Attivare un gateway in un cloud privato virtuale - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivare un gateway in un cloud privato virtuale

È possibile creare una connessione privata tra l'applicazione software locale e l'infrastruttura di storage basato sul cloud. È quindi possibile utilizzare il dispositivo software per il trasferimento dei datiAWSstorage senza che il gateway comunichiAWSServizi di storage tramite Internet pubblico. Utilizzando il servizio Amazon VPC, è possibile avviareAWSrisorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni sui VPC, consultaCos'è Amazon VPC?nellaAmazon VPC User Guide.

Per usare un gateway con l'endpoint VPC Storage Gateway nel VPC, è possibile eseguire le operazioni descritte di seguito:

  • Utilizzare la console VPC per creare un endpoint VPC per Storage Gateway e per ottenere l'ID endpoint VPC. Specificare questo ID endpoint VPC quando si crea e si attiva il gateway.

  • Se attivi un gateway di file, creare un endpoint VPC per Amazon S3. Specificare questo endpoint VPC quando si creano condivisioni di file per il gateway.

  • Se attivi un file di gateway, è necessario configurare un proxy HTTP e configurarlo nella console locale della macchina virtuale del gateway. Questo proxy è necessario per i gateway di file locali basati su hypervisor, ad esempio quelli basati su VMware, Microsoft HyperV e KVM (Kernel-based Virtual Machine) Linux. In questi casi, è necessario il proxy per abilitare gli endpoint privati Amazon S3 dall'esterno del VPC. Per ulteriori informazioni su come configurare un proxy HTTP, consulta Configurazione di un proxy HTTP

Nota

Il gateway deve essere attivato nella stessa regione in cui l'endpoint VPC è stato creato.

Per il gateway di file, lo storage Amazon S3 configurato per la condivisione di file deve trovarsi nella stessa regione in cui è stato creato l'endpoint VPC per Amazon S3.

Creazione di un endpoint VPC per Storage Gateway

Per creare un endpoint VPC, attenersi alle istruzioni seguenti. Se si dispone già di un endpoint VPC per Storage Gateway, è possibile utilizzarlo.

Per creare un endpoint VPC per Storage Gateway

  1. Accedere ad AWS Management Console e aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Endpoint e scegliere Create Endpoint (Crea endpoint).

  3. SulCreazione endpointpagina, scegliereAWSServiziperCategoria dei servizi.

  4. Per Service Name (Nome del servizio), selezionare com.amazonaws.region.storagegateway. Ad esempio com.amazonaws.us-east-2.storagegateway.

  5. Per VPC, scegliere il VPC e annotare le zone di disponibilità e le sottoreti.

  6. Verificare che Enable Private DNS Name (Abilita nome DNS privato) non sia selezionato.

  7. Per Gruppo di sicurezza, scegliere il gruppo di sicurezza che si desidera utilizzare per il VPC. È possibile accettare il gruppo di sicurezza predefinito. Verificare che tutte le seguenti porte TCP siano consentite nel gruppo di sicurezza:

    • TCP 443

    • TCP 1026

    • TCP 1027

    • TCP 1028

    • TCP 1031

    • TCP 2222

  8. Selezionare Create endpoint (Crea endpoint). Lo stato iniziale dell'endpoint è pending (in sospeso). Quando l'endpoint viene creato, prendere nota dell'ID dell'endpoint VPC appena creato.

  9. Quando l'endpoint viene creato, scegliere Endpoint quindi il nuovo endpoint VPC.

  10. Trovare la sezione DNS Names (Nomi DNS) e utilizzare il primo nome DNS che non specifica una zona di disponibilità. Il tuo nome DNS sarà come il seguente: vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

Ora che si dispone di un endpoint VPC, è possibile creare il gateway.

Importante

Se si crea un gateway di file, è necessario creare un endpoint anche per Amazon S3. Seguire gli stessi passaggi indicati nella sezione Per creare un endpoint VPC per Storage Gateway, ma selezionarecom.amazonaws.us-east-2.s3invece in Nome servizio. Quindi selezionare la tabella di instradamento a cui si desidera associare l'endpoint S3 invece del gruppo di sicurezza o della sottorete. Per istruzioni, consultaCreazione di un endpoint gateway.

Impostazione e configurazione di un proxy HTTP (solo gateway di file locali)

Se attivi un file di gateway, è necessario impostare un proxy http e configurarlo nella console locale della macchina virtuale del gateway. Questo proxy è necessario affinché il gateway di file locale acceda agli endpoint privati Amazon S3 dall'esterno del VPC. Se si dispone già di un proxy http in Amazon EC2, è possibile utilizzarlo. È necessario, tuttavia, verificare che tutte le seguenti porte TCP siano consentite nel gruppo di sicurezza:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Se non si dispone di un proxy Amazon EC2, utilizzare la procedura seguente per impostare e configurare un proxy http.

Per configurare un server proxy

  1. Avvia un'AMI Amazon EC2 Linux. Si consiglia di usare una famiglia di istanze ottimizzate per la rete, ad esempio c5n.large.

  2. Utilizzare il comando seguente per installare Squid: sudo yum install squid. In questo modo viene creato un file di configurazione predefinito in/etc/squid/squid.conf.

  3. Sostituire i contenuti di questo file config con quanto segue:

    # # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl SSL_ports port 1026 acl SSL_ports port 1027 acl SSL_ports port 1028 acl SSL_ports port 1031 acl SSL_ports port 2222 acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
  4. Se non è necessario bloccare il server proxy e non è necessario effettuare alcuna modifica, abilitarlo e avviarlo utilizzando i comandi riportati di seguito. Questi comandi consentono di avviare il server all'accensione.

    sudo chkconfig squid on sudo service squid start

A questo punto, configurare il proxy http per Storage Gateway affinché venga utilizzato da. Quando si configura il gateway per utilizzare un proxy, utilizzare la porta squid 3128 predefinita. Il file squid.config generato copre tutte le seguenti porte TCP necessarie per impostazione predefinita:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Per utilizzare la console locale della macchina virtuale per configurare il proxy HTTP

  1. Accedere alla console locale della VM del gateway. Per ulteriori informazioni su come effettuare l'accesso, consulta Accedere alla console locale del gateway del file.

  2. Nel menu principale, scegliere Configurare un proxy HTTP.

  3. Nel menu Configuration (Configurazione), scegliere Configure HTTP proxy (Configura proxy HTTP).

  4. Fornire il nome host e la porta per il server proxy.

Per informazioni dettagliate su come configurare un proxy HTTP, consulta Configurazione di un proxy HTTP.

Consentire il traffico verso le porte richieste nel proxy HTTP

Se si utilizza un proxy http, assicurarsi di consentire il traffico da Storage Gateway alle destinazioni e alle porte elencate di seguito.

Quando Storage Gateway è in comunicazione tramite endpoint pubblici, comunica con i seguenti servizi Storage Gateway.

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443 storagegateway.region.amazonaws.com:443 (Required for making API calls) s3.region.amazonaws.com (Required only for File Gateway)
Importante

A seconda del gatewayAWSRegione, sostituisciregionenell'endpoint con la stringa della regione corrispondente. Ad esempio, se si crea un gateway nella regione Stati Uniti occidentali (Oregon), l'endpoint avrà l'aspetto seguente:storagegateway.us-west-2.amazonaws.com:443.

Quando Storage Gateway è in comunicazione tramite l'endpoint VPC, comunica conAWSServizi tramite più porte sull'endpoint VPC Storage Gateway e sulla porta 443 sull'endpoint privato Amazon S3.

  • Porte TCP sull'endpoint VPC dello Storage Gateway.

    • 443, 1026, 1027, 1028, 1031 e 2222

  • Porta TCP sull'endpoint S3 privato

    • 443