Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Virtual Private Cloud 中激活网关
您可以在本地软件设备和基于云的存储基础设施之间创建私有连接。然后,您可以使用软件设备将数据传输到Amazon没有网关与之通信的存储Amazon通过公共 Internet 提供存储服务。使用亚马逊 VPC 服务,您可以启动Amazon自定义虚拟网络中的资源。可以使用 Virtual Private Cloud (VPC) 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅Amazon VPC 是什么?中的Amazon VPC User Guide.
要将网关与 VPC 中的 Storage Gateway VPC 终端节点结合使用,请执行以下操作:
-
使用 VPC 控制台为 Storage Gateway 创建 VPC 终端节点并获取 VPC 终端节点 ID。在创建和激活网关时指定此 VPC 终端节点 ID。
-
如果您正在激活文件网关,请为 Amazon S3 创建 VPC 终端节点。为网关创建文件共享时指定此 VPC 终端节点。
-
如果您正在激活文件网关,则在文件网关 VM 本地控制台中设置和配置它。对于基于管理程序的本地文件网关,例如基于 VMware、Microsoft HyperV 和基于 Linux 内核的虚拟机 (KVM) 的文件网关,您需要此代理。在这些情况下,您需要代理才能让网关从 VPC 外部访问 Amazon S3 私有终端节点。有关如何配置 HTTP 代理的信息,请参阅配置 HTTP 代理。
必须在创建 VPC 终端节点的同一区域中激活您的网关。
对于文件网关,为文件共享配置的必须位于为 Amazon S3 创建 VPC 终端节点的同一区域中。
为 Storage Gateway 创建 VPC 终端节点
按照这些说明创建 VPC 终端节点。如果您已有一个用于 Storage Gateway 的 VPC 终端节点,您可以使用它。
为 Storage Gateway 创建 VPC 终端节点
登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoints (终端节点),然后选择 Create Endpoint (创建终端节点)。
-
在存储库的创建终端节点页面上,选择Amazon服务为了服务类别.
-
对于 Service Name (服务名称),选择
com.amazonaws.
。例如:region
.storagegatewaycom.amazonaws.us-east-2.storagegateway
。 -
对于 VPC,选择您的 VPC 并记录其可用区和子网。
-
确认未选中 Enable Private DNS Name (启用私有 DNS 名称)。
-
对于 Security group (安全组),选择您要用于 VPC 的安全组。您可以接受默认安全组。验证在您的安全组中已经允许了以下所有的 TCP 端口:
-
TCP 443
-
TCP 1026
-
TCP 1027
-
TCP 1028
-
TCP 1031
-
TCP 2222
-
-
选择Create endpoint。终端节点的初始状态为 pending (待处理)。创建终端节点时,记下您刚创建的 VPC 终端节点的 ID。
-
在创建终端节点时,选择 Endpoints (终端节点),然后选择新的 VPC 终端节点。
-
在 DNS Names (DNS 名称) 部分中,使用第一个未指定可用区的 DNS 名称。您的 DNS 名称类似这样:
vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
现在,您有了 VPC 终端节点,可以创建您的网关。
如果您正在创建文件网关,则还需为 Amazon S3 创建终端节点。执行上面的 “为 Storage Gateway 创建 VPC 终端节点” 部分中所示的相同步骤,但选择com.amazonaws.us-east-2.s3
而是在 “服务名称” 下。然后,选择您希望与 S3 终端节点关联的路由表,而不是子网/安全组。有关说明,请参阅创建网关终端节点.
设置和配置 HTTP 代理(仅限本地文件网关)
如果您正在激活文件网关,则需使用文件网关 VM 本地控制台设置和配置 HTTP 代理。本地文件网关需要此代理才能从 VPC 外部访问 Amazon S3 私有终端节点。如果您在 Amazon EC2 中已有一个 HTTP 代理,您可以使用该代理。不过,您需要验证在您的安全组中已经允许了以下所有的 TCP 端口:
-
TCP 443
-
TCP 1026
-
TCP 1027
-
TCP 1028
-
TCP 1031
-
TCP 2222
如果您没有 Amazon EC2 代理,请使用以下过程设置和配置 HTTP 代理。
设置代理服务器
-
启动 Amazon EC2 Linux AMI。我们建议您使用经过网络优化的实例系列,例如 c5n.large。
-
使用以下命令安装 squid:
sudo yum install squid
. 这样做会在中创建一个默认配置文件/etc/squid/squid.conf
. -
将此配置文件的内容替换为以下内容。
# # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl SSL_ports port 1026 acl SSL_ports port 1027 acl SSL_ports port 1028 acl SSL_ports port 1031 acl SSL_ports port 2222 acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
-
如果您不需要锁定代理服务器,也不需要进行任何更改,请使用以下命令启用并启动代理服务器。这些命令会在服务器引导时启动服务器。
sudo chkconfig squid on sudo service squid start
您现在可以为 Storage Gateway 配置 HTTP 代理以使用它。在配置网关以使用代理时,请使用默认 squid 端口 3128。生成的 squid.conf 文件默认涵盖以下必需的 TCP 端口:
-
TCP 443
-
TCP 1026
-
TCP 1027
-
TCP 1028
-
TCP 1031
-
TCP 2222
使用 VM 本地控制台配置 HTTP 代理
-
登录到网关的 VM 本地控制台。有关如何登录的信息,请参阅登录文件网关本地控制台。
-
在主菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)。
-
在 Configuration (配置) 菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)。
-
提供代理服务器的主机名和端口。
有关如何配置 HTTP 代理的详细信息,请参阅配置 HTTP 代理。
允许流量到达 HTTP 代理中所需端口
如果您使用 HTTP 代理,请确保您允许流量从 Storage Gateway 到达以下列出的目的地和端口。
当通过公共终端节点进行通信时,它将与以下 Storage Gateway 服务进行通信。
anon-cp.storagegateway.
region
.amazonaws.com:443 client-cp.storagegateway.region
.amazonaws.com:443 proxy-app.storagegateway.region
.amazonaws.com:443 dp-1.storagegateway.region
.amazonaws.com:443 storagegateway.region
.amazonaws.com:443 (Required for making API calls) s3.region
.amazonaws.com (Required only for File Gateway)
取决于你的网关Amazon地区,替换领域
在终端节点中包含相应的区域字符串。例如,如果您在美国西部(俄勒冈)区域创建网关,则终端节点如下所示:storagegateway.us-west-2.amazonaws.com:443
.
当通过 VPC 终端节点进行通信时,它将与Amazon通过 Storage Gateway VPC 终端节点上的多个端口和 Amazon S3 私有终端节点上的端口 443 提供服务。
-
Storage Gateway VPC 终端节点上的 TCP 端口。
-
443、1026、1027、1028、1031 和 2222
-
-
S3 私有终端节点上的 TCP 端口
-
443
-