为存储区域控制器配置 Citrix ADC

NetScaler 版本 10.1 内部版本 120.1316.e 及更高版本包含一个向导,提示您输入有关 StorageZones Controller 环境的基本信息。然后它会生成一个配置:

  • 负载平衡跨存储区控制器的流量
  • 为存储区域连接器提供用户身份验证
  • 验证 ShareFile 上载和下载的 URI 签名
  • 终止 Citrix ADC 设备上的 SSL 连接

图中显示了这些由配置创建的 Citrix ADC 组件:

  • Citrix ADC 内容交换虚拟服务器 — 将用户对数据的请求从 ShareFile 和存储区域连接器发送到相应的 Citrix ADC 负载平衡虚拟服务器。
  • Citrix ADC 负载平衡虚拟服务器 — 对 StorageZones Controller 的流量进行负载平衡,并处理以下事项:
    • 对于来自私有数据存储的数据请求,负载平衡虚拟服务器会执行哈希验证,以确保传入请求中存在有效的 URI 签名。

    • 对于来自存储区域连接器的数据请求,负载平衡虚拟服务器可以执行用户身份验证。它会停止 Citrix ADC 上的用户请求,对用户进行身份验证,然后对用户执行单点登录到 StorageZones Controller。

    注意:

    通过 Citrix ADC 对存储区域连接器进行身份验证是可选的。由于已知问题,如果在 Citrix ADC 中启用了身份验证,WebApp 中的存储区域连接器在 Chrome 浏览器、铬浏览器、Safari 浏览器和边缘浏览器中无法正常工作。它与其他浏览器和桌面/移动客户端兼容。

自 StorageZones Controller 4.0 起,管理员可以将与 StorageZones Controller 的入站连接限制为 TLS v1.2。如果针对向 StorageZones Controller 的入站流量禁用早于 TLS v1.2 的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。 单击此处获取更多信息和配置说明。

注意:

要在版本 10.1 内部版本 120.1316.e 之前设置 NetScaler 版本,请参阅 手动配置 Citrix ADC

适用于 ShareFile 的 Citrix ADC 向导的安装程序不会处理将 Citrix Endpoint Management 用作 ShareFile 的 SAML 身份提供程序所需的配置。有关详细信息,请参阅单击此处

必备条件

  • 正常运行的 Citrix ADC 配置
  • 安全证书:如果 Citrix ADC 中尚未提供安全证书,则通过向导可以在内容交换虚拟服务器上安装一个证书。
  • 有关 Active Directory 配置的信息(用于 ShareFile 的 Citrix ADC 向导必须使用 Citrix NetScaler 企业版许可证完成):
    • Active Directory 服务器的 IP 地址和端口
    • Active Directory 域名
    • 存储用户的 LDAP 基本 DN
    • 具有与 Active Directory 通信权限的管理员帐户的帐户名和密码

为 StorageZones Controller 配置 Citrix ADC

以下步骤介绍了如何使用适用于 ShareFile 的 Citrix ADC 向导。

  1. 登录到 Citrix ADC 装置,然后在“配置”选项卡上导航到“流量管理”。

  2. 在 Citrix ShareFile 下,单击“为 ShareFile 设置 Citrix ADC”。

    您还可以按如下方式访问该向导:在“移动性”下,单击“配置 Endpoint Management”、“ShareFile”和“Citrix Gateway”。

  3. 提供向导中请求的信息。

选项 说明
名称 内容交换虚拟服务器的显示名称。
IP 地址 用于内容交换虚拟服务器的外部(公共或 DMZ)IP 地址。如果使用 DMZ IP 地址,则必须定义从外部防火墙地址到此 DMZ IP 地址的网络地址转换 (NAT) 映射。
ShareFile 数据 此选项处于启用状态,表示您将使用 Citrix ADC 连接作为 ShareFile 数据的存储区域。
网络文件共享/SharePoint 的存储区域连接器 如果使用连接器并且希望在 Citrix ADC 上执行用户身份验证,请选中该复选框。
证书 为内容交换虚拟服务器选择证书或安装证书。如果您选择安装证书,系统将提示您上载证书和私钥。对于标准区域或具有外部主机名的受限区域,证书必须是公开信任且不能自签名。
StorageZones Controller IP 地址 一个或多个 StorageZones Controller 服务器的内部 IP 地址。这些 IP 地址将存储区域 Controller 服务器定义为 Citrix ADC 内部的实体。如果已将服务器添加到 Citrix ADC,请单击“从现有服务器添加”,然后选择服务器。要使用 Citrix ADC 进行负载平衡,请为每个 StorageZones Controller 服务器输入内部 IP 地址。要仅将 Citrix ADC 用于 SSL 和身份验证,请仅输入一个 IP 地址。
端口和协议 用于从 Citrix ADC 到 StorageZones Controller 的通信的端口和协议。
身份验证、授权和审核 (Citrix ADC AAA) 虚拟服务器 IP 地址 Citrix ADC AAA 虚拟服务器未使用的内部 IP 地址。Citrix ADC 创建此虚拟服务器供自己使用。服务器不需要外部访问。
LDAP 服务器 IP 地址和端口 Active Directory 服务器的 IP 地址和端口。如果已将 LDAP 服务器添加到 Citrix ADC,请单击“选择 LDAP”选项卡并选择该服务器。
超时 Citrix ADC 等待 LDAP 服务器响应的最大秒数。默认值为 3 秒。最小值为 1 秒。
单点登录域 Active Directory 域名。
基本 DN(用户位置) 存储用户的 LDAP 基本可分辨名称 (DN)。使用常规形式指定 DN:CN=Users,dc=domain, dc=Net
管理员绑定 DN 和密码 具有与 Active Directory 通信权限的管理员帐户。
登录名 一个 LDAP 属性,由 Citrix ADC 使用,用于确定用户是使用其用户名还是电子邮件地址登录。默认值为 sAMAccountName,这使用户能够使用其用户名登录。要要求用户输入其电子邮件地址才能登录,请将此字段更改为“userPrincipalName”。

为受限区域或对连接器的 Web 访问配置 Citrix ADC

要支持受限区域或对存储区域连接器的 Web 访问,必须在完成适用于 ShareFile 的 Citrix ADC 向导后执行其他 Citrix ADC 配置。

  • 创建和配置第三个 Citrix ADC 负载平衡虚拟服务器,用于确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时才发送凭据。

    StorageZones Controller 使用跨源资源共享 (CORS) 标准为向受限区域的请求以及从 ShareFile Web 界面到存储区域连接器的请求提供必要的安全性。CORS 使用 HTTP 头来允许客户端和服务器相互了解足够的信息,以确定请求或响应是否应该成功。

    如以下步骤所述,您将配置附加虚拟服务器,以允许从客户端对 HTTP OPTIONS 动词进行匿名访问。OPTIONS 请求将传递到 StorageZones Controller,而不经过身份验证,也不使用 HTTPS 标注来验证签名。CORS 预检检查会在发送凭据之前验证域信任。

    不需要了解 CORS 即可执行配置。但是,有关 CORS 的详细信息,请参阅 http://enable-cors.org/

    使用 Internet 浏览器对受限区域中的连接器进行 Web 访问,需要配置 Internet 浏览器。

  • 要支持对存储区域连接器的 Web 访问,请将路径 (/ProxyService) 添加到用于通信到 /cifs 和 /sps 的内容切换策略。

完成适用于 ShareFile 的 Citrix ADC 向导后,请在 Citrix ADC 中执行以下步骤。

  1. 创建第三个负载平衡虚拟服务器:
    1. 导航到 流量管理 > 负载平衡 > 虚拟服务器

    2. 单击“添加”。

    3. 指定以下值:

      选项
      名称 策略名称,例如 SF_ZONE_OPTIONS
      协议 SSL
      IP 地址类型 不可寻址
    4. 单击直至创建虚拟服务器。

    5. 要将与向导创建的负载平衡虚拟服务器相同的服务绑定到该服务器:在负载平衡虚拟服务器屏幕中的“服务”中,单击 >,然后单击“保存”。

    6. 将证书添加到虚拟服务器。

  2. 为刚刚添加的虚拟服务器创建策略:
    1. 导航到“流量管理”>“内容切换”>“策略”。

    2. 在详细信息窗格中,单击添加,然后指定名称、目标 LB 虚拟服务器和表达式值。单击 表达式编辑器 ,然后生成此表达式。选择“HTTP”。选择“REQ”。选择 方法。选择均衡器(字符串)并键入选项。该表达式应改为: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. 单击完成

    4. 单击 Create(创建)。

  3. 将刚创建的策略绑定到新的负载平衡虚拟服务器:
    1. 导航到流量管理 > 内容切换 > 虚拟服务器

    2. 在列表中,单击虚拟服务器,然后单击 编辑

    3. 导航到“内容交换策略绑定”部分,然后单击“2 个内容切换策略”。

    4. 单击添加绑定

    5. 选择新的内容策略,然后选择目标负载平衡虚拟服务器。

    6. 单击 Bind(绑定)。

    7. 单击 编辑绑定 并更新 优先级。更改新策略的优先级,使其具有三个策略中的最低数量。

      具有最小值的策略具有最高优先级,因此首先处理。

  4. 更新用于传送到存储区域连接器的流量的策略 (_SF_CIF_SP_CSPOL):
    1. 导航到“流量管理”>“内容切换”>“策略”

    2. 选择 _SF_CIF_SP_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      完整的策略表达式应如下所示:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. 更新 ShareFile 数据 (_SF_SZ_CSPOL) 存储区域的流量所使用的策略:
    1. 导航到“流量管理”>“内容切换”>“策略”

    2. 选择 _SF_SZ_CSPOL 策略。

    3. 将以下内容添加到策略表达式中:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      完整的策略表达式应如下所示:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

将 Citrix ADC 配置为仅查看共享

若要支持仅查看共享,用户必须能够访问您的 Microsoft Office Web 应用程序服务器 (OWA)。如果 OWA 服务器可通过其自己的地址进行外部访问,则不需要为 StorageZones Controller 进行额外的 Citrix ADC 配置。

如果要使用 Citrix ADC 内容交换策略将 StorageZones Controller 和 Office Web 应用程序服务器合并到单个外部地址,则必须在完成 ShareFile 的 Citrix ADC 向导后执行其他 Citrix ADC 配置。需要 Citrix ADC 配置,以确保流量正确路由到外部可访问的 OWA 服务器。

配置了以下 Citrix ADC 规则后,管理员可以重新使用其存储区域 Controller 区域的现有外部地址,从而无需为 OWA 创建额外的外部地址。

要创建和配置其他 Citrix ADC 负载平衡虚拟服务器,请执行以下操作:

  1. 创建其他负载平衡服务。
    • 导航到“流量管理”>“负载平衡”>“服务”
    • 单击添加
    • 输入所需信息以创建与 OWA 服务器相对应的服务。单击“确定”。
  2. 创建额外的负载平衡虚拟服务器:
    • 导航到 流量管理 > 负载平衡 > 虚拟服务器
    • 单击添加
    • 指定以下值:

      选项
      名称 策略名称,如 SF_OWA_vServer
      协议 SSL
      IP 地址类型 不可寻址
    • 单击直至创建虚拟服务器。
    • 要将虚拟服务器绑定到您在上一步中创建的 OWA 服务,请单击 负载平衡虚拟服务绑定 > 选择服务。单击您在上一步中创建的服务旁边的复选框。
    • 单击 Select(选择)。
    • 单击 Bind(绑定)。
  3. 创建用于将流量路由到 OWA 服务器的新策略。
    • 导航到“流量管理”>“内容切换”>“策略”
    • 选择添加
    • 命名策略。
    • 添加以下表达式:
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完整的策略表达式应如下所示:

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. 在负载平衡虚拟中更新新策略的优先级
    • 导航到流量管理 > 内容切换 > 虚拟服务器
    • 单击负载平衡虚拟服务器,然后选择内容交换策略。
    • 更改策略的优先级,以便(示例)“_SF_OWA”策略的优先级位于第三位。

      优先级 策略名称
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • 单击关闭。单击“完成

为 StorageZones Controller 服务创建监视器

默认情况下,Citrix ADC 会对 StorageZones Controller 服务器进行 ping 处理,以确定它是否处于联机状态。但是,即使 Controller 处于联机状态,它也可能无法向 ShareFile 网站发送检测信号消息。在这种情况下,Citrix ADC 将向 StorageZones Controller 发送流量,尽管它不与 ShareFile 通信。

要验证 StorageZones Controller 与 ShareFile 的出站连接,您可以创建一个监视器来检查心脏 .aspx 并将其绑定到每个 StorageZones Controller 的 Citrix ADC 服务。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_Svc 是对应于 StorageZones Controller 的 Citrix ADC 服务。该服务名称由适用于 ShareFile 的 Citrix ADC 向导自动创建。服务名称包括 Controller 的 IP 地址,例如 SF_SVC_IP 地址。

-如果服务正在侦听端口 443,则需要“是”。

验证 Citrix ADC 配置

完成向导后,转到“流量管理”>“负载平衡”>“虚拟服务器”以查看由向导创建的负载平衡虚拟服务器的状态。

通过 Citrix ADC 查看 ShareFile 请求的吞吐量

吞吐量统计信息可以在 控制板 菜单中找到。