设置卷网关的要求 - AWS Storage Gateway

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置卷网关的要求

除非另有说明,否则所有网关配置都需要满足以下要求。

硬件和存储要求

本节介绍网关的最低硬件和设置要求,以及为所需存储分配的最小磁盘空间量。

的硬件要求 VMs

在部署网关时,您必须确保部署网关虚拟机的基础硬件能够分配以下最少资源:

  • 分配给 VM 的四个虚拟处理器。

  • 对于 Volum e ,您的硬件应专用于以下数量RAM:

    • 为缓存大小不超过 16 TiB RAM 的网关预留 16 GiB

    • 32 GiB 预留给缓存大小RAM为 16 TiB 到 32 TiB 的网关

    • RAM为缓存大小为 32 TiB 到 64 TiB 的网关预留 48 GiB

  • 80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。

有关更多信息,请参阅 优化网关性能。有关硬件如何影响网关 VM 的性能的信息,请参阅 AWS Storage Gateway 配额

Amazon EC2 实例类型的要求

在亚马逊弹性计算云 (AmazonEC2) 上部署网关时,实例大小必须至少为 x large 才能使网关正常运行。但是,对于计算优化型实例系列,大小必须至少为 2xlarge

注意

Storag AMI e Gateway 仅与使用英特尔或AMD处理器的基于 x86 的实例兼容。ARM不支持使用 Graviton 处理器的基于 Graviton 处理器的实例。

对于 Volu me e Gateway,您的 Amazon EC2 实例应RAM根据您计划用于网关的缓存大小,专用于以下数量:

  • 为缓存大小不超过 16 TiB RAM 的网关预留 16 GiB

  • 32 GiB 预留给缓存大小RAM为 16 TiB 到 32 TiB 的网关

  • RAM为缓存大小为 32 TiB 到 64 TiB 的网关预留 48 GiB

使用为您的网关类型推荐的以下实例类型之一。

建议用于缓存卷和磁带网关类型

  • 通用型实例系列 – m4、m5 或 m6 实例类型。

    注意

    建议不要使用 m4.16xlarge 实例类型。

  • 计算优化型实例系列 - c4、c5 或 c6 实例类型。选择 2xlarge 实例大小或更大以满足所需要求RAM。

  • 内存优化型实例系列 - r3、r5 或 r6 实例类型。

  • 存储优化型实例系列 - i3 或 i4 实例类型。

存储需求

除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。

下表为所部署的网关推荐了本地磁盘存储的大小。

网关类型 缓存(最小值) 缓存(最大值) 上传缓冲区(最小值) 上传缓冲区(最大值) 其他必需的本地磁盘
缓存卷网关 150 GiB 64 TiB 150 GiB

2 TiB

存储卷网关 150 GiB

2 TiB

一个或多个,用于存储卷
注意

您可以为缓存和上传缓冲区配置一个或多个不超过最大容量的本地驱动器。

向现有网关添加缓存或上传缓冲区时,务必在主机(虚拟机管理程序或 Amazon EC2 实例)中创建新磁盘。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。

有关网关配额的信息,请参阅AWS Storage Gateway 配额

网络和防火墙要求

您的网关需要访问互联网、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。

注意

在某些情况下,您可以在 Amazon 上部署 Storage Gateway,EC2或者使用其他类型的部署(包括本地),其网络安全策略会限制 AWS IP 地址范围。在这些情况下,当 AWS IP 范围值发生变化时,您的网关可能会遇到服务连接问题。您需要使用的 AWS IP 地址范围值位于您激活网关的 AWS 区域的 Amazon 服务子集中。有关当前 IP 范围值,请参阅《AWS 一般参考》中的 AWS IP 地址范围

注意

网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。您的数据传输模式将决定支持您的工作负载所需的带宽。在某些情况下,您可能会在亚马逊上部署 Storage Gateway EC2 或使用其他类型的部署

端口要求

Storage Gateway 要求允许特定端口来执行其操作。下图显示了您必须允许每种类型的网关使用的必需端口。一些端口是所有网关类型必需的,另一些端口是特定网关类型必需的。有关端口要求的更多信息,请参阅卷网关的端口要求

所有网关类型的通用端口

下列端口是所有网关类型的通用端口,是所有网关类型所需要的。

协议

端口

方向

来源

目标位置

如何使用

TCP

443 () HTTPS

出站

Storage Gateway

AWS

用于从 Storage Gateway 到 AWS 服务端点的通信。有关服务端点的信息,请参阅允许通过防火墙和路由器进行 AWS Storage Gateway 访问

TCP

80 (HTTP)

入站

您从中连接到 AWS 管理控制台的主机。

Storage Gateway

由本地系统用于获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。

Storage Gateway 不要求可公开访问端口 80。端口 80 所需的访问级别取决于网络配置。如果您从 Storage Gateway 管理控制台激活了网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。

TCP/UDP

53 (DNS)

出站

Storage Gateway

域名服务 (DNS) 服务器

用于 Storage Gateway 和DNS服务器之间的通信。

TCP

22 (支持渠道)

出站

Storage Gateway

AWS Support

AWS Support 允许访问您的网关以帮助您解决网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。

UDP

123 (NTP)

出站

NTP客户端

NTP服务器

由本地系统使用以将 VM 时间同步到主机时间。

卷网关和磁带网关的端口

下图显示了要为卷网关开放的端口。

使用各种端口连接到 Storage Gateway 的网络资源。

除了通用端口之外,卷网关还需要下列端口。

协议

端口

方向

来源

目标位置

如何使用

TCP

3260 (iSCSI)

入站

i SCSI 启动器

Storage Gateway

通过本地系统连接到网关暴露的 i 个SCSI目标。

有关端口要求的详细信息,请参阅其他 Storage Gateway 资源部分中的卷网关的端口要求

Storage Gateway 硬件设备的网络和防火墙要求

每个 Storage Gateway 硬件设备都需要以下网络服务:

  • Internet 访问 - 通过服务器上的任何网络接口实现与 Internet 的永久性网络连接。

  • DNSDNS服务 — 用于硬件设备和DNS服务器之间通信的服务。

  • 时间同步 — 必须可以访问自动配置的 Amazon NTP 时间服务。

  • IP 地址-分配的DHCP或静态IPv4地址。您不能分配IPv6地址。

Dell PowerEdge R640服务器的背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:

  1. 我 DRAC

  2. em1

  3. em2

  4. em3

  5. em4

您可以使用 i DRAC 端口进行远程服务器管理。

使用各种端口连接到硬件设备的网络资源。

硬件设备需要以下端口才能运行。

协议

端口

方向

来源

目标位置

如何使用

SSH

22

出站

硬件设备

54.201.223.107

支持渠道
DNS 53 出站 硬件设备 DNS服务器 名称解析
UDP/NTP 123 出站 硬件设备 *.amazon.pool.ntp.org 时间同步
HTTPS

443

出站

硬件设备

*.amazonaws.com

数据传输

HTTP 8080 入站 AWS 硬件设备 激活(仅短时)

要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:

  • 在硬件控制台中配置所有连接的网络接口。

  • 确保每个网络接口都位于唯一的子网中。

  • 为所有连接的网络接口提供对上图中列出的端点的出站访问权限。

  • 配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅 配置硬件设备网络参数

注意

有关显示服务器背面及其端口的图示,请参阅实际安装硬件设备

同一网络接口 (NIC) 上的所有 IP 地址,无论是网关还是主机,都必须位于同一个子网上。下图显示了寻址方案。

主机 IP 和服务 IP 位于一个子网上,共享一个子网NIC。

有关激活和配置硬件设备的更多信息,请参阅使用 Storage Gateway 硬件设备

允许通过防火墙和路由器进行 AWS Storage Gateway 访问

您的网关需要访问以下服务终端节点才能与之通信 AWS。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。

注意

如果您为 Storage Gateway 配置私有VPC终端节点以用于连接和传出数据 AWS,则您的网关不需要访问公共互联网。有关更多信息,请参阅在 Virtual Private Cloud 中激活网关

重要

根据您的网关 AWS 区域,替换 region 在服务端点中,使用正确的区域字符串。

所有网关都需要以下服务端点才能执行 head-bucket 操作。

s3.amazonaws.com:443

所有网关的控制路径 (anon-cp、client-cp、proxy-app) 和数据路径 (dp-1) 操作均需要以下服务端点。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443

需要以下网关服务终端节点才能进行API呼叫。

storagegateway.region.amazonaws.com:443

以下示例是美国西部(俄勒冈州)区域 (us-west-2) 中的网关服务端点。

storagegateway.us-west-2.amazonaws.com:443

只有文件网关使用下面显示的 Amazon S3 服务端点。文件网关需要此端点才能访问文件共享映射到的 S3 存储桶。

bucketname.s3.region.amazonaws.com

以下示例是美国东部(俄亥俄州)区域 (us-east-2) 中的 S3 服务端点。

s3.us-east-2.amazonaws.com
注意

如果您的网关无法确定 S3 存储桶所在的 AWS 区域,则此服务终端节点默认为s3.us-east-1.amazonaws.com。建议您允许访问美国东部(弗吉尼亚州北部)区域 (us-east-1) 以及在其中激活网关的 AWS 区域和 S3 存储桶所在的区域。

以下是 AWS GovCloud (US) 区域的 S3 服务端点。

s3-fips.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS)) s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS)) s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard)) s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

以下示例是 AWS GovCloud (美国西部)区域中 S3 存储桶的FIPS服务终端节点。

bucket-name.s3-fips.us-gov-west-1.amazonaws.com

Storage Gateway 虚拟机配置为使用以下NTP服务器。

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

为您的 Amazon EC2 网关实例配置安全组

安全组控制您的 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:

  • 安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从其安全组外部连接到网关,我们建议您仅允许在端口 3260(用于 i SCSI 连接)和 80(用于激活)上进行连接。

  • 如果您想从网关安全组之外的 Amazon EC2 主机激活网关,请允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。

  • 仅当使用端口 22 AWS Support 进行故障排除时,才允许访问。有关更多信息,请参阅 你 AWS Support 想帮忙排除EC2网关故障

在某些情况下,您可以使用 Amazon EC2 实例作为启动器(也就是说,连接到部署在 Amazon EC2 上的网关上的 i SCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:

  1. 您应在与网关相同的安全组中启动启动程序实例。

  2. 您应配置访问权限,以便启动程序可与网关进行通信。

有关要为您的网关开放的端口的信息,请参阅卷网关的端口要求

受支持的管理程序和主机要求

您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,也可以 AWS 作为 Amazon EC2 实例运行。

注意

当制造商结束对某个管理程序版本的一般支持时,Storage Gateway 也将结束对该版本的支持。有关支持特定版本管理程序的详细信息,请参阅制造商的文档。

Storage Gateway 支持以下管理程序版本和主机:

  • VMwareESXi虚拟机管理程序(版本 7.0 或 8.0)-对于此设置,您还需要一个VMware vSphere 客户端来连接到主机。

  • Microsoft Hyper-V 管理程序(版本 2012 R2、2016、2019 或 2022)- Hyper-V 的免费独立版本可从 Microsoft 下载中心获取。对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。

  • 基于 Linux 内核的虚拟机 (KVM) — 一种免费的开源虚拟化技术。KVM包含在 Linux 版本 2.6.20 及更高版本的所有版本中。Storage Gateway 已经过测试并支持 CentOS/ RHEL 7.7、Ubuntu 16.04 和 Ubuntu 18.04 发行版LTS。LTS任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并正在运行KVM环境,并且已经熟悉KVM工作原理,我们建议您使用此选项。

  • Amazon EC2 实例 — Storage Gateway 提供了包含网关 VM 映像的亚马逊系统映像 (AMI)。只能在 Amazon 上部署文件、缓存卷和磁带网关类型EC2。有关如何在 Amazon 上部署网关的信息EC2,请参阅为卷网关部署自定义 Amazon EC2 实例

  • Storage Gateway 硬件设备 - 对于具有有限虚拟机基础架构的位置,Storage Gateway 提供了物理硬件设备来作为本地部署选项。

注意

Storage Gateway 不支持从从其他网关虚拟机的快照或克隆创建的虚拟机或从您的亚马逊恢复网关EC2AMI。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 从虚拟机意外关闭中恢复

Storage Gateway 不支持动态内存和虚拟内存激增。

在SCSI启动器中支持

部署缓存卷或存储卷网关时,可以在网关上创建 i SCSI 存储卷。

要连接到这些 i SCSI 设备,Storage Gateway 支持以下 i SCSI 启动器:

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows 10

  • Windows 8.1

  • Red Hat Enterprise Linux 5

  • Red Hat Enterprise Linux 6

  • Red Hat Enterprise Linux 7

  • Red Hat Enterprise Linux 8

  • 红帽企业 Linux 9

  • VMwareESX启动器,它提供了一种替代在您的客户机操作系统中使用启动器的方法 VMs

重要

Storage Gateway 不支持来自 Windows 客户端的微软多路径 I/O (MPIO)。

如果主机使用 Windows 服务器故障转移群集协调访问,Storage Gateway 支持将多台主机连接到同一个卷(WSFC)。但是,如果不使用,则无法将多台主机连接到同一个卷(例如,共享非群集的 NTFS /ext4 文件系统)。WSFC