Requisitos de configuración de gateway - AWSStorage Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos de configuración de gateway

A menos que se especifique lo contrario, los siguientes requisitos son comunes a todos los tipos de gateway de archivos enAWS Storage Gateway. La configuración debe cumplir los requisitos de esta sección. Revise los requisitos que se aplican a la configuración de la puerta de enlace antes de implementar la puerta de enlace.

Requisitos previos requeridos

Antes de utilizar Amazon FSx File Gateway (FSx File Gateway), debe cumplir los siguientes requisitos:

  • Cree y configure un sistema de archivos FSx for Windows File Server. Para obtener instrucciones, consultePaso 1: Crear su sistema de archivosen laGuía del usuario de Amazon FSx for Windows File Server.

  • Configurar Microsoft Active Directory (AD).

  • Asegúrese de que haya suficiente ancho de banda de red entre la puerta de enlace yAWS. Se requiere un mínimo de 100 Mbps para descargar, activar y actualizar correctamente la puerta de enlace.

  • Configura tu red privada, VPN oAWS Direct Connectentre Amazon Virtual Private Cloud (Amazon VPC) y el entorno local en el que está implementando la gateway de archivos FSx.

  • Asegúrese de que la puerta de enlace pueda resolver el nombre del controlador de dominio de Active Directory. Puede utilizar DHCP en su dominio de Active Directory para gestionar la resolución o especificar un servidor DNS manualmente desde el menú Configuración de red de la consola local de la puerta de enlace.

Requisitos de hardware y almacenamiento

Las siguientes secciones proporcionan información acerca de los requisitos mínimos de hardware y la configuración necesarios para la gateway y la cantidad mínima de espacio en disco que se debe asignar para el almacenamiento necesario.

Para obtener información sobre las prácticas recomendadas de rendimiento de la gateway de archivos, consulte Guía de desempeño de las gateways de archivos.

Requisitos de hardware para las máquinas virtuales locales

Cuando implemente la gateway localmente, asegúrese de que el hardware subyacente en el que implemente la máquina virtual de gateway (MV) pueda dedicar los siguientes recursos mínimos:

  • Cuatro procesadores virtuales asignados a la máquina virtual

  • 16 GiB de RAM reservada para gateways de archivos

  • 80 GiB de espacio de disco para la instalación de los datos del sistema y la imagen de la MV

Para obtener más información, consulte Optimización del rendimiento de la gateway. Para obtener información acerca de cómo afecta el hardware al rendimiento de la MV de la gateway, consulte Cuotas para los recursos compartidos de archivos.

Requisitos para los tipos de instancias Amazon EC2

Cuando implemente la gateway en Amazon Elastic Compute Cloud (Amazon EC2), el tamaño de la instancia debe ser al menosxlargepara que su puerta de enlace funcione. Sin embargo, para la familia de instancias optimizadas para computación el tamaño debe ser como mínimo2xlarge. Utilice uno de los siguientes tipos de instancias recomendadas para su tipo de gateway.

Recomendadas para los tipos de gateway de archivos

  • Familia de instancias de uso general: tipo de instancia m4 o m5.

  • Familia de instancias optimizadas para computación: tipos de instancia c4 o c5. Seleccione el tamaño de instancia 2xlarge o superior para cumplir los requisitos de RAM necesarios.

  • Familia de instancias optimizadas para memoria: tipos de instancia r3.

  • Familia de instancias optimizadas para almacenamiento: tipos de instancia i3.

    nota

    Cuando se lanza la gateway en Amazon EC2 y el tipo de instancia que se ha elegido es compatible con almacenamiento efímero, los discos se muestran de forma automática. Para obtener más información sobre el almacenamiento de instancias de Amazon EC2, consulteStorage Instanceen laGuía del usuario de Amazon EC2.

    Las operaciones de escritura de las aplicaciones se almacenan en la memoria caché de forma síncrona y, a continuación, se cargan de forma asíncrona en el almacenamiento duradero en Amazon S3. Si el almacenamiento efímero se pierde debido a que una instancia se detiene antes de que haya finalizado la carga, los datos que todavía se encuentran en la caché y todavía no se ha escrito en Amazon Simple Storage Service (Amazon S3) se pueden perder. Antes de detener la instancia que aloja la gateway, asegúrese de que elCachePercentDirtyMetric CloudWatch es0. Para obtener información sobre el almacenamiento efímero, consulte Uso del almacenamiento efímero con puertas de enlace EC2. Para obtener información sobre la monitorización de métricas para la gateway de almacenamiento, consulteSupervisión de la gateway de archivos.

    Si tiene más de cinco millones de objetos en el bucket de S3 y utiliza un volumen SSD de uso general, se necesita un volumen EBS raíz mínimo de 350 GiB para tener un rendimiento aceptable durante el inicio de la gateway. Para obtener información sobre cómo aumentar el tamaño del volumen, consulteModificación de un volumen de EBS utilizando volúmenes elásticos (consola).

Requisitos de almacenamiento

Además de 80 GiB de espacio en disco para la máquina virtual, también necesitará discos adicionales para la gateway.

Tipo de gateway Caché (mínimo) Caché (máximo)
Gateway archivos 150 GiB 64 TiB
nota

Puede configurar una o más unidades locales para la caché, hasta la máxima capacidad.

Cuando se agrega caché a una gateway existente, es importante crear nuevos discos en el host (hipervisor o instancia de Amazon EC2). No cambie el tamaño de los discos si se han asignado previamente como caché.

Para obtener información acerca de las cuotas de gateway, consulte Cuotas para los recursos compartidos de archivos.

Requisitos de red y firewall

La gateway necesita obtener acceso a Internet, las redes locales, los servidores de nombres de dominio (DNS), firewalls, routers, etc.

Los requisitos de ancho de banda de red varían en función de la cantidad de datos que carga y descarga la puerta de enlace. Se requiere un mínimo de 100 Mbps para descargar, activar y actualizar correctamente la puerta de enlace. Sus patrones de transferencia de datos determinarán el ancho de banda necesario para soportar su carga de trabajo.

A continuación, puede encontrar información sobre los puertos necesarios y cómo permitir el acceso a través de firewalls y routers.

nota

En algunos casos, es posible implementar FSx File Gateway en Amazon EC2 o utilizar otros tipos de implementación (incluida la local) con políticas de seguridad de red que restringenAWSRangos de direcciones IP. En estos casos, la gateway podría experimentar problemas de conectividad con elAWSCambios en los valores del rango de IP. LaAWSLos valores del rango de direcciones IP que necesita utilizar se encuentran en el subconjunto de servicio de Amazon para elAWSRegión en la que activa la gateway. Para conocer los valores actuales de rango de IP, consulteAWSRangos de direcciones IPen laAWSReferencia general de.

Requisitos de los puertos

Storage Gateway requiere que determinados puertos estén permitidos para funcionar. Las siguientes ilustraciones muestran los puertos necesarios que deben permitirse para cada tipo de gateway. Algunos puertos son requeridos por todos los tipos de gateway y otros son requeridos solo por algunos tipos específicos. Para obtener más información sobre los requisitos de puertos, consulte Requisitos de los puertos.

Puertos comunes para todos los tipos de gateway

Los siguientes puertos son comunes y obligatorios para todos los tipos de gateways.

Protocolo

Puerto

Dirección

Fuente

Destino

Cómo se utiliza

TCP

443 (HTTPS)

Salida

Storage Gateway

AWS

Para la comunicación desde Storage Gateway alAWSpunto de enlace de servicio. Para obtener más información acerca de los puntos de enlace de servicio, consulte Permisos de acceso de AWS Storage Gateway a través de firewalls y routers.

TCP

80 (HTTP)

Entrada

El host desde el que te conectas alAWS Management Console.

Storage Gateway

Los sistemas locales lo utilizan para obtener la clave de activación de Storage Gateway. El puerto 80 solo se usa durante la activación del dispositivo Storage Gateway.

Storage Gateway no requiere que el puerto 80 sea accesible públicamente. El nivel de acceso exigido al puerto 80 depende de la configuración de la red. Si activa la gateway desde la consola de Storage Gateway, el host desde el que se conecta a la consola debe tener acceso al puerto 80 de la gateway.

UDP/UDP

53 (DNS)

Salida

Storage Gateway

Servidor DNS

Para la comunicación entre Storage Gateway y el servidor DNS.

TCP

22 (canal de soporte)

Salida

Storage Gateway

AWS Support

PermiteAWS SupportPara acceder a la gateway para ayudarle con la solución de problemas de gateway. No necesita este puerto abierto para el funcionamiento normal de la gateway, pero se exige para la solución de problemas.

UDP

123 (NTP)

Salida

Cliente NTP

Servidor NTP

Lo utilizan los sistemas locales para sincronizar la hora de la VM con la hora del host.

Puertos para las gateways de archivos

En la siguiente ilustración se muestran los puertos que se deben abrir para una gateway de archivos de S3.

nota

Para conocer los requisitos específicos de puertos, consulteRequisitos de los puertos.

Para S3 File Gateway, solo necesita utilizar Microsoft Active Directory cuando desee permitir que los usuarios del dominio tengan acceso a un recurso compartido de archivos de Server Message Block (SMB). Puede unir la gateway de archivos a cualquier dominio válido de Microsoft Windows (que se pueda resolver por DNS).

También puede utilizar laAWS Directory Servicepara crear unAWS Managed Microsoft ADen Amazon Web Services Cloud. Para la mayoríaAWS Managed Microsoft ADimplementaciones, necesita configurar el servicio de protocolo de configuración dinámica de host (DHCP) para la VPC. Para obtener información sobre la creación de un conjunto de opciones de DHCP, consulteCrear un conjunto de opciones de DHCPen laAWS Directory ServiceGuía de administración.

Además de los comunes, Amazon S3 File Gateway necesita los siguientes puertos.

Protocolo

Puerto

Dirección

Fuente

Destino

Cómo se utiliza

TCP/UDP

2049 (NFS)

Entrada

Clientes NFS

Storage Gateway

Para que los sistemas locales se conecten con las rutas compartidas NFS que expone la gateway.

TCP/UDP

111 (NFsV3)

Entrada

cliente NFSv3

Storage Gateway

Para que los sistemas locales se conecten con el mapeador de puertos que expone la gateway.

nota

Este puerto solo es necesario para NFSv3.

TCP/UDP

20048 (NFsV3)

Entrada

cliente NFSv3

Storage Gateway

Para que los sistemas locales se conecten con montajes que expone la gateway.

nota

Este puerto solo es necesario para NFSv3.

Requisitos de red y firewall para el dispositivo de hardware Storage Gateway

Cada dispositivo de hardware de Storage Gateway requiere los siguientes servicios de red:

  • acceso a Internet— una conexión de red siempre activa a Internet a través de cualquier interfaz de red del servidor.

  • Servicios DNS— Servicios DNS para la comunicación entre el dispositivo de hardware y el servidor DNS.

  • Sincronización horaria: se debe tener acceso a un servicio de hora Amazon NTP configurado automáticamente.

  • dirección IP— Una dirección DHCP o IPv4 estática asignada. No puede asignar una dirección IPv6.

Existen cinco puertos de red físicos en la parte posterior del servidor Dell PowerEdge R640. De izquierda a derecha (mirando a la parte posterior del servidor) estos puertos son los siguientes:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

Puede utilizar el puerto iDRAC para la administración remota del servidor.

Un dispositivo de hardware requiere los siguientes puertos para funcionar.

Protocolo

Puerto

Dirección

Fuente

Destino

Cómo se utiliza

SSH

22

Salida

Dispositivo de hardware

54.201.223.107

canal de soporte
DNS 53 Salida Dispositivo de hardware Servidores DNS Resolución de nombres
UDP/NTP 123 Salida Dispositivo de hardware *.amazon.pool.ntp.org Sincronización horaria
HTTPS

443

Salida

Dispositivo de hardware

*.amazonaws.com

Transferencia de datos

HTTP 8080 Entrada AWS Dispositivo de hardware Activación (solo brevemente)

Para rendir de acuerdo con el diseño, un dispositivo de hardware requiere que la configuración de red y de firewall sea como se indica a continuación:

  • Configure todas las interfaces de red conectadas en la consola del hardware.

  • Asegúrese de que cada interfaz de red se encuentre en su propia subred.

  • Proporcione todas las interfaces de red conectadas con acceso de salida a los puntos de enlace que se enumeran en el diagrama anterior.

  • Configure al menos una interfaz de red para admitir el dispositivo de hardware. Para obtener más información, consulte Configuración de parámetros de red.

nota

Para ver una ilustración que muestra la parte posterior del servidor con sus puertos, consulteMontaje en bastidor de su dispositivo de hardware y conectarlo a la alimentación.

Todas las direcciones IP de la misma interfaz de red (NIC), ya sea para una gateway o un host, deben estar en la misma subred. La siguiente ilustración muestra el esquema de direccionamiento.

Para obtener más información sobre la activación y la configuración de un dispositivo de hardware, consulteUso del dispositivo de hardware Storage Gateway.

Permisos de acceso de AWS Storage Gateway a través de firewalls y routers

La gateway necesita obtener acceso a los siguientes puntos de enlace de servicio para comunicarse conAWS. Si utiliza un firewall o un router para filtrar o limitar el tráfico de red, debe configurarlos para dar permiso a los puntos de enlace de servicio paraAWS.

importante

En función de la puerta de enlaceAWSRegión, sustituirregiónen el extremo de servicio con la cadena Region correcta.

Todas las gateways requieren el punto de enlace de servicio siguiente para las operaciones de head-bucket.

s3.amazonaws.com:443

Todas las puertas de enlace requieren los siguientes extremos de servicio para la ruta de control (anon-cp,client-cp,proxy-app) y ruta de datos (dp-1).

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443

El siguiente punto de enlace de servicio de la gateway es necesario para realizar llamadas a la API.

storagegateway.region.amazonaws.com:443

El siguiente ejemplo es un punto de enlace de servicio de la gateway en la región EE.UU. Oeste (Oregón) (us-west-2).

storagegateway.us-west-2.amazonaws.com:443

El punto de enlace de servicio Amazon S3, que se muestra a continuación, únicamente lo utilizan las gateways de archivos. Una gateway de archivos necesita este punto de enlace para obtener acceso al bucket de Amazon S3 al que se asigna un recurso compartido de archivos.

s3.region.amazonaws.com

El siguiente ejemplo es un punto de enlace de servicio Amazon S3 en la región EE.UU. Este (Ohio) (us-east-2).

s3.us-east-2.amazonaws.com
nota

Si la puerta de enlace no puede determinar laAWSRegión en la que se encuentra el bucket de S3, este punto de enlace de servicio utiliza de forma predeterminadas3.us-east-1.amazonaws.com. Le recomendamos que permita el acceso a la región US East (N. Virginia) (us-east-1), además de las regiones en las que se active la gateway y en las que se encuentre su bucket de S3.

Los siguientes son los puntos de enlace de servicio de Amazon S3 paraAWS GovCloud (US)Regiones.

s3-fips-us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS)) s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS)) s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard)) s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

El siguiente ejemplo es un punto de enlace de servicio de FIPS para un bucket de S3 en elAWSRegión GovCloud (US-West).

bucket-name.s3-fips-us-gov-west-1.amazonaws.com

El punto de enlace de Amazon CloudFront que sigue es necesario para que Storage Gateway obtenga la lista de disponiblesAWSRegiones.

https://d4kdq0yaxexbo.cloudfront.net/

Una máquina virtual de Storage Gateway está configurada para utilizar los siguientes servidores NTP.

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

Configuración de grupos de seguridad para la instancia de gateway de Amazon EC2

EnAWS Storage Gateway, un grupo de seguridad controla el tráfico a la instancia de la gateway de Amazon EC2. A la hora de configurar un grupo de seguridad, recomendamos las siguientes acciones:

  • El grupo de seguridad no debe permitir conexiones entrantes procedentes de Internet. Solamente debe permitir que se comuniquen con la gateway las instancias que se encuentren dentro del grupo de seguridad de la gateway.

    Si necesita permitir que se conecten instancias con la gateway desde el exterior de su grupo de seguridad, le recomendamos que solo permita conexiones en los puertos 3260 (para conexiones iSCSI) y 80 (para la activación).

  • Si desea activar la gateway desde un host Amazon EC2 fuera del grupo de seguridad de la gateway, permita las conexiones entrantes en el puerto 80 desde la dirección IP de ese host. Si no puede determinar la dirección IP del host de activación, puede abrir el puerto 80, activar la gateway y, a continuación, cerrar el acceso en el puerto 80 tras completar la activación.

  • Permita el acceso al puerto 22 únicamente si utiliza AWS Support para propósitos de solución de problemas. Para obtener más información, consulte ¿Quieres?AWS Supportpara ayudar a solucionar problemas de la puerta de enlace EC2.

En algunos casos, es posible utilizar una instancia de Amazon EC2 como iniciador (es decir, para conectarse a destinos iSCSI en una gateway implementada en Amazon EC2). En tal caso, se recomienda un enfoque de dos pasos:

  1. Debe lanzar la instancia del iniciador en el mismo grupo de seguridad que la gateway.

  2. Debe configurar el acceso de modo que el iniciador pueda comunicarse con la gateway.

Para obtener más información acerca de los puertos que se deben abrir para la gateway, consulte Requisitos de los puertos.

Hipervisores compatibles y requisitos de host

Puede ejecutar Storage Gateway localmente, como un dispositivo de máquina virtual o como un dispositivo de hardware físico, o enAWScomo instancia Amazon EC2.

Storage Gateway es compatible con las siguientes versiones de hipervisor y hosts:

  • VMware ESXi Hypervisor (versión 6.0, 6.5 o 6.7): hay una versión gratuita de VMware disponible en elSitio web de VMware. Para esta configuración, también necesitará un cliente VMware vSphere para conectarse al host.

  • Microsoft Hyper-V Hypervisor (versión 2012 R2 o 2016): hay una versión gratuita independiente de Hyper-V disponible en elCentro de descargas de Microsoft. Para esta configuración, necesitará Microsoft Hyper-V Manager en un equipo cliente Microsoft Windows para conectarse al host.

  • Máquina virtual basada en Linux Kernel (KVM): una tecnología de virtualización gratuita de código abierto. KVM se incluye en todas las versiones de Linux versión 2.6.20 y posteriores. Storage Gateway se ha probado y es compatible con las distribuciones Centos/RHEL 7.7, Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. Cualquier otra distribución moderna de Linux puede funcionar, pero la funcionalidad o el rendimiento no están garantizados. Recomendamos esta opción si ya tiene un entorno KVM en funcionamiento y ya está familiarizado con el funcionamiento de KVM.

  • Instancia de Amazon EC2: Storage Gateway proporciona una imagen de máquina de Amazon (AMI) que contiene la imagen de MV de la gateway. Para obtener información sobre cómo implementar una gateway en Amazon EC2, consulteImplementación de una gateway de archivos en un host Amazon EC2.

  • Dispositivo de hardware de Storage Gateway: Storage Gateway proporciona un dispositivo de hardware físico como opción de implementación local para ubicaciones con infraestructura de máquina virtual limitada.

nota

Storage Gateway no permite recuperar una gateway desde una máquina virtual que se creó a partir de una instantánea o un clon de otra máquina virtual de gateway o desde la AMI de Amazon EC2. Si la MV de la gateway no funciona correctamente, active una nueva gateway y recupere los datos para esa gateway. Para obtener más información, consulte Recuperación de un apagado inesperado de una máquina virtual.

Storage Gateway no es compatible con la memoria dinámica ni con la asignación dinámica.

Clientes de NFS compatibles con una gateway de archivos

Las gateways de archivos admiten los siguientes clientes de Network File System (NFS):

  • Amazon Linux

  • Mac OS X

    nota

    Recomendamos configurar larsizeywsizeopciones de montaje a 64 KB para mejorar el rendimiento al montar recursos compartidos de archivos NFS en Mac OS X.

  • RHEL 7

  • SUSE Linux Enterprise Server 11 y SUSE Linux Enterprise Server 12

  • Ubuntu 14.04

  • Microsoft Windows 10 Enterprise, Windows Server 2012 y Windows Server 2016. Los clientes nativos solo son compatibles con NFS versión 3.

  • Windows 7 Enterprise y Windows Server 2008.

    Los clientes nativos solo son compatibles con NFS v3. El tamaño máximo admitido de E/S NFS es de 32 KB, por lo que podría experimentar una reducción del rendimiento en estas versiones de Windows.

    nota

    Ahora puede utilizar recursos compartidos de archivos SMB cuando necesite tener acceso a través de clientes SMB de Windows en lugar de utilizar clientes NFS de Windows.

Clientes de SMB compatibles con una gateway de archivos

Las gateways de archivos admiten los siguientes clientes Service Message Block (SMB):

  • Microsoft Windows Server 2008 y posteriores

  • Versiones de escritorio de Windows: 10, 8 y 7.

  • Windows Terminal Server que se ejecuta en Windows Server 2008 y versiones posteriores

    nota

    El cifrado de Server Message Block requiere clientes compatibles con SMB v2.1.

Operaciones del sistema de archivos compatibles con una gateway de archivos

El cliente de NFS o SMB puede escribir, leer, eliminar y truncar archivos. Cuando los clientes envían escrituras aAWS Storage Gateway, escribe en la caché local de forma síncrona. A continuación, escribe en Amazon S3 de forma asíncrona a través de transferencias optimizadas. Las lecturas se sirven primero a través de la caché local. Si los datos no están disponibles, se recuperan a través de S3 como caché de lectura previa.

Las escrituras y las lecturas se optimizan de tal forma que solamente se transfieren a través de la gateway las partes modificadas o solicitadas. Las eliminaciones quitan los objetos de Amazon S3. Los directorios se administran como objetos de carpeta en S3, utilizando la misma sintaxis de la consola de Amazon S3.

Las operaciones HTTP como, por ejemplo, GET, PUT, UPDATE y DELETE pueden modificar los archivos de un recurso compartido de archivos. Estas operaciones se ajustan a las funciones atómicas de creación, lectura, actualización y eliminación (CRUD).