在 Virtual Private Cloud 中激活网关 - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Virtual Private Cloud 中激活网关

您可以在本地软件设备和基于云的存储基础设施之间创建私有连接。然后,您可以使用软件设备将数据传输到Amazon存储,而无需网关与Amazon通过公共 Internet 存储服务。使用 Amazon VPC 服务,您可以启动Amazon自定义虚拟网络中的资源。可以使用 Virtual Private Cloud (VPC) 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅Amazon VPC 是什么?中的Amazon VPC 用户指南

要将网关与 VPC 中的 Storage Gateway VPC 终端节点结合使用,请执行以下操作:

  • 使用 VPC 控制台为 Storage Gateway 创建 VPC 终端节点并获取 VPC 终端节点 ID。

  • 如果您正在激活文件网关,请为 Amazon S3 创建 VPC 终端节点。

  • 如果您正在激活文件网关,则在文件网关 VM 本地控制台中设置和配置它。对于基于管理程序的本地文件网关,例如基于 VMware、Microsoft HyperV 和基于 Linux 内核的虚拟机 (KVM) 的文件网关,您需要此代理。在这些情况下,您需要代理来启用网关从 VPC 外部访问 Amazon S3 私有终端节点。有关如何配置 HTTP 代理的信息,请参阅配置 HTTP 代理

  • 使用 VPC 终端节点 ID 激活网关。

注意

必须在创建 VPC 终端节点的同一区域中激活您的网关。

对于文件网关,为文件共享配置的 Amazon S3 必须位于为 S3 创建 VPC 终端节点的同一区域中。

使用 VPC 终端节点创建网关

在此部分中,您可以找到有关如何使用 VPC 终端节点下载、部署和激活文件网关的说明。

为创建 VPC 终端节点

按照这些说明创建 VPC 终端节点。如果您已有用于 Storage Gateway 的 VPC 终端节点,则可使用该终端节点。

为 Storage Gateway 创建 VPC 终端节点

  1. 登录到 Amazon Web Services Management Console 并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints (终端节点),然后选择 Create Endpoint (创建终端节点)

  3. 在存储库的创建终端节点页面上,选择Amazon服务对于 来说为服务类别

  4. 对于 Service Name (服务名称),选择 com.amazonaws.region.storagegateway。例如 com.amazonaws.us-east-2.storagegateway.

  5. 对于 VPC,选择您的 VPC 并记录其可用区和子网。

  6. 确认未选中 Enable Private DNS Name (启用私有 DNS 名称)

  7. 对于 Security group (安全组),选择您要用于 VPC 的安全组。您可以接受默认安全组。验证在您的安全组中已经允许了以下所有的 TCP 端口:

    • TCP 443

    • TCP 1026

    • TCP 1027

    • TCP 1028

    • TCP 1031

    • TCP 2222

  8. 选择创建终端节点。终端节点的初始状态为 pending (待处理)。创建终端节点时,记下您刚创建的 VPC 终端节点的 ID。

  9. 在创建终端节点时,选择 Endpoints (终端节点),然后选择新的 VPC 终端节点。

  10. DNS Names (DNS 名称) 部分中,使用第一个未指定可用区的 DNS 名称。您的 DNS 名称类似这样:vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

现在,您有了 VPC 终端节点,可以创建您的网关。

重要

如果您正在创建文件网关,则还需为 Amazon S3 创建终端节点。执行上面的“为 Storage Gateway 创建 VPC 终端节点”部分中所示的相同步骤,但改为选择“Service Name (服务名称)”下方的 com.amazonaws.us-east-2.s3。然后,选择您希望与 S3 终端节点关联的路由表,而不是子网/安全组。有关说明,请参阅创建网关终端节点

选择网关类型

选择网关类型

  1. 打开Amazon Web Services Management Consoleathttps://console.aws.amazon.com/storagegateway/home,然后选择Amazon要在其中创建网关的区域。

    如果您之前已在此Amazon区域,控制台将显示您的网关。否则,将会显示服务主页。

  2. 如果您尚未在Amazon您选择的区域,请选择试用。如果您的Amazon您选择的区域,请选择网关从导航窗格中,然后选择创建网关

  3. 适用于选择网关类型,选择网关类型,然后选择下一步。在此示例中,选择文件网关。

选择主机平台和下载 VM

如果您在本地创建网关,则可以部署硬件设备,或者下载并部署网关 VM,然后激活网关。如果您在 Amazon EC2 实例上创建网关,则启动包含网关 VM 映像的 Amazon 系统映像 (AMI),然后激活网关。有关支持的主机平台的信息,请参阅受支持的管理程序和主机要求

注意

您只能在 Amazon EC2 实例上运行文件、缓存卷和磁带网关。

选择主机平台并下载虚拟机

  1. 适用于选择主机平台中,选择要在其上运行网关的虚拟化平台。

  2. 请执行下列操作之一:

    • 如果选择硬件设备,请按照 激活硬件设备 中的说明进行激活。

    • 如果选择其他选项之一,请选择虚拟化平台旁边的 Download image (下载映像),下载包含虚拟化平台的 .ova 文件的 .zip 文件。

      注意

      .zip 文件的大小超过 500 MB,可能需要一些时间才能下载,具体取决于您的网络连接。

      对于 Amazon EC2,您可以从提供的 AMI 创建实例。

  3. 如果选择管理程序选项,请将下载的映像部署到管理程序。在部署期间,至少添加两个本地磁盘,一个用作缓存,一个用作上传缓冲区。文件网关只需要一个本地磁盘用于缓存。有关本地磁盘要求的信息,请参阅硬件和存储要求

    根据您的管理程序,设置某些选项:

    • 如果选择 VMware (VMware),请执行以下操作:

      • 使用 Thick provisioned format (完全预配置格式) 选项存储磁盘。使用厚预配置时,系统会立即分配磁盘存储,从而获得更高的性能。相比之下,精简资源调配会按需分配存储。按需分配可能会影响Storage Gateway。要使 Storage Gateway 正常运行,虚拟机磁盘必须以厚置备格式存储。

      • 将网关 VM 配置为使用半虚拟化磁盘控制器。有关更多信息,请参阅配置 Amazon Storage Gateway VM 以使用半虚拟化的磁盘控制器

    • 如果选择 Microsoft Hyper-V,请执行以下操作:

      • 使用 Fixed size (固定大小) 选项配置磁盘类型。使用固定大小预配置时,系统会立即分配磁盘存储,从而获得更高的性能。如果不使用固定大小的资源调配,则会按需分配存储。按需分配可能会影响 Storage Gateway 的正常运行。要使 Storage Gateway 正常运行,虚拟机磁盘必须以固定大小的预配格式存储。

      • 分配磁盘时,选择虚拟硬盘 (.vhd) 文件。Storage Gateway 支持 .vhdx 文件类型。通过使用此文件类型,您可以创建比其他文件类型更大的虚拟磁盘。如果创建 .vhdx 类型的虚拟磁盘,请确保您创建的虚拟磁盘的大小不超过网关的推荐磁盘大小。

    • 如果选择基于 Linux 内核的虚拟机 (KVM),请执行以下操作:

      • 请勿将磁盘配置为使用 sparse 格式化。使用固定大小(非稀疏)预配置时,系统会立即分配磁盘存储,从而获得更高的性能。

      • 使用预配置新虚拟机的 virt-install 命令在虚拟机中创建新虚拟磁盘时,请使用 sparse=false 参数以非稀疏格式存储磁盘。

      • 请对磁盘和网络设备使用 virtio 驱动程序。

      • 建议您不要设置 current_memory 选项。如有必要,请在 --ram 参数中将其设置为为网关预配置的 RAM。

      以下是安装 KVM 的 virt-install 命令示例。

      virt-install --name "SGW_KVM" --description "SGW KVM" --os-type=generic --ram=32768 --vcpus=16 --disk path=fgw-kvm.qcow2,bus=virtio,size=80,sparse=false --disk path=fgw-kvm-cache.qcow2,bus=virtio,size=1024,sparse=false --network default,model=virtio --graphics none --import
注意

对于 VMware、Microsoft Hyper-V 和 KVM,要想成功激活网关,您将需要同步 VM 时间和主机时间。请注意,确保您设置了正确的主机时间,并将其与网络时间协议 (NTP) 服务器同步。

有关将网关部署到 Amazon EC2 主机的信息,请参阅将您的网关部署到 Amazon EC2 主机

选择服务终端节点

您可以使用私有 VPC 终端节点来激活网关。如果您使用 VPC 终端节点,则从网关到Amazon服务通过 VPC 中的 VPC 终端节点进行Amazon。

New Console

选择服务终端节点

  1. 适用于选择服务终端节点中,选择VPC

  2. 如果您没有 VPC 终端节点,请选择创建 VPC 终端节点在 Amazon VPC 控制台中创建一个。有关创建 VPC 终端节点的说明,请参阅为创建 VPC 终端节点。VPC 终端节点允许您的网关与Amazon服务仅 VPC 过Amazon而不会通过公共 Internet。

  3. InVPC 终端节点中,输入 Storage Gateway 的 VPC 终端节点的 DNS 名称或 IP 地址。DNS 名称看上去类似于:vpce-1234567e1c11a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

  4. 如果您已有 VPC 终端节点,请选择Amazon VPC 终端节点。您可以通过现有 VPC 终端节点的 DNS 名称、IP 地址或 VCP 终端节点 ID 来标识现有 VPC 终端节点。

  5. 要通过 DNS 名称标识 VPC 终端节点,请选择DNS 名称(推荐)或 IP 地址,提供 DNS 名称或 IP 地址。DNS 名称看上去类似于:vpce-1234567e1c11a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

  6. 要通过 VPC 终端节点 ID 标识 VPC 终端节点,请选择VPC 终端节点,然后从列表中选择您需要的 ID。

  7. 选择下一步以连接并激活网关。

Original Console

选择服务终端节点

  1. 在控制台中,您可以在选择主机平台后为网关选择服务终端节点。对于 Endpoint type (终端节点类型),选择 VPC。如果您没有 VPC 终端节点,请选择 Create a VPC endpoint (创建 VPC 终端节点) 来创建一个。VPC 终端节点允许您的网关与Amazon服务仅 VPC 过Amazon而不会通过公共 Internet。

    本过程假定您使用 VPC 终端节点激活网关。有关如何使用公有终端节点激活网关的更多信息,请参阅创建网关

  2. VPC Storage Gateway 在为创建 VPC 终端节点部分。您的 DNS 名称看起来类似于:vpce-1234567e1c11a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

  3. 选择 Next (下一步) 以连接到您的网关并激活它。

连接到网关

要连接到您的网关,首先需要获取网关 VM 的 IP 地址或激活密钥。您将使用 IP 地址或激活密钥激活网关。对于本地主机上部署并激活的网关,您可以从网关 VM 本地控制台或管理程序客户端获取 IP 地址或激活密钥。对于 Amazon EC2 实例上部署并激活的网关,您可以从 Amazon EC2 控制台获取 IP 地址或激活密钥。

激活过程将您的网关与 Amazon Web Services 账户关联。您的网关 VM 必须正在运行才能成功激活。

注意

确保选择正确的网关类型。网关类型的 .ova 文件和 Amazon 系统映像 (AMI) 不同,不可互换。

从本地控制台获取网关 VM 的 IP 地址或激活密钥

  1. 登录到网关 VM 本地控制台。有关详细说明,请参阅以下内容:

  2. 从菜单页顶部获取 IP 地址,并记下它以供以后使用。

从 EC2 实例获取 IP 地址或激活密钥

  1. 打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Instances (实例),然后选择所需的 EC2 实例。

  3. 选择详细信息选项卡,然后记下 IP 地址或激活密钥。您可以使用其中之一激活网关。

注意

对于 IP 地址激活,您可以使用分配到网关的公共或私有 IP 地址来激活。您必须能够从执行激活的浏览器访问所使用的 IP 地址。

设置和配置 HTTP 代理(仅限本地文件网关)

如果您正在激活文件网关,则需使用文件网关 VM 本地控制台设置和配置 HTTP 代理。您需要此代理来用于本地文件网关,才能从 VPC 外部访问 Amazon S3 私有终端节点。如果您在 Amazon EC2 中已有一个 HTTP 代理,则可使用该代理。不过,您需要验证在您的安全组中已经允许了以下所有的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

如果您没有 Amazon EC2 代理,请使用以下过程设置和配置 HTTP 代理。

设置代理服务器

  1. 启动 Amazon EC2 Linux AMI。我们建议您使用经过网络优化的实例系列,例如 c5n.large。

  2. 使用以下命令安装 squid:sudo yum install squid。 这样做会在/etc/squid/squid.conf

  3. 将此配置文件的内容替换为以下内容。

    # # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl SSL_ports port 1026 acl SSL_ports port 1027 acl SSL_ports port 1028 acl SSL_ports port 1031 acl SSL_ports port 2222 acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
  4. 如果您不需要锁定代理服务器,也不需要进行任何更改,请使用以下命令启用并启动代理服务器。这些命令会在服务器引导时启动服务器。

    sudo chkconfig squid on sudo service squid start

您现在可以为 Storage Gateway 配置 HTTP 代理以使用它。在配置网关以使用代理时,请使用默认 squid 端口 3128。生成的 squid.conf 文件默认涵盖以下必需的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

使用 VM 本地控制台配置 HTTP 代理

  1. 登录到网关的 VM 本地控制台。有关如何登录的信息,请参阅登录文件网关本地控制台

  2. 在主菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  3. Configuration (配置) 菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  4. 提供代理服务器的主机名和端口。

有关如何配置 HTTP 代理的详细信息,请参阅配置 HTTP 代理

New Console

要将您的网关与Amazon账户

  1. 适用于Connect 到网关下,选择下列选项之一:

    • IP 地址

    • 激活密钥

  2. 输入网关的 IP 地址或激活密钥,然后选择下一步

Original Console

将您的网关与 Amazon Web Services 账户关联

  1. 如果 Connect to gateway (连接到网关) 页面尚未打开,请打开控制台并导航到该页面。

  2. IP address (IP 地址) 键入网关的 IP 地址,然后选择 Connect gateway (连接网关)

有关如何获取网关 IP 地址的详细信息,请参阅连接到网关

在 VPC 中激活网关

激活文件网关需要额外设置。

以下是您选择的网关设置(在激活页面上显示)。将您的网关与 Amazon Web Services 账户关联后,将会显示激活页面,如前所述。

  • Gateway type (网关类型) 指定所激活的网关的类型。

  • Endpoint type (终端节点类型) 指定您为网关选择的终端节点的类型。

  • Amazon区域指定Amazon您的网关将被激活的区域以及将存储数据的区域。如果终端节点类型VPC,Amazon区域应与 VPC 终端节点所在的区域相同。

New Console

激活网关

  1. In激活网关中,执行以下操作:

    • 适用于网关时区中,选择要用于网关的时区。

    • 适用于网关名称中,输入用于标识网关的名称。您可以使用此名称在控制台中管理网关;您可以在激活网关后更改名称。该名称必须是您账户的唯一名称。

      注意

      网关名称的长度必须介于 2 到 255 个字符之间。

  2. (可选)添加标签中,输入键和值以将标签添加到您的网关。标签是帮助您管理、筛选和搜索网关的区分大小写的键/值对。

  3. 选择激活网关

Original Console

激活网关

  1. 要完成激活过程,请在激活页面上提供信息以配置网关设置:

    • 网关时区指定要用于网关的时区。

    • 网关名称标识网关。您可以使用此名称在控制台中管理网关;您可以在激活网关后更改名称。该名称必须是您账户的唯一名称。

  2. 选择激活网关

如果激活失败,请参阅排查网关问题以了解可能采用的解决方案。

将您的网关与 Amazon Web Services 账户关联

如果您无法访问 Internet 和通过浏览器进行私有网络访问,则仍可以执行以下操作。

  1. 输入 VPC 终端节点或弹性网络接口的完全限定 DNS 名称,以从网关获取激活密钥。您可以将 curl 与以下 URL 一起使用,或者只需将此 URL 输入到您的 Web 浏览器中。

    http://VM IP ADDRESS/?gatewayType=FILE_S3&activationRegion=REGION&vpcEndpoint=VPCEndpointDNSname&no_redirect

    下面是一个示例 curl 命令。

    curl "http://203.0.113.100/?gatewayType=FILE_S3&activationRegion=us-east-1&vpcEndpoint=vpce-12345678e91c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com&no_redirect"

    下面是一个示例激活密钥。

    BME11-LQPTD-DF11P-BLLQ0-111V1

  2. 使用 Amazon CLI 通过指定上一步中收到的激活密钥来激活网关,例如:

    aws --region us-east-1 storagegateway activate-gateway --activation-key BME11-LQPTD-DF11P-BLLQ0-111V1 --gateway-type FILE_S3 --gateway-name user-ec2-iad-pl-fgw2 --gateway-timezone GMT-4:00 --gateway-region us-east-1 --endpoint-url https://vpce-12345678e91c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

    以下是示例响应。

    {"GatewayARN": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-FFF12345"}

配置本地磁盘

在部署 VM 后,已为网关分配本地磁盘。现在,您将网关配置为使用这些磁盘。

配置本地磁盘

  1. 适用于配置本地磁盘中,标识已添加的磁盘并确定要为缓存存储分配的磁盘。有关磁盘大小配额的信息,请参阅为您的网关建议的本地磁盘大小

  2. 适用于分配给中,选择缓存对于要配置为缓存存储的磁盘。

    如果您未看到自己的磁盘,请选择刷新

  3. 选择保存并继续保存您的配置设置。

允许通信到 HTTP 代理中所需端口

如果您使用 HTTP 代理,请确保您允许流量从 Storage Gateway 到达以下列出的目的地和端口。

当 Storage Gateway 通过公有终端节点进行通信时,它将与以下 Storage Gateway 服务进行通信。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443 storagegateway.region.amazonaws.com:443 (Required for making API calls) s3.region.amazonaws.com (Required only for File Gateway)
重要

具体取决于您的网关Amazon区域,替换区域在终端节点中,并指定相应的区域字符串。例如,如果您在美国西部(俄勒冈)区域创建网关,则该终端节点如下所示:storagegateway.us-west-2.amazonaws.com:443

当 Storage Gateway 通过 VPC 终端节点进行通信时,它将与Amazon服务通过 Storage Gateway VPC 终端节点上的多个端口和 Amazon S3 私有终端节点上的端口 443 进行。

  • Storage Gateway VPC 终端节点上的 TCP 端口。

    • 443、1026、1027、1028、1031 和 2222

  • S3 私有终端节点上的 TCP 端口

    • 443

现在,您可以为您的网关创建资源。

下一步