オンプレミスのストレージゾーンとのContent Collaboration

寄稿者

著者: Rob Sanders

オーディエンス

このリファレンス・アーキテクチャ・ドキュメントは、IT部門の意思決定者、コンサルタント、ソリューション・インテグレーター、パートナーを対象としています。このドキュメントは、Citrix Content Collaboration のストレージゾーンをお客様のデータセンター内に導入することを目的としています。

目標

Citrix Content Collaboration では、ファイルの保存場所を選択できます。お客様は、Citrix独自のクラウドネイティブのストレージゾーン、データセンターまたはクラウド内のお客様のストレージゾーンの場所、または組み合わせのいずれかにファイルを保存するかを選択できます。さらに、オンプレミスのストレージゾーンは、ネットワークファイル共有や SharePoint Server ドキュメントライブラリなどの既存のリポジトリへのGateway としても機能します。この文書の範囲は、次のものに限定されています。

  • オンプレミスのストレージゾーンのアーキテクチャコンポーネント
  • 永続的なファイル・オブジェクトを格納する場所に関するガイダンスを提供する
  • 最適なユーザーエクスペリエンスを実現するためのCitrix ADCの構成に関するガイダンスを提供する
  • オンプレミスのストレージゾーンにウイルス対策ソリューションを統合

使用例

お客様は、さまざまな理由により、お客様が管理する独自のストレージゾーンを導入しています。一般的な使用例は次のとおりです。

  • データの主権: ローカルまたは社内のコンプライアンス規制を遵守するために、お客様はすべてのファイルを各自のデータ・センターに保存する必要があります。お客様が管理するストレージゾーンにより、Citrix Content Collaboration の生産性とコラボレーション機能のメリットを享受しながら、すべてのファイルを各自のデータセンターに保存できます。
  • パフォーマンス:Citrix は複数の地域にストレージゾーンをホストしますが、特定の地域にいるお客様は、従業員が期待するユーザーエクスペリエンスを提供するゾーンにアクセスできない場合があります。お客様が管理するストレージゾーンをデプロイすることで、ユーザーはファイルオブジェクトをユーザーの近くでホストし、ファイル転送時のレイテンシーを短縮できます。これにより、従業員や外部の共同作業者のユーザーエクスペリエンスが向上します。
  • 既存のリポジトリをモダナイズ: ファイルの移行は必ずしも可能ではなく、時間がかかる場合があります。Citrix Content Collaboration では、従業員がファイルにアクセスして作業する最新の方法を待つことができず、待つ必要もありません。お客様が管理するストレージゾーンを導入することで、既存のデータを移行することなく、あらゆるデバイスで最新のワークスタイルを直接開放できます。
  • インフラストラクチャへの投資の保護: ストレージゾーンをオンプレミスでホストし、すでにデプロイされている NAS などのストレージハードウェアを活用することで、既存のストレージハードウェアが廃止されることなく、最新のクラウドネイティブのコラボレーションプラットフォームを提供できます。

Content Collaboration プラットフォームの概要

Citrix Content Collaboration は、エンタープライズコンテンツコラボレーションプラットフォームです。IT部門は、ユーザーのモバイル性とコラボレーションのニーズと企業のデータセキュリティ要件を満たす堅牢なデータ共有および同期サービスを提供できます。Citrix Content Collaboration では、Citrixが管理するクラウドネイティブのストレージリポジトリ内、またはお客様が管理するストレージリポジトリ内のファイルの保存場所を柔軟に選択できます。

Citrix Content Collaboration は、Content Collaboration 管理プレーン、ストレージゾーン、Citrix Files アプリの3つの主要コンポーネントで構成されています。

  • 管理プレーン:Content Collaboration サービスとビジネスロジックをホストするCitrixが管理するコンポーネントで、米国または欧州連合(EU)でホストされています。
  • ストレージゾーン: 顧客ファイルが格納される場所。お客様は、Citrix によってホストされるか、お客様が自社のデータセンターでホストされるか、または各自のパブリッククラウドサービスサブスクリプションでファイルを保存する場所を選択できます。このリファレンスアーキテクチャは、お客様のデータセンター内でホストされるお客様が管理するストレージゾーンに焦点を当てます。
  • Citrix Files:Content Collaboration サービスへのアクセスを提供するネイティブアプリ。Citrix Files アプリは、OutlookとGmailに加えて、Windows、MacOS、iOSとAndroidのために利用可能です。

Citrix Content Collaboration の概要

お客様が管理するストレージ・ゾーン・アーキテクチャ

カスタマー管理ストレージゾーンには、Content Collaboration サービスにアップロードされたすべてのファイルオブジェクトが格納されます。また、これらのファイルで共同作業している従業員や外部ユーザーの両方に、これらのファイル・オブジェクトへのアクセスを提供します。ストレージゾーンの第 3 の機能は、ネットワークファイル共有、SharePoint Server ドキュメントライブラリ、OpenText Documentum ドキュメント管理システムなど、オンプレミスでホストされている既存のリポジトリへのアクセスを提供することです。これらの機能を提供するために、ストレージゾーンにはこれらのコンポーネントが含まれます。

  • ストレージゾーンコントローラ: ストレージゾーン Controller サービスをホストする Windows ベースの Web サーバ。
  • ストレージリポジトリ:Citrix ファイルオブジェクトが格納されている場所。この場所は通常、ネットワークファイル共有ですが、Amazon S3、Microsoft Azure ストレージ、Google クラウドストレージなどのパブリッククラウドストレージの場所にすることもできます。
  • Citrix ADC:アプリケーション配信Controller は、ストレージゾーンへの着信トラフィックに対して、ネットワーク負荷分散、SSLオフロード、認証サービスを提供します。

ストレージゾーンコントローラ

ストレージゾーン Controller は、ASP.NET Web サービスとバックグラウンド Windows サービスで構成される Windows パッケージです。Controller ソフトウェアは、インターネットインフォメーションサービス (IIS) を備えた Microsoft Windows Server 上で動作します。ストレージゾーンController システム要件は、次のとおりです:https://docs.citrix.com/en-us/storagezones-controller/5-0/system-requirements.html

サーバーのオーバーヘッドと攻撃対象を減らすために、インターネットインフォメーションサーバーと ASP.NET アプリケーションサーバーの役割を有効にして Windows Server Core インスタンスを使用することをお勧めします。

スケーラビリティ

必要なストレージゾーンコントローラの数は、ストレージゾーンの展開の使用方法によって異なります。この数は、いくつかの要因の影響を受けます。これらの要因には以下が含まれますが、これらに限定されません。

  • 保存される新規および更新されたファイルの量: ストレージゾーンコントローラとストレージリポジトリ間で必要な帯域幅に影響を与え、ファイルI/OキューがストレージゾーンController 上に構築されないようにします。
  • 格納されるファイルのサイズ:受信ファイルは複数のパートにアップロードされ、ストレージゾーンコントローラはこれらのパートをマージして単一のファイルオブジェクトに戻します。部品をマージすると、CPU 使用率が高くなり、ファイルのサイズが大きくなると、CPU の処理能力が大きくなります。
  • 同時セッション数: ストレージゾーンへの同時ファイル転送セッションの数は、ファイルのダウンロードまたはファイルのアップロードのいずれかで、必要なController ホストの量に影響します。
  • オンプレミスコネクタの使用: 既存のリポジトリ内のファイルとフォルダのメタデータは、ユーザーがコネクタを開いたり、別のフォルダを参照したりすると、ストレージゾーンコントローラによってリアルタイムで取得されます。

高可用性を実現するために、ストレージゾーンごとに少なくとも2つのストレージゾーンコントローラーを展開することをお勧めします。Citrix ADCでは、インバウンドトラフィックの負荷分散サービスを提供します。このような展開のベースラインの数値は、Content Collaboration テナント内の 5,000 ユーザーで、追加のController ホストあたり 2,500 ユーザーがストレージゾーンに追加されます。ストレージゾーンの実際の使用状況によって、必要なController ホストの数が決まります。お客様の導入には、250 人のユーザ用の 2 つのController ホスト(ユーザが大きなファイルを操作する場合)から、250,000 人のユーザ用の 4 つのコントローラホストまで、使用例が時折ファイル共有に限定されます。

内部テストでは、ストレージゾーンあたりのコントローラの最適最大数は 4 であることが示されています。1 つのサイトでより多くのコントローラーが必要な展開では、複数の記憶域ゾーンを設定することをお勧めします。

詳細については、パフォーマンス監視の章を参照してください。

コネクタ

ストレージ・ゾーン・コネクタ機能により、従業員は既存のリポジトリに安全にアクセスできます。サポートされるリポジトリは、ネットワークファイル共有、SharePoint Server ドキュメントライブラリ、OpenText Documentum です。ユーザーは、構成されたコネクタにアクセスするときに、Active Directory 資格情報を使用して認証するように要求されます。ストレージゾーン Controller は AD 偽装を使用して、ユーザーの代わりに基になるリポジトリにアクセスします。このためには、すべてのストレージゾーン Controller ホストがドメインメンバーであり、ホストがこれらのリソースにアクセスできるように委任を Active Directory で構成する必要があります。

ストレージリポジトリ

ネットワークファイル共有

ネットワークファイル共有は、お客様が管理するストレージゾーンで最も一般的に使用されるリポジトリです。ネットワークファイル共有は、別のファイルサーバでホストすることも、この機能をサポートするストレージリポジトリで直接ホストすることもできます。ファイル転送に最適なユーザーエクスペリエンスを提供するために、低レイテンシー、高 IOPS ネットワーク接続ストレージ (NAS) を使用して Content Collaboration リポジトリをホストすることをお勧めします。ストレージゾーンは、永続ストレージフォルダ内に複数のフォルダを作成し、リポジトリ内に格納できるファイルの総数を増やします。ストレージゾーン Controller ホストとストレージゾーンリポジトリ間のファイル転送に SMBv3 を利用できるようにするには、最新のファイルサーバを使用することをお勧めします。

重要: Microsoft の 分散ファイルシステム(DFS-R) のレプリケーション機能の使用はサポートされていません。DFS-R は、ファイルをレプリケーション用にロックします。これにより、ストレージゾーンへのファイルのアップロードが正常に行われなくなります。ストレージゾーンにアップロードされるすべてのファイルは複数のパートに分割されます。すべてのパートが到着して検証されると、ストレージゾーンコントローラはこれらのパートを 1 つのファイルにマージします。DFS-R によって個々のパーツがロックされると、ストレージゾーンコントローラはこのアクションを完了できず、アップロードは失敗します。

お客様が管理するストレージゾーン(オンプレミスリポジトリあり)

パブリッククラウドストレージ

ネットワークファイル共有を使用する代わりに、パブリッククラウドストレージリポジトリを使用してファイルオブジェクトを格納できます。ストレージゾーンController ホストは、ネイティブ API を使用してファイル転送を実行します。このアーキテクチャでは、別のネットワークファイル共有がローカルキャッシュとして使用されています。ローカルキャッシュには、ストレージゾーンにアップロードまたはストレージゾーンからダウンロードされる最新のファイルが格納されます。経験は、最近使用したファイルが異なるデバイスに同期されることが多く、他の人と共有されることがよくあります。毎回パブリッククラウドストレージリポジトリからこれらのファイルを取得する必要がないと、ユーザーエクスペリエンスが向上し、ストレージゾーンとクラウドリポジトリ間で使用される帯域幅の量が減少します。

クラウドリポジトリを備えたお客様が管理するストレージゾーン

ファイルオブジェクトの暗号化

ストレージゾーンでは、ファイルレベルですべてのファイルオブジェクトの暗号化を構成できます。暗号化は、ストレージゾーンの初期セットアップ中に生成される AES 256 ビットの暗号化キーを使用して、ストレージゾーン Controller ホストによって実行されます。暗号化を有効にすると、ファイルオブジェクトの暗号化と復号化によって CPU 使用率が増加するため、ストレージゾーンController ホストのパフォーマンスに影響します。

このオプションは、企業のセキュリティポリシーに従ってすべてのファイルの暗号化を有効にする必要があり、ストレージレイヤーを暗号化するその他の手段が使用できない場合にのみ使用することをお勧めします。ストレージゾーンController ホストによる暗号化により、ストレージゾーン内の永続ストレージフォルダでデータ重複除外を実行する機能が削除されます。また、暗号化キーまたはストレージゾーンの構成パスフレーズを含む SCKeys.txt ファイルにアクセスせずにストレージゾーンを再構築する場合、データの回復が不可能になります。

Citrix ADC

アプリケーション配信Controller は、ストレージゾーンの前面に使用されています。Citrix ADCは次の機能を実行します。

  • SSL オフロード: ストレージゾーンの着信 SSL セッションは、ADC で終了します。お客様のセキュリティ要件と監視要件に応じて、ADC とストレージゾーン Controller ホスト間のトラフィックを暗号化または暗号化解除できます。
  • 負荷分散:高可用性を実現するために、ADCによってストレージゾーンController ホスト間でトラフィックが負荷分散されます。どのストレージ・ゾーン・Controller・ホストが動作しているかを判断するために、ADCは各ホストのハートビートの結果を監視します。ハートビートに対する無効な応答を持つホストはオフラインと見なされ、ファイル転送セッションはそれらのホストに転送されません。
  • 認証: ユーザーはコネクタにアクセスするときに認証する必要があります。この認証は DMZ 内で実行し、リモートユーザが LAN 内で認証されないようにすることをお勧めします。Citrix ADCでKerberos制約付き委任を構成することで、ドメインに参加しているデバイスからコネクタにアクセスするローカルユーザーは、資格情報の提供を必要とせずにシームレスに認証されます。
  • コンテンツ切り替え:Citrix ファイルリポジトリとコネクタへのトラフィックは互いに異なります。コネクタは認証を必要とし、Citrixファイルリポジトリへのトラフィックは常に認証なしです。これは、顧客の Active Directory で認証するための資格情報を持たない外部ユーザーとファイルを共有できるようにするためです。この違いにより、ADC はコンテンツ切り替えを実行してこのトラフィックを分離し、コネクタトラフィックの認証ポリシーをロードバランサーに適用します。Citrix ファイルトラフィックのロードバランサーでは、レスポンダーポリシーがリクエストの信頼性を検証するように構成されます。Content Collaboration 管理プレーンからのリクエストから送信されたリクエストのみが、ストレージゾーンController ホストに経由して許可されます。

ローカル・ユーザー・セッションとリモート・ユーザー・セッションの分離

ローカルユーザーに最高のユーザーエクスペリエンスを提供するために、Citrix ADC上の構成はローカルユーザーとリモートユーザーごとに分離されています。ローカルユーザーは、ドメインに参加しているデバイス、またはCitrix Endpoint Management で管理されているiOSおよびAndroid上のCitrix Files アプリからストレージゾーンにアクセスしていると見なされます。ADCに内部および外部インターフェースを導入するもう1つの理由は、セキュリティを強化することです。Citrix ADCはDMZの内部に配置され、外部インターフェイスはDMZ範囲内のIPアドレスを持つ、内部インターフェイスはローカル範囲内のIPアドレスを持つ。ローカルユーザーが正しい IP アドレスにアクセスできるようにするには、ストレージゾーンにパブリック DNS 名と証明書が 1 つしかないため、スプリット DNS を構成する必要があります。

ローカル・ユーザーは、内部負荷分散サーバまたはコンテンツ・スイッチ・サーバから内部IPアドレスを使用してストレージ・ゾーンにアクセスします。負荷分散サーバーまたはコンテンツスイッチングサーバーのどちらを選択するかは、Citrix ADCでコネクタの認証を行う必要があるかどうかによって決まります。その場合、コンテンツスイッチングサーバーが必要であり、ローカルユーザー用のコネクタ用の負荷分散サーバーは Kerberos を使用してコネクタにアクセスするときにユーザーを認証します。リモートユーザーは、DMZ 範囲内の IP アドレスを持つ外部コンテンツスイッチからストレージゾーンにアクセスします。リモートユーザーのコネクタ用の負荷分散サーバーは、コネクタにアクセスするときに基本認証 (ユーザー名とパスワード) を使用してユーザーを認証します。ストレージ・ゾーン・Controller・ホスト上のコネクタの認証は、Windows認証を使用します。コネクタ・リポジトリは、リポジトリで構成された認証方法を使用します。SharePoint サーバーの場合、これは通常、NTLM 認証であるファイルサーバーに対して Kerberos 認証です。

単一の Citrix ADC の導入

:DMZとローカルネットワークの境界上にある単一のADCに内部および外部のコンテンツスイッチングサーバーを設定する代わりに、DMZ内部にCitrix ADCを外部ユーザー用に構成し、ローカルネットワーク上のCitrix ADCを内部ユーザー用に構成することもできます。

デュアル Citrix ADC の導入

ウイルス対策ソリューションとの統合

ストレージゾーンにアップロードされたすべてのファイルは、ウイルスとマルウェアがないかスキャンする必要があります。ファイルオブジェクトとファイルメタデータが分離されているため、感染ファイルや疑わしいファイルを直接スキャンしてストレージゾーンから削除することはお勧めしません。ファイルが削除されますが、ファイルのメタデータは保持され、ユーザーはCitrix Files アプリとWebUI内にファイルが表示されます。ファイルにアクセスしようとすると、ファイルが存在しないというエラーメッセージが表示されます。

より優れたユーザーエクスペリエンスを提供し、必要なレベルのセキュリティを維持するために、ストレージゾーンは ICAP インターフェイスを介してウイルス対策ソリューションを活用できます。新しいファイルや更新されたファイルを受信すると、ストレージゾーンController ホストはそのファイルをスキャンキューに追加します。ファイルはICAP経由でウイルス対策サーバーに送信され、ファイルをスキャンした後、ウイルス対策サーバーは結果を返します。ストレージゾーンController ホストは、このステータスをアップロードして、Content Collaboration 管理プレーン内に格納されているファイルメタデータに追加します。テナントアカウントに対して構成されたウイルス対策ポリシーに基づいて、ユーザーは感染フラグが設定されたファイルをダウンロードまたは共有する機能が制限されます。

パフォーマンス監視

ストレージゾーン Controller は、インターネットインフォメーションサーバで実行されている ASP.NET Web アプリケーションです。ストレージゾーン Controller ホストのパフォーマンスを監視するには、ASP.NET アプリケーションを実行しているすべての Web サーバーを監視する一般的な原則に従います。パフォーマンスの問題を特定するための推奨指標を以下に示します。

メモリ

  • 使用可能な MB: 使用可能な RAM の合計の 20% の持続値を下回らないようにします。
  • ページ入力/秒:15を超えないようにしてください。値が低いほど、ストレージゾーンController パフォーマンスが向上します。
  • ページ/秒:5以上の持続的な値を超えないようにしてください。

論理ディスク

  • % ディスク時間: 50% 以上の持続的な値を超えないようにしてください。
  • 平均ディスクキュー長: スピンドル数に 2 を加えた値を超えないようにしてください。
  • ディスク読み取りキューの平均長: 2 未満である必要があります。
  • ディスク書き込みキューの平均長: 4 未満である必要があります。
  • 平均ディスク秒/読み取り: 平均は 15 ミリ秒以下で、最大値は 25 ミリ秒です。
  • 平均ディスク秒/書き込み: 平均は 15 ミリ秒以下で、最大値は 25 ミリ秒です。
  • 平均ディスク/転送: 20 ミリ秒未満である必要があります。

プロセッサ

プロセッサパフォーマンスモニタは、ストレージゾーン Controller アプリを実行する W3WP プロセスだけでなく、システムに対しても実行する必要があります。 値が互いに近い場合、WebサービスはCPUを消費しています。そうでない場合は、他のプロセスがシステムのパフォーマンスに影響を与えます。

  • % 特権時間: 75% 以上の持続的な値を超えないようにしてください。
  • % プロセッサ時間: 85% 以上の持続的な値を超えないようにしてください。

システム

  • コンテンツスイッチ/秒: CPU あたり 15,000 秒を超えることはできません。

Web サービスキャッシュ

  • カーネル:URI キャッシュヒット率: 80% を下回るべきではありません。

ASP.NETアプリケーション(合計

  • リクエスト待ち時間:1,000ミリ秒を超えないようにしてください。

概要

Citrix Content Collaboration では、組織のニーズに最も適した場所にファイルを保存できます。このドキュメントでは、Content Collaboration ストレージゾーンを独自のデータセンターに展開するためのアーキテクチャと、必要なすべてのコンポーネントについて説明します。

組織内のContent Collaboration サービスの使用例は、必要なコンポーネントに影響を与えます。

  • 永続的なファイルオブジェクトが、オンプレミスまたはパブリッククラウドストレージリポジトリに格納される場所。
  • ストレージ・ゾーン・コネクタを使用して、Content Collaboration ストレージ・リポジトリと既存のリポジトリにアクセスできます。
  • ストレージ・ゾーンにアクセスするユーザーの場所とデバイスの種類、および外部コラボレーションの種類。

このアーキテクチャは、お客様がCitrix サービスチームと共同で実装する最も一般的な展開モデルを網羅しています。最も一般的な使用例は、Content Collaboration ストレージリポジトリと既存のリポジトリの両方に、ストレージゾーンコネクタを介してアクセスすることです。

参照ドキュメント

Citrix Content Collaboration に関するリソース

ストレージゾーンController のリソース