Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要求
除非另有说明,否则所有网关配置都需要满足以下要求。
主题
硬件和存储要求
在本节中,您可以找到有关网关的最低硬件和设置以及为所需存储分配的最小磁盘空间量的信息。有关文件网关性能的最佳实践的信息,请参阅文件网关的性能指导。
本地 VM 的硬件要求
在本地部署网关时,您必须确保部署网关 VM 的基础硬件能够专门使用以下最少资源:
-
分配给 VM 的四个虚拟处理器。
-
用于文件网关的 16 GiB 预留 RAM
对于卷网关和磁带网关,您的硬件应专用以下 RAM:
-
16 GiB 的预留 RAM,用于缓存大小不超过 16 TiB 的网关
-
32 GiB 的预留 RAM,用于缓存大小为 16 TiB 到 32 TiB 的网关
-
48 GiB 的预留 RAM,用于缓存大小为 32 TiB 至 64 TiB 的网关
-
-
80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。
有关更多信息,请参阅 优化网关性能。有关硬件如何影响网关 VM 的性能的信息,请参阅 Amazon Storage Gateway 配额。
Amazon EC2 实例类型的要求
在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署网关时,实例大小必须至少为。xlarge让你的网关正常运行。但是,对于计算优化型实例系列,大小必须至少为 2xlarge。使用为您的网关类型推荐的以下实例类型之一。
建议用于文件网关类型
-
通用型实例系列-m4 或 m5 实例类型。
-
计算优化型实例系列-c4 或 c5 实例类型。选择 2xlarge 实例大小或更大的大小,以满足所需的 RAM 要求。
-
内存优化型实例系列-r3 实例类型。
-
存储优化型实例系列-i3 实例类型。
注意 在您在 Amazon EC2 中启动网关并且所选的实例类型支持短暂存储时,将自动列出磁盘。有关 Amazon EC2 实例存储的更多信息,请参阅实例存储中的Amazon EC2 用户指南。
应用程序写入会同步存储在缓存中,然后以异步方式上传到 Amazon S3 中的持久性存储中。如果由于在上传完成之前实例停止而导致短暂存储丢失,则数据仍位于缓存中并且尚未写入可能会丢失的 S3 中。在停止托管网关的实例之前,请确保 CachePercentDirty CloudWatch 指标是
0. 有关短暂存储的更多信息,请参阅将临时存储与 EC2 网关结合使用。有关监控存储网关的指标的更多信息,请参阅监控 Storage Gateway。如果您的 S3 存储桶中有超过 500 万个对象,并且您使用的是通用型固态硬盘卷,则在启动期间,您的网关必须具有 350 GiB 的最小根 EBS 卷,才能实现可接受的性能。有关如何增加卷大小的信息,请参阅使用弹性卷修改 EBS 卷(控制台)。
建议用于缓存卷和虚拟磁带库类型
-
通用型实例系列-m4 或 m5 实例类型。建议不要使用 m4.16xlarge 实例类型。
-
计算优化型实例系列-c4 或 c5 实例类型。选择 2xlarge 实例大小或更大的大小,以满足所需的 RAM 要求。
-
存储优化型实例系列-d2、i2 或 i3 实例类型。
存储需求
除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。
下表为所部署的网关推荐了本地磁盘存储的大小。
| 网关类型 | 缓存(最小值) | 缓存(最大值) | 上传缓冲区(最小值) | 上传缓冲区(最大值) | 其他必需的本地磁盘 |
|---|---|---|---|---|---|
| 文件网关 | 150 GiB | 64 TiB | — | — | — |
| 缓存卷网关 | 150 GiB | 64 TiB | 150 GiB |
2 TiB |
— |
| 存储卷网关 | — | — | 150 GiB |
2 TiB |
存储卷或卷的 1 个或更多 |
| 磁带网关 | 150 GiB | 64 TiB | 150 GiB | 2 TiB | — |
您可以为缓存和上传缓冲区配置一个或多个本地驱动器,最大容量不超过最大容量。
在向现有网关添加缓存或上传缓冲区时,在主机 (管理程序或 Amazon EC2 实例) 中创建新磁盘至关重要。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。
有关网关配额的信息,请参阅Amazon Storage Gateway 配额。
网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
在某些情况下,您可以在 Amazon EC2 上部署 Storage Gateway 或者将其他类型的部署(包括本地部署)与限制的网络安全策略结合使用AmazonIP 地址范围。在这些情况下,您的网关时可能会遇到服务连接问题。AmazonIP 范围值发生变化。这些区域有:Amazon您需要使用的 IP 地址范围值位于亚马逊服务子集中Amazon您在其中激活网关的区域。有关当前 IP 范围值,请参阅AmazonIP 地址范围中的Amazon一般参考.
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。数据传输模式将决定支持工作负载所需的带宽。在某些情况下,您可能会在 Amazon EC2 上部署 Storage Gateway 或者使用其他类型的部署。
端口要求
Storage Gateway 要求允许特定端口来执行其操作。下图显示了您必须允许每种类型的网关使用的必需端口。一些端口是所有网关类型必需的,另一些端口是特定网关类型必需的。有关端口要求的更多信息,请参阅端口要求。
所有网关类型的通用端口
下列端口是所有网关类型的通用端口,是所有网关类型所需要的。
|
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
|---|---|---|---|---|---|
|
TCP |
443 (HTTPS) |
出站 |
Storage Gateway |
Amazon |
用于从 Storage Gateway 到Amazon服务终端节点。有关服务终端节点的信息,请参阅允许通过防火墙和路由器进行 Amazon Storage Gateway 访问。 |
|
TCP |
80 (HTTP) |
入站 |
您从中连接到Amazon管理控制台。 |
Storage Gateway |
由本地系统用于获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。 Storage Gateway 不要求可公开访问端口 80。所需的端口 80 访问级别取决于网络配置。如果从 Storage Gateway 管理控制台激活了网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。 |
|
UDP /UDP |
53 (DNS) |
出站 |
Storage Gateway |
域名服务 (DNS) 服务器 |
适用于 Storage Gateway 和 DNS 服务器之间的通信。 |
|
TCP |
22 (支持渠道) |
出站 |
Storage Gateway |
Amazon Web Services Support |
允许Amazon Web Services Support访问网关,以帮助您排查网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。 |
|
UDP |
123 (NTP) |
出站 |
NTP 客户端 |
NTP 服务器 |
由本地系统使用以将 VM 时间同步到主机时间。 |
文件网关的端口
下图显示了要为文件网关开放的端口。
有关特定端口要求(包括 NFS 和 SMB 端口要求),请参阅端口要求。
您只需在希望允许域用户访问服务器消息块 (SMB) 文件共享时使用 Microsoft Active Directory。您可以将文件网关加入到任何有效的 Microsoft Windows 域(可由 DNS 解析)。
您也可以使用Amazon Directory Service来创建Amazon托管 Microsoft Active Directory在 Amazon Web Services 云中。对于大多数Amazon-托管的 Active Directory 部署,您需要为 VPC 配置动态主机配置协议 (DHCP) 服务。有关如何创建 DHCP 选项集的更多信息,请参阅创建 DHCP 选项集。
除了通用端口之外,文件网关还需要以下端口。
|
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
|---|---|---|---|---|---|
|
TCP/UDP |
2049 (NFS) |
入站 |
NFS 客户端 |
Storage Gateway |
您的网关会面向连接到 NFS 共享的本地系统公布。 |
|
TCP/UDP |
111 (NFSv3) |
入站 |
NFSv3 客户端 |
Storage Gateway |
您的网关会面向连接到端口映射器的本地系统公布。 此端口仅适用于 NFSv3。 |
|
TCP/UDP |
20048 (NFSv3) |
入站 |
NFSv3 客户端 |
Storage Gateway |
您的网关会面向连接到挂载的本地系统公布。 此端口仅适用于 NFSv3。 |
卷网关和磁带网关的端口
下图显示了要为卷网关和磁带网关开放的端口。
除了通用端口之外,卷网关和磁带网关还需要下列端口。
|
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
|---|---|---|---|---|---|
|
TCP |
3260 (iSCSI) |
入站 |
iSCSI 启动程序 |
Storage Gateway |
由本地系统用于连接由网关公开的 iSCSI 目标。 |
有关端口要求的详细信息,请参阅端口要求中的其他 Storage Gateway 资源部分。
Storage Gateway 硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
-
Internet 访问— 通过服务器上的任何网络接口实现的与 Internet 的永久性网络连接。
-
DNS 服务— 用于硬件设备和 DNS 服务器之间的通信的 DNS 服务。
-
时间同步— 必须可供访问自动配置的 Amazon NTP 时间服务。
-
IP 地址— 分配的 DHCP 或静态 IPv4 地址。您无法分配 IPv6 地址。
戴尔背面有五个物理网络端口。 PowerEdge R640 服务器。从左到右(面对服务器背面),这些端口如下所示:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
您可以使用 iDRAC 端口进行远程服务器管理。
硬件设备需要以下端口才能运行。
|
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
|---|---|---|---|---|---|
| SSH |
22 |
出站 |
硬件设备 |
|
支持渠道 |
| DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
| UDP/NTP | 123 | 出站 | 硬件设备 | *.amazon.pool.ntp.org |
时间同步 |
| HTTPS |
443 |
出站 |
硬件设备 |
|
数据传输 |
| HTTP | 8080 | 入站 | Amazon | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
-
在硬件控制台中配置所有连接的网络接口。
-
确保每个网络接口都位于唯一的子网中。
-
为所有连接的网络接口提供对上图中列出的终端节点的出站访问权限。
-
配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅 配置网络参数。
有关显示服务器背面及其端口的图示,请参阅机架安装硬件设备并将其连接到电源
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
有关激活和配置硬件设备的更多信息,请参阅使用 Storage Gateway 硬件设备。
允许通过防火墙和路由器进行 Amazon Storage Gateway 访问
您的网关需要访问以下服务终端节点,以便与通信:Amazon. 如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务终端节点进行出站通信Amazon.
取决于你的网关Amazon地区,替换领域在服务终端节点中包含正确的区域字符串。
要执行头桶操作,所有网关都需要使用以下服务终端节点。
s3.amazonaws.com:443
所有网关的控制路径 (anon-cp、client-cp、proxy-app) 和数据路径 (dp-1) 操作均需要以下服务终端节点。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
调用 API 需要使用以下网关服务终端节点。
storagegateway.region.amazonaws.com:443
以下示例是美国西部(俄勒冈)区域 (us-west-2)。
storagegateway.us-west-2.amazonaws.com:443
下面显示的 Amazon S3 服务终端节点仅适用于文件网关。文件网关需要此终端节点才能访问文件共享映射到的 S3 存储桶。
bucketname.s3.region.amazonaws.com
以下示例是中国(北京)区域 (cn-north-1)。
s3.cn-north-1.amazonaws.com
如果你的网关无法确定Amazon您的 S3 存储桶所在的区域,此服务终端节点默认为s3.us-east-1.amazonaws.com. 建议您允许访问美国东部(弗吉尼亚北部)区域 (us-east-1) 除了Amazon在其中激活网关的区域和 S3 存储桶所在的区域。
Amazon CloudFront Storage Gateway 获取可用列表时需要使用以下终端节点。Amazon地区。
https://d4kdq0yaxexbo.cloudfront.net/
配置 Storage Gateway VM 以使用以下 NTP 服务器。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
存储网关 — 对于支持Amazon地区和列表Amazon您可以用于 Storage Gateway 的服务终端节点,请参阅Amazon Storage Gateway终端节点和配额中的Amazon一般参考.
-
Storage Gateway 硬件设备-支持Amazon您可以用于硬件设备的区域请参阅Storage Gateway 硬件设备区域中的Amazon一般参考.
配置 Amazon EC2 网关实例的安全组
安全组会控制 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
-
安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 3260 (适用于 iSCSI 连接) 和端口 80 (适用于激活) 上的连接。
-
如果要从网关安全组外部的 Amazon EC2 主机激活您的网关,则需要允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
-
仅在使用 Amazon Web Services Support 进行故障诊断用途时,允许端口 22 上的访问。有关更多信息,请参阅 你想要Amazon Web Services Support帮助对 EC2 网关进行故障排除。
在某些情况下,您可以使用 Amazon EC2 实例作为启动程序 (即,连接到您部署在 Amazon EC2 上的网关上的 iSCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:
-
您应在与网关相同的安全组中启动启动程序实例。
-
您应配置访问权限,以便启动程序可与网关进行通信。
有关要为您的网关开放的端口的信息,请参阅端口要求。
受支持的管理程序和主机要求
您可以在本地将作为虚拟机 (VM) 设备或物理硬件设备运行,或者在中运行。Amazon作为 Amazon EC2 实例。
当制造商结束对管理程序版本的一般支持时,Storage Gateway 也将结束对该管理程序版本的支持。有关支持特定版本的虚拟机管理程序的详细信息,请参阅制造商的文档。
Storage Gateway 支持以下管理程序版本和主机:
-
VMware ESXi 管理程序(版本 6.5、6.7 或 7.0)-免费 VMware 版本可从VMware 网站
. 对于此设置,您还需要 VMware vSphere 客户端才能连接到主机。 -
Microsoft Hyper-V 管理程序(版本 2012 R2、2016、2019 或 2022)-Hyper-V 的免费独立版本,可从Microsoft 下载中心
. 对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。 -
基于 Linux 内核的虚拟机 (KVM) — 一种免费的开源虚拟化技术。KVM 包含在所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 已针对 CentOS/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版进行了测试并得到它们的支持。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。
-
Amazon EC2 实例-Storage Gateway 提供了一个包含网关 VM 映像的 Amazon 系统映像 (AMI)。在 Amazon EC2 上只能部署文件、缓存卷和磁带网关类型。有关如何在 Amazon EC2 上部署网关的信息,请参阅在 Amazon EC2 主机上部署卷或磁带网关.
-
Storage Gateway 硬件设备-Storage Gateway 为虚拟机基础架构有限的位置提供了物理硬件设备以作为本地部署选项
Storage Gateway 不支持从另一个网关虚拟机的快照或克隆创建的虚拟机或从 Amazon EC2 AMI 恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 从意外的虚拟机关闭中恢复。
Storage Gateway 不支持动态内存和虚拟内存激增。
文件网关支持的 NFS 客户端
文件网关支持以下网络文件系统 (NFS) 客户端:
-
Amazon Linux
-
Mac OS X
注意 我们建议将
rsize和wsize将选项挂载到 64KB 以提高在 Mac OS X 上装载 NFS 文件共享时的性能 -
RHEL 7
-
SUSE Linux Enterprise Server 11 和 SUSE Linux Enterprise Server 12
-
Ubuntu 14.04
-
Microsoft Windows 10 企业版、Windows Server 2012 和 Windows Server 2016。本机客户端仅支持 NFS 版本 3。
-
Windows 7 企业版和 Windows Server 2008。
本机客户端仅支持 NFS 版本 3。支持的最大 NFS I/O 大小为 32 KB,因此,您可能会在这些版本的 Windows 上遇到性能下降的情况。
注意 现在,您可以在需要通过 Windows (SMB) 客户端(而不是 Windows NFS 客户端)进行访问时使用 SMB 文件共享。
文件网关支持的 SMB 客户端
文件网关支持以下服务消息块 (SMB) 客户端:
-
Microsoft Windows Server 2008 及更高版本
-
Windows 桌面版本:10、8 和 7。
-
在 Windows Server 2008 及更高版本上运行的 Windows 终端服务器
注意 服务器消息块加密需要支持 SMB v2.1 的客户端。
-
中小型企业/CIFS 中的 Linux
文件网关支持的文件系统操作
您的 NFS 或 SMB 客户端可以写入、读取、删除和截断文件。当客户端向 Amazon Storage Gateway 发送写入内容时,它会同步写入本地缓存。然后,通过经优化的传输异步写入 S3。首先通过本地缓存来提供读取内容。如果数据不可用,则通过 S3 将数据作为缓存的读取内容捕获。
仅在通过网关传送的已更改或请求的部分中优化写入内容和读取内容。从 S3 中删除对象。使用与 Amazon S3 管理控制台中相同的语法,将目录作为 S3 中的文件夹对象进行管理。
HTTP 操作(如 GET、PUT、UPDATE 和 DELETE)可以修改文件共享中的文件。这些操作与原子创建、读取、更新和删除 (CRUD) 功能一致。
受支持的 iSCSI 启动程序
当部署缓存卷或存储卷的网关时,可以在网关上创建 iSCSI 存储卷。在部署磁带网关时,会为网关预配置一个介质更换器和 10 个磁带驱动器。这些磁带驱动器和介质更换器可作为 iSCSI 设备用于您的现有客户端备份应用程序。
为了连接到这些 iSCSI 设备,Storage Gateway 支持以下 iSCSI 启动程序:
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows 10
-
Windows 8.1
-
Red Hat Enterprise Linux 5
-
Red Hat Enterprise Linux 6
-
Red Hat Enterprise Linux 7
-
VMware ESX 启动程序,它提供一种在 VM 的来宾操作系统中使用启动程序的替代方法
Storage Gateway 不支持来自 Windows 客户端的 Microsoft Multipath I/O (MPIO)。
如果主机使用 Windows Server 故障转移群集 (WSFC) 协调访问,Storage Gateway 支持将多个主机连接到同一个卷。但是,若未使用 WSFC,则不能将多个主机连接到同一个卷 (例如,共享非群集 NTFS/ext4 文件系统)。
磁带网关支持的第三方备份应用程序
您可以使用备份应用程序通过磁带网关读取、写入和管理磁带。支持将以下第三方备份应用程序与磁带网关一起使用。
您选择的介质更换器的类型取决于您计划使用的备份应用程序。下表列出了经过测试并发现与磁带网关兼容的第三方备份应用程序。此表包括每个备份应用程序推荐的介质更换器类型。
| Backup 应用 | 中等更换器类型 |
|---|---|
| Arcserve Backup | AWS-Gateway-VTL |
| Bacula 企业 v10.x | AWS-Gateway-VTL 或者 STK-L700 |
| Commvault V11 | STK-L700 |
| Dell EMC NetWorker 19.5 | AWS-Gateway-VTL |
| IBM 频谱保护 v8.1.10 | IBM-03584L32-0402 |
| Micro Focus (HPE) Data Protector 9.x | AWS-Gateway-VTL |
| Microsoft System Center 2012 R2 或 2016 年数据保护管理器 | STK-L700 |
| NovaStor 数据中心/网络6.4 或 7.1 | STK-L700 |
| Quest NetVault Backup 12.4 或 13.x | STK-L700 |
| Veeam Backup 和复制 11A | AWS-Gateway-VTL |
| Veritas Backup 执行 2014 年或 15、16 或 20.x | AWS-Gateway-VTL |
| 2012 年 Veritas Backup Exec Veritas 已结束对 2012 Backup Exec 的支持。 |
STK-L700 |
| Veritas NetBackup 版本 7.x 或 8.x | AWS-Gateway-VTL |
我们强烈建议您选择为备份应用程序列出的介质更换器。其他媒介更换器可能无法正常工作。激活网关后,您可以选择其他媒体更换器。有关更多信息,请参阅 在网关激活后选择介质更换器。