください。

注:

10.1ビルド120.1316.eより前のバージョンのNetScaler をセットアップするには、「 Citrix ADC を手動で構成する」を参照してください。

ShareFile 用Citrix ADC ウィザードのセットアップでは、Citrix Endpoint Management をShareFile 用のSAMLアイデンティティプロバイダとして使用するために必要な構成は処理されません。詳しくは、ここをクリックを参照してください。

前提条件

  • 動作中のCitrix ADC 構成
  • セキュリティ証明書:Citrix ADC で利用できない場合は、ウィザードでコンテンツスイッチング仮想サーバーにインストールできます。
  • Active Directory 構成に関する情報(ShareFile 用Citrix ADC ウィザードは、Citrix NetScaler エンタープライズエディションのライセンスを使用して完了する必要があります)。
    • Active Directory サーバーの IP アドレスとポート
    • Active Directory ドメイン名
    • ユーザーが格納される LDAP ベースDN
    • Active Directory と通信するためのアクセス許可を持つ管理者アカウントのアカウント名とパスワード

Storage Zone Controller用にCitrix ADC を構成する

以下の手順では、Citrix ADC for ShareFile ウィザードの使用方法を説明します。

  1. Citrix ADC アプライアンスにログオンし、[構成]タブで[トラフィック管理]に移動します。

  2. [Citrix ShareFile]で Citrix ADC をShareFile 用にセットアップする]をクリックします。

    ウィザードにアクセスするには、[モビリティ]で[ Endpoint Management]、[ShareFile]、およびCitrix Gateway の構成]をクリックします。

  3. ウィザードで要求された情報を入力します。

オプション 説明
名前 コンテンツスイッチング仮想サーバーの表示名。
IPアドレス コンテンツスイッチング仮想サーバーに使用される外部(パブリックまたは DMZ)IP アドレス。DMZ IP アドレスを使用する場合は、外部ファイアウォールアドレスからこの DMZ IP アドレスへのネットワークアドレス変換(NAT)マッピングを定義する必要があります。
ShareFile データ このオプションが有効になり、ShareFile データのストレージゾーンにCitrix ADC 接続を使用することを示します。
ネットワークファイル共有/SharePoint のストレージゾーンコネクタ コネクタを使用し、Citrix ADC でユーザー認証を実行する場合は、チェックボックスをオンにします。
証明書 証明書を選択するか、コンテンツスイッチング仮想サーバー用の証明書をインストールします。証明書をインストールする場合は、証明書と秘密キーをアップロードするように求められます。標準ゾーンまたは外部ホスト名を持つ制限付きゾーンの場合、証明書はパブリックに信頼され、自己署名されていない必要があります。
Storage Zone Controller IP アドレス 1 つ以上のStorage Zone Controller サーバーの内部 IP アドレス。これらのIPアドレスは、Storage Zone ControllerサーバーをCitrix ADC 内のエンティティとして定義します。すでにCitrix ADC にサーバーを追加している場合は、[既存から追加]をクリックしてサーバーを選択します。負荷分散にCitrix ADC を使用するには、各Storage Zone Controller サーバーの内部IPアドレスを入力します。SSLと認証にのみCitrix ADC を使用するには、IPアドレスを1つだけ入力します。
ポートとプロトコル Citrix ADC からStorage Zone Controllerへの通信に使用されるポートとプロトコル。
認証、承認、監査(Citrix ADC AAA)仮想サーバーのIPアドレス Citrix ADC AAA仮想サーバーの未使用の内部IPアドレス。Citrix ADC は、独自の使用のためにこの仮想サーバーを作成します。サーバーは外部アクセスを必要としません。
LDAP サーバの IP アドレスとポート Active Directory サーバーの IP アドレスとポート。すでにCitrix ADC にLDAPサーバーを追加している場合は、[LDAPの選択]タブをクリックしてサーバーを選択します。
タイムアウト Citrix ADC がLDAPサーバーからの応答を待機する最大秒数。デフォルトは 3 秒です。最小値は 1 秒です。
シングルサインオンドメイン Active Directory ドメイン名。
ベースDN(ユーザーの場所) ユーザーが格納されている LDAP ベース識別名 (DN)。一般的な形式でDNを指定します。CN=ユーザー、DC=ドメイン、DC=ネット
管理者バインド DN およびパスワード Active Directory と通信するためのアクセス許可を持つ管理者アカウント。
ログオン名 Citrix ADC によって使用されるLDAP属性。ユーザーがユーザー名またはメールアドレスのどちらでログオンするかを決定します。デフォルトは sAMAccountNam です。これにより、ユーザーは自分のユーザー名を使用してログオンできます。ログオン時にメールアドレスの入力をユーザーに要求するには、このフィールドを userPrincipalName に変更します。

制限ゾーンまたはコネクタへのWebアクセス用にCitrix ADC を構成する

制限ゾーンまたはストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFile ウィザードの完了後に、追加のCitrix ADC構成を実行する必要があります。

  • 3台目のCitrix ADC 負荷分散仮想サーバーを作成して構成します。これにより、信頼されたShareFile ドメインにログオンしたときにのみShareFileクライアントが資格情報を送信できます。

    Storage Zone Controller は、Cross-Origin Resource Sharing (CORS) 標準を使用して、制限ゾーンへの要求や、ShareFile Web インターフェイスからストレージゾーンコネクタへの要求に必要なセキュリティを提供します。CORS は HTTP ヘッダーを使用して、クライアントとサーバーがお互いを十分に知って、要求または応答が成功するかどうかを判断できるようにします。

    次の手順で説明するように、HTTP OPTIONS動詞のクライアントからの匿名アクセスを許可するように追加の仮想サーバーを構成します。OPTIONS要求は、認証されることなく、署名を検証するためのHTTPSコールアウトなしでStorage Zone Controller に渡されます。CORS プリフライトチェックは、資格情報を送信する前にドメインの信頼を検証します。

    構成を実行するために CORS について理解する必要はありません。ただし、CORSについて詳しくは、「http://enable-cors.org/」を参照してください。

    制限ゾーン内のコネクタへの Web アクセスに Internet Explorer を使用するには、Internet Explorer の構成が必要です。

  • ストレージゾーンコネクタへの Web アクセスをサポートするには、/cifs および /spへのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) を追加します。

Citrix ADC for ShareFile ウィザードを完了したら、Citrix ADCで以下の手順を実行します。

  1. 第 3 の負荷分散仮想サーバーを作成します。
    1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。

    2. [追加] をクリックしてください。

    3. 次の値を指定します。

      オプション
      名前 ポリシー名(SF_ZONE_OPTIONSなど)
      プロトコル SSL
      IP アドレスタイプ アドレス不可能
    4. クリックして仮想サーバーを作成します。

    5. ウィザードで作成した負荷分散仮想サーバーと同じサービスをバインドするには、[負荷分散仮想サーバー]画面の[サービス]から[>]をクリックし、[保存]をクリックします。

    6. 仮想サーバーに証明書を追加します。

  2. 追加した仮想サーバのポリシーを作成します。
    1. [トラフィック管理] > [コンテンツの切り替え] > [ポリシー] に移動します。

    2. 詳細ウィンドウで、[追加] をクリックし、[名前]、[ターゲット LB 仮想サーバー]、および [式] の値を指定します。[ 式エディタ ] をクリックし、この式を作成します。[ HTTP] を選択します。「 REQ」を選択します。「 方法」を選択します。EQ (文字列) を選択し、OPTIONS と入力します。式は次のように読み取ります。 HTTP.REQ.METHOD.EQ("OPTIONS")

    3. [完了] をクリックします。

    4. [作成] をクリックします。

  3. 作成したポリシーを新しい負荷分散仮想サーバーにバインドします。
    1. [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。

    2. 一覧で、仮想サーバーをクリックし、[ 編集] をクリックします。

    3. [コンテンツスイッチングポリシーのバインド] のセクションに移動し、[2 コンテンツスイッチングポリシー] をクリックします。

    4. [バインドを追加]をクリックします。

    5. 新しいコンテンツポリシーを選択し、ターゲット負荷分散仮想サーバーを選択します。

    6. [バインド] をクリックします。

    7. バインドを編集 」をクリックし、 優先度を更新します。新しいポリシーのプライオリティを変更して、3 つのポリシーのうち最も低い数にします。

      最も低い値のポリシーが最高のプライオリティを持つため、最初に処理されます。

  4. ストレージゾーンコネクタ(_SF_CIF_SP_CSPOL)へのトラフィックに使用されるポリシーを更新します。
    1. [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。

    2. _SF_CIF_SP_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. ShareFile データ(_SF_SZ_CSPOL)のストレージゾーンへのトラフィックに使用されるポリシーを更新します。
    1. [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。

    2. _SF_SZ_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

読み取り専用共有用にCitrix ADC を構成する

読み取り専用共有をサポートするには、ユーザーが Microsoft Office Web Apps サーバー (OWA) にアクセスできる必要があります。OWAサーバーが独自のアドレスで外部からアクセスできる場合は、Storage Zone Controller に追加のCitrix ADC 構成は必要ありません。

Citrix ADC コンテンツスイッチングポリシーを使用して、Storage Zone Controller とOffice Web App Serverを単一の外部アドレスに結合する場合は、Citrix ADC for ShareFile ウィザードの完了後に、追加のCitrix ADC構成を実行する必要があります。トラフィックが外部からアクセス可能なOWAサーバーに適切にルーティングされるようにするには、Citrix ADC 構成が必要です。

次のCitrix ADC ルールを構成すると、管理者はStorage Zone Controllerのゾーンの既存外部アドレスを再利用できるため、OWA 用に追加の外部アドレスを作成する必要がなくなります。

追加のCitrix ADC 負荷分散仮想サーバーを作成して構成するには:

  1. 追加の負荷分散サービスを作成します。
    • [ トラフィック管理] > [負荷分散] > [サービス]に移動します。
    • [追加] をクリックします。
    • 必要な情報を入力して、OWA サーバーに対応するサービスを作成します。[OK] をクリックします。
  2. 追加の負荷分散仮想サーバーを作成します。
    • [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
    • [追加] をクリックします。
    • 次の値を指定します。

      オプション
      名前 ポリシー名(SF_OWA_vServer など)
      プロトコル SSL
      IP アドレスタイプ アドレス不可能
    • クリックして仮想サーバーを作成します。
    • 前の手順で作成した OWA サービスに仮想サーバーをバインドするには、[ 負荷分散仮想サービスバインド] > [サービスの選択]をクリックします。前の手順で作成したサービスの横にあるチェックボックスをクリックします。
    • [選択]をクリックします。
    • [バインド] をクリックします。
  3. OWA サーバーにトラフィックをルーティングするために使用する新しいポリシーを作成します。
    • [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。
    • [追加] を選択します。
    • ポリシーに名前を付けます。
    • 次の式を追加します。
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完全なポリシー表現は、次のようになります。

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. ロードバランシング仮想内の新しいポリシーの優先順位の更新
    • [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
    • 負荷分散仮想サーバーをクリックし、[コンテンツスイッチングポリシー] を選択します。
    • (例)「_SF_OWA」ポリシーの優先順位が 3 番目になるようにポリシーの優先順位を変更します。

      優先度 ポリシー名
      90 SF_ZK_OPTIONS
      95 SF_CIF_SPOL
      99 OWA
      100 SF_SZ_CSPOL
  • [閉じる] をクリックします。[ 完了] をクリックします。

Storage Zone Controller サービス用のモニターを作成する

デフォルトでは、Citrix ADC はStorage Zone Controller サーバーにpingを実行し、オンラインかどうかを確認します。ただし、Controller がオンラインであっても、ShareFile Webサイトにハートビートメッセージを送信できないことがあります。この場合、Citrix ADC は、ShareFile と通信していないが、Storage Zone Controller にトラフィックを送信します。

ShareFile へのStorage Zone Controller 送信接続を確認するには、heartbeat.aspxをチェックするモニターを作成し、各Storage Zone Controller Citrix ADC サービスにバインドします。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_SVCは、Storage Zone Controller に対応するCitrix ADC サービスです。このサービス名は、Citrix ADC for ShareFile ウィザードによって自動的に作成されます。サービス名には、_SF_SVC_IP-address などのController の IP アドレスが含まれます。

-secure YES は、サービスがポート 443 でリッスンしている場合に必要です。

Citrix ADC の構成を確認します

ウィザードを完了したら、[ トラフィック管理] > [負荷分散] > [仮想サーバー ] の順に選択し、ウィザードによって作成された負荷分散仮想サーバーのステータスを表示します。

Citrix ADC を使用したShareFile 要求のスループットの表示

スループット統計は、[ ダッシュボード ] メニューにあります。