AWS Storage Gateway
用户指南 (API 版本 2013-06-30)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在 Virtual Private Cloud 中激活网关

您可以在本地软件设备和基于云的存储基础设施之间创建私有连接。然后,您可以使用软件设备将数据传输到 AWS 存储,而无需网关通过公共 Internet 与 AWS 存储服务进行通信。使用 Amazon VPC,您可以在自定义虚拟网络中启动 AWS 资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅 Amazon VPC 用户指南 中的 Amazon VPC 是什么?

要将网关与 VPC 中的 Storage Gateway VPC 终端节点结合使用,请执行以下操作:

  • 使用 VPC 控制台为 Storage Gateway 创建 VPC 终端节点并获取 VPC 终端节点 ID。

  • 如果您正在激活文件网关,则需为 Amazon S3 创建 VPC 终端节点。

  • 如果您正在激活文件网关,则需在文件网关 VM 本地控制台中设置和配置 http 代理。本地 VMWare 和基于 Microsoft HyperV 管理程序的文件网关需要此代理;您的网关需要此代理才能从 VPC 外部访问 Amazon S3 私有终端节点。有关如何配置 Http 代理的信息,请参阅配置 HTTP 代理

  • 使用 VPC 终端节点 ID 激活网关。

注意

必须在创建 VPC 终端节点的同一区域中激活您的网关。

对于文件网关,为文件共享配置的 Amazon S3 必须位于为 S3 创建 VPC 终端节点的同一区域中。

使用 VPC 终端节点创建网关

在此部分中,您可以找到有关如何使用 VPC 终端节点下载、部署和激活文件网关的说明。

为 Storage Gateway 创建 VPC 终端节点

按照这些说明创建 VPC 终端节点。如果您已有用于 Storage Gateway 的 VPC 终端节点,则可使用该终端节点。

为 AWS Storage Gateway 创建 VPC 终端节点

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon VPC 控制台:https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Endpoints (终端节点),然后选择 Create Endpoint (创建终端节点)

  3. Create Endpoint (创建终端节点) 页面上,为 Service category (服务类别) 选择 AWS Services (AWS 服务)

  4. 对于 Service Name (服务名称),选择 com.amazonaws.region.storagegateway,然后选择 Create endpoint (创建终端节点)。例如 com.amazonaws.us-east-2.storagegateway.

  5. 对于 VPC,选择您的 VPC 并记录其可用区和子网。

  6. 确认选中 Enable Private DNS Name (启用私有 DNS 名称)

  7. 对于 Security group (安全组),选择您要用于 VPC 的安全组。您可以接受默认安全组。验证在您的安全组中已经允许了以下所有的 TCP 端口:

    • TCP 443

    • TCP 1026

    • TCP 1027

    • TCP 1028

    • TCP 1031

    • TCP 2222

  8. 选择 Create endpoint (创建终端节点)。终端节点的初始状态为 pending (待处理)。创建终端节点时,记录您刚创建的 VPC 终端节点的 ID。

  9. 在创建终端节点时,选择终端节点,然后选择新的 VPC 终端节点。

  10. 找到“DNS 名称”部分,并使用第一个未指定可用区的 DNS 名称。您的 DNS 名称类似这样:vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

现在,您有了 VPC 终端节点,可以创建您的网关。

重要

如果您正在创建文件网关,则还需为 Amazon S3 创建终端节点。执行上面的“为 AWS Storage Gateway 创建 VPC 终端节点”部分中所示的相同步骤,但改为选择“Service Name (服务名称)”下方的 com.amazonaws.us-east-2.s3。然后,选择您希望与 S3 终端节点关联的路由表,而不是子网/安全组。有关说明,请参阅创建网关终端节点

选择网关类型

选择网关类型

  1. 打开 http://console.www.amazonaws.cn/storagegateway/home 中的 AWS 管理控制台,然后选择要在其中创建网关的 AWS 区域。

    如果您之前已在此 AWS 区域中创建网关,控制台将显示您的网关。否则,将会显示服务主页。

  2. 如果您尚未在您所选的 AWS 区域中创建网关,则选择开始使用。如果您已在选择的 AWS 区域中创建网关,则从导航窗格中选择网关,然后选择创建网关

  3. Select gateway type (选择网关类型) 页面上,选择网关类型,然后选择 Next (下一步)。在此示例中,选择文件网关。

选择主机平台并下载 VM

如果您要在本地创建网关,请部署硬件设备;或下载并部署网关 VM,然后激活网关。如果您在 Amazon EC2 实例上创建网关,请启动包含网关 VM 映像的 Amazon 系统映像 (AMI),然后激活网关。有关支持的主机平台的信息,请参阅支持的管理程序和主机要求

注意

只有文件、缓存卷和磁带网关可以在 Amazon EC2 实例上运行。

选择主机平台并下载虚拟机

  1. Select host platform (选择主机平台) 页面上,选择您要用于运行网关的虚拟化平台。

  2. 选择您的虚拟化平台旁边的 Download image 以下载一个 .zip 文件,其中包含您的虚拟化平台的 .ova 文件。

    注意

    .zip 文件大小超过 500MB,下载可能需要一些时间 (具体取决于您的网络连接情况)。

    对于 EC2,您可以从提供的 AMI 创建实例。

  3. 将下载的映像部署到管理程序。您需要在部署期间至少添加两个本地磁盘,一个用于您的缓存,一个用于上传缓冲区。一个文件网关只需要一个用于缓存的本地磁盘。有关本地磁盘要求的信息,请参阅硬件和存储要求

    如果您选择 VMware,请执行以下操作:

    • Thick provisioned format 存储您的磁盘。使用完全预配置时,会立即分配磁盘空间,从而实现更好的性能。而自动精简预配置按需分配存储空间。按需分配可能会影响 AWS Storage Gateway 的正常运行。为使 Storage Gateway 正常运行,必须以完全配置格式存储 VM 磁盘。

    • 将网关 VM 配置为使用半虚拟化磁盘控制器。有关更多信息,请参阅配置 AWS Storage Gateway VM 以使用半虚拟化的磁盘控制器

    如果选择 Microsoft Hyper-V,请执行以下操作:

    • 将磁盘类型配置为 Fixed size。使用固定大小预配置时,将立即分配磁盘存储,这样性能更好。如果不使用固定大小预配置,则将按需分配存储。按需分配可能会影响 AWS Storage Gateway 的正常运行。为使 Storage Gateway 正常运行,必须采用以固定大小配置的格式存储 VM 磁盘。

    • 在分配磁盘时,选择 virtual hard disk (.vhd) file (虚拟硬盘(.vhd)文件)。Storage Gateway 支持 .vhdx 文件类型。此文件类型使您能够创建比其他文件类型更大的虚拟磁盘。如果您创建一个 .vhdx 类型的虚拟磁盘,请确保您创建的虚拟磁盘的大小没有超过网关的建议磁盘大小。

    对于 VMware 和 Microsoft Hyper-V,要成功激活网关,就需要同步 VM 时间和主机时间。确保将主机时钟设置为正确的时间,并将其与网络时间协议 (NTP) 服务器同步。

    如果选择 EC2,则执行以下操作:

    启动包含网关 VM 映像的 Amazon 系统映像 (AMI),然后激活网关。有关将网关部署到 Amazon EC2 主机的信息,请参阅:在 Amazon EC2 主机上部署卷或磁带网关

    如果选择硬件设备,请参阅激活硬件设备

有关将网关部署到 Amazon EC2 主机的信息,请参阅将网关部署到 Amazon EC2 主机

选择服务终端节点

您可以使用私有 VPC 终端节点来激活网关。如果您使用 VPC 终端节点,则从网关到 AWS 服务的所有通信都通过 AWS 中您的 VPC 中的 VPC 终端节点进行。

  1. 对于 Endpoint type (终端节点类型),选择 VPC。如果您没有 VPC 终端节点,请选择 Create a VPC endpoint (创建 VPC 终端节点) 来创建一个。VPC 终端节点允许网关仅通过 AWS 中的 VPC 与 AWS 服务进行通信,而无需通过公共 Internet。

    本演练假定您使用 VPC 终端节点激活网关。有关如何使用公共终端节点激活网关的信息,请参阅创建网关

  2. 为您在为 Storage Gateway 创建 VPC 终端节点部分创建的 Storage Gateway 输入 VPC 终端节点 DNS 名称。您的 DNS 名称类似这样:vpce-1234567e1c11a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

  3. 选择 Next (下一步) 以连接到您的网关并激活它。

连接到您的网关

要连接到您的网关,首先需要获取网关 VM 的 IP 地址。您将使用此 IP 地址激活网关。对于本地主机上部署并激活的网关,您可以从网关 VM 本地控制台或管理程序客户端获取 IP 地址。对于已在 Amazon EC2 实例上部署并激活的网关,可以从 Amazon EC2 控制台获取 IP 地址。

激活过程将您的网关与 AWS 账户关联。您的网关 VM 必须正在运行才能成功激活。

确保选择正确的网关类型。网关类型的 .ova 文件和 AMI 不同,不可互换。

从本地控制台获取网关 VM 的 IP 地址

  1. 登录到网关 VM 本地控制台。有关详细说明,请参阅以下文档:

  2. 从菜单页顶部获取 IP 地址,并记下它以供以后使用。

从 EC2 实例获取 IP 地址

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Instances (实例),然后选择所需的 EC2 实例。

  3. 选择底部的 Description (描述) 选项卡,然后记下 IP 地址。您将使用此 IP 地址激活网关。

您可以使用分配到网关的公共或私有 IP 地址来激活。您必须能够从执行激活的浏览器访问所使用的 IP 地址。在此演练中,我们使用公有 IP 地址来激活网关。

设置和配置 HTTP 代理(仅限本地文件网关)

如果您正在激活文件网关,则需在文件网关 VM 本地控制台中设置和配置 http 代理。本地文件网关需要此代理才能从 VPC 外部访问 Amazon S3 私有终端节点。如果您在 Amazon EC2 中已有一个 http 代理,则可使用该代理。不过,您需要验证在您的安全组中已经允许了以下所有的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

如果您没有 Amazon EC2 代理,请执行以下步骤来设置和配置 http 代理。

设置代理服务器

  1. 启动 Amazon EC2 Linux AMI。我们建议您使用网络优化的实例系列,例如 c5n.large。

  2. 使用此命令可安装 squid:sudo yum install squid。这将在 /etc/squid/squid.conf 中创建一个默认配置文件。

  3. 将此配置文件的内容替换为以下内容:

    # # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl SSL_ports port 1026 acl SSL_ports port 1027 acl SSL_ports port 1028 acl SSL_ports port 1031 acl SSL_ports port 2222 acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
  4. 如果您不需要锁定代理服务器,也不需要进行任何更改,请使用以下命令启用并启动它。这些命令将在启动时启动服务器。

    sudo chkconfig squid on sudo service squid start

您现在可以为 Storage Gateway 配置 http 代理以使用它。在配置网关以使用代理时,请使用默认 squid 端口 3128。生成的 squid 配置默认涵盖了以下必需的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

要使用 VM 本地控制台配置 http 代理,请执行以下步骤

  1. 登录到网关的 VM 本地控制台。有关如何登录的信息,请参阅登录到文件网关本地控制台

  2. 在主菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  3. 在“Configuration (配置)”菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  4. 提供代理服务器的主机名和端口。

有关如何配置 HTTP 代理的详细信息,请参阅配置 HTTP 代理

将您的网关与您的 AWS 账户关联(如果您可以通过浏览器进行 Internet 访问和私有网络访问)

  1. 如果 Connect to gateway (连接到网关) 页面尚未打开,请打开控制台并导航到该页面。

  2. IP address (IP 地址) 键入网关的 IP 地址,然后选择 Connect gateway (连接网关)

有关如何获取网关 IP 地址的详细信息,请参阅连接到网关

在 VPC 中激活您的网关

激活文件网关需要额外设置。

激活网关

您选择的网关类型、终端节点类型和 AWS 区域显示在激活页面上。

  1. 要完成激活过程,请在激活页面上提供信息以配置网关设置:

    • 网关时区指定要用于网关的时区。

    • 网关名称标识网关。您可以使用此名称在控制台中管理网关;您可以在激活网关后更改名称。该名称必须是您账户的唯一名称。

      以下屏幕截图显示文件网关的激活页面。

  2. 选择激活网关

  3. 如果激活失败,请参阅排查网关问题以了解可能采用的解决方案。

将您的网关与您的 AWS 账户关联(如果您无法通过浏览器进行 Internet 访问和私有网络访问)

  1. 输入 PL DNS 名称或 ENI 的完全限定 DNS 名称以从网关获取激活密钥。您可以对以下 URL 使用 curl,也可以仅将它输入到 Web 浏览器中。

    http://VM IP ADDRESS/?gatewayType=FILE_S3&activationRegion=REGION&vpcEndpoint=VPCEndpointDNSname&no_redirect

    例如:

    curl “http://35.123.456.789/?gatewayType=FILE_S3&activationRegion=us-east-1&vpcEndpoint=vpce-12345678e91c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com&no_redirect”

    示例激活密钥:

    BME11-LQPTD-DF11P-BLLQ0-111V1

  2. 可使用 CLI 通过指定上一步中收到的激活密钥来激活网关。

    例如:

    aws --region us-east-1 storagegateway activate-gateway --activation-key BME11-LQPTD-DF11P-BLLQ0-111V1 --gateway-type FILE_S3 --gateway-name user-ec2-iad-pl-fgw2 --gateway-timezone GMT-4:00 --gateway-region us-east-1

    响应示例:

    {"GatewayARN": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-FFF12345"}

配置本地磁盘

在部署 VM 后,已为网关分配本地磁盘。现在,您将网关配置为使用这些磁盘。

配置本地磁盘

  1. 配置本地磁盘页面上,标识已添加的磁盘并确定要为缓存存储分配的磁盘。有关磁盘大小限制的信息,请参阅为网关推荐的本地磁盘大小

  2. 为要配置为缓存存储的磁盘选择缓存

    如果您未看到自己的磁盘,请选择刷新

  3. 选择保存并继续保存您的配置设置。

允许传输到 HTTP 代理中的必需端口的流量

如果您使用的是 HTTP 代理,则需要允许从 Storage Gateway 到下面列出的目标和端口的流量。

当 Storage Gateway 通过公共终端节点进行通信时,它将与以下 Storage Gateway 服务进行通信。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443 storagegateway.region.amazonaws.com:443 (Required for making API calls) region.s3.amazonaws.com (Required only for File Gateway)

当 Storage Gateway 通过 VPC 终端节点进行通信时,它将通过 Storage Gateway VPC 终端节点上的多个端口和 S3 私有终端节点上的端口 443 与 AWS 服务进行通信。

  • Storage Gateway VPC 终端节点上的 TCP 端口。

    • 443、1026、1027、1028、1031 和 2222

  • S3 私有终端节点上的 TCP 端口

    • 443

现在,您可以为您的网关创建资源。

下一步