Amazon FSx File Gateway ya no está disponible para nuevos clientes. Los clientes actuales de FSx File Gateway pueden seguir utilizando el servicio con normalidad. Para obtener información sobre funciones similares a las de FSx File Gateway, visite esta entrada de blog
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos de configuración de File Gateway
A menos que se indique lo contrario, los siguientes requisitos son comunes a todos los tipos de File Gateway en AWS Storage Gateway. La configuración debe cumplir los requisitos de esta sección. Revise los requisitos que se aplican a la configuración de la puerta de enlace antes de implementarla.
Temas
Requisitos previos
Antes de configurar Amazon FSx File Gateway (FSx File Gateway) , debe cumplir los siguientes requisitos previos:
-
Cree y configure un sistema de archivos FSx para Windows File Server. Para obtener instrucciones, consulta el paso 1: Crea tu sistema de archivos en la Guía del usuario del servidor de archivos de Amazon FSx para Windows.
-
Configure Microsoft Active Directory (AD) y cree una cuenta de servicio de Active Directory con los permisos necesarios. Para obtener más información, consulte Requisitos de permisos de las de las cuentas de servicio de Active Directory.
-
Asegúrese de que haya suficiente ancho de banda de red entre la puerta de enlace y AWS. Se requiere un mínimo de 100 Mbps para descargar, activar y actualizar correctamente la puerta de enlace.
-
Configure la conexión que desee utilizar para el tráfico de red entre el entorno local en el que vaya a implementar la puerta de enlace AWS y el entorno local en el que vaya a implementar. Puede conectarse mediante una red pública de Internet, una red privada, una VPN o AWS Direct Connect. Si desea que su puerta de enlace se comunique a AWS través de una conexión privada a una Amazon Virtual Private Cloud, configure Amazon VPC antes de configurar la puerta de enlace.
-
Asegúrese de que su puerta de enlace pueda resolver el nombre de su controlador de dominio de Active Directory. Puede usar DHCP en su dominio de Active Directory para gestionar la resolución o especificar un servidor DNS manualmente desde el menú de ajustes de configuración de red de la consola local de la puerta de enlace.
Requisitos de hardware y almacenamiento
En las siguientes secciones se proporciona información sobre las configuraciones mínimas de hardware y almacenamiento requeridas para la puerta de enlace y la cantidad mínima de espacio en disco que se debe asignar al almacenamiento requerido.
Requisitos de hardware para aplicaciones locales VMs
Al implementar la puerta de enlace de forma local, asegúrese de que el hardware subyacente en el que se implementa la máquina virtual (VM) de la puerta de enlace pueda dedicar los siguientes recursos mínimos:
-
Cuatro procesadores virtuales asignados a la máquina virtual
-
16 GiB de RAM reservada para puertas de enlace de archivo
-
80 GiB de espacio en disco para la instalación de la imagen de la máquina virtual y los datos del sistema
Requisitos para los tipos de EC2 instancias de Amazon
Al implementar la puerta de enlace en Amazon Elastic Compute Cloud (Amazon EC2), el tamaño de la instancia debe ser como mínimo xlargepara que la puerta de enlace funcione. Sin embargo, para la familia de instancias optimizadas para la computación, el tamaño debe ser como mínimo. 2xlarge
nota
La AMI de Storage Gateway solo es compatible con instancias basadas en x86 que utilizan procesadores Intel o AMD. No se admiten las instancias basadas en ARM que utilizan procesadores Graviton.
Utilice uno de los siguientes tipos de instancias recomendadas para su tipo de gateway.
Se recomienda para los tipos de puerta de enlace de archivos
-
Familia de instancias de uso general: tipo de instancia m4, m5, m6 o m7. Elija el tamaño de instancia xlarge o superior para cumplir con los requisitos de RAM y procesador Storage Gateway.
-
Familia de instancias optimizadas para computación: tipos de instancias c4, c5, c6 o c7. Elija el tamaño de instancia 2xlarge o superior para cumplir con los requisitos de RAM y procesador Storage Gateway.
-
Familia de instancias optimizada para memoria: tipos de instancias r3, r5, r6 o r7. Elija el tamaño de instancia xlarge o superior para cumplir con los requisitos de RAM y procesador Storage Gateway.
-
Familia de instancias optimizada para el almacenamiento: tipos de instancias i3, i4 o i7. Elija el tamaño de instancia xlarge o superior para cumplir con los requisitos de RAM y procesador Storage Gateway.
nota
Cuando lanzas tu puerta de enlace en Amazon EC2 y el tipo de instancia que eliges admite el almacenamiento efímero, los discos se muestran automáticamente. Para obtener más información sobre el almacenamiento de EC2 instancias de Amazon, consulta Almacenamiento de instancias en la Guía del EC2 usuario de Amazon.
Requisitos de almacenamiento
Además de 80 GiB de espacio en disco para la máquina virtual, también necesita discos adicionales para la puerta de enlace.
| Tipo de puerta de enlace | Caché (mínimo) | Caché (máximo) |
|---|---|---|
| Gateway de archivos | 150 GiB | 64 TiB |
nota
Puede configurar una o más unidades locales para la memoria caché, hasta la capacidad máxima.
Al añadir caché a una puerta de enlace existente, es importante crear nuevos discos en el host (hipervisor o EC2 instancia de Amazon). No cambies el tamaño de los discos existentes si los discos se han asignado previamente como caché.
Requisitos de red y firewall
La gateway necesita obtener acceso a Internet, las redes locales, los servidores de nombres de dominio (DNS), firewalls, routers, etc.
Los requisitos de ancho de banda de la red varían en función de la cantidad de datos que carga y descarga la puerta de enlace. Se requiere un mínimo de 100 Mbps para descargar, activar y actualizar correctamente la puerta de enlace. Sus patrones de transferencia de datos determinarán el ancho de banda necesario para soportar su carga de trabajo.
A continuación, puede encontrar información sobre los puertos necesarios y cómo permitir el acceso a través de firewalls y routers.
nota
En algunos casos, puedes implementar tu puerta de enlace en Amazon EC2 o usar otros tipos de implementación (incluida la implementación local) con políticas de seguridad de red que restrinjan los rangos de direcciones AWS IP. En estos casos, es posible que la puerta de enlace experimente problemas de conectividad del servicio cuando cambien los valores del rango de AWS IP. Los valores del rango de direcciones AWS IP que debes usar se encuentran en el subconjunto de servicios de Amazon de la AWS región en la que activas tu puerta de enlace. Para obtener los valores actuales de rango de IP, consulte AWS Rangos de direcciones IP de en la Referencia general de AWS.
Temas
Requisitos de los puertos
FSx File Gateway requiere que puertos específicos pasen a través de la seguridad de la red para una implementación y un funcionamiento satisfactorios. Algunos puertos son necesarios para todas las puertas de enlace, mientras que otros solo son necesarios para configuraciones específicas, como cuando se conecta a puntos finales de VPC.
En el caso de FSx File Gateway, debe usar Microsoft Active Directory para permitir que los usuarios del dominio accedan a un recurso compartido de archivos del bloque de mensajes del servidor (SMB). Puede unir su File Gateway a cualquier dominio válido de Microsoft Windows (que se pueda resolver mediante DNS).
También puede utilizarla AWS Directory Service para crear una AWS Managed Microsoft ADen la nube de Amazon Web Services. Para la mayoría de AWS Managed Microsoft AD las implementaciones, debe configurar el servicio de Protocolo de configuración dinámica de host (DHCP) para su VPC. Para obtener información sobre la creación de un conjunto de opciones de DHCP, consulte Crear un conjunto de opciones de DHCP en la Guía de administración.AWS Directory Service
En la siguiente tabla se enumeran los puertos necesarios y se describen los requisitos condicionales en la columna Notas.
Requisitos de puerto para FSx File Gateway
|
Elemento de red |
De |
Para |
Protocolo |
Puerto |
Entrada |
Salida |
Obligatorio |
Notas |
|---|---|---|---|---|---|---|---|---|
|
Navegador web |
El navegador web |
VM de Storage Gateway |
TCP HTTP |
80 |
✓ |
✓ |
✓ |
La utilizan los sistemas locales para obtener la clave de activación de Storage Gateway. El puerto 80 solo se utiliza durante la activación de un dispositivo de Storage Gateway. La máquina virtual de Storage Gateway no requiere que el puerto 80 sea accesible públicamente. El nivel de acceso exigido al puerto 80 depende de la configuración de la red. Si activa la puerta de enlace desde la consola de administración de Storage Gateway, el host desde el que se conecta a la consola debe tener acceso al puerto 80 de la puerta de enlace. |
|
Navegador web |
VM de Storage Gateway |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
AWS Consola de administración (todas las demás operaciones) |
|
DNS |
VM de Storage Gateway |
Servidor DNS (Domain Name Service) |
DNS TCP Y UDP |
53 |
✓ |
✓ |
✓ |
Se utiliza para la comunicación entre una máquina virtual Storage Gateway y el servidor DNS para la resolución de nombres IP. |
|
NTP |
VM de Storage Gateway |
Servidor de Network Time Protocol (NTP) |
TCP Y UDP (NTP) |
123 |
✓ |
✓ |
✓ |
Lo utilizan los sistemas locales para sincronizar la hora de la máquina virtual con la hora del host. Una VM de Storage Gateway está configurada para utilizar los siguientes servidores NTP:
notaNo es obligatorio para las pasarelas alojadas en Amazon EC2. |
|
Storage Gateway |
VM de Storage Gateway |
Soporte Punto final |
TCP SSH |
22 |
✓ |
✓ |
✓ |
Permite acceder Soporte a su puerta de enlace para ayudarle a solucionar los problemas de la puerta de enlace. No necesita este puerto abierto para el funcionamiento normal de la gateway, pero se exige para la solución de problemas. Para obtener una lista de los puntos finales de soporte, consulte puntos Soporte finales. |
|
Storage Gateway |
VM de Storage Gateway |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
Control de administración |
|
Amazon CloudFront |
VM de Storage Gateway |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
Para la activación |
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
Control de administración *Necesario solo cuando se utilizan puntos finales de VPC |
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
1026 |
✓ |
✓* |
Punto final del plano de control *Necesario solo cuando se utilizan puntos finales de VPC |
|
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
1027 |
✓ |
✓* |
Plano de control anónimo (para activación) *Necesario solo cuando se utilizan puntos finales de VPC |
|
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
1028 |
✓ |
✓* |
Punto final proxy *Necesario solo cuando se utilizan puntos finales de VPC |
|
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
1031 |
✓ |
✓* |
Plano de datos *Necesario solo cuando se utilizan puntos finales de VPC |
|
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
2222 |
✓ |
✓* |
Canal de soporte SSH para VPCe *Necesario solo para abrir un canal de soporte cuando se utilizan puntos finales de VPC |
|
|
VPC |
VM de Storage Gateway |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
Control de administración *Necesario solo cuando se utilizan puntos finales de VPC |
|
Cliente de recurso compartido de archivos |
Cliente SMB |
VM de Storage Gateway |
TCP o UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
Servicio de sesión de transferencia de datos para compartir archivos. Sustituye a los puertos 137-139 de Microsoft Windows NT y versiones posteriores. |
|
Microsoft Active Directory |
VM de Storage Gateway |
Servidor de Active Directory |
UDP NetBIOS |
137 |
✓ |
✓ |
✓ |
Servicio de nombres |
|
Microsoft Active Directory |
VM de Storage Gateway |
Servidor de Active Directory |
UDP NetBIOS |
138 |
✓ |
✓ |
✓ |
Servicio de datagramas |
|
Microsoft Active Directory |
VM de Storage Gateway |
Servidor de Active Directory |
TCP Y UDP LDAP |
389 |
✓ |
✓ |
✓ |
Conexión de cliente del Agente del Sistema de Directorios (DSA) |
|
Microsoft Active Directory |
VM de Storage Gateway |
Servidor de Active Directory |
Kerberos TCP y UDP |
88 |
✓ |
✓ |
✓ |
Kerberos |
|
Microsoft Active Directory |
VM de Storage Gateway |
Servidor de Active Directory |
Mapeador de Environment/End puntos de computación distribuida TCP (DCE/EMAP) |
135 |
✓ |
✓ |
✓ |
RPC |
|
FSx Conexión a Amazon |
VM de Storage Gateway |
FSx para Windows File Server |
TCP o UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
Servicio de sesión de transferencia de datos para compartir archivos |
Requisitos de red y firewall para el dispositivo de hardware de Storage Gateway
Cada dispositivo de hardware de Storage Gateway requiere los siguientes servicios de red:
-
Acceso a Internet: una conexión de red permanente a Internet a través de cualquier interfaz de red del servidor.
-
Servicios DNS: servicios DNS para la comunicación entre el dispositivo de hardware y el servidor DNS.
-
Sincronización horaria: se debe poder acceder a un servicio horario de Amazon NTP configurado automáticamente.
-
Dirección IP: una IPv4 dirección estática o de DHCP asignada. No puede asignar una IPv6 dirección.
Hay cinco puertos de red físicos en la parte posterior del servidor Dell PowerEdge R640. De izquierda a derecha (mirando a la parte posterior del servidor) estos puertos son los siguientes:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
Puede utilizar el puerto iDRAC para la administración remota del servidor.
Un dispositivo de hardware requiere los siguientes puertos para funcionar.
|
Protocolo |
Puerto |
Dirección |
Origen |
Destino |
Uso |
|---|---|---|---|---|---|
| SSH |
22 |
Salida |
Dispositivo de hardware |
|
canal de soporte |
| DNS | 53 | Salida | Dispositivo de hardware | Servidores DNS | Resolución de nombres |
| UDP/NTP | 123 | Salida | Dispositivo de hardware | *.amazon.pool.ntp.org |
Sincronización horaria |
| HTTPS |
443 |
Salida |
Dispositivo de hardware |
|
Transferencia de datos |
| HTTP | 8080 | Entrada | AWS | Dispositivo de hardware | Activación (solo brevemente) |
Para rendir de acuerdo con el diseño, un dispositivo de hardware requiere que la configuración de red y de firewall sea como se indica a continuación:
-
Configure todas las interfaces de red conectadas en la consola del hardware.
-
Asegúrese de que cada interfaz de red se encuentre en su propia subred.
-
Proporcione todas las interfaces de red conectadas con acceso de salida a los puntos de enlace que se enumeran en el diagrama anterior.
-
Configure al menos una interfaz de red para admitir el dispositivo de hardware. Para obtener más información, consulte Configuración de los parámetros de red del dispositivo de hardware.
nota
Para ver una ilustración que muestra la parte posterior del servidor con sus puertos, consulteInstalación física del dispositivo de hardware.
Todas las direcciones IP de la misma interfaz de red (NIC), ya sea para una gateway o un host, deben estar en la misma subred. La siguiente ilustración muestra el esquema de direccionamiento.
Para obtener más información sobre la activación y configuración de un dispositivo de hardware, consulteUso del dispositivo de hardware AWS Storage Gateway.
Permitir el AWS Storage Gateway acceso a través de firewalls y enrutadores
Su puerta de enlace requiere acceso a los siguientes puntos finales del servicio para poder comunicarse con ellos. AWS Si utiliza un firewall o un router para filtrar o limitar el tráfico de red, debe configurar el firewall y el router para dar permiso a los puntos de conexión de servicio para mantener comunicaciones de salida con AWS.
nota
Si configura puntos de enlace de VPC privados para que Storage Gateway los utilice para la conexión y la transferencia de datos desde y hacia AWS, su puerta de enlace no requiere acceso a la Internet pública. Para obtener más información, consulte Activación de una puerta de enlace en una nube virtual privada.
importante
regionEn los siguientes ejemplos de puntos de conexión, sustituya por la Región de AWS cadena correcta para su puerta de enlace, por ejemplo. us-west-2
amzn-s3-demo-bucketSustitúyalo por el nombre real del bucket de Amazon S3 de la implementación. También puede utilizar un asterisco (*) en lugar de amzn-s3-demo-bucket para crear una entrada comodín en las reglas del firewall, lo que permitirá incluir el punto final del servicio para todos los nombres de los buckets.
Si sus puertas de enlace están implementadas Regiones de AWS en los Estados Unidos o Canadá y requieren conexiones de punto final que cumplan con la Norma Federal de Procesamiento de la Información (FIPS), sustitúyalas por. s3 s3-fips
Todas las puertas de enlace requieren el siguiente punto de conexión de servicio para las operaciones Head Bucket.
bucket-name.s3.region.amazonaws.com:443
Todas las pasarelas requieren los siguientes puntos finales de servicio para las operaciones de la ruta de control (anon-cpclient-cp,proxy-app) y la ruta de datos (). dp-1
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
El siguiente punto de enlace de servicio de la gateway es necesario para realizar llamadas a la API.
storagegateway.region.amazonaws.com:443
El siguiente ejemplo es un punto de conexión de servicio de la puerta de enlace en la región Oeste de EE. UU. (Oregón) (us-west-2).
storagegateway.us-west-2.amazonaws.com:443
Además de los puntos finales del servicio Storage Gateway y Amazon S3, Storage Gateway VMs también requiere acceso de red a los siguientes servidores NTP:
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
Para obtener una lista completa de AWS las regiones y puntos de enlace de AWS servicio compatibles que puede usar con Storage Gateway, consulte los AWS Storage Gateway puntos de enlace y las cuotas en. Referencia general de AWS
-
Para obtener una lista de AWS las regiones compatibles que puede usar con el dispositivo de hardware, consulte Regiones del dispositivo de hardware Storage Gateway en Referencia general de AWS.
Configuración de grupos de seguridad para su instancia de Amazon EC2 Gateway
En AWS Storage Gateway, un grupo de seguridad controla el tráfico a tu instancia de Amazon EC2 Gateway. A la hora de configurar un grupo de seguridad, recomendamos las siguientes acciones:
-
El grupo de seguridad no debe permitir conexiones entrantes procedentes de Internet. Solamente debe permitir que se comuniquen con la gateway las instancias que se encuentren dentro del grupo de seguridad de la gateway.
Si necesitas permitir que las instancias se conecten a la puerta de enlace desde fuera de su grupo de seguridad, te recomendamos que permitas las conexiones solo en el puerto 80 (para la activación).
-
Si quieres activar tu puerta de enlace desde un EC2 host de Amazon ajeno al grupo de seguridad de la puerta de enlace, permite las conexiones entrantes en el puerto 80 desde la dirección IP de ese host. Si no puede determinar la dirección IP del host de activación, puede abrir el puerto 80, activar la gateway y, a continuación, cerrar el acceso en el puerto 80 tras completar la activación.
-
Permita el acceso al puerto 22 solo si lo utiliza Soporte para solucionar problemas. Para obtener más información, consulte Quieres ayudar Soporte a solucionar los problemas de tu Amazon Gateway EC2 .
Hipervisores compatibles y requisitos de host
Puede ejecutar Storage Gateway localmente como un dispositivo de máquina virtual (VM) o un dispositivo de hardware físico, o AWS como una EC2 instancia de Amazon.
Storage Gateway es compatible con las siguientes versiones de hipervisores y hosts:
-
VMware ESXi Hipervisor (versión 7.0 u 8.0): para esta configuración, también necesita un cliente VMware vSphere para conectarse al host.
-
Microsoft Hyper-V Hypervisor (2012 R2, 2016, 2019 o 2022): hay una versión gratuita independiente de Hyper-V disponible en el Centro de descarga de Microsoft
. Para esta configuración, necesitará Microsoft Hyper-V Manager en un equipo cliente Microsoft Windows para conectarse al host. -
Máquina virtual basada en el kernel (KVM) de Linux: tecnología de virtualización gratuita y de código abierto. KVM está incluida en todas las versiones de Linux 2.6.20 y posteriores. Storage Gateway se ha probado y es compatible con las CentOS/RHEL distribuciones 7.7, RHEL 8.6 Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. Cualquier otra distribución moderna de Linux puede funcionar, pero la funcionalidad o el rendimiento no están garantizados. Recomendamos esta opción si ya tiene un entorno KVM en funcionamiento y ya está familiarizado con el funcionamiento de KVM.
-
EC2 Instancia de Amazon: Storage Gateway proporciona una imagen de máquina de Amazon (AMI) que contiene la imagen de máquina virtual de la puerta de enlace. Para obtener información sobre cómo implementar una puerta de enlace en Amazon EC2, consulteImplemente un EC2 host de Amazon predeterminado para FSx File Gateway.
-
Dispositivo de hardware Storage Gateway: Storage Gateway proporciona un dispositivo de hardware físico como opción de implementación local para ubicaciones con una infraestructura de máquinas virtuales limitada.
nota
Storage Gateway no admite la recuperación de una puerta de enlace de una máquina virtual que se creó a partir de una instantánea o un clon de otra máquina virtual de puerta de enlace o de su Amazon EC2 AMI. Si la MV de la gateway no funciona correctamente, active una nueva gateway y recupere los datos para esa gateway. Para obtener más información, consulte Recuperación de un cierre inesperado de una máquina virtual.
Storage Gateway no es compatible con la memoria dinámica ni con la asignación dinámica (ballooning) de memoria virtual.
Clientes SMB compatibles con File Gateway
File Gateway admite los siguientes clientes del bloque de mensajes de servicio (SMB):
-
Microsoft Windows Server 2008 R2 y versiones posteriores
-
Versiones de escritorio de Windows: 10, 8 y 7.
-
Windows Terminal Server que se ejecuta en Windows Server 2008 y versiones posteriores
nota
El cifrado del bloque de mensajes del servidor requiere clientes que admitan los dialectos SMB v3.x.
Operaciones de sistema de archivos compatibles con File Gateway
Su cliente SMB puede escribir, leer, eliminar y truncar archivos. Cuando los clientes envían escrituras a Storage Gateway, esta escribe en la memoria caché local de forma sincrónica. Luego escribe en Amazon de forma FSx asíncrona a través de transferencias optimizadas. Las lecturas se sirven primero a través de la caché local. Si los datos no están disponibles, se obtienen a través de Amazon FSx como caché de lectura completa.
Las escrituras y las lecturas se optimizan de tal forma que solamente se transfieren a través de la gateway las partes modificadas o solicitadas. Elimina o elimina archivos de Amazon FSx.
