架构概述

本节概述了为概念验证评估或高可用性生产环境部署 StorageZones Controller 的情况。使用和不使用 DMZ 代理(如 Citrix ADC)显示高可用性部署。

要评估具有多个 StorageZones Controller 的部署,请遵循高可用性部署的准则。

每个部署方案都需要一个 ShareFile Enterprise 帐户。默认情况下,ShareFile 将数据存储在安全的 ShareFile 管理的云中。要使用私有数据存储(内部网络共享或受支持的第三方存储系统),请为 ShareFile Data 配置存储区域。

要从网络文件共享或 SharePoint 文档库向用户安全地传输数据,请配置存储区域连接器。

StorageZones Controller 概念验证部署

小心:

概念验证部署仅用于评估目的,不应用于关键数据存储。

概念验证部署使用单个 StorageZones Controller。本节中讨论的示例部署启用了 ShareFile Data 的存储区域和存储区域连接器。

要评估单个 StorageZones Controller,您可以选择将数据存储在 StorageZones Controller 硬盘驱动器上的文件夹(如 C:\ZoneFiles)中,而不是单独的网络共享上。所有其他系统要求都适用于评估部署。

标准存储区域的概念验证部署

为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,Controller 必须启用可公开访问的 Internet 地址和 SSL,以便与 ShareFile 云进行通信。下图显示了用户设备、ShareFile 云和 StorageZones Controller 之间的流量。

标准区域的概念验证部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。

StorageZones Controller 高可用性部署

对于具有高可用性的 ShareFile 生产部署,建议的最佳做法是至少安装两个 StorageZones Controller。当您安装第一个 Controller 时,您将创建一个存储区域。当您安装其他控制器时,您将它们加入到同一个区域。属于同一区域的 StorageZones Controller 必须为存储使用相同的文件共享。

在高可用性部署中,辅助服务器是独立的、功能齐全的 StorageZones Controller。存储区域控制子系统随机选择一个 StorageZones Controller 进行操作。如果主服务器脱机,您可以轻松地将辅助服务器提升为主服务器。您还可以将服务器从主服务器降级到辅助服务器。

标准区域的高可用性部署

为标准存储区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,每个 Controller 都必须启用可公开访问的 Internet 地址和 SSL,以便与 ShareFile 云进行通信。可以配置多个外部公用地址,每个地址都与不同的 StorageZones Controller 关联。下图显示了标准 StorageZone 的高可用性部署。

标准存储区域的高可用性部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。要支持此连接,必须在防火墙上打开端口 443,并在所有 StorageZones Controller 的 IIS 服务上安装公有 SSL 证书。

共享存储配置

属于同一存储区域的 StorageZones Controller 必须为存储使用相同的文件共享。StorageZones Controller 使用 IIS 帐户池用户访问共享。默认情况下,应用程序池在具有低级别用户权限的网络服务用户帐户下运行。默认情况下, StorageZones Controller 使用网络服务帐户。

您可以使用指定用户帐户而不是网络服务帐户来访问共享。要使用指定用户帐户,请在存储区域控制台配置页面中指定用户名和密码。使用网络服务帐户运行 IIS 应用程序池和 Citrix ShareFile 服务。

网络连接

网络连接因区域类型而异 — Citrix 管理或标准。

Citrix 管理的区域

下表描述了用户登录到 ShareFile,然后从 Citrix 管理的区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 来源 目标
1. 用户登录请求 客户 company.sharefile.com:443
2. (可选)重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户 company.sharefile.com:443
4. 文件下载 客户 storage-location.sharefile.com:443

标准存储区

下表描述了用户登录到 ShareFile,然后从标准存储区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 来源 目标
1. 用户登录请求 客户 company.sharefile.com
2. (可选)如果使用 ADFS,请重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户 company.sharefile.com
4. 文件下载授权 company.sharefile.com szc.company.com
5. 文件下载 客户 szc.company.com

StorageZones Controller DMZ 代理部署

非军事区 (DMZ) 为内部网络提供了额外的安全层。DMZ 代理(如 Citrix ADC VPX)是一个可选组件,用于:

  • 确保对 StorageZones Controller 的所有请求都源自 ShareFile 云,以便只有批准的流量到达 StorageZones Controller.

    StorageZones Controller 具有验证操作,用于检查所有传入消息的有效 URI 签名。DMZ 组件负责在转发邮件之前验证签名。

  • 使用实时状态指示器向 StorageZones Controller 发出负载平衡请求。

    如果操作都可以访问相同的文件,则可以对 StorageZones Controller 进行负载平衡。

  • 从 StorageZones Controller 卸载 SSL。

  • 确保在传递 DMZ 之前对 SharePoint 或网络驱动器上的文件的请求进行身份验证。

Citrix ADC 和 StorageZones Controller 部署

标准存储区域的部署

为标准区域配置的 StorageZones Controller 必须接受来自 ShareFile 云的绑定连接。为此,Citrix ADC 必须启用可公开访问的 Internet 地址和 SSL,以便与 ShareFile 云进行通信。

带标准区域的 StorageZones Controller

在这种情况下,两个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在内部网络中。与 ShareFile 的用户连接必须遍历第一个防火墙,并使用端口 443 上的 SSL 协议建立此连接。若要支持此连接,必须在防火墙上打开端口 443 并在 DMZ 代理服务器的 IIS 服务上安装公有 SSL 证书(如果它们终止用户连接)。

标准区域的网络连接

下图和表描述了用户登录 ShareFile,然后从部署在 Citrix ADC 后面的标准区域下载文档时出现的网络连接。在这种情况下,该帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。

身份验证流量由 ADFS 代理服务器在 DMZ 中处理,该服务器与受信任网络上的 ADFS 服务器进行通信。文件活动是通过 DMZ 中的 Citrix ADC 访问的,该 ADC 将终止 SSL,对用户请求进行身份验证,然后代表身份验证的用户访问受信任网络中的 StorageZones Controller。使用互联网 FQDN sc.公司.com 访问的 Citrix ADC 外部地址的 ShareFile。

本地存储区域的登录和下载连接

步骤 来源 目标 协议
1. 用户登录请求 客户 company.sharefile.com HTTPS
2. (可选)重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL HTTPS
2a. ADFS 登录 ADFS 代理 ADFS 伺服器 HTTPS
3. 文件/文件夹枚举和下载请求 客户 company.sharefile.com HTTPS
4. 文件下载授权 ShareFile szc.company.com ( 外部地址) HTTP (S)
4a. 文件下载授权 Citrix ADC IP (NSIP) StorageZones Controller HTTPS
5. 文件下载 客户 szc.company.com ( 外部地址) HTTPS
5a. 文件下载 Citrix ADC IP (NSIP) StorageZones Controller HTTP (S)

下图和表扩展了上一个方案,以显示 StorageZone 连接器的网络连接。此方案包括使用 DMZ 中的 NetScaler 终止 SSL 并为连接器访问执行用户身份验证。

存储区域连接器的登录和下载连接

步骤 来源 目标 协议
1. 用户登录请求 客户 company.sharefile.com HTTPS
2. (可选)重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL HTTPS
2a. ADFS 登录 ADFS 代理 ADFS 伺服器 HTTPS
3. 顶级连接器枚举 客户 company.sharefile.com HTTPS
4. 用户登录到 StorageZones Controller 服务器 客户 szc.company.com ( 外部地址) HTTPS
5. 用户身份验证 Citrix ADC IP (NSIP) AD 域 Controller LDAP
6. 文件/文件夹枚举和上载/下载请求 Citrix ADC IP (NSIP) StorageZones Controller HTTP (S)
7. 网络共享枚举和上载/下载 StorageZones Controller 文件服务器 CIFS 或 DFS
7a. SharePoint 枚举和上载/下载 StorageZones Controller SharePoint HTTP (S)

下图根据用户是否进行身份验证,汇总了受支持的身份验证类型组合。

支持的身份验证类型组合