故障排除:文件网关问题 - Amazon Storage Gatewa
错误:1344 (0x00000540)错误: GatewayClockOutOfSync错误: InaccessibleStorageClass错误: InvalidObjectState错误: ObjectMissing错误: RoleTrustRelationshipInvalid错误:S3 AccessDenied错误: DroppedNotifications通知: HardReboot通知:重启故障排除:打开 NFS 端口使用 CloudWatch 指标进行故障排除
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

故障排除:文件网关问题

您可以将文件网关配置为将日志条目写入 Amazon CloudWatch 日志组。如果这样做,您将收到有关网关运行状况以及网关遇到的任何错误的通知。您可以在 CloudWatch 日志中找到有关这些错误和运行状况通知的信息。

在以下部分中,您可以找到相关信息来帮助您理解每个错误的原因、运行状况通知以及如何解决问题。

错误:1344 (0x00000540)

在将文件迁移到 Amazon S3 时,ERROR 1344 (0x00000540)如果您正在尝试将包含超过 10 个访问控制条目 (ACEs) 的文件复制到 Amazon S3 中,则可能会遇到问题。访问控制条目列在访问控制列表 (ACL) 中。

Amazon S3 文件网关只能为每个给定文件或文件夹保留 10 个 ACE 条目。

要解决错误 1344:将 NTFS 安全复制到目标目录。

减少包含 10 个以上条目的文件或文件夹的 Windows 权限中的条目数量。一种常见的方法是创建一个包含完整条目列表的组,然后用该组替换条目列表。当条目数小于 10 时,您可以重试将文件或文件夹复制到网关。

错误: GatewayClockOutOfSync

当网关检测到本地系统时间与 Amazon Storage Gateway 服务器报告的时间之间有 5 分钟或更长时间的差异时,您可能会收到GatewayClockOutOfSync错误消息。时钟同步问题可能会对网关和之间的连接产生负面影响 Amazon。如果网关时钟不同步,NFS 和 SMB 连接可能会出现 I/O 错误,并且 SMB 用户可能会遇到身份验证错误。

要解决 GatewayClockOutOfSync 错误

错误: InaccessibleStorageClass

当对象移出 Amazon S3 标准存储类别时,您可能会收到InaccessibleStorageClass错误消息。

您的文件网关在尝试向 Amazon S3 存储桶上传对象或从 Amazon S3 存储桶读取对象时,通常会遇到此错误。通常,此错误表示该对象已移至 Amazon S3 Glacier,并且处于 S3 Glacier 灵活检索或 S3 Glacier Deep Archive Deep Archive 存储类中。

您的 S3 文件网关可以生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A Amazon Web Services 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅创建缓存报告

要解决 InaccessibleStorageClass 错误

  • 将对象从 S3 Glacier 灵活检索或 S3 Glacier Deep Archive Deep Archive 存储类恢复到 S3 中的原始存储类别。

    如果您将对象还原到 S3 存储桶以修复上传错误,则文件最终会被上传。如果您恢复对象以修复读取错误,则文件网关的 SMB 或 NFS 客户端随后可以读取该文件。

错误: InvalidObjectState

当指定文件网关以外的写入器修改指定 Amazon S3 存储桶中的指定文件时,可能会InvalidObjectState出现错误。因此,文件网关的文件状态与 Amazon S3 中的状态不匹配。后续将文件上传到 Amazon S3 或从 Amazon S3 检索文件都会失败。

您的 S3 文件网关可以生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A Amazon Web Services 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅创建缓存报告

要解决 InvalidObjectState 错误

如果修改文件的操作为S3UploadS3GetObject,请执行以下操作:

  1. 将文件的最新副本保存到 SMB 或 NFS 客户端的本地文件系统(步骤 4 中需要此文件副本)。如果 Amazon S3 中的文件版本是最新版本,请下载该版本。你可以使用 Amazon Web Services Management Console 或来做到这一点 Amazon CLI。

  2. 使用 Amazon Web Services Management Console 或删除 Amazon S3 中的文件 Amazon CLI。

  3. 使用 SMB 或 NFS 客户端从文件网关中删除文件。

  4. 使用 SMB 或 NFS 客户端将您在步骤 1 中保存的文件的最新版本复制到 Amazon S3。通过您的文件网关执行此操作。

错误: ObjectMissing

当指定 File Gateway 以外的写入器从 S3 存储桶中删除指定文件时,可能会ObjectMissing出现错误。任何后续上传到 Amazon S3 或从 Amazon S3 检索该对象都会失败。

您的 S3 文件网关可以生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A Amazon Web Services 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅创建缓存报告

要解决 ObjectMissing 错误

如果修改文件的操作为S3UploadS3GetObject,请执行以下操作:

  1. 将文件的最新副本保存到 SMB 或 NFS 客户端的本地文件系统(步骤 3 中需要此文件副本)。

  2. 使用 SMB 或 NFS 客户端从文件网关中删除文件。

  3. 使用 SMB 或 NFS 客户端复制您在步骤 1 中保存的文件的最新版本。通过您的文件网关执行此操作。

错误: RoleTrustRelationshipInvalid

当文件共享的 IAM 角色的 IAM 信任关系配置错误(即,IAM 角色不信任名为的 Storage Gateway 委托人storagegateway.amazonaws.com)时,就会出现此错误。因此,文件网关将无法获得在支持文件共享的 S3 存储桶上运行任何操作的证书。

要解决 RoleTrustRelationshipInvalid错误

错误:S3 AccessDenied

文件共享的 Amazon S3 存储桶访问 Amazon Identity and Access Management (IAM) 角色可能会S3AccessDenied出现错误。在这种情况下,错误中指定的 S3 存储桶访问 IAM 角色不允许执行所涉及的操作。roleArn由于 Amazon S3 前缀指定的目录中对象的权限,因此不允许执行该操作。

您的 S3 文件网关可以生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A Amazon Web Services 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅创建缓存报告

要解决 S3 AccessDenied 错误

  • 修改文件网关运行状况日志roleArn中附加的 Amazon S3 访问策略,以允许 Amazon S3 操作获得权限。请确保访问策略允许针对导致错误的操作的权限。此外,允许针对 prefix 的日志中指定的目录的权限。有关 Amazon S3 权限的信息,请参阅《亚马逊简单存储服务用户指南》中的在策略中指定权限

    这些操作可能会导致出现 S3AccessDenied 错误。

    • S3HeadObject

    • S3GetObject

    • S3ListObjects

    • S3DeleteObject

    • S3PutObject

错误: DroppedNotifications

如果网关根磁盘上的可用存储空间小于 1 GB,或者在 1 分钟间隔内生成的运行状况通知超过 100 个,则可能会看到DroppedNotifications错误而不是其他预期类型的 CloudWatch 日志条目。在这种情况下,作为预防措施,网关会停止生成详细的 CloudWatch 日志通知。

要解决 DroppedNotifications 错误

  1. 在 Storage Gateway 控制台中查看您的网关的 “监控” 选项卡上的Root Disk Usage指标,以确定可用的根磁盘空间是否不足。

  2. 如果可用空间小于 1 GB,请增加网关根存储磁盘的大小。有关说明,请参阅虚拟机管理程序的文档。

    要增加 Amazon EC2 网关的根磁盘大小,请参阅亚马逊弹性计算云用户指南中的请求修改 EBS 卷

    注意

    无法增加 Amazon Storage Gateway 硬件设备的根磁盘大小。

  3. 重新启动您的网关。

通知: HardReboot

当网关 VM 意外重启时,您会收到 HardReboot 通知。此类重启可能是因断电、硬件故障或其他事件导致的。对于 VMware 网关,vSphere 高可用性应用程序监控的重置可能会导致此事件。

当您的网关在这样的环境中运行时,请检查HealthCheckFailure通知是否存在,并查阅虚拟机 VMware 的事件日志。

通知:重启

在重新启动网关 VM 时,您会收到重启通知。您可以使用 VM 管理程序管理控制台或 Storage Gateway 控制台重新启动网关 VM。您也可以在网关维护周期内使用网关软件来重新启动。

如果重启时间在网关的已配置维护开始时间的 10 分钟内,则此重启可能是正常的,并不指示任何问题。如果重启发生在维护时段之外,请检查是否已手动重新启动网关。

故障排除:安全扫描显示打开的 NFS 端口

默认情况下,某些 NFS 端口处于启用状态,即使在仅用于 SMB 文件共享的网关上也是如此。如果您使用第三方安全软件(例如 Qualys)来扫描部署文件网关的网络,则扫描结果可能会将这些打开的 NFS 端口报告为潜在的安全漏洞。如果您仅将网关与 SMB 文件共享一起使用,并且出于安全原因想要禁用未使用的 NFS 端口,请使用以下步骤:

要在文件网关上禁用 NFS 端口,请执行以下操作:

  1. 使用中概述的步骤访问网关本地控制台命令提示符https://docs.amazonaws.cn/filegateway/latest/files3/MaintenanceGatewayConsole-fgw.html

  2. 输入以下命令以禁用 NFS 流量:

    iptables -I INPUT -p udp -m udp --dport 111 -j DROP
iptables -I INPUT -p udp -m udp --dport 2049 -j DROP
iptables -I INPUT -p udp -m udp --dport 20048 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 111 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 2049 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 20048 -j DROP

  3. 输入以下命令以确认被屏蔽的 NFS 端口是否显示在 IP 表中:

    iptables -n -L -v --line-numbers

疑难解答:使用 CloudWatch指标

您可以在下面找到有关使用亚马逊 CloudWatch指标和 Storage Gateway 来解决问题的操作的信息。

浏览目录时,您的网关反应缓慢

如果您的 File Gateway 在运行ls命令或浏览目录时反应缓慢,请检查IndexFetchIndexEviction CloudWatch 指标:

  • 如果您在运行ls命令或浏览目录时该IndexFetch指标大于 0,则您的文件网关启动时没有有关受影响目录内容的信息,因此必须访问的 Amazon S3。后续列出该目录内容的工作应更快地进行。

  • 如果该IndexEviction指标大于 0,则表示您的文件网关已达到其在缓存中可以管理的内容上限。在这种情况下,您的文件网关必须从最近访问最少的目录中释放一些存储空间才能列出新目录。如果这种情况经常发生并且会影响性能,请与联系 Amazon Web Services 支持。

    根据您的用 Amazon Web Services 支持 例讨论相关 S3 存储桶的内容和提高性能的建议。

您的网关没有响应

如果您的文件网关没有响应,请执行以下操作:

  • 如果存在最近重启或软件更新,请检查 IOWaitPercent 指标。此指标显示磁盘 I/O 请求未完成时 CPU 处于空闲状态的时间百分比。在某些情况下,此值可能会很高(10 或更高),并且可能会在服务器重启或更新后增大。在这些情况下,文件网关在将索引缓存重建到 RAM 时可能会因根磁盘速度慢而受到瓶颈。您可以通过为根磁盘使用更快的物理磁盘来解决此问题。

  • 如果该MemUsedBytes指标等于或几乎与该MemTotalBytes指标相同,则说明您的文件网关可用内存已用完。确保您的文件网关至少具有所需的最低 RAM。如果已经有,请考虑根据您的工作负载和用例向文件网关添加更多 RAM。

    如果文件共享是 SMB,则问题可能也是因连接到文件共享的 SMB 客户端的数量导致的。要查看在任何给定时间连接的客户端数量,请检查 SMBV(1/2/3)Sessions 指标。如果连接了许多客户端,则可能需要向文件网关添加更多 RAM。

您的网关向 Amazon S3 传输数据时速度很慢

如果您的文件网关向 Amazon S3 传输数据速度很慢,请执行以下操作:

  • 如果CachePercentDirty指标等于 80 或更高,则您的文件网关向磁盘写入数据的速度快于将数据上传到 Amazon S3 的速度。可以考虑增加从文件网关上传的带宽,添加一个或多个缓存磁盘,或者减慢客户端写入速度。

  • 如果CachePercentDirty指标较低,请检查该IoWaitPercent指标。如果大IoWaitPercent于 10,则您的文件网关可能会受到本地缓存磁盘速度的瓶颈。我们建议使用本地固态硬盘 (SSD) 磁盘作为缓存,最好是 NVM Express (NVMe)。如果此类磁盘不可用,请尝试使用来自单独物理磁盘的多个缓存磁盘来提高性能。

  • 如果S3PutObjectRequestTimeS3UploadPartRequestTime、、或S3GetObjectRequestTime值很高,则可能存在网络瓶颈。尝试分析您的网络以验证网关是否具有预期的带宽。

您的网关执行的 Amazon S3 操作比预期的要多

如果您的文件网关执行的 Amazon S3 操作超出预期,请检查该FilesRenamed指标。在 Amazon S3 中运行重命名操作的成本很高。优化您的工作流程以最大限度地减少重命名操作的次数。

您在 Amazon S3 存储桶中看不到文件

如果您发现网关上的文件未反映在 Amazon S3 存储桶中,请检查该FilesFailingUpload指标。如果指标报告某些文件上传失败,请查看您的健康通知。文件上传失败时,网关会生成一份健康通知,其中包含有关该问题的更多详细信息。

您的网关备份任务失败或写入网关时出现错误

如果您的文件网关备份任务失败或写入文件网关时出现错误,请执行以下操作:

  • 如果该CachePercentDirty指标为 90% 或更高,则您的文件网关将无法接受新的磁盘写入,因为缓存磁盘上没有足够的可用空间。要查看您的文件网关上传到 Amazon S3 for 速度有多快,请查看该CloudBytesUploaded指标。将该指标与该WriteBytes指标进行比较,该指标显示了客户端向您的文件网关写入文件的速度。如果 SMB 客户端写入您的文件网关的速度超过了上传到 Amazon S3 FSx for 的速度,请添加更多的缓存磁盘以至少满足备份任务的大小。或者,增加上传带宽。

  • 如果备份作业等大型文件副本失败,但CachePercentDirty指标低于 80%,则您的文件网关可能已达到客户端会话超时。对于 SMB,您可以使用 PowerShell 命令Set-SmbClientConfiguration -SessionTimeout 300延长此超时时间。运行此命令会将超时设置为 300 秒。

    对于 NFS,请确保使用硬装载而非软装载来装载客户端。