亚马逊 S3 文件网关文档已移至什么是亚马逊 S3 文件网关?
亚马逊 FSx 文件网关文档已移至什么是亚马逊 FSx 文件网关?
磁带网关文档已移至什么是磁带网关?
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要求
除非另有说明,否则所有网关配置都需要满足以下要求。
硬件和存储要求
本节介绍网关的最低硬件和设置,以及为所需存储分配的最小磁盘空间量。
本地 VM 的硬件要求
在本地部署网关时,您必须确保部署网关 VM 的基础硬件能够专门使用以下最少资源:
-
分配给 VM 的四个虚拟处理器。
-
为文件网关预留 16 GiB 的 RAM
对于 Volum ,您的硬件应使用以下数量的 RAM:
-
16 GiB 的预留 RAM 用于缓存大小不超过 16 TiB 的网关
-
32 GiB 的预留 RAM 用于缓存大小为 16 TiB 到 32 TiB 的网关
-
为缓存大小为 32 TiB 至 64 TiB 的网关预留 48 GiB 的预留 RAM
-
-
80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。
有关更多信息,请参阅优化网关性能:有关硬件如何影响网关 VM 的性能的信息,请参阅 Amazon Storage Gateway 配额。
亚马逊 EC2 实例类型的要求
在亚马逊弹性计算云 (Amazon EC2) 上部署网关时,实例大小必须至少为 x large,您的网关才能正常运行。但是,对于计算优化型实例系列,大小必须至少为 2xlarge。使用为您的网关类型推荐的以下实例类型之一。
建议用于缓存卷和磁带网关类型
-
通用实例系列 — m4、m5 或 m6 实例类型。
注意
建议不要使用 m4.16xlarge 实例类型。
-
计算优化实例系列 — c4、c5 或 c6 实例类型。选择 2xlarge 实例大小或更大的大小,以满足所需的 RAM 要求。
-
内存优化实例系列 — r3、r5 或 r6 实例类型。
-
存储优化实例系列 — i3 或 i4 实例类型。
存储需求
除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。
下表为所部署的网关推荐了本地磁盘存储的大小。
| 网关类型 | 缓存(最小值) | 缓存(最大) | 上传缓冲区(最小值) | 上传缓冲区(最大) | 其他必需的本地磁盘 |
|---|---|---|---|---|---|
| 缓存卷网关 | 150 GiB | 64 TiB | 150 GiB |
2 TiB |
— |
| 存储卷网关 | — | — | 150 GiB |
2 TiB |
1 个或多个,用于存储一个或多个卷 |
注意
您可以为缓存和上传缓冲区配置一个或多个本地驱动器,最大容量不超过最大容量。
向现有网关添加缓存或上传缓冲区时,在您的主机(虚拟机管理程序或 Amazon EC2 实例)中创建新磁盘非常重要。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。
有关网关配额的信息,请参阅Amazon Storage Gateway 配额。
网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
注意
在某些情况下,您可以在 Amazon EC2 上部署 Storage Gateway,或者使用其他类型的部署(包括本地)来限制 Amazon IP 地址范围的网络安全策略。在这些情况下,当 Amazon IP 范围值发生变化时,您的网关可能会遇到服务连接问题。您需要使用的 Amazon IP 地址范围值位于您激活网关Amazon所在区域的亚马逊服务子集中。有关当前 IP 范围值,请参阅中的 Amazon IP 地址范围Amazon Web Services 一般参考。
注意
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。您的数据传输模式将决定支持您的工作负载所需的带宽。在某些情况下,您可以在 Amazon EC2 上部署存储网关或使用其他类型的部署
端口要求
存储网关要求允许某些端口才能运行。下图显示了您必须允许每种类型的网关使用的必需端口。一些端口是所有网关类型必需的,另一些端口是特定网关类型必需的。有关端口要求的更多信息,请参阅端口要求。
所有网关类型的通用端口
下列端口是所有网关类型的通用端口,是所有网关类型所需要的。
|
协议 |
端口 |
Direction |
源 |
目标位置 |
如何使用 |
|---|---|---|---|---|---|
|
TCP |
443 (HTTPS) |
出站 |
Storage Gateway |
Amazon |
用于从存储网关到Amazon服务端点的通信。有关服务终端节点的信息,请参阅允许通过防火墙和路由器进行 Amazon Storage Gateway 访问。 |
|
TCP |
80 (HTTP) |
入站 |
您连接到Amazon管理控制台的主机。 |
Storage Gateway |
由本地系统获取存储网关激活密钥。端口 80 仅在激活存储网关设备期间使用。 存储网关不要求端口 80 可以公开访问。所需的端口 80 访问级别取决于网络配置。如果您从 Storage Gateway 管理控制台激活网关,则连接到控制台的主机必须有权访问您的网关的端口 80。 |
|
TCP/UDP |
53 (DNS) |
出站 |
Storage Gateway |
域名服务 (DNS) 服务器 |
用于存储网关与 DNS 服务器之间的通信。 |
|
TCP |
22 (支持渠道) |
出站 |
Storage Gateway |
Amazon Web Services Support |
Amazon Web Services Support允许访问您的网关以帮助您解决网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。 |
|
UDP |
123 (NTP) |
出站 |
NTP 客户端 |
NTP 服务器 |
由本地系统使用以将 VM 时间同步到主机时间。 |
卷网关和磁带网关的端口
下图显示了要为 V olume Gateway 网关打开的端口。
除了常用端口外,Volume G atewa 还需要以下端口。
|
协议 |
端口 |
Direction |
源 |
目标位置 |
如何使用 |
|---|---|---|---|---|---|
|
TCP |
3260 (iSCSI) |
入站 |
iSCSI 启动程序 |
Storage Gateway |
由本地系统用于连接由网关公开的 iSCSI 目标。 |
有关端口要求的详细信息,请参阅 端口要求 “其他存储网关资源” 部分。
存储网关硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
-
互联网接入 — 通过服务器上的任何网络接口与互联网的永不间断的网络连接。
-
DNS 服务 — 用于在硬件设备和 DNS 服务器之间进行通信的 DNS 服务。
-
时间同步-必须可以访问自动配置的 Amazon NTP 时间服务。
-
IP 地址 — 分配的 DHCP 或静态 IPv4 地址。您无法分配 IPv6 地址。
Dell PowerEdge R640 服务器的背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
您可以使用 iDRAC 端口进行远程服务器管理。
硬件设备需要以下端口才能运行。
|
协议 |
端口 |
Direction |
源 |
目标位置 |
如何使用 |
|---|---|---|---|---|---|
| SSH |
22 |
出站 |
硬件设备 |
|
支持渠道 |
| DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
| UDP/NTP | 123 | 出站 | 硬件设备 | *.amazon.pool.ntp.org |
时间同步 |
| HTTPS |
443 |
出站 |
硬件设备 |
|
数据传输 |
| HTTP | 8080 | 入站 | Amazon | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
-
在硬件控制台中配置所有连接的网络接口。
-
确保每个网络接口都位于唯一的子网中。
-
为所有连接的网络接口提供对上图中列出的终端节点的出站访问权限。
-
配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅配置网络参数:
注意
有关显示服务器背面及其端口的图示,请参阅在机架上安装硬件设备并将其连接到电源
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
有关激活和配置硬件设备的更多信息,请参阅使用Storage Gateway 硬件设备。
允许通过防火墙和路由器进行 Amazon Storage Gateway 访问
您的网关需要访问以下服务终端节点才能与之通信Amazon。如果您使用防火墙或路由器过滤或限制网络流量,则必须将防火墙和路由器配置为允许这些服务端点进行出站通信Amazon。
注意
如果您将私有 VPC 终端节点配置为存储网关用于往返连接和数据传输Amazon,则您的网关不需要访问公共互联网。有关更多信息,请参阅在虚拟私中激活网关。
重要
根据网关的Amazon区域,将服务终端节点中的区域替换为正确的区域字符串。
所有网关都需要以下服务端点才能进行 head-bucket 操作。
s3.amazonaws.com:443
所有网关的控制路径 (anon-cp、client-cp、proxy-app) 和数据路径 (dp-1) 操作均需要以下服务终端节点。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
调用 API 需要使用以下网关服务终端节点。
storagegateway.region.amazonaws.com:443
以下示例是美国西部(俄勒冈)区域 (us-west-2) 的网关服务终端节点。
storagegateway.us-west-2.amazonaws.com:443
如下所示,Amazon S3 服务终端节点仅由文件网关使用。文件网关需要此端点访问文件共享映射到的 S3 存储桶。
bucketname.s3.region.amazonaws.com
以下示例是中国(北京)区域 (cn-north-1) 中的 S3 服务终端节点。
s3.cn-north-1.amazonaws.com
注意
如果您的网关无法确定您的 S3 存储桶所在的Amazon区域,则此服务终端节点默认为s3.us-east-1.amazonaws.com。我们建议您允许访问美国东部(弗吉尼亚北部)区域 (us-east-1),以及激活网关的Amazon区域和 S3 存储桶所在的区域。
Storage Gateway 需要以下 Amazon CloudFront 终端节点才能获取可用Amazon区域列表。
https://d4kdq0yaxexbo.cloudfront.net/
存储网关虚拟机配置为使用以下 NTP 服务器。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
存储网关-有关支持的Amazon区域和可与 Storage Gateway 一起使用的Amazon服务端点列表,请参阅中的Amazon Storage Gateway终端节点和配额。Amazon Web Services 一般参考
-
Storage Gateway 硬件设备——有关可与硬件设备一起使用的支持Amazon区域,请参阅中的 Storage Gateway 硬件设备区域。Amazon Web Services 一般参考
为您的 Amazon EC2 网关实例配置安全组
安全组控制您的 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
-
安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 3260 (适用于 iSCSI 连接) 和端口 80 (适用于激活) 上的连接。
-
如果您想从网关安全组之外的 Amazon EC2 主机激活您的网关,请允许在端口 80 上从该主机的 IP 地址进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
-
仅在使用 Amazon Web Services Support 进行故障诊断用途时,允许端口 22 上的访问。有关更多信息,请参阅你Amazon Web Services Support想帮助你的 EC2 网关进行故障排除:
在某些情况下,您可以使用 Amazon EC2 实例作为启动器(即连接到您在 Amazon EC2 上部署的网关上的 iSCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:
-
您应在与网关相同的安全组中启动启动程序实例。
-
您应配置访问权限,以便启动程序可与网关进行通信。
有关要为您的网关开放的端口的信息,请参阅端口要求。
受支持的管理程序和主机要求
您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,也可以Amazon作为 Amazon EC2 实例运行。
注意
当制造商终止对虚拟机管理程序版本的常规支持时,Storage Gateway 也会终止对该虚拟机管理程序版本的支持。有关支持特定版本的虚拟机管理程序的详细信息,请参阅制造商的文档。
Storage Gateway 支持以下虚拟机管理程序版本和主机:
-
VMware ESXi Hypervisor(版本 6.5、6.7、7.0 或 8.0)— VMware 的免费版本可在 VMware 网站上找到。
对于此设置,您还需要 VMware vSphere 客户端才能连接到主机。 -
微软 Hyper-V Hypervisor(版本 2012 R2、2016、2019 或 2022)— 微软下载中心提供 Hyper-V 的免费独立版本。
对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。 -
基于 Linux 内核的虚拟机 (KVM) — 一种免费的开源虚拟化技术。KVM 包含在 Linux 版本 2.6.20 及更高版本的所有版本中。Centos/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版已测试并支持 Storage Gateway。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。
-
亚马逊 EC2 实例 — 存储网关提供包含网关 VM 映像的亚马逊机器映像 (AMI)。只能在 Amazon EC2 上部署文件、缓存卷和磁带网关类型。有关如何在 Amazon EC2 上部署网关的信息,请参阅部署 Amazon EC2 实例来托管您的卷网关。
-
Storage Gateway 硬件设备 — Storage Gateway 为虚拟机基础架构有限的位置提供物理硬件设备作为本地部署选项。
注意
Storage Gateway 不支持从从另一个网关 VM 的快照或克隆或您的 Amazon EC2 AMI 创建的虚拟机中恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅从虚拟机意外关闭中恢复:
Storage Gateway 不支持动态内存和虚拟内存膨胀。
受支持的 iSCSI 启动程序
部署缓存卷或存储的卷网关时,可以在网关上创建 iSCSI 存储卷。
要连接到这些 iSCSI 设备,存储网关支持以下 iSCSI 启动器:
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows 10
-
Windows 8.1
-
Red Hat Enterprise Linux 5
-
Red Hat Enterprise Linux 6
-
Red Hat Enterprise Linux 7
-
VMware ESX 启动程序,它提供一种在 VM 的来宾操作系统中使用启动程序的替代方法
重要
存储网关不支持来自 Windows 客户端的微软多路径 I/O (MPIO)。
如果主机使用 Windows 服务器故障转移群集 (WSFC) 协调访问,则存储网关支持将多台主机连接到同一个卷。但是,若未使用 WSFC,则不能将多个主机连接到同一个卷 (例如,共享非群集 NTFS/ext4 文件系统)。