オンプレミスのストレージゾーンとの内容协作

オーディエンス

このリファレンスアーキテクチャドキュメントは,お客様のデータセンター内にCitrix内容合作用の顧客管理ストレージゾーンを展開しようとしている它の意思決定者,コンサルタント,ソリューションインテグレータ,パートナーを対象としています。

目的

Citrix内容协作では,ユーザーがファイルの保存場所を選択できます。お客様は,Citrix独自のクラウドネイティブストレージゾーン内にファイルを保存するか,選択したデータセンターまたはクラウド内のお客様のストレージゾーンの場所,または組み合わせて保存するかを選択できます。オンプレミスのストレージゾーンは,その場所に加えて,ネットワークファイル共有やSharePoint服务器ドキュメントライブラリなどの既存のリポジトリへのゲートウェイとしても機能します。この文書は,次の範囲に限定されています。

• オンプレミスのストレージゾーンのアーキテクチャコンポーネント
• 永続ファイルオブジェクトを格納する場所に関するガイダンスを提供する
• 最適なユーザーエクスペリエンスを実現するためのCitrix ADCの構成に関するガイダンスを提供する
• ウイルス対策ソリューションをオンプレミスのストレージゾーンに統合する

使用例

お客様は,さまざまな理由により,お客様が管理する独自のストレージゾーンを展開します。典型的なユースケースは次のとおりです。

• データの主権:ローカルまたは社内のコンプライアンス規制に準拠するために,お客様はすべてのファイルを自社のデータセンターに保存する必要があります。お客様が管理するストレージゾーンを使用すると,Citrix内容协作の生産性とコラボレーション機能を利用でき,同時にすべてのファイルを自社のデータセンター内に格納できます。
• パフォーマンス: Citrixは複数の地理的リージョンでストレージゾーンをホストしますが,特定の地域の顧客は,従業員が期待するユーザーエクスペリエンスを提供するゾーンにアクセスできません。お客様が管理するストレージゾーンを展開することで,それらの顧客はファイルオブジェクトをユーザーの近くでホストし,ファイル転送時の待ち時間を短縮できます。これにより,従業員や外部の共同作業者のユーザーエクスペリエンスが向上します。
• 既存のリポジトリを最新化:ファイルの移行は必ずしも可能ではないか,時間がかかることがあります。Citrix内容协作では,これは従業員がファイルにアクセスして操作する最新の方法を待つ必要がない,または待つ必要がないことを意味するものではありません。お客様が管理するストレージゾーンを導入することで,既存のデータを移行することなく,あらゆるデバイスで最新のワークスタイルを直接解除できます。
• インフラストラクチャへの投資を保護:ストレージゾーンをオンプレミスでホストし,NASなどの既に導入済みのストレージハードウェアを使用することで,既存のストレージハードウェアが時代遅れになることなく,最新のクラウドネイティブコラボレーションプラットフォームを提供できます。

内容合作プラットフォームの概要

Citrix内容协作は企業のコンテンツコラボレーションプラットフォームです。那部門は,ユーザーの移動性とコラボレーションのニーズと企業のデータセキュリティ要件を満たす堅牢なデータ共有と同期サービスを提供できます。Citrix内容协作では,Citrix管理のクラウドネイティブストレージリポジトリ内またはお客様が管理するストレージリポジトリ内のいずれかで,ファイルの保存場所を柔軟に選択できます。

Citrix内容は合作,内容合作管理プレーン,ストレージゾーン,Citrix文件アプリの3つの主要コンポーネントで構成されています。

• 管理プレーン:内容协作サービスとビジネスロジックをホストするCitrix管理コンポーネント。米国または欧州連合(欧盟)でホストされます。
• ストレージゾーン:顧客ファイルが格納される場所。お客様は,Citrixがホストするか,お客様自身のデータセンターまたは独自のパブリッククラウドサービスサブスクリプションでホストするファイルの保存先を選択できます。このリファレンス・アーキテクチャは,お客様のデータ・センター内でホストされるお客様管理のストレージゾーンに重点を置いています。
• Citrix文件:内容协作サービスへのアクセスを提供するネイティブアプリ。Citrix文件アプリは、OutlookとGmailに加えて、Windows、macOS、iOSとAndroidのために利用可能です。

お客様が管理するストレージゾーンのアーキテクチャ

カスタマー管理ストレージゾーンには,内容合作サービスにアップロードされたすべてのファイルオブジェクトが格納されます。また,これらのファイルに対して共同作業を行う従業員および外部のユーザーに対して,これらのファイルオブジェクトへのアクセスも提供します。ストレージゾーンの第 3 の最終的な機能は、ネットワークファイル共有、SharePoint Server ドキュメントライブラリ、OpenText Documentum ドキュメント管理システムなど、オンプレミスでホストされている既存のリポジトリへのアクセスを提供することです。これらの機能を提供するために、ストレージゾーンにはこれらのコンポーネントが含まれています。

• ストレージゾーンコントローラー:ストレージゾーンコントローラーサービスをホストするWindowsベースのWebサーバー。
• ストレージリポジトリ: Citrixファイルオブジェクトが格納される場所。通常,この場所はネットワークファイル共有ですが,Amazon S3,微软Azureストレージ,谷歌クラウドストレージなどのパブリッククラウドストレージの場所を指定することもできます。
• Citrix ADC:アプリケーションデリバリーコントローラーは,ストレージゾーンへのインバウンドトラフィックに対して,ネットワーク負荷分散,SSLオフロード,認証サービスを提供します。

ストレージゾーンコントローラ

ストレージゾーンコントローラは,ASP。净WebサービスとバックグラウンドWindowsサービスからなるWindowsパッケージです。コントローラソフトウェアは,インターネットインフォメーションサービス(IIS)を使用してMicrosoft Windows服务器上で動作します。ストレージゾーン控制器システム要件は,次のとおりです:/ en - us / storagezones-controller / 5 / system-requirements.html。

サーバーのオーバーヘッドと攻撃対象領域を削減するには,インターネットインフォメーションサーバーおよびASP。净アプリケーションサーバーの役割を有効にしたWindows Serverコアインスタンスを使用することをお勧めします。

スケーラビリティ

必要なストレージゾーンコントローラの数は,ストレージゾーンの展開の使用方法によって異なります。この数値は,さまざまな要因の影響を受けます。これらの要因には,以下が含まれますが,これらに限定されません。

• 保存される新規および更新されたファイルの量:ストレージゾーンコントローラとストレージリポジトリ間で必要な帯域幅に影響し,ファイルI / Oキューがストレージゾーンコントローラ上に蓄積されないようにします。
• 格納されるファイルのサイズ:受信ファイルは複数のパートにアップロードされ,ストレージゾーンコントローラはこれらの部分を1つのファイルオブジェクトにマージし直します。パーツをマージするとCPU使用率が高くなり,ファイルサイズが大きいほどCPU処理能力が必要になります。
• 同時セッション数:ファイルのダウンロードまたはファイルのアップロードについて,ストレージゾーンへの同時ファイル転送セッションの数が,必要なコントローラーホストの量に影響します。
• オンプレミスコネクタの使用:ユーザーがコネクタを開くか,別のフォルダーを参照すると,既存のリポジトリ内のファイルとフォルダーのメタデータがストレージゾーンコントローラーによってリアルタイムで取得されます。

Citrix ADCは,インバウンドトラフィック用の負荷分散サービスを提供し,高可用性を実現するために,ストレージゾーンごとに少なくとも2つのストレージゾーンコントローラを展開することをお勧めします。このような展開の基本値は,内容合作テナント内の5000ユーザーで,追加のコントローラーホストごとに2500人のユーザーがストレージゾーンに追加されます。ストレージゾーンの実際の使用量によって,必要なコントローラホストの数が決まります。お客様の導入環境は,ユーザーが大きなファイルを操作している250ユーザー用のコントローラホスト2台から,250000人のユーザー用のコントローラホスト4台まで,使用例が時折ファイル共有に限定されます。

内部テストでは,ストレージゾーンあたりのコントローラの最適な最大数は4であることが示されています。1つのサイトにさらに多くのコントローラーが必要な展開の場合は,複数のストレージゾーンを設定することをお勧めします。

詳細については,パフォーマンス監視の章を参照してください。

コネクタ

ストレージゾーンコネクタ機能により,従業員は既存のリポジトリに安全にアクセスできます。サポートされるリポジトリは,ネットワークファイル共有,SharePoint服务器ドキュメントライブラリ,OpenText Documentumです。ユーザーは,構成されたコネクタにアクセスするときに,Active Directory資格情報を使用して認証を要求されます。ストレージゾーンコントローラーは,广告偽装を使用して,ユーザーの代わりに基礎となるリポジトリーにアクセスします。このためには,すべてのストレージゾーンコントローラホストがドメインメンバーであり,Active Directoryで委任を構成して,ホストがそれらのリソースにアクセスできるようにする必要があります。

ストレージリポジトリ

ネットワークファイル共有

ネットワークファイル共有は,お客様が管理するストレージゾーンで最も一般的に使用されるリポジトリです。ネットワークファイル共有は、別のファイルサーバ上でホストすることも、この機能をサポートするストレージリポジトリで直接ホストすることもできます。Content Collaboration リポジトリをホストするには、低レイテンシー、高い IOPS NAS（NAS）を使用して、ファイル転送に最適なユーザーエクスペリエンスを提供することをお勧めします。ストレージゾーンは、永続ストレージフォルダー内に複数のフォルダーを作成し、リポジトリ内に格納できるファイルの総数を増やします。ストレージゾーンコントローラーホストとストレージゾーンリポジトリ間のファイル転送に SMBv3 を使用するには、最新のファイルサーバーを使用することをお勧めします。

重要：微软の分散ファイルシステム(DFS-R)のレプリケーション機能の使用はサポートされていません。DFS-Rは,レプリケーションのためにファイルをロックします。これにより,ストレージゾーンへのファイルのアップロードが正常に中断される可能性があります。ストレージゾーンにアップロードされるすべてのファイルは複数の部分に分割され、すべてのパートが到着して検証されると、ストレージゾーンコントローラはこれらのパーツを 1 つのファイルにマージします。DFS-R によって個々のパーツがロックされると、ストレージゾーンコントローラはこのアクションを完了できず、アップロードは失敗します。

パブリッククラウドストレージ

ネットワークファイル共有を使用する代わりに,パブリッククラウドストレージリポジトリを使用してファイルオブジェクトを格納できます。ストレージゾーンコントローラホストは,ネイティブAPIを使用してファイル転送を実行します。このアーキテクチャでは,別のネットワークファイル共有がローカルキャッシュとして使用されています。ローカルキャッシュには,ストレージゾーンにアップロードまたはダウンロードされた最新のファイルが格納されます。最近使用したファイルは,多くの場合,別のデバイスに同期されたり,他のユーザーと共有されることがよくあります。パブリッククラウドストレージリポジトリからファイルを取得する必要がないと、ユーザーエクスペリエンスが向上し、ストレージゾーンとクラウドリポジトリ間で使用される帯域幅の量が削減されます。

ファイルオブジェクトの暗号化

ストレージゾーンでは,ファイルレベルですべてのファイルオブジェクトの暗号化を構成できます。暗号化は,ストレージゾーンの初期セットアップ時に生成されたAES 256ビットの暗号化キーを使用して,ストレージゾーンコントローラーホストによって実行されます。暗号化を有効にすると,ファイルオブジェクトの暗号化と復号化によってCPU使用率が高くなるため,ストレージゾーンコントローラホストのパフォーマンスに影響します。

このオプションは,企業のセキュリティポリシーに従ってすべてのファイルの暗号化を有効にする必要があり,ストレージレイヤーを暗号化する他の手段がない場合にのみ使用することをお勧めします。ストレージゾーンコントローラホストによる暗号化により,ストレージゾーン内の永続ストレージフォルダでデータ重複除外を実行できるようになります。また,ストレージゾーンの暗号化キーまたは構成パスフレーズを含むSCKeys.txtファイルにアクセスせずにストレージゾーンを再構築すると,データの回復も不可能になります。

Citrix ADC

アプリケーション配信コントローラは,ストレージゾーンの前面に使用されています。Citrix ADCは,次の機能を実行します。

• SSLオフロード:ストレージゾーンの着信SSLセッションは,ADCで終了します。お客様のセキュリティおよび監視要件に応じて,ADCとストレージゾーンコントローラホスト間のトラフィックは,暗号化または暗号化解除のいずれかになります。
• ロード・バランシング: ADCによってストレージ・ゾーン・コントローラ・ホスト間でトラフィックが負荷分散され,高可用性が提供されます。動作しているストレージ・ゾーン・コントローラ・ホストを特定するために,ADCは各ホストのハートビートの結果を監視します。ハートビートに対する無効な応答を持つホストはオフラインとみなされ,それらのホストへのファイル転送セッションは送信されません。
• 認証:ユーザーはコネクタにアクセスするときに認証する必要があります。DMZ内でこの認証を実行し,リモートユーザを認証なしに局域网内に移動させないことがベストプラクティスです。Citrix ADCでKerberos制約付き委任を構成することにより、ドメインに参加しているデバイスからコネクタにアクセスするローカルユーザーは、資格情報を提供しなくてもシームレスに認証されます。
• コンテンツの切り替え: Citrixファイルリポジトリとコネクタへのトラフィックは互いに異なります。コネクタは認証を必要とし、Citrixファイルリポジトリへのトラフィックは常に認証なしです。これは、お客様のActive Directory で認証するための資格情報を持たない外部ユーザーとファイルを共有できるためです。この違いにより、ADC はコンテンツスイッチングを実行して、このトラフィックを分離し、コネクタのトラフィック用のロードバランサーに認証ポリシーを適用します。Citrix Filesトラフィック用のロードバランサーでは、レスポンダーポリシーが要求の信頼性を検証するように構成されます。Content Collaboration 管理プレーンからの要求から送信されたリクエストのみがストレージゾーンコントローラホストへの通過を許可されます。

ローカル・ユーザー・セッションとリモート・ユーザー・セッションの分離

ローカルユーザーに最適なユーザーエクスペリエンスを提供するために,Citrix ADC上の構成はローカルユーザーとリモートユーザー用に分離されています。ローカルユーザーは,ドメインに参加しているデバイス,またはCitrix端点管理で管理されているiOSおよびAndroid上のCitrix文件アプリからストレージゾーンにアクセスしていると見なされます。ADCに内部および外部インターフェースを配置するもう1つの理由は,セキュリティを強化することです。Citrix ADCは、DMZの内部に配置され、外部インターフェイスはDMZ範囲内のIPアドレスを持つが、内部インターフェイスはローカル範囲内にIPアドレスを持つ。ローカルユーザーが正しい IP アドレスにアクセスできるようにするには、ストレージゾーンにはパブリックDNS名と証明書が1つしかないため,スプリットDNSを構成する必要があります。

ローカル・ユーザーは,内部ロード・バランシング・サーバまたは内部IPアドレスを使用してコンテンツ・スイッチング・サーバからストレージ・ゾーンにアクセスします。負荷分散サーバーまたはコンテンツスイッチングサーバーのどちらを選択するかは,コネクタの認証をCitrix ADCで実行する必要があるかどうかに基づきます。この場合,コンテンツスイッチングサーバーが必要で,ローカルユーザー用のコネクタの負荷分散サーバーは,コネクタにアクセスするときにKerberosを使用してユーザーを認証します。リモートユーザーは,DMZ範囲内のIPアドレスを持つ外部コンテンツスイッチからストレージゾーンにアクセスします。リモートユーザー用のコネクタ用の負荷分散サーバーは,コネクタにアクセスするときに基本認証(ユーザー名とパスワード)を使用してユーザーを認証します。ストレージゾーンコントローラホスト上のコネクタの認証では Windows 認証が使用され、コネクタリポジトリはリポジトリで構成された認証方法を使用します。SharePoint Server の場合、これは通常 Kerberos 認証であり、ファイルサーバーは通常 NTLM 認証です。

注: DMZとローカルネットワークの境界にある単一のADCに内部および外部のコンテンツスイッチングサーバーを設定する代わりに,DMZ内部のCitrix ADCを外部ユーザー用に構成し,内部ユーザー用にローカルネットワーク上にCitrix ADCを構成することもできます。

ウイルス対策ソリューションとの統合

ストレージゾーンにアップロードされたすべてのファイルは,ウイルスおよびマルウェアをスキャンする必要があります。ファイルメタデータがファイルオブジェクトから分離されるため,感染したファイルや疑わしいファイルをストレージゾーンから直接スキャンして削除することはお勧めしません。これによりファイルが削除されますが,ファイルのメタデータは保持され,ユーザーはCitrix文件アプリとWebuI内にファイルが表示されます。ファイルにアクセスしようとすると,ファイルが存在しないことを示すエラーメッセージが表示されます。

より優れたユーザーエクスペリエンスを提供し,必要なセキュリティレベルを維持するために,ストレージゾーンはICAPインターフェイスを介してウイルス対策ソリューションを適用できます。新しいファイルと更新されたファイルを受信すると,ストレージゾーンコントローラホストはファイルをスキャンキューに追加します。ファイルはICAP経由でウイルス対策サーバーに送信され,ファイルをスキャンした後,ウイルス対策サーバーは結果を返します。存储区域控制器ホストは,このステータスをアップロードして,内容合作管理プレーン内に格納されたファイルメタデータに追加します。テナントアカウントに対して構成されたウイルス対策ポリシーに基づいて,ユーザーは,感染のフラグが付いたファイルをダウンロードまたは共有する機能が制限されます。

パフォーマンス監視

ストレージゾーンコントローラは,インターネットインフォメーションサーバー上で実行されるASP。净Webアプリケーションです。ストレージゾーンコントローラーホストのパフォーマンスを監視するには,ASP。净アプリケーションを実行するWebサーバーを監視する一般的な原則に従います。パフォーマンスの問題を特定するための推奨メトリックを次に示します。

メモリ

• 利用可能メガバイト:使用可能なRAMの合計の20%の持続値を下回ることはお勧めしません。
• ページ入力/秒: 15を超えることはお勧めしません。値が小さいほど,ストレージゾーンコントローラのパフォーマンスが向上します。
• ページ/秒: 5以上の持続値を超えることはできません。

論理ディスク

• %ディスク時間: 50%以上の持続値を超えることはお勧めしません。
• 平均ディスクキュー長2:スピンドル数にを加えた数を超えることはお勧めしません。
• ディスク読み取りキューの平均長: 2未満にすることはお勧めしません。
• ディスク書き込みキューの平均長: 4未満にすることはお勧めしません。
• 平均ディスク秒/読み取り:平均は15ミリ秒以下,最大25ミリ秒にすることは推奨されません。
• 平均ディスク秒/書き込み:平均は15ミリ秒以下,最大25ミリ秒は推奨されません。
• 平均ディスク/転送: 20ミリ秒未満にすることは推奨されません。

プロセッサ

システムおよびストレージゾーンコントローラアプリケーションを実行しているW3WPプロセスに対して,プロセッサパフォーマンスモニターを実行することはできません。値が互いに近い場合,Webサービスは,CPUを消費しています。そうでない場合は,他のプロセスがシステムのパフォーマンスに影響しています。

• % 特権時間: 75%以上の持続値を超えることはできません。
• %プロセッサ時間: 85%以上の持続値を超えることはできません。

システム

• コンテンツスイッチ/秒: 1 CPUあたり15000 /秒を超えることはできません。

Webサービスキャッシュ

• カーネル:URIキャッシュヒット率: 80%以下にドロップできません。

ASP。净アプリv4.0.30319 (合計）

• リクエスト待機時間: 1000ミリ秒を超えることはできません。

概要

Citrix内容协作では,組織のニーズに最適な場所にファイルを保存できます。このドキュメントでは,お客様のデータセンターに内容协作ストレージゾーンを展開するためのアーキテクチャと,必要なすべてのコンポーネントについて説明します。

組織内の内容协作サービスのユースケースは,必要なコンポーネントに影響を与えます。

• 永続ファイルオブジェクトがオンプレミスまたはパブリッククラウドストレージリポジトリに格納される場所。
• ストレージゾーンコネクタを使用して,内容合作ストレージリポジトリと既存のリポジトリにアクセスできます。
• ストレージゾーンにアクセスするユーザーの場所とデバイスタイプ,および外部コラボレーションの種類。

このアーキテクチャでは,お客様がCitrix服务チームとともに実装する最も一般的な展開モデルについて説明します。最も一般的な使用例は,内容合作ストレージリポジトリと既存のリポジトリの両方に,ストレージゾーンコネクタを介してアクセスすることです。

参照ドキュメント

Citrix内容协作のリソース

ストレージゾーンコントローラのリソース