Azure IaaS上のストレージゾーン内容协作
オーディエンス
このリファレンスアーキテクチャは,天青サブスクリプション内で思杰内容协作用の顾客管理ストレージゾーンを展开しようとする个人を対象としています。これらの个人には,IT意思决定者,コンサルタント,ソリューションインテグレータ,パートナーが含まれます。
このドキュメントの目的
思杰内容协作では,ユーザーがファイルの保存场所を选択できます。お客様は,思杰のクラウドネイティブストレージゾーンまたはお客様が管理するストレージゾーンの场所にファイルを保存するかを选択できます。顾客管理のストレージゾーンは,オンプレミスのデータセンター,选択したパブリッククラウド,または组み合わせに配置できます。顾客管理ストレージゾーンは,ネットワークファイル共有やSharePoint服务器ドキュメントライブラリなどの既存のリポジトリへのゲートウェイとしても机能します。このドキュメントでは,特に天青クラウドにストレージゾーンを展开するためのガイダンスに焦点を当てています。この文书は,次の范囲に限定されています。
- Azureストレージゾーンのアーキテクチャコンポーネント
- 永続ファイルオブジェクトとキャッシュの保存场所に关するガイダンスを提供する
- 的Citrixアプリケーション交付控制器(ADC)の构成に关するガイダンスを提供し,最适なユーザーエクスペリエンスを実现します
- ウイルス対策ソリューションをストレージゾーンに统合するためのベストプラクティスの推奨
内容合作プラットフォームの概要
思杰内容协作は,IT部门が坚牢なデータ共有と同期サービスを提供できるようにするエンタープライズコンテンツコラボレーションプラットフォームです。このサービスは,ユーザーのモビリティとコラボレーションのニーズと,企业のデータセキュリティ要件を満たします.Citrix内容协作では,ファイルの保存场所を柔软に选択できます。思杰内容协作は,内容协作管理プレーン,ストレージゾーン,思杰文件アプリの3つの主要コンポーネントで构成されています。
- 管理プレーン:内容协作サービスとビジネスロジックをホストするCitrix管理コンポーネント。米国または欧州連合(欧盟)でホストされます。
- ストレージゾーン:顧客ファイルが格納される場所。お客様は,ファイルの保存先を選択できます。ファイルは,Citrixまたは顧客によってホストされます。顧客の場所は,独自のデータセンターまたはパブリッククラウドにすることができます。このリファレンスアーキテクチャは,Azure内でホストされる顧客管理のストレージゾーンに焦点を当てています。
- Citrix文件(クライアント側):内容协作サービスへのアクセスを提供するネイティブアプリ。Citrix文件アプリは、窗户、macOS, iOSで利用できます。Android,前景,およびGmail。
使用例
お客様は,さまざまな理由により,お客様が管理する独自のストレージゾーンを展開します。Azureでストレージゾーンを利用する場合の一般的なユースケースは次のとおりです。
- パフォーマンス:思杰は复数の地理的リージョンでストレージゾーンをホストしていますが,一部の地域のお客様は,従业员が期待するユーザーエクスペリエンスを提供するゾーンにアクセスできない场合があります。お客様は,ストレージゾーンをユーザーの近くまでデータ·センターに直接导入できますが,この设计では,継続的な运用コストを伴う设备投资コストが発生します。世界中の54の天青リージョンでは,ユーザーに近いリージョンにストレージゾーンをデプロイする选択肢が増えています。これにより,ファイルを転送する际の待ち时间が短缩され,従业员や外部の共同作业者にユーザーエクスペリエンスが向上します。思杰虚拟应用和桌面リソースの场所を天青にデプロイする场合は,常に同じ天青リージョンに内容协作ストレージゾーンを展开します。これにより,データはアプリ/デスクトップに近い场所に配置されます。
- ガバナンスとデータレジデンシー:前の声明と同様に,お客様は,Citrixがそのフットプリントを持たない特定の地域でデータをホストする必要がある場合があります。代わりに,顧客が自社のデータセンターでホスティングし,Azureリージョンの1つによってカバーされる可能性もあります。
- 既存のリポジトリを最新化:ファイルの移行は必ずしも可能ではないか,時間がかかることがあります。お客様が管理するストレージゾーンを導入することで,既存のデータを移行することなく,あらゆるデバイスで最新のワークスタイルを直接解除できます。
Azureでの顧客管理ストレージゾーンアーキテクチャ
カスタマー管理ストレージゾーンには,内容合作サービスにアップロードされたすべてのファイルオブジェクトが格納されます。また,これらのファイルに対して共同作業を行う従業員および外部のユーザーに対して,これらのファイルオブジェクトへのアクセスも提供します。ストレージゾーンのもう1つの機能は,オンプレミスでホストされている既存のリポジトリへのアクセスを提供することです。これらのリポジトリには,ネットワーク・ファイル共有,SharePoint服务器ドキュメント・ライブラリ,OpenText Documentumドキュメント管理システムが含まれます。これらの機能を提供するために,ストレージゾーンにはこれらのコンポーネントが含まれています。
- ストレージゾーンコントローラー:ストレージゾーンコントローラーサービスをホストする视窗ベースの的Webサーバー。
- ストレージリポジトリ:Citrixファイルオブジェクトが永続的に格納される場所。推奨事項:微软AzureブロブストレージまたはAzure IaaS仮想マシンによってホストされるSMB共有。記憶域スペースダイレクトを使用して,ファイル共有を高可用性に設定することをお勧めします。SMB共有のパフォーマンスを向上させるには,プレミアムデータディスクを接続します。
- ストレージキャッシュ:思杰文件クライアントソフトウェアのデータファイルが一时的にキャッシュされる场所推奨事项:天青ファイルまたはVMに接続された标准のSMB共有を使用します.SMB共有を使用する场合は,记忆域スペースダイレクトを使用して高可用性を持つようにファイル共有を构成することをお勧めします.SMB共有のパフォーマンスを向上させるには,プレミアムデータディスクを接続します。
- Citrix ADC:アプリケーションデリバリーコントローラーは,ストレージゾーンへのインバウンドトラフィックに対して,ネットワーク負荷分散,SSLオフロード,認証サービスを提供します。
ストレージゾーンコントローラ
ストレージゾーンコントローラは,ASP。净WebサービスとバックグラウンドWindowsサービスからなるWindowsパッケージです。コントローラソフトウェアは,インターネットインフォメーションサービス(IIS)を備えたWindows Server IaaS VM上で実行されます。ストレージゾーンコントローラのシステム要件について説明しますここ。
必要なストレージゾーンコントローラの数は,ストレージゾーンの展開の使用方法によって異なります。この数には,次のような要因が影響します。
- 保存される新规および更新されたファイルの量:ストレージゾーンコントローラとストレージリポジトリ间で必要な帯域幅に影响し,ファイルI / Oキューがストレージゾーンコントローラ上に蓄积されないようにします。
- 格納されるファイルのサイズ:受信ファイルは複数のパートにアップロードされ,ストレージゾーンコントローラはこれらの部分を1つのファイルオブジェクトにマージし直します。パーツをマージするとCPU使用率が高くなり,ファイルサイズが大きいほどCPU処理能力が必要になります。
- 同時セッション数:ファイルのダウンロードまたはファイルのアップロードについて,ストレージゾーンへの同時ファイル転送セッションの数が,必要なコントローラーホストの量に影響します。
- オンプレミスコネクタの使用:ユーザーがコネクタを开いたとき,または别のフォルダーを参照すると,ストレージゾーンコントローラーはファイルとフォルダーのメタデータをリアルタイムで更新します。
高可用性のために,ストレージゾーンごとに少なくとも2つのストレージゾーンコントローラを展開することをお勧めします。Citrix ADCは,インバウンドトラフィック用の負荷分散サービスを提供します。2つのコントローラのベースライン展開では,内容合作テナント内で最大5000人のユーザーをサポートします。2500年5000年ユーザーを超えるユーザーごとに1つのストレージコントローラーホストをストレージゾーンに追加します。ストレージゾーンの実際の使用量によって,必要なコントローラホストの数が決まります。展開は,ファイルサイズとアクセス頻度に応じて,250ユーザーあたり2台のコントローラホストから250000ユーザあたり4台のコントローラホストまでです。
内部テストでは,ストレージゾーンあたりのコントローラの最適な最大数は4であることが示されています。1つのサイトにさらに多くのコントローラーが必要な展開の場合は,複数のストレージゾーンを設定することをお勧めします。
天青でストレージゾーンコントローラーをセットアップするには,次のことを推奨します。
- シリーズDSまたはFS仮想マシンをサーバーマシンとしてリードする——DS4v2インスタンスタイプから始めて,そこから変更します。ストレージコントローラーのインスタンスタイプを変更する場合,コンポーネントを再インストールする必要はありません。再起動するだけです。仮想マシンの制限(IOPS /スループット/ CPU)の詳細については,以下リンクを确认してください。
- 仮想マシンで溢价ディスクの使用は,ホストキャッシュを(読み取り/書き込み]に設定することをお勧めします。
- ストレージコントローラアダプタのNSG(ネットワークセキュリティグループ)のポート443を有效にします。
- 複数のコントローラーを作成するときは,信頼性と可用性の要件に応じて,アベイラビリティセットまたはアベイラビリティーゾーン内に作成されていることを確認します。
詳細については,パフォーマンス監視の章を参照してください。
ストレージリポジトリ
Azure BLOBストレージ:Azure BLOBストレージを使用してファイルオブジェクトを格納します。ストレージゾーンコントローラホストは、ネイティブ API を使用してファイル転送を実行します。
レプリケーションメカニズムとしてGRS (Geo冗長ストレージ)を使用して,AzureでプレミアムパフォーマンスのV2ストレージアカウントを作成することをお勧めします。ユーザがgeo冗長性を持たないことを選択した場合,一般的なガイダンスはLRS(ローカル冗長ストレージ)を使用してを設定することです。ただし,ユーザーは,Azureストレージアカウントには20000 IOPSの制限があることに注意する必要があります。ストレージアカウント制限については,この微软のドキュメントを参照してください。
SMBファイル共有:必要な容量が20000 IOPSを超える场合は,天青仮想マシンでSMBファイル共有を使用することをお勧めします。共有フォルダをホストするために,复数の管理データディスクを接続します。高可用性的IaaSファイル共有を设计するときは,记忆域スペースを直接使用し,パフォーマンスの制限に目を留めておいてください.IOPS制限は,仮想マシンの種類に加えて管理ディスク(どちらか小さい方)のタイプとサイズにも課されます。または,ユーザーはAzure NetAppファイル(箱から出して高可用性)を検討することもできます。
ストレージキャッシュ
Azureファイル:Azureファイルのローカルキャッシュには,ストレージゾーンにアップロードまたはストレージゾーンからダウンロードされる最新のファイルが格納されます。経験によると,最近使用したファイルは異なるデバイスに同期されたり,他の人と共有されたりすることがよくあります。Azure Blobストレージリポジトリからファイルを取得する必要がないと,ユーザーエクスペリエンスが向上し,ストレージゾーンとクラウドリポジトリ間で使用される帯域幅の量が削減されます。
Azure的ファイルはSMBプロトコルをサポートし,共有は的Windowsマシンにマウントできます。取り付けについては,この记事を参照してください。Azure文件。
SMBファイル共有:または,パフォーマンスの高溢价いデータディスクを持つSMBファイル共有をキャッシュに使用できます。このオプションは設計上可用性が高くないため,記憶域スペースを直接使用し,VMを可用性セットに含めることをお勧めします。DSシリーズまたはFSシリーズのAzure仮想マシンにプレミアムSSDをアタッチすることをお勧めします。
注:テストでは,天青ファイルとプレミアムSSDの间に大きなパフォーマンスの违いは示されていません。
ファイルオブジェクトの暗号化
ストレージゾーンでは,ファイルレベルですべてのファイルオブジェクトの暗号化を構成できます。ストレージゾーンコントローラーホストは、ストレージゾーンの初期セットアップ時に生成された AES 256 ビット暗号化キーを使用して暗号化します。暗号化を有効にすると、ファイルオブジェクトの暗号化と復号化によって CPU 使用率が高くなるため、ストレージゾーンコントローラホストのパフォーマンスに影響します。
企業のセキュリティポリシーですべてのファイルの暗号化が必要で,ストレージレイヤーを暗号化する他の方法がない場合は,このオプションを使用することをお勧めします。ストレージゾーンコントローラホストによる暗号化により,ストレージゾーン内の永続ストレージフォルダでデータ重複除外を実行できるようになります。また,暗号化により,SCKeys.txtファイルまたは構成パスフレーズにアクセスせずにストレージゾーンを再構築するときに,データをリカバリできなくなります。
Citrix ADC
アプリケーション配信コントローラは,ストレージゾーンの前で使用されます。Citrix ADCは,次の機能を実行します。
- SSLオフロード:ストレージゾーンの着信SSLセッションは,ADCで終了します。お客様のセキュリティおよび監視要件に応じて,ADCとストレージゾーンコントローラホスト間のトラフィックは,暗号化または暗号化解除のいずれかになります。
- ロード・バランシング:ADCによってストレージ・ゾーン・コントローラ・ホスト間でトラフィックが負荷分散され,高可用性が提供されます。動作しているストレージ・ゾーン・コントローラ・ホストを特定するために,ADCは各ホストのハートビートの結果を監視します。ハートビートに対する無効な応答を持つホストはオフラインとみなされ,それらのホストへのファイル転送セッションは送信されません。
- 认证:ユーザーはコネクタにアクセスするときに認証する必要があります。DMZ内でこの認証を実行し,リモートユーザを認証なしに局域网内に移動させないことがベストプラクティスです。Citrix ADCでKerberos制約付き委任を構成することにより、ドメインに参加しているデバイスからコネクタにアクセスするローカルユーザーは、資格情報を提供しなくてもシームレスに認証されます。詳しくは、记事を参照してください。
- コンテンツの切り替え:Citrix文件リポジトリへのトラフィックは,コネクタへのトラフィックとは異なります。コネクタには認証が必要であり,Citrix文件リポジトリへのトラフィックは常に認証なしです。このトラフィックは,顧客のActive Directoryで認証するための資格情報を持たない外部ユーザーとファイルを共有することによるものです。この違いにより,ADCはコンテンツスイッチングを実行して,このトラフィックを分離し,コネクタのトラフィック用のロードバランサーに認証ポリシーを適用します。Citrix文件トラフィック用のロードバランサーでは,レスポンダーポリシーが要求の信頼性を検証するように構成されます。内容合作管理プレーンからのリクエストから送信されたリクエストのみがストレージゾーンコントローラホストへの通過を許可されます。
ローカル・ユーザー・セッションとリモート・ユーザー・セッションの分離
ローカルユーザーに最適なユーザーエクスペリエンスを提供するために,Citrix ADC上の構成はローカルユーザーとリモートユーザー用に分離されています。ローカルユーザーは,ドメインに参加しているデバイスまたはモバイルデバイスからストレージゾーンにアクセスしていると見なされます。モバイルデバイスでは,Citrix端点管理で管理されるiOSまたはAndroid上のCitrix文件アプリを使用します。ADCに内部および外部インターフェースを配置するもう1つの理由は,セキュリティを強化することです。Citrix ADCはDMZの内部に配置され、DMZネットワークには外部インターフェイスとローカルネットワーク上に内部インターフェイスがあります。ローカルユーザーが正しい IP アドレスにアクセスできるようにするには、ストレージゾーンにはパブリックDNS名と証明書が1つしかないため,スプリットDNSを構成する必要があります。
ローカル·ユーザーは,内部ロード·バランシング·サーバまたは内部IPアドレスを持つコンテンツスイッチング·サーバからストレージ·ゾーンにアクセスします。负荷分散サーバーまたはコンテンツスイッチングサーバーのどちらを选択するかは,コネクタの认证を思杰ADCで実行する必要があるかどうかに基づきます。この场合,コンテンツスイッチングサーバーが必要で,ローカルユーザー用のコネクタ用の负荷分散サーバーは的Kerberosを使用してコネクタにアクセスするときにユーザーを认证します。リモートユーザーは、DMZ 範囲内の IP アドレスを持つ外部コンテンツスイッチからストレージゾーンにアクセスします。リモートユーザー用のコネクタ用の負荷分散サーバーは、コネクタにアクセスするときに基本認証 (ユーザー名とパスワード) を使用してユーザーを認証します。ストレージゾーンコントローラホスト上のコネクタの認証では Windows 認証が使用され、コネクタリポジトリはリポジトリで構成された認証方法を使用します。SharePoint Server の場合、この認証は通常 Kerberos で、ファイルサーバーの認証は通常 NTLM です。
注:DMZとローカルネットワークの境界で単一のADCを使用する代わりに,别の构成では2つの别々のADCを使用しています.DMZ内の1つの的Citrix ADCを外部ユーザーに使用し,内部ユーザーにはローカルネットワーク上の别の思杰ADCを使用します。
その他の考慮事項
上记で说明した主要なアーキテクチャコンポーネントに加えて,ウイルス対策ソリューションとストレージゾーンのパフォーマンス监视に关する一般的なガイダンスも含まれています。
ウイルス対策ソリューションとの統合
ストレージゾーンにアップロードされたすべてのファイルをスキャンして,ウイルスやマルウェアを検出することをお勧めします。ファイルメタデータがファイルオブジェクトから分離されるため,感染したファイルや疑わしいファイルをストレージゾーンから直接スキャンして削除することはお勧めしません。これによりファイルが削除されますが,ファイルのメタデータは保持され,ユーザーはCitrix文件アプリとWeb UI内にファイルが表示されます。ファイルにアクセスしようとすると,ファイルが存在しないことを示すエラーメッセージが表示されます。
より優れたユーザーエクスペリエンスを提供し,必要なセキュリティレベルを維持するために,ストレージゾーンはICAPインターフェイスを介したウイルス対策ソリューションを活用できます。新しいファイルと更新されたファイルを受信すると,ストレージゾーンコントローラホストはファイルをスキャンキューに追加します。ファイルはICAP経由でウイルス対策サーバーに送信され,ファイルをスキャンした後,ウイルス対策サーバーは結果を返します。存储区域控制器ホストは,このステータスをアップロードして,内容合作管理プレーン内に格納されたファイルメタデータに追加します。テナントアカウントに対して構成されたウイルス対策ポリシーに基づいて,ユーザーは,感染のフラグが設定されたファイルのダウンロードまたは共有を制限されます。
パフォーマンス监视のヒント
ストレージゾーンコントローラは,インターネットインフォメーションサーバー上で実行されるASP。净Webアプリケーションです。ストレージゾーンコントローラーホストのパフォーマンスを監視するには,ASP。净アプリケーションを実行するWebサーバーを監視する一般的な原則に従います。パフォーマンスの問題を特定するための推奨メトリックを次に示します。
メモリ
- 使用可能なメガバイト:使用可能なRAMの合计の20%以上の持続値。
- ページ入力/秒:15以下です値が小さいほど,ストレージゾーンコントローラのパフォーマンスが向上します。
- ページ/秒: 5以下の持続値。
论理ディスク
- %ディスク时间:50%以下の持続値。
- ディスクキューの平均長2:スピンドル数にを加えた数以下です。
- ディスク読み取りキューの平均長: 2 以下
- ディスク书き込みキューの平均长: 4 未満。
- 平均ディスク秒/読み取り: 15ミリ秒以下で,スパイクは25ミリ秒未満です。
- 平均ディスク秒/书き込み: 15ミリ秒以下,スパイクが25ミリ秒未満。
- 平均ディスク秒/転送:20ミリ秒以下です。
プロセッサ
オペレーティングシステムと,ストレージゾーンコントローラアプリケーションを実行しているW3WPプロセスに対して,プロセッサパフォーマンスモニタを実行します。値が互いに近い場合,Webサービスは,CPUを消費しています。そうでない場合は,他のプロセスがシステムのパフォーマンスに影響しています。
- % 特権時間:75%以下の持続値。
- %プロセッサ时间:85%以下の持続値。
システム
- コンテンツスイッチ/秒: CPUあたり15000 /秒以下です。
Webサービスキャッシュ
- カーネル:URIキャッシュヒット%:80%を超える。
ASP.NETアプリv4.0.30319(合计)
- リクエスト待機時間: 1000ミリ秒以下です。
概要
思杰内容协作では,组织のニーズに最适な场所にファイルを保存できます。このドキュメントでは,微软Azure的IaaSに内容协作ストレージゾーンを展开するためのアーキテクチャと,必要なすべてのコンポーネントについて说明します。组织内の内容合作サービスのユースケースは,必要なコンポーネントに影响を与えます。
- 永続ファイルオブジェクトが格納される場所
- 最近アクセスしたファイルを取得できるストレージキャッシュ
- ストレージゾーンコネクタを使用して,内容合作ストレージリポジトリと既存のリポジトリにアクセスできます。
- ストレージゾーンにアクセスするユーザーのデバイスタイプ,および外部コラボレーションの種類。このアーキテクチャでは,お客様がCitrix服务チームとともに実装するテストおよびサポート対象の展開モデルについて説明します。最も一般的な使用例は,内容合作ストレージリポジトリと既存のリポジトリの両方に,ストレージゾーンコネクタを介してアクセスすることです。