リファレンスアーキテクチャ:オンプレミスのストレージゾーンとのContent Collaboration

オーディエンス

このリファレンスアーキテクチャドキュメントは、お客様のデータセンター内にCitrix Content Collaboration用の顧客管理ストレージゾーンを展開しようとしているITの意思決定者、コンサルタント、ソリューションインテグレータ、パートナーを対象としています。

目的

Citrix Content Collaboration では、ユーザーがファイルの保存場所を選択できます。お客様は、Citrix独自のクラウドネイティブストレージゾーン内にファイルを保存するか、選択したデータセンターまたはクラウド内のお客様のストレージゾーンの場所、または組み合わせて保存するかを選択できます。オンプレミスのストレージゾーンは、その場所に加えて、ネットワークファイル共有や SharePoint Server ドキュメントライブラリなどの既存のリポジトリへのゲートウェイとしても機能します。この文書は、次の範囲に限定されています。

  • オンプレミスのストレージゾーンのアーキテクチャコンポーネント
  • 永続ファイルオブジェクトを格納する場所に関するガイダンスを提供する
  • 最適なユーザーエクスペリエンスを実現するためのCitrix ADCの構成に関するガイダンスを提供する
  • ウイルス対策ソリューションをオンプレミスのストレージゾーンに統合する

使用例

お客様は、さまざまな理由により、お客様が管理する独自のストレージゾーンを展開します。典型的なユースケースは次のとおりです。

  • データの主権: ローカルまたは社内のコンプライアンス規制に準拠するために、お客様はすべてのファイルを自社のデータセンターに保存する必要があります。お客様が管理するストレージゾーンを使用すると、Citrix Content Collaborationの生産性とコラボレーション機能を利用でき、同時にすべてのファイルを自社のデータセンター内に格納できます。
  • パフォーマンス:Citrixは複数の地理的リージョンでストレージゾーンをホストしますが、特定の地域の顧客は、従業員が期待するユーザーエクスペリエンスを提供するゾーンにアクセスできません。お客様が管理するストレージゾーンを展開することで、それらの顧客はファイルオブジェクトをユーザーの近くでホストし、ファイル転送時の待ち時間を短縮できます。これにより、従業員や外部の共同作業者のユーザーエクスペリエンスが向上します。
  • 既存のリポジトリをモダナイズする:ファイルの移行が常に可能であるとは限らず、時間がかかる場合があります。Citrix Content Collaboration では、これは従業員がファイルにアクセスして操作する最新の方法を待つ必要がない、または待つ必要がないことを意味するものではありません。お客様が管理するストレージゾーンを導入することで、既存のデータを移行することなく、あらゆるデバイスで最新のワークスタイルを直接解除できます。
  • インフラストラクチャへの投資を保護: ストレージゾーンをオンプレミスでホストし、NAS などの既に導入済みのストレージハードウェアを使用することで、既存のストレージハードウェアが時代遅れになることなく、最新のクラウドネイティブコラボレーションプラットフォームを提供できます。

Content Collaboration プラットフォームの概要

Citrix Content Collaborationは、企業のコンテンツコラボレーションプラットフォームです。IT部門は、ユーザーの移動性とコラボレーションのニーズと企業のデータセキュリティ要件を満たす堅牢なデータ共有と同期サービスを提供できます。Citrix Content Collaborationでは、Citrix管理のクラウドネイティブストレージリポジトリ内またはお客様が管理するストレージリポジトリ内のいずれかで、ファイルの保存場所を柔軟に選択できます。

Citrix Content Collaboration は、Content Collaboration 管理プレーン、ストレージゾーン、Citrix Filesアプリの3つの主要コンポーネントで構成されています。

  • 管理プレーン:Content Collaboration サービスおよびビジネスロジックをホストする Citrix が管理するコンポーネントで、米国または欧州連合のいずれかでホストされます。
  • ストレージゾーン:顧客ファイルが保存される場所。お客様は、Citrixがホストするか、お客様自身のデータセンターまたは独自のパブリッククラウドサービスサブスクリプションでホストするファイルの保存先を選択できます。このリファレンス・アーキテクチャは、お客様のデータ・センター内でホストされるお客様管理のストレージゾーンに重点を置いています。
  • Citrix Files: Content Collaboration サービスへのアクセスを提供するネイティブアプリ。Citrix Files アプリは、OutlookとGmailに加えて、Windows、macOS、iOSとAndroidのために利用可能です。

Citrix Content Collaboration の概要

お客様が管理するストレージゾーンのアーキテクチャ

カスタマー管理ストレージゾーンには、Content Collaboration サービスにアップロードされたすべてのファイルオブジェクトが格納されます。また、これらのファイルに対して共同作業を行う従業員および外部のユーザーに対して、これらのファイルオブジェクトへのアクセスも提供します。ストレージゾーンの第 3 の最終的な機能は、ネットワークファイル共有、SharePoint Server ドキュメントライブラリ、OpenText Documentum ドキュメント管理システムなど、オンプレミスでホストされている既存のリポジトリへのアクセスを提供することです。これらの機能を提供するために、ストレージゾーンにはこれらのコンポーネントが含まれています。

  • ストレージゾーンコントローラー:ストレージゾーンコントローラーサービスをホストする Windows ベースの Web サーバー。
  • ストレージリポジトリ:Citrixファイルオブジェクトが格納される場所。通常、この場所はネットワークファイル共有ですが、Amazon S3、Microsoft Azure ストレージ、Google クラウドストレージなどのパブリッククラウドストレージの場所を指定することもできます。
  • Citrix ADC:アプリケーション配信コントローラーは、ストレージゾーンへのインバウンドトラフィックに対して、ネットワーク負荷分散、SSLオフロード、および認証サービスを提供します。

ストレージゾーンコントローラ

ストレージゾーンコントローラは、ASP.NET Web サービスとバックグラウンド Windows サービスからなる Windows パッケージです。コントローラソフトウェアは、インターネットインフォメーションサービス (IIS) を使用して Microsoft Windows Server 上で動作します。ストレージゾーンコントローラーのシステム要件は、 /en-us/storagezones-controller/5-0/system-requirements.htmlにあります。

サーバーのオーバーヘッドと攻撃対象領域を削減するには、インターネットインフォメーションサーバーおよび ASP.NET アプリケーションサーバーの役割を有効にした Windows Server コアインスタンスを使用することをお勧めします。

スケーラビリティ

必要なストレージゾーンコントローラの数は、ストレージゾーンの展開の使用方法によって異なります。この数値は、さまざまな要因の影響を受けます。これらの要因には、以下が含まれますが、これらに限定されません。

  • 保存される新規および更新されたファイルの量:ストレージゾーンコントローラとストレージリポジトリ間で必要な帯域幅に影響し、ファイルI/Oキューがストレージゾーンコントローラ上に蓄積されないようにします。
  • 保存されているファイルのサイズ:受信ファイルは複数のパートでアップロードされ、ストレージゾーンコントローラーはこれらのパートを単一のファイルオブジェクトにマージし直します。パーツをマージすると CPU 使用率が高くなり、ファイルサイズが大きいほど CPU 処理能力が必要になります。
  • 同時セッション数:ストレージゾーンへの同時ファイル転送セッションの数は、ファイルのダウンロードまたはアップロードで、必要なコントローラーホストの数に影響します。
  • オンプレミスコネクタの使用:ユーザーがコネクタを開くか、別のフォルダーを参照すると、既存のリポジトリ内のファイルとフォルダーのメタデータがストレージゾーンコントローラーによってリアルタイムで取得されます。

Citrix ADCは、インバウンドトラフィック用の負荷分散サービスを提供し、高可用性を実現するために、ストレージゾーンごとに少なくとも2つのストレージゾーンコントローラを展開することをお勧めします。このような展開の基本値は、Content Collaboration テナント内の 5,000 ユーザーで、追加のコントローラーホストごとに 2,500 人のユーザーがストレージゾーンに追加されます。ストレージゾーンの実際の使用量によって、必要なコントローラホストの数が決まります。お客様の導入環境は、ユーザーが大きなファイルを操作している250ユーザー用のコントローラホスト2台から、250,000人のユーザー用のコントローラホスト4台まで、使用例が時折ファイル共有に限定されます。

内部テストでは、ストレージゾーンあたりのコントローラの最適な最大数は 4 であることが示されています。1 つのサイトにさらに多くのコントローラーが必要な展開の場合は、複数のストレージゾーンを設定することをお勧めします。

詳細については、「 パフォーマンス監視 」の章を参照してください。

コネクタ

ストレージゾーンコネクタ機能により、従業員は既存のリポジトリに安全にアクセスできます。サポートされるリポジトリは、ネットワークファイル共有、SharePoint Server ドキュメントライブラリ、OpenText Documentum です。ユーザーは、構成されたコネクタにアクセスするときに、Active Directory 資格情報を使用して認証を要求されます。ストレージゾーンコントローラーは、AD 偽装を使用して、ユーザーの代わりに基礎となるリポジトリーにアクセスします。このためには、すべてのストレージゾーンコントローラホストがドメインメンバーであり、Active Directory で委任を構成して、ホストがそれらのリソースにアクセスできるようにする必要があります。

ストレージリポジトリ

ネットワークファイル共有

ネットワークファイル共有は、お客様が管理するストレージゾーンで最も一般的に使用されるリポジトリです。ネットワークファイル共有は、別のファイルサーバ上でホストすることも、この機能をサポートするストレージリポジトリで直接ホストすることもできます。Content Collaboration リポジトリをホストするには、低レイテンシー、高い IOPS NAS(NAS)を使用して、ファイル転送に最適なユーザーエクスペリエンスを提供することをお勧めします。ストレージゾーンは、永続ストレージフォルダー内に複数のフォルダーを作成し、リポジトリ内に格納できるファイルの総数を増やします。ストレージゾーンコントローラーホストとストレージゾーンリポジトリ間のファイル転送に SMBv3 を使用するには、最新のファイルサーバーを使用することをお勧めします。

重要: Microsoft の分散ファイルシステム (DFS-R) のレプリケーション機能の使用はサポートされていません。DFS-R は、レプリケーションのためにファイルをロックします。これにより、ストレージゾーンへのファイルのアップロードが正常に中断される可能性があります。ストレージゾーンにアップロードされるすべてのファイルは複数の部分に分割され、すべてのパートが到着して検証されると、ストレージゾーンコントローラはこれらのパーツを 1 つのファイルにマージします。DFS-R によって個々のパーツがロックされると、ストレージゾーンコントローラはこのアクションを完了できず、アップロードは失敗します。

オンプレミスのリポジトリを備えたカスタマー管理ストレージゾーン

パブリッククラウドストレージ

ネットワークファイル共有を使用する代わりに、パブリッククラウドストレージリポジトリを使用してファイルオブジェクトを格納できます。ストレージゾーンコントローラホストは、ネイティブ API を使用してファイル転送を実行します。このアーキテクチャでは、別のネットワークファイル共有がローカルキャッシュとして使用されています。ローカルキャッシュには、ストレージゾーンにアップロードまたはダウンロードされた最新のファイルが格納されます。最近使用したファイルは、多くの場合、別のデバイスに同期されたり、他のユーザーと共有されることがよくあります。パブリッククラウドストレージリポジトリからファイルを取得する必要がないと、ユーザーエクスペリエンスが向上し、ストレージゾーンとクラウドリポジトリ間で使用される帯域幅の量が削減されます。

クラウドリポジトリを備えた顧客管理ストレージゾーン

ファイルオブジェクトの暗号化

ストレージゾーンでは、ファイルレベルですべてのファイルオブジェクトの暗号化を構成できます。暗号化は、ストレージゾーンの初期セットアップ時に生成された AES 256 ビットの暗号化キーを使用して、ストレージゾーンコントローラーホストによって実行されます。暗号化を有効にすると、ファイルオブジェクトの暗号化と復号化によって CPU 使用率が高くなるため、ストレージゾーンコントローラホストのパフォーマンスに影響します。

このオプションは、企業のセキュリティポリシーに従ってすべてのファイルの暗号化を有効にする必要があり、ストレージレイヤーを暗号化する他の手段がない場合にのみ使用することをお勧めします。ストレージゾーンコントローラホストによる暗号化により、ストレージゾーン内の永続ストレージフォルダでデータ重複除外を実行できるようになります。また、ストレージゾーンの暗号化キーまたは構成パスフレーズを含む SCKeys.txt ファイルにアクセスせずにストレージゾーンを再構築すると、データの回復も不可能になります。

Citrix ADC

アプリケーション配信コントローラは、ストレージゾーンの前面に使用されています。Citrix ADCは、次の機能を実行します。

  • SSL オフロード: ストレージゾーンの着信 SSL セッションは、ADC で終了します。お客様のセキュリティおよび監視要件に応じて、ADC とストレージゾーンコントローラホスト間のトラフィックは、暗号化または暗号化解除のいずれかになります。
  • ロード・バランシング:ADCによってストレージ・ゾーン・コントローラ・ホスト間でトラフィックが負荷分散され、高可用性が提供されます。動作しているストレージ・ゾーン・コントローラ・ホストを特定するために、ADCは各ホストのハートビートの結果を監視します。ハートビートに対する無効な応答を持つホストはオフラインとみなされ、それらのホストへのファイル転送セッションは送信されません。
  • 認証: ユーザーはコネクタにアクセスするときに認証する必要があります。DMZ 内でこの認証を実行し、リモートユーザを認証なしに LAN 内に移動させないことがベストプラクティスです。Citrix ADCでKerberos制約付き委任を構成することにより、ドメインに参加しているデバイスからコネクタにアクセスするローカルユーザーは、資格情報を提供しなくてもシームレスに認証されます。
  • コンテンツの切り替え:Citrixファイルリポジトリとコネクタへのトラフィックは互いに異なります。コネクタは認証を必要とし、Citrixファイルリポジトリへのトラフィックは常に認証なしです。これは、お客様のActive Directory で認証するための資格情報を持たない外部ユーザーとファイルを共有できるためです。この違いにより、ADC はコンテンツスイッチングを実行して、このトラフィックを分離し、コネクタのトラフィック用のロードバランサーに認証ポリシーを適用します。Citrix Filesトラフィック用のロードバランサーでは、レスポンダーポリシーが要求の信頼性を検証するように構成されます。Content Collaboration 管理プレーンからの要求から送信されたリクエストのみがストレージゾーンコントローラホストへの通過を許可されます。

ローカル・ユーザー・セッションとリモート・ユーザー・セッションの分離

ローカルユーザーに最適なユーザーエクスペリエンスを提供するために、Citrix ADC上の構成はローカルユーザーとリモートユーザー用に分離されています。ローカルユーザーは、ドメインに参加しているデバイス、またはCitrix Endpoint Management で管理されているiOSおよびAndroid上のCitrix Files アプリからストレージゾーンにアクセスしていると見なされます。ADCに内部および外部インターフェースを配置するもう1つの理由は、セキュリティを強化することです。Citrix ADCは、DMZの内部に配置され、外部インターフェイスはDMZ範囲内のIPアドレスを持つが、内部インターフェイスはローカル範囲内にIPアドレスを持つ。ローカルユーザーが正しい IP アドレスにアクセスできるようにするには、ストレージゾーンにはパブリック DNS 名と証明書が 1 つしかないため、スプリット DNS を構成する必要があります。

ローカル・ユーザーは、内部ロード・バランシング・サーバまたは内部IPアドレスを使用してコンテンツ・スイッチング・サーバからストレージ・ゾーンにアクセスします。負荷分散サーバーまたはコンテンツスイッチングサーバーのどちらを選択するかは、コネクタの認証をCitrix ADCで実行する必要があるかどうかに基づきます。この場合、コンテンツスイッチングサーバーが必要で、ローカルユーザー用のコネクタの負荷分散サーバーは、コネクタにアクセスするときに Kerberos を使用してユーザーを認証します。リモートユーザーは、DMZ 範囲内の IP アドレスを持つ外部コンテンツスイッチからストレージゾーンにアクセスします。リモートユーザー用のコネクタ用の負荷分散サーバーは、コネクタにアクセスするときに基本認証 (ユーザー名とパスワード) を使用してユーザーを認証します。ストレージゾーンコントローラホスト上のコネクタの認証では Windows 認証が使用され、コネクタリポジトリはリポジトリで構成された認証方法を使用します。SharePoint Server の場合、これは通常 Kerberos 認証であり、ファイルサーバーは通常 NTLM 認証です。

単一のCitrix ADC導入

:DMZとローカルネットワークの境界にある単一のADCに内部および外部のコンテンツスイッチングサーバーを設定する代わりに、DMZ内部のCitrix ADCを外部ユーザー用に構成し、内部ユーザー用にローカルネットワーク上にCitrix ADCを構成することもできます。

デュアルCitrix ADC導入

ウイルス対策ソリューションとの統合

ストレージゾーンにアップロードされたすべてのファイルは、ウイルスおよびマルウェアをスキャンする必要があります。ファイルメタデータがファイルオブジェクトから分離されるため、感染したファイルや疑わしいファイルをストレージゾーンから直接スキャンして削除することはお勧めしません。これによりファイルが削除されますが、ファイルのメタデータは保持され、ユーザーはCitrix FilesアプリとWebuI内にファイルが表示されます。ファイルにアクセスしようとすると、ファイルが存在しないことを示すエラーメッセージが表示されます。

より優れたユーザーエクスペリエンスを提供し、必要なセキュリティレベルを維持するために、ストレージゾーンは ICAP インターフェイスを介してウイルス対策ソリューションを適用できます。新しいファイルと更新されたファイルを受信すると、ストレージゾーンコントローラホストはファイルをスキャンキューに追加します。ファイルは ICAP 経由でウイルス対策サーバーに送信され、ファイルをスキャンした後、ウイルス対策サーバーは結果を返します。Storage Zone Controller ホストは、このステータスをアップロードして、Content Collaboration 管理プレーン内に格納されたファイルメタデータに追加します。テナントアカウントに対して構成されたウイルス対策ポリシーに基づいて、ユーザーは、感染のフラグが付いたファイルをダウンロードまたは共有する機能が制限されます。

パフォーマンス監視

ストレージゾーンコントローラは、インターネットインフォメーションサーバー上で実行される ASP.NET Web アプリケーションです。ストレージゾーンコントローラーホストのパフォーマンスを監視するには、ASP.NET アプリケーションを実行する Web サーバーを監視する一般的な原則に従います。パフォーマンスの問題を特定するための推奨メトリックを次に示します。

メモリ

  • 利用可能メガバイト: 使用可能なRAMの合計の 20% の持続値を下回ることはお勧めしません。
  • ページ入力/秒: 15 を超えることはお勧めしません。値が小さいほど、ストレージゾーンコントローラのパフォーマンスが向上します。
  • ページ/秒: 5 以上の持続値を超えることはできません。

論理ディスク

  • % ディスク時間: 50% 以上の持続値を超えることはお勧めしません。
  • 平均ディスクキュー長: スピンドル数に 2 を加えた数を超えることはお勧めしません。
  • ディスク読み取りキューの平均長: 2 未満にすることはお勧めしません。
  • ディスク書き込みキューの平均長: 4 未満にすることはお勧めしません。
  • 平均ディスク秒/読み取り: 平均は 15 ミリ秒以下、最大 25 ミリ秒にすることは推奨されません。
  • 平均ディスク秒/書き込み: 平均は 15 ミリ秒以下、最大 25 ミリ秒は推奨されません。
  • 平均ディスク/転送: 20 ミリ秒未満にすることは推奨されません。

プロセッサ

システムおよびストレージゾーンコントローラアプリケーションを実行しているW3WPプロセスに対して、プロセッサパフォーマンスモニターを実行することはできません。値が互いに近い場合、Webサービスは、CPUを消費しています。そうでない場合は、他のプロセスがシステムのパフォーマンスに影響しています。

  • % 特権時間: 75% 以上の持続値を超えることはできません。
  • % プロセッサ時間: 85% 以上の持続値を超えることはできません。

システム

  • コンテンツスイッチ/秒: 1 CPU あたり 15,000 /秒を超えることはできません。

Web サービスキャッシュ

  • カーネル:URI キャッシュヒット率: 80% 以下にドロップできません。

ASP.NET アプリ v4.0.30319 (合計)

  • リクエスト待機時間: 1,000 ミリ秒を超えることはできません。

概要

Citrix Content Collaboration では、組織のニーズに最適な場所にファイルを保存できます。このドキュメントでは、お客様のデータセンターにContent Collaboration ストレージゾーンを展開するためのアーキテクチャと、必要なすべてのコンポーネントについて説明します。

組織内のContent Collaboration サービスのユースケースは、必要なコンポーネントに影響を与えます。

  • 永続ファイルオブジェクトがオンプレミスまたはパブリッククラウドストレージリポジトリに格納される場所。
  • ストレージゾーンコネクタを使用して、Content Collaboration ストレージリポジトリと既存のリポジトリにアクセスできます。
  • ストレージゾーンにアクセスするユーザーの場所とデバイスタイプ、および外部コラボレーションの種類。

このアーキテクチャでは、お客様がCitrix Servicesチームとともに実装する最も一般的な展開モデルについて説明します。最も一般的な使用例は、Content Collaboration ストレージリポジトリと既存のリポジトリの両方に、ストレージゾーンコネクタを介してアクセスすることです。

参照ドキュメント

Citrix Content Collaborationのリソース

ストレージゾーンコントローラのリソース

リファレンスアーキテクチャ:オンプレミスのストレージゾーンとのContent Collaboration