新規のお客様への Amazon FSx File Gateway の提供は終了しました。FSx File Gateway の既存のお客様は、通常どおりサービスを引き続き使用できます。FSx File Gateway に似た機能については、このブログ記事
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ファイルゲートウェイのセットアップ要件
特に明記されていない限り、以下の要件は のすべてのファイルゲートウェイタイプに共通です AWS Storage Gateway。セットアップは、このセクションの要件を満たしている必要があります。ゲートウェイをデプロイする前に、ゲートウェイのセットアップに適用される要件を確認してください。
トピック
前提条件
Amazon FSx File Gateway (FSx File Gateway) を設定する前に、次の前提条件を満たす必要があります。
-
FSx for Windows File Server ファイルシステムを作成して設定します。手順については、「Amazon FSx for Windows File Server ユーザーガイド」の「ステップ 1: ファイルシステムを作成する」を参照してください。
-
Microsoft Active Directory (AD) を設定し、必要なアクセス許可を持つ Active Directory サービスアカウントを作成します。詳細については、Active Directory サービスアカウントのアクセス許可要件」を参照してください。
-
ゲートウェイと の間に十分なネットワーク帯域幅があることを確認します AWS。ゲートウェイを正常にダウンロード、アクティブ化、更新するには、最低 100 Mbps が必要です。
-
AWS とゲートウェイをデプロイするオンプレミス環境との間のネットワークトラフィックに使用する接続を設定します。パブリックインターネット、プライベートネットワーク、VPN、または を使用して接続できます AWS Direct Connect。Amazon Virtual Private Cloud へのプライベート接続 AWS を介してゲートウェイと通信する場合は、ゲートウェイを設定する前に Amazon VPC を設定します。
-
ゲートウェイが Active Directory ドメインコントローラーの名前を解決できることを確認します。Active Directory ドメインの DHCP を使用して解決を処理するか、ゲートウェイローカルコンソールのネットワーク設定メニューから DNS サーバーを手動で指定できます。
ハードウェアとストレージの要件
以下のセクションでは、ゲートウェイに必要なハードウェアとストレージの最小設定と、必要なストレージに割り当てるディスク容量の最小量について説明します。
オンプレミス VM のハードウェア要件
ゲートウェイをオンプレミスにデプロイするときは、ゲートウェイ仮想マシン (VM) をデプロイする基盤となるハードウェアが、次の最小リソースを専有できることを確認します。
-
VM に割り当てられた 4 つの仮想プロセッサ
-
ファイルゲートウェイ用に 16 GiB の予約済みの RAM
-
VM イメージとシステムデータをインストールするための 80 GiB のディスク容量
Amazon EC2 インスタンスタイプでの要件
Amazon Elastic Compute Cloud (Amazon EC2) にゲートウェイをデプロイする場合、ゲートウェイxlargeが機能するには、インスタンスサイズが少なくとも である必要があります。ただし、コンピューティング最適化インスタンスファミリーの場合、サイズは 以上である必要があります2xlarge。
注記
Storage Gateway AMI は、Intel または AMD プロセッサを使用する x86 ベースのインスタンスとのみ互換性があります。Graviton プロセッサを使用する ARM ベースのインスタンスはサポートされていません。
ゲートウェイの種類に応じて次のインスタンスタイプのうち 1 つを使用することをお勧めします。
ファイルゲートウェイタイプに推奨
-
汎用インスタンスファミリー – m4、m5、m6、または m7 インスタンスタイプ。Storage Gateway プロセッサと RAM 要件を満たすには、xlarge インスタンスサイズ以上を選択します。
-
コンピューティング最適化インスタンスファミリー – c4、c5、c6、または c7 インスタンスタイプ。Storage Gateway プロセッサと RAM 要件を満たすには、2xlarge インスタンスサイズ以上を選択します。
-
メモリ最適化インスタンスファミリー – r3、r5、r6、または r7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、xlarge インスタンスサイズ以上を選択します。
-
ストレージ最適化インスタンスファミリー – i3、i4、または i7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、xlarge インスタンスサイズ以上を選択します。
注記
Amazon EC2 でゲートウェイを起動し、選択したインスタンスタイプがエフェメラルストレージをサポートしている場合、ディスクは自動的に一覧表示されます。Amazon EC2 インスタンスストレージの詳細については、Amazon EC2 ユーザーガイドの「Amazon EC2 インスタンスストア」を参照してください。
ストレージの要件
VM 用の 80 GiB のディスク容量に加えて、ゲートウェイ用の追加のディスクも必要です。
| ゲートウェイタイプ | キャッシュ (最小) | キャッシュ (最大) |
|---|---|---|
| ファイルゲートウェイ | 150 GiB | 64 TiB |
注記
最大容量まで、キャッシュ用に 1 つ以上のローカルドライブを設定できます。
既存のゲートウェイにキャッシュを追加するときは、ホスト (ハイパーバイザーまたは Amazon EC2 インスタンス) に新しいディスクを作成することが重要です。ディスクがキャッシュとして以前に割り当てられている場合は、既存のディスクのサイズを変更しないでください。
ネットワークとファイアウォールの要件
ゲートウェイには、インターネット、ローカルネットワーク、ドメインネームサービス (DNS) サーバー、ファイアウォール、ルーターなどへのアクセスが必要です。
ネットワーク帯域幅の要件は、ゲートウェイによってアップロードおよびダウンロードされるデータの量によって異なります。ゲートウェイのダウンロード、アクティブ化、および更新を正常に行うには、最低 100 Mbps が必要です。データ転送のパターンによって、ワークロードのサポートに必要な帯域幅が決まります。
以下は、必要なポートと、ファイアウォールとルーターを経由してアクセスを許可する方法についての情報です。
注記
場合によっては、Amazon EC2 にゲートウェイをデプロイしたり、 AWS IP アドレス範囲を制限するネットワークセキュリティポリシーで他のタイプのデプロイ (オンプレミスを含む) を使用したりすることがあります。このような場合、 AWS IP 範囲の値が変更されると、ゲートウェイでサービス接続の問題が発生する可能性があります。使用する必要がある AWS IP アドレス範囲の値は、ゲートウェイをアクティブ化するリージョンの Amazon AWS サービスサブセットにあります。現在の IP 範囲値については、「AWS 全般のリファレンス」の「AWS IP アドレスの範囲」を参してください。
トピック
ポート要件
FSx File Gateway では、デプロイとオペレーションを成功させるために、ネットワークセキュリティを介して特定のポートを許可する必要があります。一部のポートはすべてのゲートウェイに必要ですが、他のポートは VPC エンドポイントに接続するときなど、特定の設定にのみ必要です。
FSx File Gateway では、Microsoft Active Directory を使用して、ドメインユーザーがサーバーメッセージブロック (SMB) ファイル共有にアクセスできるようにする必要があります。ファイルゲートウェイは、任意の有効な Microsoft Windows ドメイン (DNS で解決可能) に結合できます。
を使用して AWS Directory Service 、Amazon Web Services クラウドAWS Managed Microsoft ADで を作成することもできます。ほとんどの AWS Managed Microsoft AD デプロイでは、VPC の Dynamic Host Configuration Protocol (DHCP) サービスを設定する必要があります。DHCP オプションセットの作成については、「 管理ガイド」の「DHCP オプションセットの作成」を参照してください。 AWS Directory Service
次の表に、必要なポートと、Notes 列の条件付き要件を示します。
FSx 要件のポート要件 FSx
|
ネットワーク要素 |
From |
To |
プロトコル |
ポート |
インバウンド |
アウトバウンド |
必須 |
メモ |
|---|---|---|---|---|---|---|---|---|
|
ウェブブラウザ |
ウェブブラウザ |
Storage Gateway VM |
TCP HTTP |
80 |
✓ |
✓ |
✓ |
Storage Gateway アクティベーションキーを取得するためにローカルシステムによって使用されます。ポート 80 は Storage Gateway アプライアンスのアクティベーション時にのみ使用されます。Storage Gateway VM には、ポート 80 へのパブリックアクセスは不要です。ポート 80 へのアクセスに必要なレベルはネットワークの設定によって決まります。Storage Gateway マネジメントコンソールからゲートウェイをアクティブ化する場合、コンソールに接続するホストはゲートウェイのポート 80 にアクセスできる必要があります。 |
|
ウェブブラウザ |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
AWS マネジメントコンソール (その他すべてのオペレーション) |
|
DNS |
Storage Gateway VM |
ドメインネームサービス (DNS) サーバー |
TCP および UDP DNS |
53 |
✓ |
✓ |
✓ |
IP 名解決のために Storage Gateway VM と DNS サーバー間の通信に使用されます。 |
|
NTP |
Storage Gateway VM |
Network Time Protocol (NTP) サーバー |
TCP および UDP NTP |
123 |
✓ |
✓ |
✓ |
VM 時間をホスト時間に同期するためにオンプレミスシステムで使用されます。Storage Gateway VM は、以下の NTP サーバーを使用するように設定されています。
注記Amazon EC2 でホストされているゲートウェイには必要ありません。 |
|
Storage Gateway |
Storage Gateway VM |
サポート エンドポイント |
TCP SSH |
22 |
✓ |
✓ |
✓ |
サポート ゲートウェイの問題のトラブルシューティングに役立つゲートウェイへのアクセスを に許可します。このポートは、ゲートウェイの通常のオペレーションでは開いておく必要はありませんが、トラブルシューティングでは必要です。サポートエンドポイントのリストについては、サポート 「 エンドポイント」を参照してください。 |
|
Storage Gateway |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
管理コントロール |
|
Amazon CloudFront |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
アクティベーション用 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理コントロール *VPC エンドポイントを使用する場合にのみ必須 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1026 |
✓ |
✓* |
コントロールプレーンエンドポイント *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1027 |
✓ |
✓* |
Anon コントロールプレーン (アクティベーション用) *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1028 |
✓ |
✓* |
プロキシエンドポイント *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1031 |
✓ |
✓* |
データプレーン *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
2222 |
✓ |
✓* |
VPCe の SSH サポートチャネル *VPC エンドポイントを使用する場合にサポートチャネルを開く場合にのみ必要です |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理コントロール *VPC エンドポイントを使用する場合にのみ必須 |
|
ファイル共有クライアント |
SMB クライアント |
Storage Gateway VM |
TCP または UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
ファイル共有データ転送セッションサービス。 Microsoft Windows NT 以降のポート 137~139 を置き換えます。 |
|
Microsoft Active Directory |
Storage Gateway VM |
[Active Directory server] (Active Directory サーバー) |
UDP NetBIOS |
137 |
✓ |
✓ |
✓ |
ネームサービス |
|
Microsoft Active Directory |
Storage Gateway VM |
[Active Directory server] (Active Directory サーバー) |
UDP NetBIOS |
138 |
✓ |
✓ |
✓ |
データグラムサービス |
|
Microsoft Active Directory |
Storage Gateway VM |
[Active Directory server] (Active Directory サーバー) |
TCP および UDP LDAP |
389 |
✓ |
✓ |
✓ |
Directory System Agent (DSA) クライアント接続 |
|
Microsoft Active Directory |
Storage Gateway VM |
[Active Directory server] (Active Directory サーバー) |
TCP および UDP Kerberos |
88 |
✓ |
✓ |
✓ |
Kerberos |
|
Microsoft Active Directory |
Storage Gateway VM |
[Active Directory server] (Active Directory サーバー) |
TCP 分散コンピューティング環境/エンドポイントマッパー (DCE/EMAP) |
135 |
✓ |
✓ |
✓ |
RPC |
|
Amazon FSx 接続 |
Storage Gateway VM |
FSx for Windows File Server |
TCP または UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
ファイル共有データ転送セッションサービス |
Storage Gateway ハードウェアアプライアンスのネットワークとファイアウォールに関する要件
それぞれの Storage Gateway ハードウェアアプライアンスには、以下のネットワークサービスが必要です。
-
インターネットアクセス – サーバー上の任意のネットワークインターフェイスを介した、インターネットへの常時接続のネットワーク接続。
-
DNS サービス – ハードウェアアプライアンスと DNS サーバー間の通信のための DNS サービス。
-
時刻同期 – 自動的に設定された Amazon NTP タイムサービスへのアクセス。
-
IP アドレス – 割り当てられた DHCP または静的 IPv4 アドレス。IPv6 アドレスを割り当てることはできません。
Dell PowerEdge R640 サーバーの背面には、5 つの物理ネットワークポートがあります。これらのポートは、サーバーの背面から見て左から右に、次のとおりです。
-
iDRAC
-
em1 -
em2 -
em3 -
em4
iDRAC ポートをリモートサーバー管理に使用できます。
ハードウェアアプライアンスでは、以下のポートの操作が必要です。
|
プロトコル |
ポート |
[Direction] (方向) |
ソース |
デスティネーション |
使用方法 |
|---|---|---|---|---|---|
| SSH |
22 |
アウトバウンド |
ハードウェアアプライアンス |
|
サポートチャネル |
| DNS | 53 | アウトバウンド | ハードウェアアプライアンス | DNS サーバー | 名前解決 |
| UDP/NTP | 123 | アウトバウンド | ハードウェアアプライアンス | *.amazon.pool.ntp.org |
時刻同期 |
| HTTPS |
443 |
アウトバウンド |
ハードウェアアプライアンス |
|
データ転送 |
| HTTP | 8080 | インバウンド | AWS | ハードウェアアプライアンス | アクティベーション (短時間のみ) |
ハードウェアアプライアンスでは、設計どおりに機能するためには、次のようなネットワークとファイアウォールの設定が必要です。
-
接続されているすべてのネットワークインターフェイスをハードウェアコンソールで設定します。
-
各ネットワークインターフェイスが一意のサブネット上にあることを確認します。
-
接続されているすべてのネットワークインターフェースに、前の図に示されているエンドポイントへのアウトバウンドアクセスを提供します。
-
ハードウェアアプライアンスをサポートするためには、少なくとも 1 つのネットワークインターフェイスを設定します。詳細については、「ハードウェアアプライアンスのネットワークパラメータの設定」を参照してください。
注記
ポートを持つサーバーの背面を示す図については、「」を参照してくださいハードウェアアプライアンスの物理的なインストール。
同じネットワークインターフェイス (NIC) 上のすべての IP アドレスは、ゲートウェイ用でもホスト用でも、同じサブネットにある必要があります。次の図は、アドレス割り当てスキームを示しています。
ハードウェアアプライアンスのアクティブ化と設定の詳細については、「」を参照してくださいAWS Storage Gateway ハードウェアアプライアンスの使用。
ファイアウォールとルーターを介した AWS Storage Gateway アクセスの許可
ゲートウェイが通信するには、次のサービスエンドポイントにアクセスする必要があります AWS。ファイアウォールまたはルーターを使用してネットワークトラフィックをフィルタリングまたは制限する場合は、これらのサービスエンドポイントに対し AWSへのアウトバウンド通信を許可するように、対象のファイアウォールおよびルーターを設定する必要があります。
注記
Storage Gateway との接続とデータ転送に使用するように Storage Gateway のプライベート VPC エンドポイントを設定する場合 AWS、ゲートウェイはパブリックインターネットへのアクセスを必要としません。詳細については、「仮想プライベートクラウドでのゲートウェイのアクティブ化」を参照してください。
重要
次のエンドポイント例の region を、 などのゲートウェイの正しい AWS リージョン 文字列に置き換えますus-west-2。
amzn-s3-demo-bucket をデプロイ内の Amazon S3 バケットの実際の名前に置き換えます。amzn-s3-demo-bucket の代わりにアスタリスク (*) を使用して、ファイアウォールルールにワイルドカードエントリを作成することもできます。これにより、すべてのバケット名のサービスエンドポイントが許可されます。
ゲートウェイが米国またはカナダ AWS リージョン の にデプロイされており、連邦情報処理規格 (FIPS) 準拠のエンドポイント接続が必要な場合は、s3 を に置き換えますs3-fips。
head-bucket オペレーションには、すべてのゲートウェイで以下のサービスエンドポイントが必要です。
bucket-name.s3.region.amazonaws.com:443
コントロールパス (anon-cp、、proxy-app) およびデータパス (dp-1) オペレーションにはclient-cp、すべてのゲートウェイで次のサービスエンドポイントが必要です。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
次のゲートウェイサービスエンドポイントは、API コールを行うために必要です。
storagegateway.region.amazonaws.com:443
次に、米国西部 (オレゴン) リージョン (us-west-2) にあるゲートウェイサービスエンドポイントの例を示します。
storagegateway.us-west-2.amazonaws.com:443
Storage Gateway および Amazon S3 サービスエンドポイントに加えて、Storage Gateway VMs次の NTP サーバーへのネットワークアクセスも必要です。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
Storage Gateway で使用できるサポートされている AWS リージョンと AWS サービスエンドポイントの完全なリストについては、のAWS Storage Gateway 「エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。
-
ハードウェアアプライアンスで使用できるサポートされている AWS リージョンのリストについては、のStorage Gateway ハードウェアアプライアンスリージョン」を参照してくださいAWS 全般のリファレンス。
Amazon EC2 ゲートウェイインスタンスでのセキュリティグループの設定
では AWS Storage Gateway、セキュリティグループが Amazon EC2 ゲートウェイインスタンスへのトラフィックを制御します。セキュリティグループを設定するときは、次のことを推奨します。
-
セキュリティグループで、外部のインターネットからの着信接続は許可しないでください。ゲートウェイのセキュリティグループ内のインスタンスのみがゲートウェイと通信できるようにします。
インスタンスがセキュリティグループ外からゲートウェイに接続することを許可する必要がある場合は、ポート 80 (アクティベーション用) でのみ接続を許可することをお勧めします。
-
ゲートウェイのセキュリティグループに属さない Amazon EC2 ホストからゲートウェイをアクティベートする場合は、そのホストの IP アドレスからの着信接続をポート 80 で許可します。アクティブ化するホストの IP アドレスがわからない場合、ポート 80 を開き、ゲートウェイをアクティブ化して、アクティブ化の完了後、ポート 80 のアクセスを閉じることができます。
-
トラブルシューティング サポート の目的で を使用している場合のみ、ポート 22 アクセスを許可します。詳細については、「Amazon EC2 ゲートウェイのトラブルシューティングを支援 サポート したい」を参照してください。
サポートされているハイパーバイザーとホストの要件
Storage Gateway は、仮想マシン (VM) アプライアンスまたは物理ハードウェアアプライアンスとしてオンプレミスで実行することも、Amazon EC2 インスタンス AWS として で実行することもできます。
Storage Gateway では、以下のハイパーバイザーのバージョンとホストがサポートされます。
-
VMware ESXi Hypervisor (バージョン 7.0 または 8.0) – このセットアップには、ホストに接続するための VMware vSphere クライアントも必要です。
-
Microsoft Hyper-V Hypervisor (バージョン 2012 R2、2016、2019、または 2022) – Hyper-V の無料スタンドアロン版を Microsoft Download Center
から入手できます。このセットアップでは、ホストに接続する Microsoft Windows クライアントコンピュータには Microsoft Hyper-V Manager が必要になります。 -
Linux カーネルベースの仮想マシン (KVM) – これは無料のオープンソースの仮想化テクノロジーです。KVM は、Linux バージョン 2.6.20 以降のすべてのバージョンに同梱されています。Storage Gateway は、CentOS/RHEL 7.7、RHEL 8.6 Ubuntu 16.04 LTS、および Ubuntu 18.04 LTS ディストリビューションでテストおよびサポートされています。他の最新の Linux ディストリビューションは動作しますが、機能やパフォーマンスは保証されません。既に KVM 環境が稼働しており、KVM の仕組みに精通している場合は、このオプションをお勧めします。
-
Amazon EC2 インスタンス – Storage Gateway では、ゲートウェイ の VM イメージを含む Amazon マシンイメージ (AMI) を提供します。Amazon EC2 にゲートウェイをデプロイする方法については、「FSx File Gateway 用のデフォルトの Amazon EC2 ホストをデプロイする」を参照してください。
-
Storage Gateway ハードウェアアプライアンス – Storage Gateway は、仮想マシンインフラストラクチャが限られているロケーションのオンプレミスデプロイオプションとして物理ハードウェアアプライアンスを提供します。
注記
Storage Gateway では、スナップショットから作成された VM、または別のゲートウェイ VM のクローン、または Amazon EC2 AMI からのゲートウェイの復元はサポートされていません。ゲートウェイ VM が正しく機能しない場合は、新しいゲートウェイをアクティブ化し、データをそのゲートウェイに復旧します。詳細については、「予期しない仮想マシンのシャットダウンからの復旧」を参照してください。
Storage Gateway は動的メモリと仮想メモリのバルーニングをサポートしていません。
File Gateway でサポートされている SMB クライアント
ファイルゲートウェイは、次のサービスメッセージブロック (SMB) クライアントをサポートしています。
-
Microsoft Windows Server 2008 R2 以降
-
Windows デスクトップバージョン: 10、8、7
-
Windows Server 2008 以降で動作する Windows Terminal Server
注記
サーバーメッセージブロックの暗号化には、SMB v3.x ダイアレクトをサポートするクライアントが必要です。
File Gateway でサポートされているファイルシステムオペレーション
SMB クライアントは、ファイルの書き込み、読み取り、削除、切り捨てを行うことができます。クライアントが Storage Gateway に書き込みを送信すると、ローカルキャッシュに同期的に書き込みます。次に、最適化された転送を通じて Amazon FSx に非同期的に書き込みます。読み取りはまずローカルキャッシュから行われます。データが利用できない場合は、Amazon FSx を介してリードスルーキャッシュとして取得されます。
読み込みと書き込みは、変更された部分またはリクエストされた部分だけがゲートウェイ経由で転送されるように最適化されます。Amazon FSx からファイルを削除します。
