檔案閘道設定要求 - AWSStorage Gateway
必需的先決條件硬體及儲存體需求網路與防火牆需求支援的 Hypervisor 與主機需求檔案閘道支援的 NFS 用戶端檔案閘道支援的 SMB 用戶端支援的檔案系統操作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檔案閘道設定要求

除非另有説明,否則以下需求皆為AWS Storage Gateway。您的設置必須符合本節中的要求。在部署網關之前,請查看適用於網關設置的要求。

必需的先決條件

在使用 Amazon FsX 檔案閘道 (FSx 檔案閘道) 之前,您必須符合以下要求:

  • 建立和設 FSx for Windows File Server 檔案系統。如需說明,請參閱「」步驟 1:建立檔案系統中的Amazon FSx for Windows File Server 用户指南

  • 配置 Microsoft Active Directory (AD)。

  • 確保網關和AWS。成功下載、激活和更新網關至少需要 100 Mbps。

  • 配置您的專用網絡、VPN 或AWS Direct Connect在您的 Amazon Virtual Private Cloud (Amazon VPC) 和您將部署 FSX 檔案閘道的現場環境之間。

  • 確保您的網關可以解析您的活動目錄域控制器的名稱。您可以在 Active Directory 域中使用 DHCP 來處理解析,或者從網關本地控制台的「網絡配置設置」菜單中手動指定 DNS 服務器。

硬體及儲存體需求

下列部分提供閘道所需的最少硬體和設定的相關信息,以及為所需的儲存體分配的最小磁碟空間。

如需檔案閘道效能最佳實務的詳細資訊,請參閱 關於文件網關的效能指南

現場部署 VM 的硬體需求

在現場部署您的閘道時,您必須確保閘道虛擬機器 (VM) 將部署至的底層硬體可專用於下列最少資源:

  • 指派給 VM 的四個虛擬處理器

  • 16 GiB 預留 RAM 用於檔案閘道

  • 安裝 VM 映像和系統資料的 80 GiB 磁碟空間

如需詳細資訊,請參閱 最佳化閘道效能。如需您硬體影響閘道 VM 效能之方式的資訊,請參閱 檔案共享的配額

Amazon EC2 執行個體類型的要求

在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署您的閘道時,執行個體的大小必須至少為xlarge以便您的網關正常工作。但是,針對運算最佳化執行個體系列,大小必須至少為2xlarge。請針對您的閘道類型,使用下列其中一個建議的執行個體類型。

檔案閘道類型的建議項目

  • 一般用途執行個體系列 — m4 或 m5 執行個體類型。

  • 運算最佳化執行個體系列 — c4 或 c5 執行個體類型。選取 2xlarge 或更高的執行個體大小來符合必要的 RAM 需求。

  • 記憶體最佳化執行個體系列 — r3 執行個體類型。

  • 儲存體最佳化執行個體系列 — i3 執行個體類型。

    注意

    當您在 Amazon EC2 中啟動您的閘道,並且您選取的執行個體類型支援暫時性儲存時,磁碟會自動列出。如需 Amazon EC2 執行個體儲存體的詳細資訊,請參執行個體存儲中的Amazon EC2 使用者指南。

    應用程式寫入會同步存放在快取中,並會非同步上傳至 Amazon S3 中的耐用儲存體。若暫時性儲存因執行個體在上傳完成前停止而遺失,仍在快取中並且還未寫入 Amazon Simple Storage Service (Amazon S3) 的資料將可能遺失。在您停止主控閘道的執行個體前,請確認CachePercentDirtyCloudWatch 指標是0。如需暫時性儲存的詳細資訊,請參閱將臨時存儲與 EC2 網關結合使用。如需 Storage Gateway 之監控指標的詳細資訊,請參監視檔案閘道

    若您在您的 S3 儲存貯體中有超過 500 萬個物件,並且您使用的是一般用途 SSD 磁碟區,則為了讓您的閘道在啟動時獲得可接受的效能,至少需要 350 GiB 的根 EBS 磁碟區。如需如何增加磁碟區大小的資訊,請參使用 Elastic Volumes 修改 EBS 磁碟區 (主控台)

儲存需求

除了 VM 的 80 GiB 磁碟空間之外,您的閘道也需要額外的磁碟。

閘道類型 高速緩存(最小值) 高速緩存(最大值)
檔案閘道 150 GiB 64 TiB
注意

您可以為緩存配置一個或多個本地驅動器,最多可達到最大容量。

將快取添加至現有的閘道時,請務必在您的主機 (虛擬化管理程序或 Amazon EC2 執行個體) 中建立新的磁碟。若先前已將磁碟配置為快取,請勿變更現有磁碟的大小。

如需閘道配額的詳細資訊,請參閱 檔案共享的配額

網路與防火牆需求

您的閘道需要存取網際網路、本機網路、網域名稱服務 (DNS) 伺服器、防火牆、路由器等。

網絡帶寬要求因網關上傳和下載的數據量而異。成功下載、激活和更新網關至少需要 100Mbps。您的數據傳輸模式將決定支持工作負載所需的帶寬。

您可以在以下內容找到必要連接埠及如何允許透過防火牆及路由器進行存取的相關資訊。

注意

在某些情況下,您可能會在 Amazon EC2 上部署 FSx File Gateway,或是使用其他部署類型 (包括現場部署) 與限制AWSIP 地址範圍。在這些情況下,您的閘道可能會發生服務連線問題,當AWSIP 範圍值發生變化。所以此AWS您需使用的 IP 地址範圍值,位於AWS您在中激活閘道的區域。有關當前 IP 範圍值,請參閲AWSIP 地址範圍中的AWS一般參考

連接埠需求

Storage Gateway 需要允許特定的連接埠才能進行操作。下圖顯示您必須為每一種類型的閘道允許的必要連接埠。有些連接埠為所有閘道類型的必要連接埠,其他的則為特定閘道類型的必要連接埠。如需連接埠需求的詳細資訊,請參閱連接埠需求

所有閘道類型的常見連接埠

以下為所有閘道類型常見的連接埠,所有閘道磁帶均需使用到。

通訊協定

連接埠

Direction

來源

Destination (目的地)

使用方式

TCP

443 (HTTPS)

傳出

Storage Gateway

AWS

對於從 Storage Gateway 到AWS服務端點。如需服務端點的資訊,請參閱 允許透過防火牆和路由器的 AWS Storage Gateway 存取

TCP

80 (HTTP)

傳入

從中連接到AWS Management Console。

Storage Gateway

由本機系統取得儲存閘道啟用金鑰。僅有在啟用 Storage Gateway 設備時,才會使用連接埠 80。

Storage Gateway 不需要讓連接埠 80 可公開存取。連接埠 80 所需的存取權限級別取決於您的網路設定。若您是以 Storage Gateway 主控台啟動您的閘道,則您連線至主控台的主機必須擁有閘道連接埠 80 的存取權限。

UDP/UDP

53 (DNS)

傳出

Storage Gateway

DNS 伺服器

用於 Storage Gateway 與 DNS 伺服器之間的通訊。

TCP

22 (支援通道)

傳出

Storage Gateway

AWS Support

允許AWS Support,以訪問閘道,以幫助您排解閘道問題。不需要將此埠開放給閘道的正常操作使用,但進行疑難排解時需要用到。

UDP

123 (NTP)

傳出

NTP 客户端

NTP 伺服器

本機系統用來將 VM 的時間與主機時間同步。

檔案閘道的連接埠

下圖顯示要為 S3 檔案閘道開啟的連接埠。

注意

如需特定端口要求,請參閲連接埠需求

若您想讓網域使用者能夠存取服務器訊息區塊 (SMB) 檔案共享時,您只需使用 Microsoft Active Directory 網關。您可以將您的檔案閘道加入任何有效的 Microsoft Windows 網域 (可由 DNS 解析)。

您也可以使用AWS Directory Service建立AWS Managed Microsoft AD」(位於 Amazon Web Services Cloud)。對於大多數AWS Managed Microsoft AD部署時,您需要為您的 VPC 設定動態主機設定協議 (DHCP) 服務。如需建立 DHCP 選項集的詳細資訊,請參建立 DHCP 選項集中的AWS Directory Service管理指南

除了常用的連接埠之外,Amazon S3 檔案閘道還需下要下列連接埠。

通訊協定

連接埠

Direction

來源

Destination (目的地)

使用方式

TCP/UDP

2049 (NFS)

傳入

NFS 客户端

Storage Gateway

使本機系統能夠連線至閘道公開的 NFS 共享。

TCP/UDP

111 (非政府組織第三屆會議)

傳入

NFS3 客户端

Storage Gateway

用於本地系統連接到網關公開的端口映射器。

注意

此端口僅用於 NFSv3。

TCP/UDP

第三屆會議

傳入

NFS3 客户端

Storage Gateway

使本機系統能夠連線至閘道公開的掛載。

注意

此端口僅用於 NFSv3。

Storage Gateway 硬體設備的網路與防火牆需求

每個 Storage Gateway 硬體設備都需要以下網路服務:

  • 網路存取— 通過服務器上的任何網路接口,始終在線與 Internet 連線。

  • DNS 服務— 用於硬體設備與 DNS 伺服器之間通訊的 DNS 服務。

  • 時間同步— 必須能夠存取自動設定的 Amazon NTP 時間服務。

  • IP 地址— 指派的 DHCP 或靜態 IPv4 地址。您不能指派 IPv6 地址。

Dell PowerEdge R640 伺服器後方有 5 個實體網路連接埠。從左到右 (面向伺服器的背面),這些連接埠如下所示:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

您可以將 iDRAC 連接埠用於遠端伺服器管理。

硬體設備需要以下連接埠才能運作。

通訊協定

連接埠

Direction

來源

Destination (目的地)

使用方式
SSH

22

傳出

 硬體設備

54.201.223.107

 支援通道
DNS 53 傳出 硬體設備 DNS 伺服器 名稱解析
UDP/NTP 123 傳出 硬體設備 *.amazon.pool.ntp.org 時間同步
HTTPS

443

傳出

 硬體設備

*.amazonaws.com

資料傳輸
HTTP 8080 傳入 AWS 硬體設備 啟用 (只需短暫時間)

若要依設計方式執行,硬體設備需要如下所示的網路和防火牆設定:

  • 在硬體主控台設定所有連接的網路介面。

  • 確保每個網路介面位於唯一的子網路。

  • 提供所有連接網路介面可以對外存取前面的圖表中所列的端點。

  • 至少設定一個網路介面來支援硬體設備。如需詳細資訊,請參閱 設定閘道參數

注意

若要查看顯示伺服器背面及其連接埠的插圖,請參閱機架安裝您的硬件設備並將其連接到電源

同一個網路介面 (NIC) 上的所有 IP 地址都必須位在同一個子網路,無論是用於閘道或主機。下圖顯示了定址配置。

如需啟用和設定硬體設備的詳細資訊,請參使用 Storage Gateway 硬體設備

允許透過防火牆和路由器的 AWS Storage Gateway 存取

您的閘道必須存取下列端點,才能與AWS。若您使用防火牆或路由器來篩選或限制網路流量,則必須設定防火牆和路由器,以允許這些服務端點可與AWS。

重要

取決於您的網關AWS區域,替換區域在服務終端節點中使用正確的區域字符串。

下列服務端點為所有閘道頭部署操作的必要項目。

s3.amazonaws.com:443

所有網關都需要以下服務端點來控制路徑(anon-cpclient-cpproxy-app)和數據路徑(dp-1) 操作。

anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443

進行 API 呼叫時必須使用下列閘道服務端點。

storagegateway.region.amazonaws.com:443

下列範例是美國西部 (奧勒岡) 區域 (us-west-2

storagegateway.us-west-2.amazonaws.com:443

下圖顯示的 Amazon S3 服務端點僅由檔案閘道使用。檔案閘道需要此端點來存取檔案共享映射的 Amazon S3 儲存貯體。

s3.region.amazonaws.com

下列範例是 Amazon S3 美國東部 (俄亥俄州) 區域 (us-east-2

s3.us-east-2.amazonaws.com
注意

如果您的網關無法確定AWSS3 儲存儲體所在的區域中,此服務端點默認為s3.us-east-1.amazonaws.com。我們建議您允許訪問美國東部(弗吉尼亞北部)區域 (us-east-1),以及您的閘道啟用所在的區域,以及 S3 儲存貯體所在的區域。

下列是 Amazon S3 服務端點,用於AWS GovCloud (US)地區。

s3-fips-us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS))
s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS))
s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard))
s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

下列範例是 S3 儲存儲體的 FIPS 服務端點。AWSGovCloud (美國西部) 區域。

bucket-name.s3-fips-us-gov-west-1.amazonaws.com

Amazon CloudFront 端點為的必要項目,Storage Gateway 才能取得可用AWS地區。

https://d4kdq0yaxexbo.cloudfront.net/

儲存體閘道 VM 會設定為使用下列 NTP 伺服器。

0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

為 Amazon EC2 閘道執行個體設定安全組

InAWS Storage Gateway時,安全組控制流向 Amazon EC2 閘道執行個體的流量。當您設定安全群組時,建議使用下列各項:

  • 安全群組不應該允許來自外部網際網路的傳入連線。它只應該允許閘道安全群組內的執行個體與閘道通訊。

    如果您需要允許執行個體從其安全群組外部連線至閘道,則建議您只允許連接埠 3260 (適用於 iSCSI 連線) 和 80 (適用於啟用) 上的連線。

  • 若您想從閘道安全組外部的 Amazon EC2 主機啟用閘道,則允許連接埠 80 上來自該主機之 IP 地址的傳入連線。如果您無法判斷啟用主機的 IP 地址,則可以開啟連接埠 80,並啟用閘道,然後在完成啟用後關閉連接埠 80 上的存取。

  • 只有在您基於故障診斷而使用 AWS Support 時,才允許連接埠 22 存取。如需詳細資訊,請參閱 你想要的AWS Support幫助您排除 EC2 網關故障

在某些情況下,您可能會使用 Amazon EC2 執行個體做為啟動器 (也就是説,連線至 Amazon EC2 上部署閘道上的 iSCSI 目標)。在這種情況下,建議使用兩個步驟的方法:

  1. 您應該啟動與閘道相同之安全群組中的啟動器執行個體。

  2. 您應該設定存取權,讓啟動器可以與您的閘道通訊。

如需要針對閘道所開啟之連接埠的資訊,請參閱連接埠需求

支援的 Hypervisor 與主機需求

您可以 Storage Gateway 擬機器 (VM) 裝置或物理硬體設備形式,或是在AWS執行個體設定為 Amazon EC2 執行個體。

Storage Gateway 支援下列虛擬化管理程序版本與主機:

  • VMware ESXi 虛擬化管理程序 (6.0、6.5 或 6.7 版) — VMware 的免費版本可自VMware 官方網站。針對此設定,您也需要 VMware vSphere 用戶端以連線到主機。

  • Microsoft Hyper-V 虛擬化管理程序 (2012 R2 或 2016 版本) — Hyper-V 的免費、獨立版本可自微軟下載中心。針對此設定,您需要 Microsoft Windows 用戶端電腦上的 Microsoft Hyper-V 管理員以連線到主機。

  • Linux 核心型虛擬機器 (KVM) — 免費的開放源碼虛擬化技術。KVM 包含在所有版本 2.6.20 及更新版本中。已針對 CentOS/RHEL 7.7、Ubuntu 16.04 LTS 與 Ubuntu 18.04 LTS 發行版進行測試和支援。任何其他現代 Linux 發行版都可以運作,但不保證功能或性能。如果您已經啟動並執行 KVM 環境,而且您已經熟悉 KVM 的運作方式,建議您使用此選項。

  • Amazon EC2 執行個體 — Storage Gateway 提供包含閘道 VM 映像的 Amazon Machine Image (AMI)。如需如何在 Amazon EC2 上部署閘道的資訊,請參在 Amazon EC2 主機上部署檔案閘道

  • Storage Gateway 硬體設備 — Storage Gateway 以現場部署選項形式,為具有有限虛擬機器基礎設施的位置提供物理硬體設備。

注意

Storage Gateway 道不支援透過從快照、另一個閘道 VM 的複製,或是從您的 Amazon EC2 AMI 建立的 VM 復原閘道。若您的閘道 VM 發生問題,請啟用新的閘道並將您的資料復原至該閘道。如需詳細資訊,請參閱 從意外的虛擬機關閉中恢復

Storage Gateway 不支援動態記憶體和虛擬記憶體佔用。

檔案閘道支援的 NFS 用戶端

檔案閘道支援下列網路檔案系統 (NFS) 用戶端:

  • Amazon Linux

  • Mac OS X

    注意

    我們建議您將rsizewsize裝載選項設置為 64KB,以提高在 Mac OS X 上掛載 NFS 文件共享時的性能。

  • RHEL 7

  • SUSE Linux Enterprise Server 11 及 SUSE Linux Enterprise Server 12

  • Ubuntu 14.04

  • Microsoft Windows 10 企業版、Windows Server 2012 及 Windows Server 2016。原生用戶端只支援 NFS 版本 3。

  • Windows 7 企業版及 Windows Server 2008。

    原生用戶端只支援 NFS v3。支援的最大 NFS I/O 大小為 32 KB,因此您可能會在這些版本的 Windows 上遇到效能降低的問題。

    注意

    您現在可以在需要透過 Windows (SMB) 用戶端 (而非 Windows NFS 用戶端) 進行存取時,使用 SMB 檔案共享。

檔案閘道支援的 SMB 用戶端

檔案閘道支援下列服務訊息區塊 (SMB) 用戶端:

  • Microsoft Windows Server 2008 及更新版本

  • Windows 桌面版本:10、8 及 7。

  • Windows Server 2008 及更新版本上運行的 Windows Terminal Server

    注意

    服務器消息塊加密需要支持 SMB v2.1 的客户端。

檔案閘道支援的檔案系統操作

您的 NFS 或 SMB 用戶端可寫入、讀取、刪除和截斷檔案。當客户端將寫入發送到AWS Storage Gateway,則會同步寫入本地緩存。接著會透過最佳化傳輸,非同步寫入 Amazon S3。讀取會先透過本機快取提供。若資料無法使用,便會從 S3 做為直接讀取快取擷取。

寫入和讀取已進行最佳化。只有變更或請求的部分才會透過您的閘道傳輸。刪除 Amazon S3 移除物件。目錄會在 S3 中做為資料夾物件管理,使用與 Amazon S3 主控台中相同的語法。

HTTP 操作 (例如 GETPUTUPDATEDELETE) 可修改檔案共享中的檔案。這些操作符合不可部分完成的建立、讀取、更新及刪除 (CRUD) 功能。