为存储区域控制器配置 Citrix ADC

NetScaler(版本 10.1 build 120.1316.e 及更高版本)包含一个向导,提示您输入有关存储区域控制器环境的基本信息。然后它会生成一个配置:

  • 跨存储区域控制器负载平衡流量
  • 为存储区域连接器提供用户身份验证
  • 验证 ShareFile 上传和下载的 URI 签名
  • 在 Citrix ADC 设备上终止 SSL 连接

下图显示了由配置创建的以下 Citrix ADC 组件:

  • Citrix ADC 内容交换虚拟服务器 — 将用户从 ShareFile 和存储区域连接器获取数据的请求发送到相应的 Citrix ADC 负载平衡虚拟服务器。
  • Citrix ADC 负载平衡虚拟服务器 — 对存储区域控制器的流量进行负载平衡,还可以处理以下操作:
    • 对于来自私有数据存储的数据请求,负载平衡虚拟服务器会执行哈希验证,以确保传入请求中存在有效的 URI 签名。

    • 对于来自存储区域连接器的数据请求,负载平衡虚拟服务器可以执行用户身份验证。它会在 Citrix ADC 停止用户请求,对用户进行身份验证,然后执行用户单点登录到存储区域控制器。

    注意:

    通过 Citrix ADC 对存储区域连接器进行身份验证是可选的。由于已知问题,如果在 Citrix ADC 中启用了身份验证,则 WebApp 中的存储区域连接器在 Chrome、Chromium、Safari 和 Edge 浏览器中将无法正常工作。它与其他浏览器和桌面/移动客户端兼容。

从存储区域控制器 4.0 开始,管理员可以将到存储区域控制器的入站连接限制为 TLS v1.2。如果对存储区域控制器的入站流量禁用了早于 TLS v1.2 的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。单击此处了解更多信息和配置说明。

注意:

要在 10.1 版本 120.1316.e 之前设置 NetScaler 版本,请参阅 手动配置 Citrix ADC

适用于 ShareFile 的 Citrix ADC 向导的设置无法处理将 Citrix Endpoint Management 用作 ShareFile 的 SAML 身份提供程序所需的配置。有关更多信息, 请单击此处

必备条件

  • 有效的 Citrix ADC 配置
  • 安全证书:如果在 Citrix ADC 中尚不可用,则使用向导可以在内容交换虚拟服务器上安装安全证书。
  • 有关 Active Directory 配置的信息(适用于 ShareFile 的 Citrix ADC 向导必须使用 Citrix NetScaler 企业版许可证完成):
    • Active Directory 服务器的 IP 地址和端口
    • Active Directory 域名
    • 存储用户的 LDAP 基本 DN
    • 有权与 Active Directory 通信的管理员帐户的帐户名和密码

为存储区域控制器配置 Citrix ADC

以下步骤介绍了如何使用适用于 ShareFile 的 Citrix ADC 向导。

  1. 登录到 Citrix ADC 设备,然后在配置选项卡上导航到流量管理。

  2. 在 Citrix ShareFile 下,单击为 ShareFile 设置 Citrix ADC。

    您还可以按如下方式访问该向导:在移动性下,单击 配置Endpoint Management、ShareFile 和 Citrix Gateway

  3. 提供向导中要求的信息。

选项 说明
名称 内容交换虚拟服务器的显示名称。
IP 地址 用于内容交换虚拟服务器的外部(公共或 DMZ)IP 地址。如果使用 DMZ IP 地址,则必须定义从外部防火墙地址到此 DMZ IP 地址的网络地址转换 (NAT) 映射。
ShareFile 数据 此选项已启用,表示您将使用 Citrix ADC 连接用于 ShareFile Data 的存储区域。
用于网络文件共享/SharePoint 的存储区域连接器 如果使用连接器并且要在 Citrix ADC 上执行用户身份验证,请选中该复选框。
证书 为内容交换虚拟服务器选择证书或安装证书。如果您选择安装证书,系统将提示您上传证书和私钥。对于标准区域,证书必须是公开信任的,而不是自签名的。
存储区域控制器 IP 地址 一个或多个存储区域控制器服务器的内部 IP 地址。这些 IP 地址将存储区域控制器服务器定义为 Citrix ADC 内的实体。如果已将服务器添加到 Citrix ADC,请单击从现有添加并选择服务器。要使用 Citrix ADC 进行负载平衡,请为每个存储区域控制器服务器输入一个内部 IP 地址。要仅将 Citrix ADC 用于 SSL 和身份验证,请仅输入一个 IP 地址。
端口和协议 用于从 Citrix ADC 与存储区域控制器进行通信的端口和协议。
身份验证、授权和审核 (Citrix ADC AAA) 虚拟服务器 IP 地址 Citrix ADC AAA 虚拟服务器未使用的内部 IP 地址。Citrix ADC 创建此虚拟服务器供自己使用。服务器不需要外部访问。
LDAP 服务器 IP 地址和端口 Active Directory 服务器的 IP 地址和端口。如果已将 LDAP 服务器添加到 Citrix ADC,请单击选择 LDAP 选项卡并选择服务器。
超时 Citrix ADC 等待来自 LDAP 服务器的响应的最大秒数。默认值为 3 秒。最小值为1秒。
单点登录域 Active Directory 域名。
基本 DN(用户的位置) 存储用户的 LDAP 基本唯一判别名 (DN)。使用以下常规格式指定 DN:CN=Users,dc=domain, dc=Net
管理员绑定 DN 和密码 有权与 Active Directory 通信的管理员帐户。
登录名 一个 LDAP 属性,由 Citrix ADC 用来确定用户是使用其用户名还是电子邮件地址登录。默认为 samAccountName,它允许用户使用其用户名登录。要要求用户输入其电子邮件地址才能登录,请将此字段更改为 UserPrincipalName。

配置 Citrix ADC 以通过 Web 访问连接器

要支持对存储区域连接器的 Web 访问,必须在完成 Citrix ADC for ShareFile 向导后执行其他 Citrix ADC 配置。

  • 创建和配置第三个 Citrix ADC 负载平衡虚拟服务器,用于确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时才发送凭据。

    如以下步骤所述,您将配置其他虚拟服务器,以允许客户端对 HTTP OPTIONS 动词进行匿名访问。OPTIONS 请求在没有经过身份验证且没有 HTTPS 标注的情况下传递到存储区域控制器来验证签名。CORS 预检检查会在发送凭据之前验证域信任。

    执行配置不需要了解 CORS。但是,有关 CORS 的更多信息,请参阅 http://enable-cors.org/

  • 要支持对存储区域连接器的 Web 访问,请向用于到 /cifs 和 /sp 的流量的内容交换策略添加路径 (/proxyService)。

完成适用于 ShareFile 的 Citrix ADC 向导后,在 Citrix ADC 中执行以下步骤。

  1. 创建第三个负载平衡虚拟服务器:
    1. 导航到流量管理 > 负载平衡 > 虚拟服务器

    2. 单击添加。

    3. 指定以下值:

      选项
      名称 策略名称,例如 SF_ZONE_OPTIONS
      协议 SSL
      IP 地址类型 不可寻址
    4. 单击直至创建虚拟服务器。

    5. 要将与向导创建的负载平衡虚拟服务器相同的服务绑定到该服务器,请执行以下操作:在 “负载平衡虚拟服务器” 屏幕中,在 “服务” 对面,单击 >,然后单击 “保存”。

    6. 向虚拟服务器添加证书。

  2. 为刚刚添加的虚拟服务器创建策略:
    1. 导航到 Traffic Management(流量管理)> Content Switching(内容交换)> Policies(策略)。

    2. 在详细信息窗格中,单击添加,然后指定名称、目标 LB 虚拟服务器和表达式值。单击 表达式编辑器 ,然后构建此表达式。选择 HTTP。选择 “ 要求”。选择 “ 方法”。选择均衡器(字符串),然后键入选项。该表达式应如下所示: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. 单击完成

    4. 单击 “ 创建”。

  3. 将刚创建的策略绑定到新的负载平衡虚拟服务器:
    1. 导航到 流量管理 > 内容切换 > 虚拟服务器

    2. 在列表中,单击虚拟服务器,然后单击 编辑

    3. 导航到内容交换策略绑定的部分,然后单击2内容交换策略。

    4. 单击 Add Binding(添加绑定)。

    5. 选择新的内容策略,然后选择目标负载平衡虚拟服务器。

    6. 单击 Bind(绑定)。

    7. 单击 编辑绑定 并更新 优先级。更改新策略的优先级,使其具有三个策略中最低的数量。

      值最低的策略的优先级最高,因此首先处理。

  4. 更新用于存储区域连接器 (_SF_CIF_SP_CSPOL) 的流量的策略:
    1. 导航到 Traffic Management(流量管理)> Content Switching(内容交换)> Policies(策略)

    2. 选择 _SF_CIF_SP_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      完整的策略表达式应如下所示:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      
  5. 更新用于 ShareFile Data (_SF_SZ_CSPOL) 存储区域的流量的策略:
    1. 导航到 Traffic Management(流量管理)> Content Switching(内容交换)> Policies(策略)

    2. 选择 _SF_SZ_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      完整的策略表达式应如下所示:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

将 Citrix ADC 配置为仅供查看共享

要支持仅查看共享,用户必须能够访问你的 Microsoft Office Web 应用服务器 (OWA)。如果您的 OWA 服务器可以通过自己的地址从外部访问,则存储区域控制器不需要额外的 Citrix ADC 配置。

如果要使用 Citrix ADC 内容交换策略将存储区域控制器和 Office Web App Server 合并到单个外部地址上,则必须在完成 Citrix ADC for ShareFile 向导后执行其他 Citrix ADC 配置。需要配置 Citrix ADC,以确保流量正确路由到外部可访问的 OWA 服务器。

配置以下 Citrix ADC 规则后,管理员可以重复使用其存储区域控制器区域的现有外部地址,而无需为 OWA 创建额外的外部地址。

要创建和配置其他 Citrix ADC 负载平衡虚拟服务器,请执行以下操作:

  1. 创建额外的负载均衡服务。
    • 导航到流量管理 > 负载平衡 > 服务
    • 单击添加
    • 输入所需信息以创建与您的 OWA 服务器相对应的服务。单击确定
  2. 创建额外的负载平衡虚拟服务器:
    • 导航到流量管理 > 负载平衡 > 虚拟服务器
    • 单击添加
    • 指定以下值:

      选项
      名称 策略名称,例如 sf_owa_vServer
      协议 SSL
      IP 地址类型 不可寻址
    • 单击直至创建虚拟服务器。
    • 要将虚拟服务器绑定到您在上一步中创建的 OWA 服务,请单击 负载平衡虚拟服务绑定 > 选择服务。单击您在上一步中创建的服务旁边的复选框。
    • 单击 Select(选择)。
    • 单击 Bind(绑定)。
  3. 创建用于将流量路由到您的 OWA 服务器的新策略。
    • 导航到 Traffic Management(流量管理)> Content Switching(内容交换)> Policies(策略)
    • 选择添加
    • 为策略命名。
    • 添加以下表达式:
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完整的策略表达式应如下所示:

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS("/x/") || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. 在负载平衡虚拟机中更新新策略的优先级
    • 导航到 流量管理 > 内容切换 > 虚拟服务器
    • 单击负载平衡虚拟服务器,然后选择内容交换策略。
    • 更改策略的优先级,使(示例)“_SF_OWA” 策略的优先级排在第三位。

      优先级 策略名称
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • 单击关闭。单击 “ 完成

为存储区域控制器服务创建监视器

默认情况下,Citrix ADC ping 存储区域控制器服务器以确定其是否处于联机状态。但是,即使控制器处于联机状态,它也可能无法向 ShareFile 网站发送心跳消息。在这种情况下,Citrix ADC 将向存储区域控制器发送流量,尽管它不与 ShareFile 进行通信。

要验证存储区域控制器与 ShareFile 的出站连接,您可以创建一个监视器来检查 heartbeat.aspx 并将其绑定到每个存储区域控制器的 Citrix ADC 服务。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_Svc 是对应于存储区域控制器的 Citrix ADC 服务。该服务名称是由 Citrix ADC for ShareFile 向导自动创建的。服务名称包括控制器的 IP 地址,例如 sf_svc_IP-address。

如果服务正在监听端口 443,则需要-secure 是。

验证 Citrix ADC 配置

完成向导后,转到 流量管理 > 负载平衡 > 虚拟服务器 ,查看向导创建的负载平衡虚拟服务器的状态。

通过 Citrix ADC 查看 ShareFile 请求的吞吐量

吞吐量统计信息可以在 仪表板 菜单中找到。

为存储区域控制器配置 Citrix ADC