在 Virtual Private Cloud 中激活网关 - Amazon Storage Gateway
为 Storage Gateway 创建 VPC 终端节点设置和配置 HTTP 代理允许流量到达 HTTP 代理中所需端口
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Virtual Private Cloud 中激活网关

您可以在本地软件设备和基于云的存储基础设施之间创建私有连接。然后,您可以使用软件设备将数据传输到Amazon没有网关与之通信的存储Amazon通过公共 Internet 提供存储服务。使用亚马逊 VPC 服务,您可以启动Amazon自定义虚拟网络中的资源。可以使用 Virtual Private Cloud (VPC) 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅Amazon VPC 是什么?中的Amazon VPC User Guide.

要将网关与 VPC 中的 Storage Gateway VPC 终端节点结合使用,请执行以下操作:

  • 使用 VPC 控制台为 Storage Gateway 创建 VPC 终端节点并获取 VPC 终端节点 ID。在创建和激活网关时指定此 VPC 终端节点 ID。

  • 如果您正在激活文件网关,请为 Amazon S3 创建 VPC 终端节点。为网关创建文件共享时指定此 VPC 终端节点。

  • 如果您正在激活文件网关,则在文件网关 VM 本地控制台中设置和配置它。对于基于管理程序的本地文件网关,例如基于 VMware、Microsoft HyperV 和基于 Linux 内核的虚拟机 (KVM) 的文件网关,您需要此代理。在这些情况下,您需要代理才能让网关从 VPC 外部访问 Amazon S3 私有终端节点。有关如何配置 HTTP 代理的信息,请参阅配置 HTTP 代理

注意

必须在创建 VPC 终端节点的同一区域中激活您的网关。

对于文件网关,为文件共享配置的必须位于为 Amazon S3 创建 VPC 终端节点的同一区域中。

为 Storage Gateway 创建 VPC 终端节点

按照这些说明创建 VPC 终端节点。如果您已有一个用于 Storage Gateway 的 VPC 终端节点,您可以使用它。

为 Storage Gateway 创建 VPC 终端节点

  1. 登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints (终端节点),然后选择 Create Endpoint (创建终端节点)

  3. 在存储库的创建终端节点页面上,选择Amazon服务为了服务类别.

  4. 对于 Service Name (服务名称),选择 com.amazonaws.region.storagegateway。例如:com.amazonaws.us-east-2.storagegateway

  5. 对于 VPC,选择您的 VPC 并记录其可用区和子网。

  6. 确认未选中 Enable Private DNS Name (启用私有 DNS 名称)

  7. 对于 Security group (安全组),选择您要用于 VPC 的安全组。您可以接受默认安全组。验证在您的安全组中已经允许了以下所有的 TCP 端口:

    • TCP 443

    • TCP 1026

    • TCP 1027

    • TCP 1028

    • TCP 1031

    • TCP 2222

  8. 选择Create endpoint。终端节点的初始状态为 pending (待处理)。创建终端节点时,记下您刚创建的 VPC 终端节点的 ID。

  9. 在创建终端节点时,选择 Endpoints (终端节点),然后选择新的 VPC 终端节点。

  10. DNS Names (DNS 名称) 部分中,使用第一个未指定可用区的 DNS 名称。您的 DNS 名称类似这样:vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

现在,您有了 VPC 终端节点,可以创建您的网关。

重要

如果您正在创建文件网关,则还需为 Amazon S3 创建终端节点。执行上面的 “为 Storage Gateway 创建 VPC 终端节点” 部分中所示的相同步骤,但选择com.amazonaws.us-east-2.s3而是在 “服务名称” 下。然后,选择您希望与 S3 终端节点关联的路由表,而不是子网/安全组。有关说明,请参阅创建网关终端节点.

设置和配置 HTTP 代理(仅限本地文件网关)

如果您正在激活文件网关,则需使用文件网关 VM 本地控制台设置和配置 HTTP 代理。本地文件网关需要此代理才能从 VPC 外部访问 Amazon S3 私有终端节点。如果您在 Amazon EC2 中已有一个 HTTP 代理,您可以使用该代理。不过,您需要验证在您的安全组中已经允许了以下所有的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

如果您没有 Amazon EC2 代理,请使用以下过程设置和配置 HTTP 代理。

设置代理服务器

  1. 启动 Amazon EC2 Linux AMI。我们建议您使用经过网络优化的实例系列,例如 c5n.large。

  2. 使用以下命令安装 squid:sudo yum install squid. 这样做会在中创建一个默认配置文件/etc/squid/squid.conf.

  3. 将此配置文件的内容替换为以下内容。

    #
# Recommended minimum configuration:
#
 
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8              # RFC1918 possible internal network
acl localnet src 172.16.0.0/12       # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
 
acl SSL_ports port 443
acl SSL_ports port 1026
acl SSL_ports port 1027
acl SSL_ports port 1028
acl SSL_ports port 1031
acl SSL_ports port 2222
acl CONNECT method CONNECT
 
#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !SSL_ports
 
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
 
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
 
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
 
# And finally deny all other access to this proxy
http_access deny all
 
# Squid normally listens to port 3128
http_port 3128
 
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid
 
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:                     1440       20%        10080
refresh_pattern ^gopher:            1440       0%          1440
refresh_pattern -i (/cgi-bin/|\?) 0             0%          0
refresh_pattern .                             0              20%        4320

  4. 如果您不需要锁定代理服务器,也不需要进行任何更改,请使用以下命令启用并启动代理服务器。这些命令会在服务器引导时启动服务器。

    sudo chkconfig squid on
sudo service squid start

您现在可以为 Storage Gateway 配置 HTTP 代理以使用它。在配置网关以使用代理时,请使用默认 squid 端口 3128。生成的 squid.conf 文件默认涵盖以下必需的 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

使用 VM 本地控制台配置 HTTP 代理

  1. 登录到网关的 VM 本地控制台。有关如何登录的信息,请参阅登录文件网关本地控制台

  2. 在主菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  3. Configuration (配置) 菜单中,选择 Configure HTTP proxy (配置 HTTP 代理)

  4. 提供代理服务器的主机名和端口。

有关如何配置 HTTP 代理的详细信息,请参阅配置 HTTP 代理

允许流量到达 HTTP 代理中所需端口

如果您使用 HTTP 代理,请确保您允许流量从 Storage Gateway 到达以下列出的目的地和端口。

当通过公共终端节点进行通信时,它将与以下 Storage Gateway 服务进行通信。

anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443
storagegateway.region.amazonaws.com:443 (Required for making API calls)
s3.region.amazonaws.com (Required only for File Gateway)
重要

取决于你的网关Amazon地区,替换领域在终端节点中包含相应的区域字符串。例如,如果您在美国西部(俄勒冈)区域创建网关,则终端节点如下所示:storagegateway.us-west-2.amazonaws.com:443.

当通过 VPC 终端节点进行通信时,它将与Amazon通过 Storage Gateway VPC 终端节点上的多个端口和 Amazon S3 私有终端节点上的端口 443 提供服务。

  • Storage Gateway VPC 终端节点上的 TCP 端口。

    • 443、1026、1027、1028、1031 和 2222

  • S3 私有终端节点上的 TCP 端口

    • 443