Configurazione del gateway di file - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del gateway di file

Salvo diversa indicazione, i seguenti requisiti sono comuni a tutti i tipi di gateway di file inAWS Storage Gateway. La configurazione deve soddisfare i requisiti di questa sezione. Controlla i requisiti applicabili alla configurazione del gateway prima di distribuire il gateway.

Prerequisiti richiesti

Prima di utilizzare un Amazon FSx File Gateway (FSx File Gateway), è necessario soddisfare i seguenti requisiti:

  • Creare e configurare un file system FSx for Windows File Server. Per istruzioni, consultaFase 1: Creare il file systemnellaGuida dell'utente di Amazon FSx for Windows File Server.

  • Configurare Microsoft Active Directory (AD).

  • Assicurarsi che vi sia sufficiente larghezza di banda di rete tra il gateway eAWS. È necessario un minimo di 100 Mbps per scaricare, attivare e aggiornare correttamente il gateway.

  • Configura la tua rete privata, VPN oAWS Direct Connecttra il tuo Amazon Virtual Private Cloud (Amazon VPC) e l'ambiente locale in cui si distribuisce il gateway file FSx.

  • Assicurati che il gateway sia in grado di risolvere il nome del controller di dominio Active Directory. È possibile utilizzare DHCP nel dominio Active Directory per gestire la risoluzione o specificare manualmente un server DNS dal menu Impostazioni di configurazione di rete nella console locale del gateway.

Requisiti storage e hardware

Le sezioni seguenti forniscono informazioni sull'hardware minimo necessario per il gateway e quantità minima di spazio su disco da allocare per lo storage richiesto.

Per informazioni sulle best practice per le prestazioni del gateway di file, consulta Guida alle prestazioni dei gateway di file.

Requisiti hardware per le macchine virtuali (VM) locali

Quando la distribuzione del gateway avviene in locale, verificare che l'hardware sottostante in cui si distribuisce la macchina virtuale gateway (VM) possa usufruire delle seguenti risorse minime:

  • Quattro processori virtuali assegnati alla macchina virtuale

  • 16 GiB di RAM riservata per i gateway di file

  • 80 GiB di spazio su disco per l'installazione dell'immagine della macchina virtuale e dei dati di sistema.

Per ulteriori informazioni, consultare Ottimizzazione delle prestazioni del gateway. Per ulteriori informazioni su come l'hardware influisce sulle prestazioni della macchina virtuale del gateway, vedere Quote per le condivisioni di file.

Requisiti per i tipi di istanza Amazon EC2

Quando la distribuzione del gateway su Amazon Elastic Compute Cloud (Amazon EC2), le dimensioni dell'istanza devono essere almenoxlargeper il tuo gateway per funzionare. Tuttavia, per la famiglia di istanze ottimizzate per il calcolo, le dimensioni devono essere almeno2xlarge. Utilizza uno dei seguenti tipi di istanza consigliati per il tuo tipo di gateway.

Consigliati per tipi di gateway di file

  • Famiglia di istanze per uso generale — tipo di istanza m4 o m5.

  • Famiglia di istanze ottimizzate per il calcolo — tipi di istanza c4 o c5. Selezionare le dimensioni istanza 2xlarge o superiori per soddisfare i requisiti della RAM.

  • Famiglia di istanze ottimizzate per la memoria — tipi di istanza r3.

  • Famiglia di istanze ottimizzate per lo storage — tipi di istanza i3.

    Nota

    Quando avvii il gateway in Amazon EC2 e il tipo di istanza scelto supporta una quantità di memoria effimera, i dischi vengono elencati automaticamente. Per ulteriori informazioni sullo storage delle istanze Amazon EC2, consultaStorage delle istnellaGuida per l'utente di Amazon EC2.

    Le scritture delle applicazioni vengono archiviate in modo sincrono nella cache, quindi caricate in modo asincrono nello storage durevole in Amazon S3. Se lo storage temporaneo viene perso perché un'istanza si arresta prima che finisca il caricamento, i dati che ancora risiedono nella cache e non sono ancora stati scritti su Amazon Simple Storage Service (Amazon S3) possono andare perduti. Prima di arrestare l'istanza che ospita il gateway, verifica che ilCachePercentDirtyLa metrica CloudWatch è0. Per informazioni sullo storage temporaneo, consulta Utilizzo di storage effimero con gateway EC2. Per informazioni sul monitoraggio delle metriche per il gateway di storage, consultaMonitoraggio del gateway file.

    Se disponi di più di 5 milioni di oggetti nel bucket S3 e utilizzi un volume General Purposes SSD, è necessario un volume EBS root minimo di 350 GiB per prestazioni accettabili del gateway durante l'avvio. Per informazioni su come aumentare le dimensioni del volume, consultaModifica di un volume EBS tramite volumi elastici (console).

Requisiti di storage

Oltre agli 80 GiB di spazio su disco per la macchina virtuale, sono necessari anche dischi aggiuntivi per il gateway.

Tipo di gateway Cache (minimo) Cache (massimo)
Gateway di file 150 GiB 64 TiB
Nota

È possibile configurare una o più unità locali per la cache, fino alla massima capacità.

Quando aggiungi la cache a un gateway esistente, è importante creare nuovi dischi nell'host (hypervisor o istanza Amazon EC2). Non modificare le dimensioni dei dischi esistenti se i dischi sono stati allocati in precedenza come cache.

Per informazioni sulle quote del gateway, consulta Quote per le condivisioni di file.

Requisiti di rete e firewall

Il gateway richiede accesso a internet, reti locali, server DNS (Domain Name Service), firewall, router ecc.

I requisiti di larghezza di banda di rete variano in base alla quantità di dati caricati e scaricati dal gateway. È necessario un minimo di 100 Mbps per scaricare, attivare e aggiornare correttamente il gateway. I modelli di trasferimento dati determineranno la larghezza di banda necessaria per supportare il carico di lavoro.

Di seguito, puoi trovare ulteriori informazioni sulle porte e sulle modalità per consentire l'accesso tramite firewall e router.

Nota

In certi casi è possibile distribuire FSx File Gateway su Amazon EC2 o utilizzare altri tipi di distribuzione (inclusa quella locale) con policy di sicurezza di rete che limitanoAWSIntervalli di indirizzi IP. In questi casi, il gateway potrebbe avere problemi di connettività quandoAWSI valori dell'intervallo IP cambiano. LaAWSI valori di intervallo di indirizzi IP che è necessario utilizzare si trovano nel sottoinsieme del servizio Amazon perAWSNella quale attivi il gateway. Per i valori di intervallo IP correnti, consultaAWSIntervalli di indirizzi IPnellaAWSRiferimenti generali.

Requisiti porta

Storage Gateway richiede determinate porte per essere abilitato a questa operazione. Le seguenti illustrazioni mostrano le porte richieste che è necessario consentire per ogni tipo di gateway. Alcune porte sono richieste da tutti i tipi di gateway, mentre altre sono richieste da determinati tipi di gateway. Per ulteriori informazioni sui requisiti relativi alle porte, consulta Requisiti porta.

Porte comuni per tutti i tipi di gateway

Le seguenti porte sono comuni a tutti i tipi di gateway e sono richieste da tutti i tipi di gateway.

Protocollo

Porta

Direzione

Origine

Destinazione

Modalità di utilizzo

TCP

443 (HTTPS)

In uscita

Storage Gateway

AWS

Per la comunicazione da Storage Gateway alAWSendpoint del servizio. Per informazioni sugli endpoint del servizio, consulta Consentire ad AWS Storage Gateway l'accesso attraverso firewall e router.

TCP

80 (HTTP)

In entrata

L'host da cui ci si connette alAWS Management Console.

Storage Gateway

Tramite sistemi locali per ottenere la chiave di attivazione del gateway di storage. La porta 80 viene utilizzata solo durante l'attivazione dell'appliance Storage Gateway.

Storage Gateway non richiede l'apertura dell'accesso pubblico alla porta 80. Il livello di accesso richiesto alla porta 80 dipende dalla configurazione di rete. Se si attiva il gateway dalla console Storage Gateway, l'host da cui ci si collega alla console deve avere accesso alla porta 80 del gateway.

UDP/UDP

53 (DNS)

In uscita

Storage Gateway

Server DNS

Per la comunicazione tra Storage Gateway e il server DNS.

TCP

22 (Canale di supporto)

In uscita

Storage Gateway

AWS Support

AllowsAWS Supportper accedere al gateway per aiutarti a risolvere i problemi relativi al gateway. Non è necessario che la porta sia aperta per il normale funzionamento del gateway, tuttavia è necessario per la risoluzione dei problemi.

UDP

123 (NTP)

In uscita

Client NTP

Server NTP

Utilizzato dai sistemi locale per sincronizzare l'ora della VM con quella dell'host.

Porte per gateway di file

La figura seguente mostra le porte da aprire per un gateway file S3.

Nota

Per requisiti di porta specifici, consultaRequisiti porta.

Per S3 File Gateway, è necessario utilizzare Microsoft Active Directory solo per consentire agli utenti del dominio di accedere a una condivisione file SMB (Server Message Block). È possibile unire il gateway file a qualsiasi dominio di Microsoft Windows valido (risolvibile mediante DNS).

È possibile utilizzare anche l'AWS Directory Serviceper creare unAWS Managed Microsoft ADin Amazon Web Services Cloud. Per la maggior parteAWS Managed Microsoft ADdistribuzioni, è necessario configurare il servizio DHCP (Dynamic Host Configuration Protocol) per il VPC. Per informazioni sulla creazione di un set di opzioni DHCP, consultaCreazione di un set di opzioni DHCPnellaAWS Directory ServiceGuida di amministrazione.

Oltre alle porte comuni, Amazon S3 File Gateway richiede le seguenti porte.

Protocollo

Porta

Direzione

Origine

Destinazione

Modalità di utilizzo

TCP/UDP

2049 (NFS)

In entrata

Client NFS

Storage Gateway

Per connettersi ai sistemi locali alle condivisioni NFS esposte dal gateway.

TCP/UDP

111 (NFSv3)

In entrata

client NFSv3

Storage Gateway

Per consentire ai sistemi locali di connettersi al mappatore delle porte esposto dal gateway.

Nota

Questa porta è necessaria solo per NFSv3.

TCP/UDP

20048 (NFSv3)

In entrata

client NFSv3

Storage Gateway

Per connettersi ai sistemi locali ai supporti esposti dal gateway.

Nota

Questa porta è necessaria solo per NFSv3.

Requisiti di rete e di firewall per l'appliance hardware Storage Gateway

Ogni appliance hardware Storage Gateway richiede i seguenti servizi di rete:

  • Accesso a Internet- una connessione di rete a Internet sempre attiva tramite un'interfaccia di rete sul server.

  • Servizi DNS— Servizi DNS per la comunicazione tra l'appliance hardware e il server DNS.

  • Sincronizzazione oraria— un servizio orario Amazon NTP configurato automaticamente deve essere sempre raggiungibile.

  • Indirizzo IP- Assegnazione di un indirizzo IPv4 statico o DHCP. Non è possibile assegnare un indirizzo IPv6.

Ci sono cinque porte di rete fisiche nella parte posteriore del server Dell PowerEdge R640. Da sinistra a destra (guardando la parte posteriore del server) queste porte sono le seguenti:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

È possibile utilizzare la porta iDRAC per la gestione remota del server.

Un'appliance hardware richiede le seguenti porte per il funzionamento.

Protocollo

Porta

Direzione

Origine

Destinazione

Modalità di utilizzo

SSH

22

In uscita

Appliance hardware

54.201.223.107

Canale di supporto
DNS 53 In uscita Appliance hardware Server DNS Risoluzione dei nomi
UDP/NTP 123 In uscita Appliance hardware *.amazon.pool.ntp.org Sincronizzazione oraria
HTTPS

443

In uscita

Appliance hardware

*.amazonaws.com

Trasferimento dei dati

HTTP 8080 In entrata AWS Appliance hardware Attivazione (solo brevemente)

Per funzionare in modo corretto, un'appliance hardware richiede le seguenti impostazioni di rete e firewall:

  • Configurare tutte le interfacce di rete connesse nella console hardware.

  • Assicurarsi che ogni interfaccia di rete si trovi in una sottorete univoca.

  • Fornire a tutte le interfacce di rete connesse l'accesso in uscita agli endpoint elencati nel diagramma precedente.

  • Configurare almeno un'interfaccia di rete per supportare l'appliance hardware. Per ulteriori informazioni, consultare Configurazione dei parametri di rete.

Nota

Per visualizzare un'illustrazione che mostra la parte posteriore del server con le relative porte, consultaMontaggio su rack dell'apparecchio hardware e collegamento all'alimentazione.

Tutti gli indirizzi IP sulla stessa interfaccia di rete (NIC), sia per un gateway che per un host, devono trovarsi nella stessa sottorete. La figura seguente illustra lo schema di assegnazione di indirizzi.

Per ulteriori informazioni sull'attivazione e la configurazione di un appliance hardware, consultaUtilizzo dell'appliance hardware Storage Gateway.

Consentire ad AWS Storage Gateway l'accesso attraverso firewall e router

Il gateway richiede l'accesso ai seguenti endpoint di servizio per comunicare conAWS. Se si utilizza un firewall o un router per filtrare o limitare il traffico di rete, è necessario configurare il firewall e/o il router affinché abilitino questi endpoint di servizio alle comunicazioni in uscitaAWS.

Importante

A seconda del gatewayAWSRegione, sostituisciregionenell'endpoint del servizio con la stringa Regione corretta.

Il seguente endpoint del servizio è obbligatorio da tutti i gateway per operazioni head-bucket.

s3.amazonaws.com:443

I seguenti endpoint di servizio sono richiesti da tutti i gateway per il percorso di controllo (anon-cp,client-cp,proxy-app) e percorso dati (dp-1) operazioni.

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443

Il seguente endpoint di servizio gateway è obbligatorio per effettuare chiamate API.

storagegateway.region.amazonaws.com:443

L'esempio seguente è un endpoint del servizio gateway nella regione Stati Uniti occidentali (Oregon) (us-west-2).

storagegateway.us-west-2.amazonaws.com:443

L'endpoint del servizio Amazon S3 mostrato di seguito viene utilizzato solo dai gateway file. Un gateway file richiede questo endpoint per accedere al bucket Amazon S3 su cui è mappata una condivisione file.

s3.region.amazonaws.com

L'esempio seguente è un endpoint del servizio Amazon S3 nella regione Stati Uniti orientali (Ohio) (Ohio) (us-east-2).

s3.us-east-2.amazonaws.com
Nota

Se il gateway non è in grado di determinare ilAWSRegione in cui è ubicato il bucket S3, questo endpoint di servizio è impostato in modo predefinito sus3.us-east-1.amazonaws.com. Ti consigliamo di consentire l'accesso alla regione US East (N. Virginia) (us-east-1) in aggiunta alle regioni in cui il gateway è attivo e in cui si trova il bucket S3.

Di seguito sono riportati gli endpoint del servizio Amazon S3 perAWS GovCloud (US)Regioni.

s3-fips-us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS)) s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS)) s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard)) s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

L'esempio seguente è un endpoint del servizio FIPS per un bucket S3 nelAWSRegione GovCloud (US-West).

bucket-name.s3-fips-us-gov-west-1.amazonaws.com

L'endpoint Amazon CloudFront seguente è necessario affinché Storage Gateway possa ottenere l'elenco dei prodotti disponibiliAWSRegioni.

https://d4kdq0yaxexbo.cloudfront.net/

Una macchina virtuale Storage Gateway è configurata in modo che possa utilizzare i seguenti server NTP.

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

Configurazione dei gruppi di sicurezza per l'istanza del gateway Amazon EC2

Nello statoAWS Storage Gateway, un gruppo di sicurezza controlla il traffico verso l'istanza del gateway Amazon EC2. Quando configuri un gruppo di sicurezza, tieni presente quanto segue:

  • Il gruppo di sicurezza non deve permettere connessioni in entrata dall'esterno di Internet. Deve consentire solo alle istanze al suo interno di comunicare con il gateway.

    Per permettere a delle istanze di connettersi al gateway dall'esterno del gruppo di sicurezza, è consigliabile ammettere connessioni solo sulle porte 3260 (per connessioni iSCSI) e 80 (per attivazione).

  • Per attivare il gateway da un host Amazon EC2 al di fuori del suo gruppo di sicurezza, consenti le connessioni in entrata sulla porta 80 dall'indirizzo IP di tale host. Se non puoi determinare l'indirizzo IP dell'host di attivazione, apri la porta 80, attiva il gateway e, ad attivazione eseguita, chiudi l'accesso alla porta.

  • Consenti l'accesso alla porta 22 solo se utilizzi AWS Support per la risoluzione dei problemi. Per ulteriori informazioni, consultare VuoiAWS Supportper aiutare a risolvere i problemi del gateway EC2.

In certi casi è possibile utilizzare un'istanza Amazon EC2 come iniziatore (ad esempio, per collegarsi alle destinazioni iSCSI su un gateway distribuito su Amazon EC2), consigliamo un approccio in due fasi:

  1. Innanzitutto, bisogna avviare l'istanza dell'iniziatore nello stesso gruppo di sicurezza del gateway.

  2. Successivamente, occorre configurare l'accesso in modo che l'iniziatore possa comunicare con il gateway.

Per informazioni sulle porte da aprire per il gateway, consulta Requisiti porta.

Hypervisor supportati e requisiti di hosting

È possibile eseguire Storage Gateway in locale sotto forma di appliance di macchina virtuale (VM) o appliance hardware fisica oppure inAWScome istanza Amazon EC2.

Storage Gateway supporta le seguenti versioni di hypervisor e host:

  • VMware Hypervisor ESXi (versione 6.0, 6.5 o 6.7) - Una versione gratuita di VMware è disponibile sulla paginaSito Web VMware. Per questa configurazione, è inoltre necessario disporre di un client VMware vSphere per connettersi all'host.

  • Microsoft Hyper-V Hyper-V (versione 2012 R2 o 2016) - Una versione standalone gratuita di Hyper-V è disponibile nella paginaCentro download Microsoft. Per questa configurazione, è necessario un Microsoft Hyper-V Manager su un computer client Microsoft Windows per connettersi all'host.

  • Macchina virtuale basata su kernel Linux (KVM) - Una tecnologia di virtualizzazione gratuita e open-source. KVM è incluso in tutte le versioni di Linux 2.6.20 e successive. Storage Gateway è testato e supportato per le distribuzioni CentOS/RHEL 7.7, Ubuntu 16.04 LTS e Ubuntu 18.04 LTS. Qualsiasi altra distribuzione Linux moderna può funzionare, ma la funzione o le prestazioni non sono garantite. Si consiglia questa opzione se si dispone già di un ambiente KVM attivo e si ha già familiarità con il funzionamento di KVM.

  • Istanza Amazon EC2 - Storage Gateway fornisce un'immagine macchina Amazon (AMI) che contiene l'immagine della macchina virtuale del gateway. Per informazioni su come distribuire un gateway su Amazon EC2, consultaDistribuzione di un gateway di file su un host Amazon EC2.

  • Appliance hardware Storage Gateway - Storage Gateway fornisce un'appliance hardware fisica come opzione di distribuzione locale per sedi con un'infrastruttura di macchine virtuali limitata.

Nota

Storage Gateway non supporta il recupero di un gateway da una macchina virtuale che è stata creata da una snapshot o da un clone di un'altra macchina virtuale gateway o dall'immagine macchina Amazon di Amazon EC2. Se la macchina virtuale gateway non funziona correttamente, attivare un nuovo gateway e ripristinare i dati su quel gateway. Per ulteriori informazioni, consultare Ripristino da un arresto imprevisto della macchina virtuale.

Storage Gateway non supporta il ballooning di memoria dinamica e memoria virtuale.

Client NFS supportati per un gateway file

I gateway file supportano i seguenti client NFS (Network File System):

  • Amazon Linux

  • Mac OS X

    Nota

    Consigliamo di impostare l'impostazionersizeewsizemontare le opzioni su 64 KB per migliorare le prestazioni durante il montaggio di condivisioni di file NFS su Mac OS X.

  • RHEL 7

  • SUSE Linux Enterprise Server 11 e SUSE Linux Enterprise Server 12

  • Ubuntu 14.04

  • Microsoft Windows 10 Enterprise, Windows Server 2012 e Windows Server 2016. I client nativi supportano solo NFS versione 3.

  • Windows 7 Enterprise e Windows Server 2008.

    I client nativi supportano solo NFS versione 3. La dimensione massima supportata di I/O NFS è 32 KB, quindi su queste versioni di Windows si potrebbero registrare prestazioni scadenti.

    Nota

    Ora puoi utilizzare condivisioni di file SMB quando l'accesso è richiesto tramite client SMB Windows anziché tramite client NTF Windows.

Client SMB supportati per un gateway file

Gateway file supporta i seguenti client SMB (Service Message Block):

  • Microsoft Windows Server 2008 e versione successiva

  • Versioni desktop Windows: 10, 8 e 7.

  • Windows Terminal Server in esecuzione su Windows Server 2008 e versioni successive

    Nota

    La crittografia Server Message Block richiede client che supportano SMB v2.1.

Operazioni del file system supportate per un gateway di file

Il client NFS o SMB può scrivere, leggere, eliminare, rinominare e troncare i file. Quando i client inviano la scrittura aAWS Storage Gateway, scrive sulla cache locale in modo sincrono. Quindi, scrive su Amazon S3 in modo asincrono tramite trasferimenti ottimizzati. Le letture vengono servite automaticamente tramite la cache locale. Se i dati non sono disponibili, vengono recuperati tramite S3 come cache read-through.

Le operazioni di lettura e scrittura sono ottimizzate in modo tale che solo le parti modificate o richieste vengano tramite gateway. Elimina oggetti rimuovi oggetti da Amazon S3. Le directory vengono gestite come oggetti cartella in S3, utilizzando la stessa sintassi della console Amazon S3.

Le operazioni HTTP quali GET, PUT, UPDATE e DELETE possono modificare i file in una condivisione file. Queste operazioni sono conformi alle funzioni atomiche di creazione, lettura, aggiornamento ed eliminazione (CRUD).