为 StorageZones Controller 配置 Citrix ADC

NetScaler 版本 10.1 版本生成 120.1316.e 及更高版本包含一个向导,提示您输入有关 StorageZones Controller 环境的基本信息。然后它生成一个配置:

  • 跨存储区控制器负载平衡流量
  • 为存储区域连接器提供用户身份验证
  • 验证 ShareFile 上载和下载的 URI 签名
  • 终止 Citrix ADC 设备上的 SSL 连接

下图显示了这些由配置创建的 Citrix ADC 组件:

  • Citrix ADC 内容交换虚拟服务器 — 将用户请求从 ShareFile 和存储区域连接器发送到相应的 Citrix ADC 负载平衡虚拟服务器。
  • Citrix ADC 负载平衡虚拟服务器 — 对 StorageZones Controller 的流量进行负载平衡,并处理以下事项:
    • 对于来自私有数据存储的数据请求,负载平衡虚拟服务器执行哈希验证,以确保传入请求中存在有效的 URI 签名。

    • 对于来自存储区域连接器的数据请求,负载平衡虚拟服务器执行用户身份验证。它会停止 Citrix ADC 上的用户请求,对用户进行身份验证,然后对用户执行单点登录到 StorageZones Controller。

    尽管对 Citrix ADC 的身份验证是可选的,但建议采用最佳做法。

自 StorageZones Controller 4.0 起,管理员可以将与 StorageZones Controller 的入站连接限制为 TLS v1.2。如果针对向 StorageZones Controller 的入站流量禁用早于 TLS v1.2 的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。 点击此处了解更多信息和配置说明。

注意:

要在 10.1 版本 120.1316.e 之前设置 NetScaler 版本,请参阅 手动配置 Citrix ADC

用于 ShareFile 的 Citrix ADC 向导的设置不会处理将 Citrix Endpoint Management 用作 ShareFile 的 SAML 身份提供程序所需的配置。有关详细信息,点击这里请。

必备条件

  • 一个工作的 Citrix ADC 配置
  • 安全证书:如果 Citrix ADC 中尚未提供安全证书,则通过向导,您可以在内容交换虚拟服务器上安装安全证书。
  • 有关 Active Directory 配置的信息(用于 ShareFile 向导的 Citrix ADC 必须使用 Citrix NetScaler 企业版许可证完成):
    • Active Directory 服务器的 IP 地址和端口
    • Active Directory 域名
    • 存储用户的 LDAP 基本 DN
    • 具有与 Active Directory 通信权限的管理员帐户的帐户名和密码

为 StorageZones Controller 配置 Citrix ADC

以下步骤介绍了如何使用用于 ShareFile 的 Citrix ADC 向导。

  1. 登录到 Citrix ADC 设备,然后在 “配置” 选项卡上导航到 “流量管理”。

  2. 在 Citrix ShareFile 下,单击“为 ShareFile 设置 Citrix ADC”。

    您还可以按如下方式访问向导:在移动性下,单击 配置 Endpoint Management、ShareFile 和 Citrix Gateway

  3. 提供向导中请求的信息。

选项 说明
名称 内容切换虚拟服务器的显示名称。
IP 地址 要用于内容交换虚拟服务器的外部(公共或 DMZ)IP 地址。如果使用 DMZ IP 地址,则必须定义从外部防火墙地址到此 DMZ IP 地址的网络地址转换 (NAT) 映射。
ShareFile 数据 此选项已启用,表示您将使用 Citrix ADC 连接作为 ShareFile 数据的存储区域。
用于网络文件共享/共享点的存储区连接器 如果使用连接器并且要在 Citrix ADC 上执行用户身份验证,请选中该复选框。
证书 为内容交换虚拟服务器选择一个证书或安装一个证书。如果您选择安装证书,系统将提示您上载证书和私钥。对于标准区域或具有外部主机名的受限区域,证书必须公开信任且不能自签名。
StorageZones Controller IP 地址 一个或多个 StorageZones Controller 服务器的内部 IP 地址。这些 IP 地址将 StorageZones Controller 服务器定义为 Citrix ADC 内部的实体。如果已将服务器添加到 Citrix ADC,请单击 “从现有添加” 并选择服务器。要使用 Citrix ADC 进行负载平衡,请为每个 StorageZones Controller 服务器输入内部 IP 地址。要仅将 Citrix ADC 用于 SSL 和身份验证,请仅输入一个 IP 地址。
港口和协议 用于从 Citrix ADC 到 StorageZones Controller 的通信的端口和协议。
身份验证、授权和审核 (Citrix ADC AAA) 虚拟服务器 IP 地址 Citrix ADC AAA 虚拟服务器的未使用内部 IP 地址。Citrix ADC 创建此虚拟服务器供其自身使用。服务器不需要外部访问。
LDAP 服务器 IP 地址和端口 Active Directory 服务器的 IP 地址和端口。如果已将 LDAP 服务器添加到 Citrix ADC,请单击 “选择 LDAP” 选项卡并选择服务器。
超时 Citrix ADC 等待来自 LDAP 服务器的响应的最大秒数。默认为 3 秒。最小值为 1 秒。
单点登录域 Active Directory 域名。
基本 DN(用户位置) 存储用户的 LDAP 基本可分辨名称 (DN)。使用常规形式指定 DN:CN=Users,dc=domain, dc=Net
管理员绑定 DN 和密码 具有与 Active Directory 通信权限的管理员帐户。
登录名称 一个 LDAP 属性,Citrix ADC 用于确定用户是使用其用户名还是电子邮件地址登录。默认为 SamAccountName,它允许用户使用其用户名登录。若要要求用户输入要登录的电子邮件地址,请将此字段更改为用户主体名称。

为受限区域或对连接器的 Web 访问配置 Citrix ADC

要支持受限区域或对存储区域连接器的 Web 访问,必须在完成用于 ShareFile 的 Citrix ADC 向导后执行其他 Citrix ADC 配置。

  • 创建和配置第三个 Citrix ADC 负载平衡虚拟服务器,用于确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时发送凭据。

    StorageZones Controller 使用跨源资源共享 (CORS) 标准为向受限区域的请求以及从 ShareFile Web 界面到存储区域连接器的请求提供必要的安全性。CORS 使用 HTTP 标头来允许客户端和服务器相互了解足够的信息,以确定请求或响应是否应成功。

    如以下步骤中所述,您将配置其他虚拟服务器,以允许客户端对 HTTP OPTIONS 动词进行匿名访问。OPTIONS 请求将传递到 StorageZones Controller,而不经过身份验证,也不使用 HTTPS 标注来验证签名。CORS 预检验验证在发送凭据之前验证域信任。

    执行配置不需要了解 CORS。但是,有关 CORS 的更多信息,请参阅http://enable-cors.org/

    使用 Internet 资源管理器访问受限区域中的连接器需要 Internet 资源管理器配置。

  • 要支持对存储区域连接器的 Web 访问,请将路径 (/ProxyService) 添加到用于通往 /cifs 和 /sps 的流量的内容交换策略。

完成用于 ShareFile 的 Citrix ADC 向导后,在 Citrix ADC 中执行以下步骤。

  1. 创建第三个负载平衡虚拟服务器:
    1. 导航到 流量管理 > 负载平衡 > 虚拟服务器

    2. 单击添加。

    3. 指定以下值:

      选项
      名称 策略名称,例如 SF_ZONE_OPTIONS
      协议 SSL
      IP 地址类型 不可寻址
    4. 单击以创建虚拟服务器。

    5. 要将与向导创建的负载平衡虚拟服务器相同的服务绑定到它:在 “负载平衡虚拟服务器” 屏幕中,在 “服务” 中,单击 “>”,然后单击 “保存”。

    6. 向虚拟服务器添加证书。

  2. 为刚刚添加的虚拟服务器创建策略:
    1. 导航到 流量管理 > 内容切换 > 策略。

    2. 在详细信息窗格中,单击添加,然后指定名称、目标 LB 虚拟服务器和表达式值。单击 表达式编辑器 ,然后构建此表达式。选择 HTTP。选择 REQ。选择 方法。选择 EQ(字符串)并键入选项。该表述应改为:HTTP.REQ.METHOD.EQ("OPTIONS")

    3. 单击完成

    4. 单击创建

  3. 将刚创建的策略绑定到新的负载平衡虚拟服务器:
    1. 导航到 流量管理 > 内容切换 > 虚拟服务器

    2. 在列表中,单击虚拟服务器,然后单击 编辑

    3. 导航到 “内容交换策略绑定” 部分,然后单击 “2 个内容交换策略”。

    4. 点击 添加绑定

    5. 选择新的内容策略,然后选择目标负载平衡虚拟服务器。

    6. 单击 Bind(绑定)。

    7. 单击 编辑绑定 并更新 优先级 。更改新策略的优先级,使其具有三个策略中的最低数量。

      具有最低值的策略具有最高优先级,因此首先处理。

  4. 更新用于到存储区域连接器的流量的策略 (_SF_CIF_SP_CSPOL):
    1. 导航到 流量管理 > 内容切换 > 策略

    2. 选择 _SF_CIF_SP_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      完整的策略表达方式应如下:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. 更新用于流向存储区域的 ShareFile 数据 (_SF_SZ_CSPOL) 的策略:
    1. 导航到 流量管理 > 内容切换 > 策略

    2. 选择 _SF_SZ_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      完整的策略表达方式应如下:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

为仅查看共享配置 Citrix ADC

若要支持仅查看共享,用户必须能够访问您的 Microsoft Office Web 应用程序服务器 (OWA)。如果 OWA 服务器可通过其自己的地址进行外部访问,则不需要为 StorageZones Controller 进行额外的 Citrix ADC 配置。

如果要使用 Citrix ADC 内容交换策略将 StorageZones Controller 和 Office Web 应用程序服务器合并到单个外部地址,则必须在完成 ShareFile 的 Citrix ADC 向导后执行其他 Citrix ADC 配置。需要 Citrix ADC 配置才能确保流量正确路由到您可以从外部访问的 OWA 服务器。

配置了以下 Citrix ADC 规则后,管理员可以重复使用其 StorageZones Controller 区域的现有外部地址,从而无需为 OWA 创建额外的外部地址。

要创建和配置其他 Citrix ADC 负载平衡虚拟服务器,请执行以下操作:

  1. 创建额外的负载平衡服务。
    • 导航到 流量管理 > 负载平衡 > 服务
    • 单击添加
    • 输入创建与 OWA 服务器对应的服务所需的信息。单击确定
  2. 创建额外的负载平衡虚拟服务器:
    • 导航到 流量管理 > 负载平衡 > 虚拟服务器
    • 单击添加
    • 指定以下值:

      选项
      名称 策略名称,如 SF_OWA_vServer
      协议 SSL
      IP 地址类型 不可寻址
    • 单击以创建虚拟服务器。
    • 若要将虚拟服务器绑定到您在上一步中创建的 OWA 服务,请单击 负载平衡虚拟服务绑定 > 选择服务。单击您在上一步中创建的服务旁边的复选框。
    • 点击 选择
    • 单击 Bind(绑定)。
  3. 创建用于将流量路由到 OWA 服务器的新策略。
    • 导航到 流量管理 > 内容切换 > 策略
    • 选择添加
    • 命名策略。
    • 添加以下表达式:
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完整的策略表达方式应如下:

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. 在负载平衡虚拟机中更新新策略的优先级
    • 导航到 流量管理 > 内容切换 > 虚拟服务器
    • 单击负载平衡虚拟服务器,然后选择内容交换策略。
    • 更改策略的优先级,以便(示例)“_SF_OWA”策略的优先级位于第三位。

      优先级 策略名称
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • 单击关闭。点击 完成

为 StorageZones Controller 服务创建监视器

默认情况下,Citrix ADC 会对 StorageZones Controller 服务器进行 ping 处理,以确定它是否处于联机状态。但是,即使 Controller 处于联机状态,也可能无法将检测信号消息发送到 ShareFile 网站。在这种情况下,Citrix ADC 将向 StorageZones Controller 发送流量,尽管它不与 ShareFile 通信。

要验证 StorageZones Controller 与 ShareFile 的出站连接,您可以创建一个监视器来检查心脏 .aspx 并将其绑定到每个 StorageZones Controller 的 Citrix ADC 服务。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_Svc 是对应于 StorageZones Controller 的 Citrix ADC 服务。该服务名称由用于 ShareFile 的 Citrix ADC 向导自动创建。服务名称包括 Controller 的 IP 地址,例如 _SF_SVC_ip-address。

-如果服务正在侦听端口 443,则需要安全 YES。

验证 Citrix ADC 配置

完成向导后,转到 流量管理 > 负载平衡 > 虚拟服务器 以查看由向导创建的负载平衡虚拟服务器的状态。

通过 Citrix ADC 查看 ShareFile 请求的吞吐量

吞吐量统计信息可以在 控制板 菜单中找到。