体系结构概述

本节概述了为概念验证评估或高可用性生产环境部署 StorageZones Controller 的情况。使用和不使用 DMZ 代理(如 Citrix ADC)进行高可用性部署。

要评估具有多个 StorageZones Controller 的部署,请遵循高可用性部署的准则。

每个部署方案都需要一个 ShareFile Enterprise 帐户。默认情况下,ShareFile 将数据存储在安全的 ShareFile 管理的云中。要使用专用数据存储(本地网络共享或受支持的第三方存储系统),请为 ShareFile Data 配置存储区域。

要从网络文件共享或 SharePoint 文档库安全地向用户传递数据,请配置存储区域连接器。

StorageZones Controller 概念验证部署

小心:

概念验证部署仅用于评估目的,不应用于关键数据存储。

概念验证部署使用单个 StorageZones Controller。本节中讨论的示例部署既启用了 ShareFile Data 的存储区域,也启用了存储区域连接器。

要评估单个 StorageZones Controller,您可以选择将数据存储在 StorageZones Controller 硬盘驱动器上的文件夹(如 C:\ZoneFiles)中,而不是单独的网络共享上。所有其他系统要求都适用于评估部署。

标准存储区域的概念验证部署

为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,Controller 必须具有可公开访问的互联网地址和启用 SSL 以便与 ShareFile 云进行通信。下图显示了用户设备、ShareFile 云和 StorageZones Controller 之间的流量。

标准区域的概念验证部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。

StorageZones Controller 高可用性部署

对于具有高可用性的 ShareFile 生产部署,建议的最佳做法是至少安装两个 StorageZones Controller。安装第一个 Controller 时,将创建一个存储区域。安装其他控制器时,将它们加入到同一区域。属于同一区域的 StorageZones Controller 必须为存储使用相同的文件共享。

在高可用性部署中,辅助服务器是独立的、功能齐全的 StorageZones Controller。存储区域控制子系统随机选择一个 StorageZones Controller 进行操作。如果主服务器脱机,您可以轻松地将从属服务器升级为主服务器。您还可以将服务器从主服务器降级为辅助服务器。

标准区域的高可用性部署

为标准存储区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,每个 Controller 必须具有可公开访问的互联网地址和启用 SSL,以便与 ShareFile 云进行通信。您可以配置多个外部公有地址,每个地址都与不同的存储区域控制器关联。下图显示了标准存储区域的高可用性部署。

标准存储区域的高可用性部署

与上述概念验证部署方案类似,一个防火墙位于 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。要支持此连接,必须在防火墙上打开端口 443,并在所有 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。

共享存储配置

属于同一存储区域的 StorageZones Controller 必须为存储使用相同的文件共享。StorageZones Controller 使用 IIS 帐户池用户访问共享。默认情况下,应用程序池在具有低级别用户权限的网络服务用户帐户下运行。默认情况下, StorageZones Controller 使用网络服务帐户。

您可以使用指定用户帐户而不是网络服务帐户来访问共享。要使用指定用户帐户,请在存储区域控制台“配置”页中指定用户名和密码。使用网络服务帐户运行 IIS 应用程序池和 Citrix ShareFile 服务。

网络连接

网络连接因区域类型而异 — Citrix 管理或标准。

Citrix 管理的区域

下表介绍了当用户登录到 ShareFile,然后从 Citrix 管理的区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 目标
1. 用户登录请求 客户端 company.sharefile.com:443
2. (可选)重定向至“SAML IdP 登录”诊所诊所 客户端 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户端 company.sharefile.com:443
4. 文件下载 客户端 storage-location.sharefile.com:443

标准存储区域

下表介绍了当用户登录到 ShareFile,然后从标准存储区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 目标
1. 用户登录请求 客户端 company.sharefile.com
2. (可选)如果使用 ADFS,请重定向至 SAML IdP 登录 客户端 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户端 company.sharefile.com
4. 文件下载授权 company.sharefile.com szc.company.com
5. 文件下载 客户端 szc.company.com

StorageZones Controller DMZ 代理部署

非军事区域 (DMZ) 为内部网络提供了额外的安全层。DMZ 代理(如 Citrix ADC VPX)是一个可选组件,用于:

  • 确保对 StorageZones Controller 的所有请求都源自 ShareFile 云,以便只有批准的流量到达 StorageZones Controller.

    StorageZones Controller 具有验证操作,用于检查所有传入消息的有效 URI 签名。DMZ 组件负责在转发邮件之前验证签名。

  • 使用实时状态指示器向 StorageZones Controller 发出负载平衡请求。

    如果操作都可以访问相同的文件,则可以对 StorageZones Controller 进行负载平衡。

  • 从 StorageZones Controller 卸载 SSL。

  • 确保在通过 DMZ 之前对 SharePoint 或网络驱动器上的文件请求进行身份验证。

Citrix ADC 和 StorageZones Controller 部署

标准存储区域的部署

为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,Citrix ADC 必须具有可公开访问的互联网地址和启用 SSL 以便与 ShareFile 云进行通信。

带标准区域的 StorageZones Controller

在这种情况下,两个防火墙站在互联网和安全网络之间。StorageZones Controller 驻留在内部网络中。与 ShareFile 的用户连接必须遍历第一个防火墙,并使用端口 443 上的 SSL 协议来建立此连接。要支持此连接,您必须在防火墙上打开端口 443,并在 DMZ 代理服务器的 IIS 服务上安装公共 SSL 证书(如果它们终止用户连接)。

标准区域的网络连接

下图和表格描述了当用户登录到 ShareFile,然后从部署在 Citrix ADC 后面的标准区域下载文档时发生的网络连接。在这种情况下,帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。

在 DMZ 中,身份验证通信由 ADFS 代理服务器处理,该服务器与受信任网络上的 ADFS 服务器通信。文件活动是通过 DMZ 中的 Citrix ADC 访问的,该 ADC 将终止 SSL,对用户请求进行身份验证,然后代表身份验证的用户访问受信任网络中的 StorageZones Controller。ShareFile 的 Citrix ADC 外部地址可以使用互联网 FQDN 公司网站访问。

登录和下载本地存储区域的连接

步骤 目标 协议
1. 用户登录请求 客户端 company.sharefile.com HTTPS
2. (可选)重定向至“SAML IdP 登录”诊所诊所 客户端 SAML 身份提供商 URL HTTPS
2a. ADFS 登录 ADFS 代理 ADFS 服务器 HTTPS
3. 文件/文件夹枚举和下载请求 客户端 company.sharefile.com HTTPS
4. 文件下载授权 ShareFile szc.company.com (外部地址) HTTP (S)
4a. 文件下载授权 Citrix ADC IP(NSIP) StorageZones Controller HTTPS
5. 文件下载 客户端 szc.company.com (外部地址) HTTPS
5a. 文件下载 Citrix ADC IP(NSIP) StorageZones Controller HTTP (S)

下图和表格扩展了上一方案,以显示 StorageZone 连接器的网络连接。此方案包括在 DMZ 中使用 NetScaler 终止 SSL 并对连接器访问执行用户身份验证。

登录和下载存储区域连接器的连接

步骤 目标 协议
1. 用户登录请求 客户端 company.sharefile.com HTTPS
2. (可选)重定向至“SAML IdP 登录”诊所诊所 客户端 SAML 身份提供商 URL HTTPS
2a. ADFS 登录 ADFS 代理 ADFS 服务器 HTTPS
3. 顶级连接器枚举 客户端 company.sharefile.com HTTPS
4. 用户登录到 StorageZones Controller 服务器 客户端 szc.company.com (外部地址) HTTPS
5. 用户身份验证 Citrix ADC IP(NSIP) AD 域 Controller 地方政务处理
6. 文件/文件夹枚举和上载/下载请求 Citrix ADC IP(NSIP) StorageZones Controller HTTP (S)
7. 网络共享枚举和上载/下载 存储区域控制器 文件服务器 CIFS 或 DFS
7a. SharePoint 枚举和上载/下载 存储区域控制器 SharePoint HTTP (S)

下图总结了基于用户是否进行身份验证的受支持的身份验证类型组合。

支持的身份验证类型组合

体系结构概述