Requisitos para configurar puerta de enlace de cinta - AWS Storage Gateway
Requisitos de hardware y almacenamientoRequisitos de red y firewallHipervisores compatibles y requisitos de hostIniciadores iSCSI compatiblesAplicaciones de copia de seguridad de terceros compatibles

Requisitos para configurar puerta de enlace de cinta

A menos que se especifique lo contrario, los siguientes requisitos son comunes a todas las configuraciones de gateway.

Requisitos de hardware y almacenamiento

En esta sección se describen los requisitos mínimos de hardware y la configuración de la puerta de enlace y la cantidad mínima de espacio en disco que se debe asignar para el almacenamiento necesario.

Requisitos de hardware para VM

Cuando implemente la puerta de enlace, debe asegurarse de que el hardware subyacente en el que esté implementando la máquina virtual de la puerta de enlace pueda dedicar los siguientes recursos mínimos:

  • Cuatro procesadores virtuales asignados a la MV.

  • En el caso de la puerta de enlace de cinta, el hardware debe dedicar las siguientes cantidades de RAM:

    • 16 GiB de RAM reservados para puertas de enlace con un tamaño de caché de hasta 16 TiB

    • 32 GiB de RAM reservados para puertas de enlace con un tamaño de caché de 16 TiB a 32 TiB

    • 48 GiB de RAM reservados para puertas de enlace con un tamaño de caché de 32 TiB a 64 TiB

  • 80 GiB de espacio de disco para la instalación de los datos del sistema y la imagen de la máquina virtual.

Para obtener más información, consulte Optimización del rendimiento de la puerta de enlace. Para obtener información acerca de cómo afecta el hardware al rendimiento de la MV de la gateway, consulte Cuotas de AWS Storage Gateway.

Requisitos para los tipos de instancia de Amazon EC2

Cuando implemente la puerta de enlace en Amazon Elastic Compute Cloud (Amazon EC2), el tamaño de la instancia debe ser al menos xlarge para que la puerta de enlace funcione. Sin embargo, para la familia de instancias optimizadas para computación, el tamaño debe ser como mínimo 2xlarge.

nota

La AMI de Storage Gateway solo es compatible con instancias basadas en x86 que utilizan procesadores Intel o AMD. No se admiten las instancias basadas en ARM que utilizan procesadores Graviton.

Para Puerta de enlace de cinta, la instancia de Amazon EC2 debe dedicar las siguientes cantidades de RAM en función del tamaño de la caché que vaya a utilizar para la puerta de enlace:

  • 16 GiB de RAM reservados para puertas de enlace con un tamaño de caché de hasta 16 TiB

  • 32 GiB de RAM reservados para puertas de enlace con un tamaño de caché de 16 TiB a 32 TiB

  • 48 GiB de RAM reservados para puertas de enlace con un tamaño de caché de 32 TiB a 64 TiB

Utilice uno de los siguientes tipos de instancias recomendadas para su tipo de gateway.

Recomendadas para los volúmenes en caché y los tipos de puerta de enlace de cinta

  • Familia de instancias de uso general: tipo de instancia m4, m5 o m6.

    nota

    No recomendamos utilizar el tipo de instancia m4.16xlarge.

  • Familia de instancias optimizadas para la computación: tipos de instancia c4, c5 o c6. Seleccione el tamaño de instancia 2xlarge o superior para cumplir los requisitos de RAM necesarios.

  • Familia de instancias optimizadas para memoria: tipos de instancia r3, r5 o r6.

  • Familia de instancias optimizadas para el almacenamiento: tipos de instancia i3 o i4.

Requisitos de almacenamiento

Además de 80 GiB de espacio en disco para la máquina virtual, también necesitará discos adicionales para la gateway.

En la siguiente tabla se recomiendan los tamaños para el almacenamiento en disco local de gateway implementada.

Tipo de gateway Caché (mínimo) Caché (máximo) Búfer de carga (mínimo) Búfer de carga (máximo) Otros discos locales necesarios
Gateway de cinta 150 GiB 64 TiB 150 GiB 2 TiB
nota

Puede configurar una o más unidades locales para la memoria caché y el búfer de carga hasta la capacidad máxima.

Cuando se agrega caché o búfer de carga a una puerta de enlace existente, es importante crear nuevos discos en el host (hipervisor o instancia de Amazon EC2). No cambie el tamaño de los discos si se han asignado previamente como caché o como búfer de carga.

Para obtener información acerca de las cuotas de gateway, consulte Cuotas de AWS Storage Gateway.

Requisitos de red y firewall

La gateway necesita obtener acceso a Internet, las redes locales, los servidores de nombres de dominio (DNS), firewalls, routers, etc. A continuación, puede encontrar información sobre los puertos necesarios y cómo permitir el acceso a través de firewalls y routers.

nota

En algunos casos, podría implementar Storage Gateway en Amazon EC2 o utilizar otros tipos de implementación (incluyendo en las instalaciones) con las políticas de seguridad de red que restringen los rangos de direcciones IP de AWS. En estos casos, la puerta de enlace podría experimentar problemas de conectividad con el servicio cuando cambian los valores del rango de direcciones IP de AWS. Los valores del rango de direcciones IP de AWS que necesita utilizar se encuentran en el subconjunto de servicio de Amazon de la región de AWS en la que ha activado la puerta de enlace. Para obtener los valores actuales de rango de IP, consulte AWSRangos de direcciones IP de en la Referencia general de AWS.

nota

Los requisitos de ancho de banda de la red varían en función de la cantidad de datos que carga y descarga la puerta de enlace. Se requiere un mínimo de 100 Mbps para descargar, activar y actualizar correctamente la puerta de enlace. Sus patrones de transferencia de datos determinarán el ancho de banda necesario para soportar su carga de trabajo. En algunos casos, puede implementar Storage Gateway en Amazon EC2 o utilizar otros tipos de implementación

Requisitos de los puertos

Storage Gateway requiere que se permita el funcionamiento de determinados puertos. Las siguientes ilustraciones muestran los puertos necesarios que deben permitirse para cada tipo de gateway. Algunos puertos son requeridos por todos los tipos de gateway y otros son requeridos solo por algunos tipos específicos. Para obtener más información sobre los requisitos de puertos, consulte Requisitos de puerto para puerta de enlace de cinta.

Puertos comunes para todos los tipos de gateway

Los siguientes puertos son comunes y obligatorios para todos los tipos de gateways.

Protocolo

Puerto

Dirección

Origen

Destino

Cómo se utiliza

TCP

443 (HTTPS)

Salida

Storage Gateway

AWS

Para comunicarse desde la máquina virtual de Storage Gateway al punto de conexión de servicio de AWS. Para obtener más información acerca de los puntos de enlace de servicio, consulte Permisos de acceso de AWS Storage Gateway a través de firewalls y routers.

TCP

80 (HTTP)

Entrada

El host desde el que se conecta a la consola de administración de AWS.

Storage Gateway

Por los sistemas locales para obtener la clave de activación de Storage Gateway. El puerto 80 solo se utiliza durante la activación del dispositivo de Storage Gateway.

Storage Gateway no requiere que el puerto 80 sea accesible públicamente. El nivel de acceso exigido al puerto 80 depende de la configuración de la red. Si activa la puerta de enlace desde la consola de administración de Storage Gateway, el host desde el que se conecta a la consola debe tener acceso al puerto 80 de la puerta de enlace.

TCP/UDP

53 (DNS)

Salida

Storage Gateway

Servidor DNS (Domain Name Service)

Para la comunicación entre Storage Gateway y el servidor DNS.

TCP

22 (canal de soporte)

Salida

Storage Gateway

Support

Permite que Support obtenga acceso a la puerta de enlace para ayudarle con la solución de problemas de puerta de enlace. No necesita este puerto abierto para el funcionamiento normal de la gateway, pero se exige para la solución de problemas.

UDP

123 (NTP)

Salida

Cliente NTP

Servidor NTP

Lo utilizan los sistemas locales para sincronizar la hora de la VM con la hora del host.

Puertos para puertas de enlace de volumen y de cinta

En la siguiente ilustración se muestran los puertos que se deben abrir para la puerta de enlace de cinta.

recursos de red conectados a Storage Gateway mediante varios puertos.

Además de los comunes, la puerta de enlace de cinta requiere el siguiente puerto.

Protocolo

Puerto

Dirección

Origen

Destino

Cómo se utiliza

TCP

3260 (iSCSI)

Entrada

Iniciadores iSCSI

Storage Gateway

Para que los sistemas locales conecten con los destinos iSCSI que expone la gateway.

Para obtener información detallada sobre los requisitos de los puertos, consulte Requisitos de puerto para puerta de enlace de cinta en la sección Recursos adicionales de Storage Gateway.

Requisitos de red y firewall para el dispositivo de hardware de Storage Gateway

Cada dispositivo de hardware de Storage Gateway requiere los siguientes servicios de red:

  • Acceso a Internet: una conexión de red permanente a Internet a través de cualquier interfaz de red del servidor.

  • Servicios DNS: servicios DNS para la comunicación entre el dispositivo de hardware y el servidor DNS.

  • Sincronización horaria: se debe poder acceder a un servicio horario de Amazon NTP configurado automáticamente.

  • Dirección IP: se asigna una dirección DHCP o IPv4 estática. No puede asignar una dirección IPv6.

Existen cinco puertos de red físicos en la parte posterior del servidor Dell PowerEdge R640. De izquierda a derecha (mirando a la parte posterior del servidor) estos puertos son los siguientes:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

Puede utilizar el puerto iDRAC para la administración remota del servidor.

recursos de red conectados al dispositivo de hardware mediante varios puertos.

Un dispositivo de hardware requiere los siguientes puertos para funcionar.

Protocolo

Puerto

Dirección

Origen

Destino

Cómo se utiliza
SSH

22

Salida

 Dispositivo de hardware

54.201.223.107

 canal de soporte
DNS 53 Salida Dispositivo de hardware Servidores DNS Resolución de nombres
UDP/NTP 123 Salida Dispositivo de hardware *.amazon.pool.ntp.org Sincronización horaria
HTTPS

443

Salida

 Dispositivo de hardware

*.amazonaws.com

Transferencia de datos
HTTP 8080 Entrada AWS Dispositivo de hardware Activación (solo brevemente)

Para rendir de acuerdo con el diseño, un dispositivo de hardware requiere que la configuración de red y de firewall sea como se indica a continuación:

  • Configure todas las interfaces de red conectadas en la consola del hardware.

  • Asegúrese de que cada interfaz de red se encuentre en su propia subred.

  • Proporcione todas las interfaces de red conectadas con acceso de salida a los puntos de enlace que se enumeran en el diagrama anterior.

  • Configure al menos una interfaz de red para admitir el dispositivo de hardware. Para obtener más información, consulte Configuración de los parámetros de red del dispositivo de hardware.

nota

Para ver una ilustración que muestra la parte posterior del servidor con sus puertos, consulte Instalación física del dispositivo de hardware

Todas las direcciones IP de la misma interfaz de red (NIC), ya sea para una gateway o un host, deben estar en la misma subred. La siguiente ilustración muestra el esquema de direccionamiento.

IP del host e IP de servicio en una sola subred que comparte una NIC.

Para obtener más información acerca de la activación y la configuración de un dispositivo de hardware, consulte Uso del dispositivo de hardware de Storage Gateway.

Permisos de acceso de AWS Storage Gateway a través de firewalls y routers

La puerta de enlace necesita obtener acceso a los siguientes puntos de conexión de servicio para comunicarse con AWS. Si utiliza un firewall o un router para filtrar o limitar el tráfico de red, debe configurar el firewall y el router para dar permiso a los puntos de conexión de servicio para mantener comunicaciones de salida con AWS.

nota

Si configura puntos de conexión de VPC privados para que Storage Gateway los utilice para la conexión y la transferencia de datos desde y hacia AWS, la puerta de enlace no requiere acceso a la Internet pública. Para obtener más información, consulte Activación de una puerta de enlace en una nube virtual privada.

importante

Según la región de AWS de la puerta de enlace, sustituya la región en el punto de conexión de servicio por la cadena de región correspondiente.

Todas las puertas de enlace requieren el siguiente punto de conexión de servicio para las operaciones Head Bucket.

s3.amazonaws.com:443

Los siguientes puntos de enlace de servicio son necesarios para todas las gateways para operaciones de ruta de control (anon-cp, client-cp, proxy-app) y la ruta de datos (dp-1).

anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443

El siguiente punto de enlace de servicio de la gateway es necesario para realizar llamadas a la API.

storagegateway.region.amazonaws.com:443

El siguiente ejemplo es un punto de conexión de servicio de la puerta de enlace en la región Oeste de EE. UU. (Oregón) (us-west-2).

storagegateway.us-west-2.amazonaws.com:443

El punto de conexión de servicio de Amazon S3, que se muestra a continuación, únicamente lo utilizan las puertas de enlace de archivo. Una puerta de enlace de archivo requiere este punto de conexión para obtener acceso al bucket S3 al que se asigna un recurso compartido de archivos.

bucketname.s3.region.amazonaws.com

El siguiente ejemplo es un punto de conexión de servicio de S3 en la región Este de EE. UU. (Ohio) (us-east-2).

s3.us-east-2.amazonaws.com
nota

Si la puerta de enlace no puede determinar la región de AWS en la que se encuentra el bucket de S3, este punto de conexión de servicio utiliza de forma predeterminada s3.us-east-1.amazonaws.com. Le recomendamos que permita el acceso a la región Este de EE. UU. (Norte de Virginia) (us-east-1), además de a las regiones de AWS en las que se active su puerta de enlace y en las que se encuentre el bucket de S3.

Los siguientes son los puntos de enlace de servicio de S3 para las regiones AWS GovCloud (US).

s3-fips.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS))
s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS))
s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard))
s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

El siguiente ejemplo es un punto de conexión de servicio de FIPS para un bucket de S3 en la región GovCloud (Oeste de EE. UU.) de AWS.

bucket-name.s3-fips.us-gov-west-1.amazonaws.com

Una VM de Storage Gateway está configurada para utilizar los siguientes servidores NTP.

0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

Configuración de grupos de seguridad para la instancia de puerta de enlace de Amazon EC2

Un grupo de seguridad controla el tráfico a la instancia de la puerta de enlace de Amazon EC2. A la hora de configurar un grupo de seguridad, recomendamos las siguientes acciones:

  • El grupo de seguridad no debe permitir conexiones entrantes procedentes de Internet. Solamente debe permitir que se comuniquen con la gateway las instancias que se encuentren dentro del grupo de seguridad de la gateway. Si necesita permitir que se conecten instancias con la gateway desde el exterior de su grupo de seguridad, le recomendamos que solo permita conexiones en los puertos 3260 (para conexiones iSCSI) y 80 (para la activación).

  • Si desea activar la puerta de enlace desde un host de Amazon EC2 fuera del grupo de seguridad de la puerta de enlace, permita las conexiones entrantes en el puerto 80 desde la dirección IP de ese host. Si no puede determinar la dirección IP del host de activación, puede abrir el puerto 80, activar la gateway y, a continuación, cerrar el acceso en el puerto 80 tras completar la activación.

  • Permita el acceso al puerto 22 únicamente si utiliza Support para propósitos de solución de problemas. Para obtener más información, consulte Desea que Support le ayude a solucionar problemas con la puerta de enlace de EC2.

En algunos casos, es posible utilizar una instancia de Amazon EC2 como iniciador (es decir, para conectarse a destinos iSCSI en una puerta de enlace implementada en Amazon EC2). En tal caso, se recomienda un enfoque de dos pasos:

  1. Debe lanzar la instancia del iniciador en el mismo grupo de seguridad que la gateway.

  2. Debe configurar el acceso de modo que el iniciador pueda comunicarse con la gateway.

Para obtener más información acerca de los puertos que se deben abrir para la gateway, consulte Requisitos de puerto para puerta de enlace de cinta.

Hipervisores compatibles y requisitos de host

Puede ejecutar Storage Gateway en las instalaciones como un dispositivo de máquina virtual (VM) o un dispositivo de hardware físico, o en AWS, como una instancia de Amazon EC2.

nota

Cuando un fabricante ponga fin a la compatibilidad general con una versión del hipervisor, Storage Gateway también lo hará. Para obtener información detallada sobre la compatibilidad con versiones específicas de un hipervisor, consulte la documentación del fabricante.

Storage Gateway es compatible con las siguientes versiones de hipervisores y hosts:

  • VMware ESXi Hypervisor (versión 7.0 u 8.0): para esta configuración, también necesita un cliente VMware vSphere para conectarse al host.

  • Microsoft Hyper-V Hypervisor (2012 R2, 2016, 2019 o 2022): hay una versión gratuita independiente de Hyper-V disponible en el Centro de descarga de Microsoft. Para esta configuración, necesitará Microsoft Hyper-V Manager en un equipo cliente Microsoft Windows para conectarse al host.

  • Máquina virtual basada en el kernel (KVM) de Linux: tecnología de virtualización gratuita y de código abierto. KVM está incluida en todas las versiones de Linux 2.6.20 y posteriores. Storage Gateway se ha probado y es compatible con las distribuciones CentOS/RHEL 7.7, Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. Cualquier otra distribución moderna de Linux puede funcionar, pero la funcionalidad o el rendimiento no están garantizados. Recomendamos esta opción si ya tiene un entorno KVM en funcionamiento y ya está familiarizado con el funcionamiento de KVM.

  • Instancia de Amazon EC2: proporciona una imagen de máquina de Amazon (AMI) que contiene la imagen de la VM de la puerta de enlace. En Amazon EC2 solo se pueden implementar puertas de enlace de archivo, volumen en caché y cinta. Para obtener información sobre cómo implementar una puerta de enlace en Amazon EC2, consulte Implementación de una instancia de Amazon EC2 personalizada para la puerta de enlace de cinta.

  • Dispositivo de hardware de Storage Gateway: Storage Gateway proporciona un dispositivo de hardware físico como opción de implementación en las instalaciones para ubicaciones con una infraestructura de máquina virtual limitada.

nota

Storage Gateway no permite recuperar una puerta de enlace desde una máquina virtual que se creó a partir de una instantánea o un clon de otra máquina virtual de puerta de enlace o desde la AMI de Amazon EC2. Si la MV de la gateway no funciona correctamente, active una nueva gateway y recupere los datos para esa gateway. Para obtener más información, consulte Recuperación de un cierre inesperado de una máquina virtual.

Storage Gateway no es compatible con la memoria dinámica ni con la asignación dinámica (ballooning) de memoria virtual.

Iniciadores iSCSI compatibles

Al implementar una puerta de enlace de cinta, la puerta de enlace se preconfigura con un cambiador de medio y 10 unidades de cinta. Estas unidades de cinta y el cambiador de medios están disponibles para las aplicaciones de copia de seguridad cliente existentes como dispositivos iSCSI.

Para conectarse a estos dispositivos iSCSI, Storage Gateway admite los siguientes iniciadores iSCSI:

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows 10

  • Windows 8.1

  • Red Hat Enterprise Linux 5

  • Red Hat Enterprise Linux 6

  • Red Hat Enterprise Linux 7

  • Red Hat Enterprise Linux 8

  • Red Hat Enterprise Linux 9

  • VMware ESX Initiator, que proporciona una alternativa al uso de iniciadores en los sistemas operativos invitados de las máquinas virtuales

importante

Storage Gateway no es compatible con Microsoft Multipath I/O (MPIO) desde clientes Windows.

Storage Gateway permite conectar varios hosts al mismo volumen si los hosts coordinan el acceso mediante Clústeres de conmutación por error de Windows Server (WSFC). Sin embargo, no se pueden conectar varios hosts a ese mismo volumen (por ejemplo, compartir un sistema de archivos NTFS/ext4 no en clúster) sin usar WSFC.

Aplicaciones de copia de seguridad de terceros compatibles con una puerta de enlace de cinta

Utilice una aplicación de copia de seguridad para leer, escribir y administrar cintas con una puerta de enlace de cinta. Las siguientes aplicaciones de copia de seguridad de terceros son compatibles con las puertas de enlace de cinta.

El tipo de cambiador de medio que elija depende de la aplicación de copia de seguridad que vaya a utilizar. En la siguiente tabla se enumeran las aplicaciones de copia de seguridad de terceros que se han probado y que han demostrado ser compatibles con puertas de enlace de cinta. Esta tabla incluye el tipo de cambiador de medio recomendado para cada aplicación de copia de seguridad.

Aplicación de copia de seguridad Tipo de cambiador de medio
Backup Arcserve AWS-Gateway-VTL
Bacula Enterprise V10.x AWS-Gateway-VTL o STK-L700
Commvault V11 STK-L700
Dell EMC NetWorker 19.5 AWS-Gateway-VTL
IBM Spectrum Protect v8.1.10 IBM-03584L32-0402
Protector de datos Micro Focus (HPE) 9 o 11.x AWS-Gateway-VTL
Microsoft System Center 2012 R2 o 2016 Data Protection Manager STK-L700
NovaStor DataCenter/Network 6.4 o 7.1 STK-L700
Quest NetVault Backup 12.4 o 13.x STK-L700
Veeam Backup & Replication 11A AWS-Gateway-VTL
Veritas Backup Exec 2014, 15, 16, 20 o 22.x AWS-Gateway-VTL
Veritas Backup Exec 2012
nota

Veritas ha finalizado el soporte para Backup Exec 2012.

 STK-L700
Veritas NetBackup Version 7.x u 8.x AWS-Gateway-VTL
importante

Le recomendamos encarecidamente que elija el cambiador de medio que aparece en la lista para su aplicación de copia de seguridad. Es posible que otros cambiadores de medio no funcionen correctamente. Una vez que la puerta de enlace está activada, puede elegir otro tipo de cambiador de medio. Para obtener más información, consulte Selección de un cambiador de medios después de activar la puerta de enlace.