Aktivieren eines Gateways in einer Virtual Private Cloud

Sie können eine private Verbindung zwischen Ihrer lokalen Software-Appliance und der Cloud-basierten Speicherinfrastruktur herstellen. Anschließend können Sie die Software-Appliance verwenden, um Daten anAWSSpeicher ohne dass Ihr Gateway kommuniziertAWSSpeicher-Services über das öffentliche Internet. Mithilfe des Amazon VPC-Dienstes können Sie startenAWS-Ressourcen in einem benutzerdefinierten virtuellen Netzwerk. Mit einer Virtual Private Cloud (VPC) können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen über VPCs finden Sie unterWas ist Amazon VPC?imAmazon VPC User Guideaus.

Um ein Gateway mit einem Storage Gateway VPC-Endpunkt in Ihrer VPC zu verwenden, gehen Sie wie folgt vor:

• Verwenden Sie die VPC-Konsole zum Erstellen eines VPC-Endpunkts für Storage Gateway und rufen Sie die VPC-Endpunkt-ID ab. Geben Sie diese VPC-Endpunkt-ID an, wenn Sie das Gateway erstellen und aktivieren.

• Wenn Sie ein File Gateway aktivieren, erstellen Sie einen VPC-Endpunkt für Amazon S3. Geben Sie diesen VPC-Endpunkt an, wenn Sie Dateifreigaben für Ihr Gateway erstellen.

• Wenn Sie ein File Gateway aktivieren, richten Sie einen HTTP-Proxy ein und konfigurieren Sie ihn in der lokalen VM-Konsole des File Gateways. Sie benötigen diesen Proxy für lokale File Gateways, die hypervisorbasiert sind, z. B. solche, die auf VMware, Microsoft HyperV und Linux KVM (Kernel-basierte virtuelle Maschine) basieren. In diesen Fällen benötigen Sie den Proxy, um den Zugriff Ihres Gateways auf private Amazon S3 S3-Endpunkte außerhalb Ihrer VPC zu ermöglichen. Weitere Informationen zum Konfigurieren eines HTTP-Proxys finden Sie unter Konfigurieren eines HTTP-Proxys

Anmerkung

Ihr Gateway muss in derselben Region aktiviert werden, in der Ihr VPC-Endpunkt erstellt wurde.

Für das File Gateway muss sich der Amazon S3-Speicher, der für die Dateifreigabe konfiguriert ist, in derselben Region befinden, in der Sie den VPC-Endpunkt für Amazon S3 erstellt haben.

Erstellen eines VPC-Endpunkts für Storage Gateway

Befolgen Sie diese Anweisungen zum Erstellen eines VPC-Endpunkts. Wenn Sie bereits über einen VPC-Endpunkt für Storage Gateway verfügen, können Sie ihn verwenden.

So erstellen Sie einen VPC-Endpunkt für Storage Gateway

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

3. Auf derErstellen eines Endpunkts-Seite wählenAWSServiceszumServicekategorieaus.

4. Wählen Sie für Service Name (Servicename) com.amazonaws.region.storagegateway aus. Beispiel com.amazonaws.us-east-2.storagegateway.

5. Wählen Sie in VPC (VPC) Ihre VPC aus und notieren Sie ihre Availability Zones und Subnetze.

6. Stellen Sie sicher, dass Enable Private DNS Name (Privaten DNS-Namen aktivieren) ausgewählt ist.

7. Wählen Sie in Security group (Sicherheitsgruppe) die Sicherheitsgruppe aus, die Sie für Ihre VPC verwenden möchten. Sie können die Standardsicherheitsgruppe akzeptieren. Stellen Sie sicher, dass alle der folgenden TCP-Ports in Ihrer Sicherheitsgruppe zulässig sind:

   • TCP 443

   • TCP 1026

   • TCP 1027

   • TCP 1028

   • TCP 1031

   • TCP 2222

8. Wählen Sie Create endpoint (Endpunkt erstellen). Der Anfangsstatus des Endpunkts ist pending (ausstehend). Wenn der Endpunkt erstellt wurde, notieren Sie die ID des VPC-Endpunkts, den Sie gerade erstellt haben.

9. Wenn der Endpunkt erstellt wurde, wählen Sie Endpoints (Endpunkte) und dann den neuen VPC-Endpunkt aus.

10. Suchen Sie den Abschnitt DNS Names (DNS-Namen) und verwenden Sie den ersten DNS-Namen, der keine Availability Zone angibt. Ihr DNS-Name sieht ungefähr wie folgt aus: vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

Da Sie nun über einen VPC-Endpunkt verfügen, können Sie Ihr Gateway erstellen.

Wichtig

Wenn Sie ein File Gateway erstellen, müssen Sie auch einen Endpunkt für Amazon S3 erstellen. Führen Sie dieselben Schritte wie im obigen Abschnitt So erstellen Sie einen VPC-Endpunkt für Storage Gateway durch, aber wählen Siecom.amazonaws.us-east-2.s3stattdessen unter Dienstname. Anschließend wählen Sie die Routing-Tabelle aus, die dem S3-Endpunkt zugeordnet sein soll, anstelle der Subnetz-/Sicherheitsgruppe. Detaillierte Anweisungen finden Sie unterErstellen eines Gateway-Endpunktsaus.

Einrichten und Konfigurieren eines HTTP-Proxys (nur lokale Datei-Gateways)

Wenn Sie ein File Gateway aktivieren, müssen Sie einen HTTP-Proxy einrichten und ihn in der lokalen VM-Konsole des File Gateways konfigurieren. Sie benötigen diesen Proxy für ein lokales File Gateway, um auf private Amazon S3 S3-Endpunkte von außerhalb Ihrer VPC zuzugreifen. Wenn Sie bereits über einen HTTP-Proxy in Amazon EC2 verfügen, können Sie ihn verwenden. Sie müssen allerdings überprüfen, ob alle der folgenden TCP-Ports in Ihrer Sicherheitsgruppe zulässig sind:

• TCP 443

• TCP 1026

• TCP 1027

• TCP 1028

• TCP 1031

• TCP 2222

Wenn Sie keinen Amazon EC2 Proxy haben, verwenden Sie das folgende Verfahren, um einen HTTP-Proxy einzurichten und zu konfigurieren.

So richten Sie einen Proxyserver ein

1. Starten Sie ein Amazon EC2 Linux AMI. Wir raten zur Verwendung einer Instance-Familie, die für Netzwerke optimiert ist, z. B. die c5n.large.

2. Mit dem folgenden Befehl können Sie Squid installieren: sudo yum install squidaus. Dadurch wird eine Standardkonfigurationsdatei in/etc/squid/squid.confaus.

3. Ersetzen Sie den Inhalt dieser Konfigurationsdatei durch den folgenden Inhalt:

   #
   # Recommended minimum configuration:
   #
    
   # Example rule allowing access from your local networks.
   # Adapt to list your (internal) IP networks from where browsing
   # should be allowed
   acl localnet src 10.0.0.0/8              # RFC1918 possible internal network
   acl localnet src 172.16.0.0/12       # RFC1918 possible internal network
   acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
   acl localnet src fc00::/7       # RFC 4193 local private network range
   acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
    
   acl SSL_ports port 443
   acl SSL_ports port 1026
   acl SSL_ports port 1027
   acl SSL_ports port 1028
   acl SSL_ports port 1031
   acl SSL_ports port 2222
   acl CONNECT method CONNECT
    
   #
   # Recommended minimum Access Permission configuration:
   #
   # Deny requests to certain unsafe ports
   http_access deny !SSL_ports
    
   # Deny CONNECT to other than secure SSL ports
   http_access deny CONNECT !SSL_ports
    
   # Only allow cachemgr access from localhost
   http_access allow localhost manager
   http_access deny manager
    
   # Example rule allowing access from your local networks.
   # Adapt localnet in the ACL section to list your (internal) IP networks
   # from where browsing should be allowed
   http_access allow localnet
   http_access allow localhost
    
   # And finally deny all other access to this proxy
   http_access deny all
    
   # Squid normally listens to port 3128
   http_port 3128
    
   # Leave coredumps in the first cache dir
   coredump_dir /var/spool/squid
    
   #
   # Add any of your own refresh_pattern entries above these.
   #
   refresh_pattern ^ftp:                     1440       20%        10080
   refresh_pattern ^gopher:            1440       0%          1440
   refresh_pattern -i (/cgi-bin/|\?) 0             0%          0
   refresh_pattern .                             0              20%        4320

4. Wenn Sie keine Notwendigkeit haben, den Proxy-Server zu sperren, und keine Änderungen mehr erforderlich sind, aktivieren und starten Sie den Proxy-Server mithilfe der folgenden Befehle. Diese Befehle starten den Server, wenn hochfährt.

   sudo chkconfig squid on
   sudo service squid start

Sie können jetzt den HTTP-Proxy für das Storage Gateway konfigurieren, um es zu verwenden. Bei der Konfiguration des Gateways für die Verwendung eines Proxys verwenden Sie den Standard-Squid-Port 3128. Die generierte squid.conf-Datei deckt standardmäßig die folgenden erforderlichen TCP-Ports ab:

• TCP 443

• TCP 1026

• TCP 1027

• TCP 1028

• TCP 1031

• TCP 2222

So konfigurieren Sie den HTTP-Proxy mithilfe der lokalen VM-Konsole

1. Melden Sie sich bei der lokalen VM-Konsole des Gateways an. Informationen zum Anmelden finden Sie unter Anmelden an der lokalen Konsole des File Gateways.

2. Wählen Sie im Hauptmenü die Option Configure HTTP proxy (HTTP-Proxy konfigurieren) aus.

3. In derKonfigurationMenü wählenKonfigurieren von HTTP-Proxyaus.

4. Geben Sie den Host-Namen und Port für Ihren Proxy-Server ein.

Detaillierte Informationen zum Konfigurieren eines HTTP-Proxys finden Sie unter Konfigurieren eines HTTP-Proxys.

Zulassen von Datenverkehr zu erforderlichen Ports in Ihrem HTTP-Proxy

Wenn Sie einen HTTP-Proxy verwenden, stellen Sie sicher, dass Sie Datenverkehr von Storage Gateway zu den folgenden aufgelisteten Zielen und Ports zulassen.

Wenn Storage Gateway über die öffentlichen Endpunkte kommuniziert, kommuniziert es mit den folgenden Storage Gateway Gateway-Services.

anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443
storagegateway.region.amazonaws.com:443 (Required for making API calls)
s3.region.amazonaws.com (Required only for File Gateway)

Wichtig

Abhängig von Ihrem GatewayAWSRegion, ersetzenRegionIm Endpunkt mit der entsprechenden Regionszeichenfolge für Wenn Sie beispielsweise ein Gateway in der Region US-West (Oregon) erstellen, würde der Endpunkt wie folgt aussehen:storagegateway.us-west-2.amazonaws.com:443aus.

Wenn Storage Gateway über den VPC-Endpunkt kommuniziert, kommuniziert es mitAWS-Services über mehrere Ports auf dem VPC-Endpunkt des Storage Gateway und Port 443 auf dem privaten Amazon S3 S3-Endpunkt.

• TCP-Ports auf dem Storage Gateway-VPC-Endpunkt

  • 443, 1026, 1027, 1028, 1031 und 2222

• TCP-Port auf dem privaten S3-Endpunkt

  • 443