AWS Storage Gateway
用户指南 (API 版本 2013-06-30)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

要求

除非另有说明,否则所有网关配置都需要满足以下要求。

硬件和存储要求

在本节中,您可以找到有关网关的最低硬件和设置以及为所需存储分配的最小磁盘空间量的信息。有关文件网关性能的最佳实践的信息,请参阅文件网关的性能指导

本地 VM 的硬件要求

在本地部署网关时,您必须确保部署网关 VM 的基础硬件能够专门使用以下最少资源:

  • 分配给 VM 的四个虚拟处理器。

  • 分配给 VM 的 16 GiB 预留 RAM。

  • 80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。

有关更多信息,请参阅 优化网关性能。有关硬件如何影响网关 VM 的性能的信息,请参阅 AWS Storage Gateway 限制

Amazon EC2 实例类型的要求

在 Amazon EC2 上部署网关时,实例大小必须至少为 xlarge,网关才能正常工作。但是,对于计算优化型实例系列,大小必须至少为 2xlarge。使用为您的网关类型推荐的以下实例类型之一。

建议用于文件网关类型

  • 通用型实例系列 — m4 或 m5 实例类型。

  • 计算优化型实例系列 — c4 或 c5 实例类型。选择 2xlarge 实例大小或更高版本,以满足所需的 RAM 要求。

  • 内存优化型实例系列 - r3 实例类型。

  • 存储优化型实例系列 - i3 实例类型。

    注意

    在您在 EC2 中启动网关并且所选的实例类型支持短暂存储时,将自动列出磁盘。要了解有关 Amazon EC2 实例存储的更多信息,请参阅此处。请注意,应用程序写入会同步存储在缓存中,然后以异步方式上传到 Amazon S3 中的持久性存储中。如果由于在上传完成之前实例停止而导致短暂存储丢失,则数据仍位于缓存中并且尚未写入可能会丢失的 S3 中。在停止托管网关的实例之前,请确保 CachePercentDirty CloudWatch 指标为 0。有关为您的存储网关监控指标的更多信息,请参阅存储网关指标和维度

    如果您的 Amazon S3 存储桶中有超过 500 万个对象,并且您使用的是通用型 SSD 卷,则在启动期间,您的网关必须具有 350 GiB 的最小根 EBS 卷才能实现可接受的性能。有关如何增加卷大小的信息,请参阅从控制台修改 EBS 卷

建议用于缓存卷和虚拟磁带库类型

  • 通用型实例系列 — m4 或 m5 实例类型。建议不要使用 m4.16xlarge 实例类型。

  • 计算优化型实例系列 — c4 或 c5 实例类型。选择 2xlarge 实例大小或更高版本,以满足所需的 RAM 要求。

  • 存储优化型实例系列 — d2、i2 或 i3 实例类型

注意

当您使用 c4 或 m4 实例类型创建任何网关类型时,它不能更改为 c5 或 m5 实例类型。有关如何将您的实例升级到 c5 或 m5 实例类型的信息,请参阅您希望文件网关使用 C5 或 M5 EC2 实例类型来代替 C4 或 M4

存储要求

除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。

下表为所部署的网关推荐了本地磁盘存储的大小。

网关类型 缓存 (最小值) 缓存 (最大值) 上传缓冲区 (最小值) 上传缓冲区 (最大值) 其他必需本地磁盘
文件网关 150 GiB 16 TiB
缓存的卷网关 150 GiB 16 TiB 150 GiB

2 TiB

存储的卷网关 150 GiB

2 TiB

1 或更多 (用于一个或多个存储卷)
磁带网关 150 GiB 16 TiB 150 GiB 2 TiB

注意

您可以为缓存和上传缓冲区配置一个或多个本地硬盘,最高可达最大容量。

在向现有网关添加缓存或上传缓冲区时,在主机 (管理程序或 Amazon EC2 实例) 中创建新磁盘至关重要。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。

有关网关限制的信息,请参阅 AWS Storage Gateway 限制

网络和防火墙要求

您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。

注意

在某些情况下,您可能会在 Amazon EC2 上部署 AWS Storage Gateway 或者将其他类型的部署(包括本地部署)与限制 AWS IP 地址范围的网络安全策略结合使用。在这些情况下,您的网关时可能在 AWS IP 范围值更改时遇到服务连接问题。您需要使用的 AWS IP 地址范围值位于您在其中激活网关的 AWS 区域的 Amazon 服务子集中。有关当前 IP 范围值,请参阅 AWS 一般参考 中的 AWS IP 地址范围

端口要求

AWS Storage Gateway 要求允许特定端口来执行其操作。下图显示了您必须允许每种类型的网关使用的必需端口。一些端口是所有网关类型必需的,另一些端口是特定网关类型必需的。有关端口要求的更多信息,请参阅端口要求

所有网关类型的通用端口

下列端口是所有网关类型的通用端口,是所有网关类型所需要的。

协议

端口

Direction

目的地

如何使用

TCP

443 (HTTPS)

出站

Storage Gateway

AWS

用于从 AWS Storage Gateway 到 AWS 服务终端节点的通信。有关服务终端节点的信息,请参阅允许通过防火墙和路由器进行 AWS Storage Gateway 访问

TCP

80 (HTTP)

入站

AWS 管理控制台

Storage Gateway

由本地系统用于获取 Storage Gateway 激活密钥。端口 80 仅在激活 Storage Gateway 设备期间使用。

AWS Storage Gateway 不需要可公开访问端口 80。所需的端口 80 访问级别取决于网络配置。如果您从 AWS Storage Gateway 管理控制台激活了网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。

UDP/UDP

53 (DNS)

出站

Storage Gateway

域名服务 (DNS) 服务器

适用于 AWS Storage Gateway 和 DNS 服务器之间的通信。

TCP

22 (支持渠道)

出站

Storage Gateway

AWS Support

允许 AWS Support 访问您的网关,以帮助您排查网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。

UDP

123 (NTP)

出站

NTP 客户端

NTP 服务器

由本地系统使用以将 VM 时间同步到主机时间。

文件网关的端口

下图显示了要为文件网关开放的端口。

注意

有关特定端口要求(包括 NFS 和 SMB 端口要求),请参阅端口要求

您只需在希望允许域用户访问服务器消息块 (SMB) 文件共享时使用 Microsoft Active Directory。您可以将文件网关加入到任何有效的 Microsoft Windows 域(可由 DNS 解析)。

您还可以使用 AWS Directory Service 在 AWS 云中创建 AWS 托管 Microsoft Active Directory。对于大多数 AWS 托管的 Active Directory 部署,您需要为 VPC 配置动态主机配置协议 (DHCP) 服务。有关如何创建 DHCP 选项集的更多信息,请参阅此处

除了通用端口之外,文件网关还需要下列端口。

协议

端口

Direction

目的地

如何使用

TCP/UDP

2049 (NFS)

入站

NFS 客户端

Storage Gateway

本地系统连接到您的网关将公开的 NFS 共享。

TCP/UDP

111 (NFSv3)

入站

NFSv3 客户端

Storage Gateway

本地系统连接到您的网关将公开的端口映射器。

注意

仅 NFSv3 需要此端口。

TCP/UDP

20048 (NFSv3)

入站

NFSv3 客户端

Storage Gateway

本地系统连接到您的网关将公开的装载。

注意

仅 NFSv3 需要此端口。

卷网关和磁带网关的端口

下图显示了要为卷网关和磁带网关开放的端口。

除了通用端口之外,卷网关和磁带网关还需要下列端口。

协议

端口

Direction

目的地

如何使用

TCP

3260 (iSCSI)

入站

iSCSI 启动程序

Storage Gateway

由本地系统用于连接由网关公开的 iSCSI 目标。

有关端口要求的详细信息,请参阅其他 AWS Storage Gateway 资源 部分中的端口要求

AWS Storage Gateway Hardware Appliance的网络和防火墙要求

每个 AWS Storage Gateway Hardware Appliance 都需要以下网络服务:

  • Internet 访问 – 通过服务器上的任何网络接口实现的与 Internet 的永久性网络连接。

  • DNS 服务 – 用于硬件设备和 DNS 服务器之间的通信的 DNS 服务。

  • 时间同步 – 自动配置的 Amazon NTP 时间服务必须可供访问。

  • IP 地址 – 已分配的 DHCP 或静态 IPv4 地址。您无法分配 IPv6 地址。

Dell PowerEdge R640 服务器背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

您可以使用 iDRAC 端口进行远程服务器管理。

硬件设备需要以下端口才能运行。

协议

端口

方向

目标

如何使用

SSH

22

出站

硬件设备

54.201.223.107

支持渠道
DNS 53 出站 硬件设备 DNS 服务器 名称解析
UDP/NTP 123 出站 硬件设备 *.amazon.pool.ntp.org 时间同步
HTTPS

443

出站

硬件设备

*.amazonaws.com

数据传输

HTTP 8080 入站 AWS 硬件设备 激活(仅短时)

要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:

  • 在硬件控制台中配置所有连接的网络接口。

  • 确保每个网络接口都位于唯一的子网中。

  • 为所有连接的网络接口提供对上图中列出的终端节点的出站访问权限。

  • 配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅配置网络参数

注意

要查看显示了服务器背面及其端口的图示,请参阅机架安装硬件设备并将其连接到电源

同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。

有关激活和配置硬件设备的更多信息,请参阅使用 AWS Storage Gateway Hardware Appliance

允许通过防火墙和路由器进行 AWS Storage Gateway 访问

您的网关需要访问下列终端节点,以便与 AWS 进行通信。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务终端节点与 AWS 进行出站通信。

所有网关的控制路径 (anon-cp、client-cp、proxy-app) 和数据路径 (dp-1) 操作均需要以下服务终端节点。

anon-cp.storagegateway.region.amazonaws.com.cn:443 client-cp.storagegateway.region.amazonaws.com.cn:443 proxy-app.storagegateway.region.amazonaws.com.cn:443 dp-1.storagegateway.region.amazonaws.com.cn:443

调用 API 需要使用以下服务终端节点。

storagegateway.region.amazonaws.com.cn:443

下面显示的 Amazon S3 服务终端节点仅适用于文件网关。文件网关需要此终端节点才能访问文件共享映射到的 S3 存储桶。

如果您的网关无法确定 S3 存储桶所在的 AWS 区域,则此终端节点将默认为 us-east-1.s3.amazonaws.com。建议您将 us-east-1 区域以及在其中激活网关的 AWS 区域和 S3 存储桶所在的区域列入白名单。

region.s3.amazonaws.com.cn

Storage Gateway 获取可用 AWS 区域列表时需要使用以下 Amazon CloudFront 终端节点。

https://d4kdq0yaxexbo.cloudfront.net/

Storage Gateway VM 配置为使用以下 NTP 服务器。

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

根据网关的 AWS 区域,您可将终端节点中的区域替换为相应的区域字符串。例如,如果您在美国西部(俄勒冈)区域中创建网关,则该终端节点类似于以下内容:storagegateway.us-west-2.amazonaws.com:443

  • Storage Gateway — 有关可用于 Storage Gateway 的支持的 AWS 区域和 AWS 服务终端节点列表,请参阅 AWS 一般参考 中的区域和终端节点

  • AWS Storage Gateway Hardware Appliance — 有关可用于 Hardware Appliance 的支持的 AWS 区域,请参阅 AWS 一般参考 中的 AWS Storage Gateway 硬件设备区域

配置 Amazon EC2 网关实例的安全组

安全组会控制 Amazon EC2 网关实例的流量。从 AWS Marketplace 提供的 AWS Storage Gateway Amazon 系统映像 (AMI) 创建实例时,可选择两种方法启动实例。要使用 AWS Marketplace 的 1-Click Launch 功能启动实例,请按照在 Amazon EC2 主机上部署卷或磁带网关中的步骤进行操作。我们建议使用此一键启动功能。

您也可以通过使用 AWS Marketplace 中的 Manual Launch 功能启动实例。在这种情况下,将创建名为 AWS Storage Gateway-1-0-AutogenByAWSMP- 的自动生成的安全组。此安全组拥有正确的端口 80 规则,可激活您的网关。有关安全组的更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的安全组概念

无论您使用的是何种安全组,我们都建议您遵循以下规则:

  • 安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 3260 (适用于 iSCSI 连接) 和端口 80 (适用于激活) 上的连接。

  • 若要从网关的安全组外部的 EC2 主机激活您的网关,则需要允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。

  • 仅在使用 AWS Support 进行故障诊断用途时,允许端口 22 上的访问。有关更多信息,请参阅 您需要 AWS Support 帮助排查 EC2 网关问题

在某些情况下,您可以使用 Amazon EC2 实例作为启动程序(即,连接到您部署在 Amazon EC2 上的网关上的 iSCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:

  1. 您应在与网关相同的安全组中启动启动程序实例。

  2. 您应配置访问权限,以便启动程序可与网关进行通信。

有关要为您的网关开放的端口的信息,请参阅端口要求

支持的管理程序和主机要求

您可以在本地将 AWS Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,或者在 AWS 中将其作为 Amazon Elastic Compute Cloud (Amazon EC2) 实例运行。

AWS Storage Gateway 支持以下管理程序版本和主机:

  • VMware ESXi 管理程序(版本 4.1、5.0、5.1、5.5、6.0 或 6.5)— VMware 的免费版本可从 VMware 网站获取。对于此设置,您还需要 VMware vSphere 客户端才能连接到主机。

  • Microsoft Hyper-V 管理程序(版本 2008 R2、2012 或 2012 R2)— Hyper-V 的免费独立版本,可从 Microsoft 下载中心获取。对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。

  • EC2 实例—AWS Storage Gateway 提供了一个包含网关 VM 映像的 Amazon 系统映像 (AMI)。在 Amazon EC2 上只能部署文件、缓存卷和磁带网关类型。有关如何在 Amazon EC2 上部署网关的信息,请参阅在 Amazon EC2 主机上部署卷或磁带网关

  • Storage Gateway 硬件设备 — 对于具有有限虚拟机基础架构的位置,AWS Storage Gateway 提供了物理硬件设备以作为本地部署选项。

注意

AWS Storage Gateway 不支持从另一个网关虚拟机的快照或克隆创建的虚拟机或从 Amazon EC2 AMI 恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 从意外虚拟机关闭恢复

AWS Storage Gateway 不支持动态内存和虚拟内存激增。

文件网关支持的 NFS 客户端

文件网关支持以下网络文件系统 (NFS) 客户端:

  • Amazon Linux

  • Mac OS X

  • RHEL 7

  • SUSE Linux Enterprise Server 11 和 SUSE Linux Enterprise Server 12

  • Ubuntu 14.04

  • Microsoft Windows 10 企业版、Windows Server 2012 和 Windows Server 2016。本机客户端仅支持 NFS 版本 3。

  • Windows 7 企业版和 Windows Server 2008。

    本机客户端仅支持 NFS 版本 3。支持的最大 NFS I/O 大小为 32 KB,因此,您可能会在这些版本的 Windows 上遇到性能下降的情况。

    注意

    现在,您可以在需要通过 Windows (SMB) 客户端(而不是 Windows NFS 客户端)进行访问时使用 SMB 文件共享。

文件网关支持的 SMB 客户端

文件网关支持以下服务消息块 (SMB) 客户端:

  • Microsoft Windows Server 2003 及更高版本

  • Windows 桌面版本:10、8 和 7。

  • 在 Windows Server 2003 及更高版本上运行的 Windows Terminal Server

文件网关支持的文件系统操作

您的 NFS 或 SMB 客户端可以写入、读取、删除和截断文件。当客户端向 AWS Storage Gateway 发送写入内容时,它会同步写入本地缓存。然后,通过经优化的传输异步写入 Amazon S3。首先通过本地缓存来提供读取内容。如果数据不可用,则通过 Amazon S3 将数据作为读通缓存获取。

仅在通过网关传送的已更改或请求的部分中优化写入内容和读取内容。从 S3 中删除对象。使用与 Amazon S3 管理控制台中相同的语法,将目录作为 S3 中的文件夹对象进行管理。

HTTP 操作(如 GETPUTUPDATEDELETE)可以修改文件共享中的文件。这些操作与原子创建、读取、更新和删除 (CRUD) 功能一致。

支持的 iSCSI 启动程序

当部署缓存卷或存储卷的网关时,可以在网关上创建 iSCSI 存储卷。在部署磁带网关时,会为网关预配置一个介质更换器和 10 个磁带驱动器。这些磁带驱动器和介质更换器可作为 iSCSI 设备用于您的现有客户端备份应用程序。

为了连接到这些 iSCSI 设备,AWS Storage Gateway 支持以下 iSCSI 启动程序:

  • Windows Server 2012 和 Windows Server 2012 R2

  • Windows Server 2008 和 Windows Server 2008 R2

  • Windows 7

  • Red Hat Enterprise Linux 5

  • Red Hat Enterprise Linux 6

  • Red Hat Enterprise Linux 7

  • VMware ESX 启动程序,它提供一种在 VM 的来宾操作系统中使用启动程序的替代方法

重要

Storage Gateway 不支持来自 Windows 客户端的 Microsoft Multipath I/O (MPIO)。

如果主机使用 Windows Server 故障转移群集 (WSFC) 协调访问,Storage Gateway 支持将多个主机连接到同一个卷。但是,若未使用 WSFC,则不能将多个主机连接到同一个卷 (例如,共享非群集 NTFS/ext4 文件系统)。

磁带网关支持的第三方备份应用程序

可使用备份应用程序通过磁带网关读取、写入和管理磁带。支持将以下第三方备份应用程序与磁带网关一起使用。

您选择的介质更换器类型取决于您计划使用的备份应用程序。下表列出了已经过测试且发现与磁带网关兼容的第三方备份应用程序。此表包含为每种备份应用程序建议的介质更换器类型。

备份应用程序 介质更换器类型
Arcserve Backup AWS-Gateway-VTL
Backup Exec 2012

注意

Veritas 已终止对 Backup Exec 2012 的支持。有关更多信息,请参阅终止对早期 Backup Exec 版本的支持

STK-L700
Backup Exec 2014 AWS-Gateway-VTL
Backup Exec 15 AWS-Gateway-VTL
Backup Exec 16 AWS-Gateway-VTL
Commvault V11 STK-L700
Dell EMC NetWorker V8.x 或 V9.x AWS-Gateway-VTL
Micro Focus (HPE) Data Protector 9.x AWS-Gateway-VTL
Microsoft System Center 2012 R2 或 2016 Data Protection Manager

注意

Data Protection Manager 不显示在 AWS Storage Gateway 中创建的虚拟磁带的条码。

STK-L700
NovaStor DataCenter/Network 6.4 或 7.1 STK-L700
Quest NetVault Backup 10.0 STK-L700
Symantec NetBackup 7.x 版 AWS-Gateway-VTL
Veeam Backup & Replication V7 STK-L700
Veeam Backup & Replication V8 STK-L700
Veeam Backup & Replication V9 Update 2 或更高版本 AWS-Gateway-VTL

重要

我们强烈建议您选择为您的备份应用程序列出的介质更换器。否则,介质更换器可能无法正常工作。您可以在网关激活后选择其他媒体更换器。有关更多信息,请参阅在网关激活后选择介质更换器