本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
文件网关设置要求
除非另有说明,否则中的所有文件网关类型都需要满足以下要求:AWS Storage Gateway. 您的设置必须符合本节中的要求。在部署网关之前,请查看适用于网关设置的要求。
必需先决条
在使用 Amazon FSx 文件网关(FSx 文件网关)之前,您必须满足以下要求:
-
创建和配置 FSx for Windows File Server 文件系统。有关说明,请参阅第 1 步:创建您的文件系统中的Amazon FSx for Windows File Server 用户指南.
-
配置 Microsoft Active Directory (AD)。
-
确保网关和之间有足够的网络带宽AWS. 成功下载、激活和更新网关至少需要 100 Mbps。
-
配置私人网络、VPN 或AWS Direct Connect在 Amazon 虚拟私有云 (Amazon VPC) 和您部署 FSx 文件网关的本地环境之间。
-
确保网关可以解析 Active Directory 域控制器的名称。您可以在 Active Directory 域中使用 DHCP 来处理解析,或者从网关本地控制台的网络配置设置菜单中手动指定 DNS 服务器。
硬件和存储要求
以下各节提供有关网关所需的最小硬件和设置以及为所需存储分配的最小磁盘空间量的信息。
本地 VM 的硬件要求
在本地部署网关时,请确保部署网关虚拟机 (VM) 的基础硬件可以专门使用以下最少资源:
-
分配给 VM 的四个虚拟处理器
-
用于文件网关的 16 GiB 预留 RAM
-
80GiB 磁盘空间,适用于安装虚拟机映像和系统数据。
对 Amazon EC2 实例类型的要求
在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署网关时,实例大小必须至少为xlarge
让你的网关正常运行。但是,对于计算优化型实例系列,大小必须至少为2xlarge
. 使用为您的网关类型推荐的以下实例类型之一。
建议用于文件网关类型
-
通用型实例系列-m4 或 m5 实例类型。
-
计算优化型实例系列-c4 或 c5 实例类型。选择 2xlarge 实例大小或更大的大小,以满足所需的 RAM 要求。
-
内存优化型实例系列-r3 实例类型。
-
存储优化型实例系列-i3 实例类型。
注意
在您在 Amazon EC2 中启动网关并且所选的实例类型支持短暂存储时,将自动列出磁盘。有关 Amazon EC2 实例存储的更多信息,请参阅实例存储中的Amazon EC2 用户指南。
存储需求
除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。
网关类型 | 缓存(最小值) | 缓存(最大值) |
---|---|---|
文件网关 | 150 GiB | 64 TiB |
注意
您可以为缓存配置一个或多个本地驱动器,最大容量不超过最大容量。
在向现有网关添加缓存时,在主机 (管理程序或 Amazon EC2 实例) 中创建新磁盘至关重要。如果之前已将磁盘分配为缓存,请勿更改现有磁盘的大小。
网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。数据传输模式将决定支持工作负载所需的带宽。
在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
注意
在某些情况下,您可以在 Amazon EC2 上部署 FSx 文件网关或者将其他类型的部署(包括本地部署)与限制的网络安全策略结合使用。AWSIP 地址范围。在这些情况下,您的网关时可能遇到服务连接问题。AWSIP 范围值发生变化。这些区域有:AWS您需要使用的 IP 地址范围值位于 Amazon 服务子集中,适用于AWS您在其中激活网关的地区。有关当前 IP 范围值,请参阅AWSIP 地址范围中的AWS一般参考.
端口要求
所有网关类型的通用端口
下列端口是所有网关类型的通用端口,是所有网关类型所需要的。
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
---|---|---|---|---|---|
TCP |
443 (HTTPS) |
出站 |
Storage Gateway |
AWS |
用于从 Storage Gateway 到AWS服务终端节点。有关服务终端节点的信息,请参阅允许通过防火墙和路由器进行 AWS Storage Gateway 访问。 |
TCP |
80 (HTTP) |
入站 |
您从中连接到的主机AWS Management Console. |
Storage Gateway |
由本地系统用于获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。 Storage Gateway 不需可公开访问端口 80。所需的端口 80 访问级别取决于网络配置。如果从 Storage Gateway 控制台激活网关,则从中连接到控制台的主机必须有权访问网关的端口 80。 |
UDP/UDP |
53 (DNS) |
出站 |
Storage Gateway |
DNS 服务器 |
适用于 Storage Gateway 和 DNS 服务器之间的通信。 |
TCP |
22 (支持渠道) |
出站 |
Storage Gateway |
AWS Support |
允许AWS Support访问您的网关以帮助您排查网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。 |
UDP |
123 (NTP) |
出站 |
NTP 客户端 |
NTP 服务器 |
由本地系统使用以将 VM 时间同步到主机时间。 |
文件网关的端口
对于 FSx 文件网关,您必须使用 Microsoft Active Directory 才能允许域用户访问服务器消息块 (SMB) 文件共享。您可以将文件网关加入到任何有效的 Microsoft Windows 域(可由 DNS 解析)。
您也可以使用AWS Directory Service创建AWS Managed Microsoft AD在 Amazon Web Services Cloud 中。对于大多数AWS Managed Microsoft AD部署时,您需要为 VPC 配置动态主机配置协议 (DHCP) 服务。有关创建 DHCP 选项集的信息,请参阅创建 DHCP 选项集中的AWS Directory Service管理指南.
FSx File Gateway 需要以下端口。
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
---|---|---|---|---|---|
UDP NetBIOS |
137 |
入站和出站 |
Microsoft Active Directory |
用于连接 Microsoft Active Directory。 |
|
UDP NetBIOS |
138 |
入站和出站 |
对于数据报服务 | ||
TCP LDAP |
389 |
入站和出站 |
适用于目录系统代理 (DSA) 客户端连接 |
||
TCP v2/v3 数据 |
445 |
出站 |
Windows File Server 的文件网关和 FSx 之间的存储数据传输 |
||
TCP (HTTPS) |
443 |
出站 |
Storage Gateway 服务端节点 |
管理控制 — 用于从 Storage Gateway 虚拟机到AWS服务终端节点 |
|
TCP HTTPS |
443 |
出站 |
Amazon CloudFront |
用于网关激活 |
|
TCP |
443 |
出站 |
VPC 终端节点使用 |
管理控制 — 用于从 Storage Gateway 虚拟机到AWS服务终端节点。 |
|
TCP |
1026 |
出站 |
用于控制流量 |
||
TCP |
1027 |
出站 |
仅在激活期间使用,然后可以关闭 |
||
TCP |
1028 | 出站 | 用于控制流量 | ||
TCP |
1031 |
出站 |
仅用于文件网关的软件更新 |
||
TCP |
2222 |
出站 |
用于在使用 VPC 终端节点时打开通向网关的支持渠道 |
||
TCP (HTTPS) |
8080 |
入站 |
暂时激活硬件设备所必需的 |
Storage Gateway 硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
-
Internet 访问— 通过服务器上的任何网络接口实现的永久性网络连接。
-
DNS 服务— DNS 服务,适用于硬件设备和 DNS 服务器之间的通信。
-
时间同步— 必须可访问自动配置的 Amazon NTP 时间服务。
-
IP 地址— 分配的 DHCP 或静态 IPv4 地址。您无法分配 IPv6 地址。
Dell PowerEdge R640 服务器背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:
-
iDRAC
-
em1
-
em2
-
em3
-
em4
您可以使用 iDRAC 端口进行远程服务器管理。
硬件设备需要以下端口才能运行。
协议 |
端口 |
Direction |
源 |
目标 |
如何使用 |
---|---|---|---|---|---|
SSH |
22 |
出站 |
硬件设备 |
|
支持渠道 |
DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
UDP/NTP | 123 | 出站 | 硬件设备 | *.amazon.pool.ntp.org |
时间同步 |
HTTPS |
443 |
出站 |
硬件设备 |
|
数据传输 |
HTTP | 8080 | 入站 | AWS | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
-
在硬件控制台中配置所有连接的网络接口。
-
确保每个网络接口都位于唯一的子网中。
-
为所有连接的网络接口提供对上图中列出的终端节点的出站访问权限。
-
配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅配置网络参数。
注意
有关显示服务器背面及其端口的图示,请参阅机架安装硬件设备并将其连接到电源.
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
有关激活和配置硬件设备的更多信息,请参阅使用 Storage Gateway 硬件设备.
允许通过防火墙和路由器进行 AWS Storage Gateway 访问
您的网关需要访问以下服务终端节点,以便与之通信:AWS. 如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务终端节点与AWS.
重要
取决于你的网关AWS地区,替换领域
在服务终端节点中使用正确的区域字符串。
所有网关都需要使用以下服务终端节点,才能实现头存储桶操作。
s3.amazonaws.com:443
控制路径所有网关都需要以下服务端点 (anon-cp
、client-cp
、proxy-app
) 和数据路径 (dp-1
) 操作。
anon-cp.storagegateway.
region
.amazonaws.com:443 client-cp.storagegateway.region
.amazonaws.com:443 proxy-app.storagegateway.region
.amazonaws.com:443 dp-1.storagegateway.region
.amazonaws.com:443
调用 API 需要使用以下网关服务终端节点。
storagegateway.
region
.amazonaws.com:443
以下示例是美国西部(俄勒冈)区域的网关服务终端节点。us-west-2
)。
storagegateway.us-west-2.amazonaws.com:443
Storage Gateway 获取可用列表时需要使用以下 Amazon CloudFront 终端节点。AWS地区。
https://d4kdq0yaxexbo.cloudfront.net/
Storage Gateway VM 配置为使用以下 NTP 服务器。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
存储网关 — 对于支持AWS地区和列表AWS可以与 Storage Gateway 一起使用的服务终端节点,请参阅AWS Storage Gateway终端节点和配额中的AWS一般参考.
-
Storage Gateway 硬件设备-适用于支持AWS可以用于硬件设备的区域,请参阅Storage Gateway 硬件设备区域中的AWS一般参考.
为 Amazon EC2 网关实例配置安全组
InAWS Storage Gateway,安全组会控制 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
-
安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。
如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 80 (适用于激活) 上的连接。
-
如果您想从网关安全组外部的 Amazon EC2 主机激活您的网关,则需要允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
-
仅在使用 AWS Support 进行故障诊断用途时,允许端口 22 上的访问。有关更多信息,请参阅你想AWS Support帮助对 EC2 网关进行故障排除。
受支持的管理程序和主机要求
您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,或者在AWS作为 Amazon EC2 实例。
Storage Gateway 支持以下管理程序版本和主机:
-
VMware ESXi 管理程序(版本 6.0、6.5 或 6.7)— VMware 的免费版本可从VMware 网站
. 对于此设置,您还需要 VMware vSphere 客户端才能连接到主机。 -
Microsoft Hyper-V 管理程序(版本 2012 R2 或 2016)-Hyper-V 的免费独立版本可从Microsoft 下载中心
. 对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。 -
基于 Linux 内核的虚拟机 (KVM) — 一种免费的开源虚拟化技术。KVM 包含在所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 已针对 CentOS/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版进行了测试并得到它们的支持。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。
-
Amazon EC2 实例 — Storage Gateway 提供了一个包含网关 VM 映像的 Amazon 系统映像 (AMI)。有关如何在 Amazon EC2 上部署网关的信息,请参阅在 Amazon EC2 主机上部署文件网关.
-
Storage Gateway 硬件设备 — Storage Gateway 为虚拟机基础架构有限的位置提供了物理硬件设备以作为本地部署选项
注意
Storage Gateway 不支持从另一个网关虚拟机的快照或克隆创建的虚拟机或从 Amazon EC2 AMI 恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅从意外的虚拟机关闭中恢复。
Storage Gateway 不支持动态内存和虚拟内存激增。
文件网关支持的 SMB 客户端
文件网关支持以下服务消息块 (SMB) 客户端:
-
Microsoft Windows Server 2008 及更高版本
-
Windows 桌面版本:10、8 和 7。
-
在 Windows Server 2008 及更高版本上运行的 Windows 终端服务器
注意
服务器消息块加密需要支持 SMB v2.1 的客户端。
文件网关支持的文件系统操作
您的 SMB 客户端可以写入、读取、删除和截断文件。当客户端向 Storage Gateway 发送写入内容时,它会同步写入本地缓存。然后,通过经优化的传输异步写入 Amazon FSx。首先通过本地缓存来提供读取内容。如果数据不可用,则通过 Amazon FSx 将数据作为缓存的读取内容获取。
仅在通过网关传送的已更改或请求的部分中优化写入内容和读取内容。删除从亚马逊 FSx 中删除文件。