AWS Storage Gateway
ユーザーガイド (API バージョン 2013-06-30)

要件

以下に挙げる要件は、特記がない限り、すべてのゲートウェイ構成に共通です。

ハードウェアおよびストレージの要件

このセクションでは、ゲートウェイの最小ハードウェアと設定、および必要なストレージに割り当てる最小ディスク容量に関する情報を示します。

ハードウェア要件

ゲートウェイをオンプレミスでデプロイする前に必ず、ゲートウェイ VM をデプロイする基盤となるハードウェアで、以下の最小リソースを専有できることを確認してください。

  • VM に割り当てられた仮想プロセッサ 4 個.

  • VM に割り当てられた予約済み RAM 16 GiB。

  • ディスクの空き容量 80 GiB (VM イメージとシステムデータのインストール用)。

詳細については、「ゲートウェイのパフォーマンスの最適化」を参照してください。ハードウェアがゲートウェイ VM のパフォーマンスにどのように影響を与えるかについては、「AWS Storage Gateway の制限」を参照してください。

Amazon EC2 インスタンスタイプの要件

Amazon EC2 でゲートウェイをデプロイする場合、ゲートウェイが機能するためにはインスタンスサイズは少なくとも xlarge である必要があります。ただし、コンピューティング最適化インスタンスファミリーの場合は、サイズとして少なくとも 2xlarge が必要ですゲートウェイの種類に応じて次のインスタンスタイプのうち 1 つを使用することをお勧めします。

ファイルゲートウェイの種類に応じた推奨

  • 汎用インスタンスファミリー — m4 または m5 インスタンスタイプ。

  • コンピューティング最適化インスタンスファミリー — c4 または c5 インスタンスタイプ。2xlarge 以上のインスタンスサイズを選択し、必要な RAM 要件を満たします。

  • メモリ最適化インスタンスファミリー: r3 インスタンスタイプ。

  • ストレージ最適化インスタンスファミリー: i3 インスタンスタイプ。

    注記

    EC2 でゲートウェイを起動し、選択したインスタンスタイプがエフェメラルストレージをサポートする場合、ディスクは自動的に表示されます。Amazon EC2 インスタンスストレージの詳細については、こちらを参照してください。アプリケーションの書き込みは、同期的にキャッシュに保存された後で、非同期的に Amazon S3 の永続的なストレージにアップロードされることに注意してください。アップロードの完了前にインスタンスが停止したためにエフェメラルストレージが失われると、キャッシュに残存していて、まだ S3 に書き込まれていないデータが失われる場合があります。ゲートウェイをホストするインスタンスを停止する前に、CloudWatch の CachePercentDirty メトリクスが 0 であることを確認してください。ストレージゲートウェイをモニタリングする詳しい方法については、「Storage Gateway のメトリクスおよびディメンション」を参照してください。

注記

c4 または m4 インスタンスタイプを使用してゲートウェイを作成する場合、c5 または m5 インスタンスタイプに変更することはできません。インスタンスを c5 または m5 インスタンスタイプにアップグレードする方法については、「ファイルゲートウェイが C4 あるいは M4 の代わりに C5 あるいは M5 EC2 インスタンスタイプを使用するようにしたい」を参照してください。

キャッシュボリュームおよび仮想テープライブラリの種類に応じた推奨

  • 汎用インスタンスファミリー — m4 インスタンスタイプ。m4.16xlarge インスタンスタイプの使用はお勧めしません。

  • コンピューティング最適化インスタンスファミリー — c4 インスタンスタイプ。2xlarge 以上のインスタンスサイズを選択し、必要な RAM 要件を満たします。

  • ストレージ最適化インスタンスファミリー: d2、i2、または i3 インスタンスタイプ

注記

Amazon EC2 インスタンスにゲートウェイをデプロイするときは、以下の最低リソースを必ず割り当てる必要があります。

Amazon S3 バケット内のオブジェクトが 500 万個を超え、汎用 SSD ボリュームを使用している場合、起動中のゲートウェイで許容できるパフォーマンスを得るには、最小 350 GiB のルート EBS ボリュームが必要です。ボリュームサイズを引き上げる方法については、「コンソールからの EBS ボリュームの変更」を参照してください。

ストレージの要件

ゲートウェイには VM 用の 80 GiB 以外にもディスク領域が必要になります。

次の表は、デプロイされるゲートウェイのローカルディスクストレージの推奨サイズを示しています。

ゲートウェイタイプ キャッシュ (最小) キャッシュ (最大) アップロードバッファ (最小) アップロードバッファ (最大) 他に必要なローカルディスク
ファイルゲートウェイ 150 GiB 16 TiB
キャッシュ型ボリュームゲートウェイ 150 GiB 16 TiB 150 GiB

2 TiB

保管型ボリュームゲートウェイ 150 GiB

2 TiB

保管型ボリュームの場合は 1 つ以上
テープゲートウェイ 150 GiB 16 TiB 150 GiB 2 TiB

注記

キャッシュおよびアップロードバッファに対して 1 つ以上のローカルドライブを、最大キャパシティーまで設定できます。

既存のゲートウェイにキャッシュあるいはアップロードしたバッファを追加する場合、ホスト (ハイパーバイザーまたは Amazon EC2 インスタンス) に新しいディスクを作成することが重要です。ディスクがキャッシュやアップロードバッファとして割り当て済みである場合は、既存のディスクサイズを変更しないでください。

ゲートウェイの制限の詳細については、「AWS Storage Gateway の制限」を参照してください。

ネットワークとファイアウォールの要件

ゲートウェイには、インターネット、ローカルネットワーク、ドメインネームサービス (DNS) サーバー、ファイアウォール、ルーターなどへのアクセスが必要です。以下は、必要なポートと、ファイアウォールとルーターを経由してアクセスを許可する方法についての情報です。

注記

制限された IP 範囲に基づくネットワークセキュリティポリシーが設定された EC2 に AWS Storage Gateway をデプロイすると、AWS IP 範囲が変わったときにサービスの接続問題がゲートウェイで発生する場合があります。現在使用されている IP 範囲の値については、「AWS の IP アドレス範囲」を参照してください。

ポート要件

AWS Storage Gateway を操作するには、許可されている特定のポートが必要です。次の図は、各ゲートウェイの種類に対して許可する必要がある、必須のポートを示しています。すべてのゲートウェイの種類で必要なポートと、特定のゲートウェイの種類で必要なポートがあります。ポートの要件の詳細については、「ポート要件」を参照してください。

ファイルゲートウェイ

ファイルゲートウェイを開くためのポートを次の図に示します。

注記

特定のポート要件については、「ポート要件」を参照してください。

Active Directory は、ドメインユーザーが SMB ファイル共有にアクセスできるようにする場合にのみ必要です。ファイルゲートウェイ は有効ないずれの Windows ドメイン (DNS で解決可能) にも参加できます。また、AWS Directory Service を使用して、AWS クラウドで AWS マネージド Microsoft AD を作成することもできます。ほとんどの AWS マネージド AD デプロイでは、VPC 用に DHCP サービスを設定する必要があります。一連の DHCP オプションの作成方法については、こちらを参照してください。

ボリュームゲートウェイとテープゲートウェイ

次の図に、ボリュームとテープゲートウェイに対して開くポートを示します。

以下のポートは、すべてのゲートウェイタイプに共通で、すべてのゲートウェイタイプで必要です。

プロトコル

ポート

方向

送信元

送信先

用途

TCP

443 (HTTPS)

アウトバウンド

Storage Gateway

AWS

AWS Storage Gateway から AWS サービスエンドポイントへの通信用。サービスエンドポイントの詳細については、「ファイアウォールとルーターを介した AWS Storage Gateway アクセスの許可」を参照してください。

TCP

80 (HTTP)

インバウンド

AWS マネジメントコンソール

Storage Gateway

ローカルシステムでストレージゲートウェイのアクティベーションキーを取得するため。ポート 80 は Storage Gateway アプライアンスのアクティベーションの間のみ使用されます。

AWS Storage Gateway ではポート 80 がパブリックにアクセス可能である必要はありません。ポート 80 へのアクセスに必要なレベルはネットワークの設定によって決まります。AWS Storage Gateway マネジメントコンソールからゲートウェイをアクティベートする場合、コンソールに接続するホストにゲートウェイのポート 80 へのアクセス権限が必要です。

UDP/UDP

53 (DNS)

アウトバウンド

Storage Gateway

ドメインネームサービス (DNS) サーバー

AWS Storage Gateway および DNS サーバー間の通信の場合。

TCP

22 (サポートチャネル)

アウトバウンド

Storage Gateway

AWS サポート

ゲートウェイの問題のトラブルシューティングに利用するためにゲートウェイへの AWS サポートのアクセスを許可します。このポートは、ゲートウェイの通常のオペレーションでは開いておく必要はありませんが、トラブルシューティングでは必要です。

UDP

123 (NTP)

アウトバウンド

NTP クライアント

NTP サーバー

VM 時間をホスト時間に同期するためにローカルシステムで使用されます。

共通ポートに加えて、ファイルゲートウェイには次のポートが必要です。

プロトコル

ポート

方向

送信元

送信先

用途

TCP/UDP

2049 (NFS)

インバウンド

NFS クライアント

Storage Gateway

ローカルシステムが、ゲートウェイが公開する NFS 共有に接続する場合。

TCP/UDP

111 (NFSv3)

インバウンド

NFSv3 クライアント

Storage Gateway

ローカルシステムが、ゲートウェイが公開するポートマッパーに接続する場合。

注記

このポートは、NFSv3 でのみ必要です。

TCP/UDP

20048 (NFSv3)

インバウンド

NFSv3 クライアント

Storage Gateway

ローカルシステムが、ゲートウェイが公開するマウントに接続する場合。

注記

このポートは、NFSv3 でのみ必要です。

ファイアウォールとルーターを介した AWS Storage Gateway アクセスの許可

ゲートウェイでは、AWS と通信するために次のエンドポイントにアクセスする必要があります。ファイアウォールまたはルーターを使用してネットワークトラフィックをフィルタリングまたは制限する場合は、AWS へのアウトバウンド通信でこれらのサービスエンドポイントを許可するようにファイアウォールおよびルーターを設定する必要があります。

以下のサービスエンドポイントは、コントロールパス (anon-cp、client-cp、proxy-app) とデータパス (dp-1) オペレーションのためにすべてのゲートウェイに必要です。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443

次のサービスエンドポイントは、API コールを行うために必要です。

storagegateway.region.amazonaws.com:443

以下に示す Amazon S3 サービスエンドポイントは、ファイルゲートウェイのみで使用されます。ファイルゲートウェイは、ファイル共有がマッピングする S3 バケットにアクセスするために、このエンドポイントが必要です。

S3 バケットが配置されている AWS リージョンがゲートウェイによって特定されない場合、このエンドポイントはデフォルトで us-east-1.s3.amazonaws.com になります。ゲートウェイがアクティブ化されて S3 バケットが配置されている AWS リージョンに加えて、us-east-1 リージョンをホワイトリストに登録することをお勧めします。

region.s3.amazonaws.com

次の Amazon CloudFront エンドポイントは、使用できる AWS リージョンのリストを取得するために Storage Gateway に必要となります。

https://d4kdq0yaxexbo.cloudfront.net/

Storage Gateway VM は、以下の NTP サーバーを使用するように設定されています。

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

次の表は、使用可能なリージョンの AWS リージョン文字列のリストです。

AWS リージョン名 AWS リージョン文字列 ファイルゲートウェイ ボリュームゲートウェイ テープゲートウェイ
米国東部 (オハイオ) us-east-2

はい

はい

はい

米国東部(バージニア北部) us-east-1

はい

はい

はい

米国西部 (北カリフォルニア) us-west-1

はい

はい

はい

米国西部 (オレゴン) us-west-2

はい

はい

はい

カナダ (中部) ca-central-1

はい

はい

はい

欧州 (アイルランド) eu-west-1

はい

はい

はい

欧州 (フランクフルト) eu-central-1

はい

はい

はい

欧州 (ロンドン) eu-west-2

はい

はい

はい

EU (パリ) eu-west-3

はい

はい

はい

アジアパシフィック (東京) ap-northeast-1

はい

はい

はい

アジアパシフィック (ソウル) ap-northeast-2

はい

はい

はい

アジアパシフィック (シンガポール) ap-southeast-1

はい

はい

はい

アジアパシフィック (シドニー) ap-southeast-2

はい

はい

はい

アジアパシフィック (ムンバイ) ap-south-1

はい

はい

はい

南米 (サンパウロ) sa-east-1

はい

はい

いいえ

AWS GovCloud (米国) us-gov-west-1

はい

はい

はい

ゲートウェイ AWS リージョンに応じて、エンドポイントの region を、対応するリージョン文字列に置き換えます。たとえば、米国西部 (オレゴン) リージョンにゲートウェイを作成する場合、エンドポイントは storagegateway.us-west-2.amazonaws.com:443 のようになります。

Amazon EC2 ゲートウェイインスタンスのセキュリティグループを設定する

セキュリティグループは、Amazon EC2 ゲートウェイインスタンスへのトラフィックを制御します。AWS Marketplace から入手した AWS Storage Gateway の Amazon Machine Image (AMI) からインスタンスを作成するとき、インスタンスを起動するには、2 つの選択肢があります。AWS Marketplace の [1-Click Launch] を使用してインスタンスを起動するには、「Amazon EC2 ホストにボリュームまたはテープゲートウェイをデプロイする」の手順に従います。この [1-Click Launch] 機能を使用することをお勧めします。

また、インスタンスは、AWS Marketplace の [Manual Launch] 機能を使用して、起動することもできます。この場合、AWS Storage Gateway-1-0-AutogenByAWSMP- という名前のセキュリティグループが自動的に生成されます。このセキュリティグループにはポート 80 の正しいルールが設定されているため、ゲートウェイをアクティベートできます。セキュリティグループの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「セキュリティグループの概念」を参照してください。

使用するセキュリティグループに関係なく、以下のように設定することを推奨します。

  • セキュリティグループで、外部のインターネットからの着信接続は許可しないでください。ゲートウェイのセキュリティグループ内のインスタンスのみがゲートウェイと通信できるようにします。ゲートウェイのセキュリティグループに属さないインスタンスにゲートウェイへの接続を許可する必要がある場合、ポート 3260 (iSCSI 接続用) および 80 (アクティベーション用) でのみ接続を許可することをお勧めします。

  • ゲートウェイのセキュリティグループに属さない EC2 ホストからゲートウェイをアクティベートする場合は、そのホストの IP アドレスからの着信接続をポート 80 で許可します。アクティブ化するホストの IP アドレスがわからない場合、ポート 80 を開き、ゲートウェイをアクティブ化して、アクティブ化の完了後、ポート 80 のアクセスを閉じることができます。

  • トラブルシューティングのために AWS サポートを使用する場合にのみ、ポート 22 アクセスを許可します。詳細については、「EC2 ゲートウェイのトラブルシューティングに AWS サポートを役立てたい」を参照してください。

場合によっては、Amazon EC2 インスタンスをイニシエータとして (Amazon EC2 にデプロイしたゲートウェイの iSCSI ターゲットに接続するため) 使用する場合があります。このような場合は、2 つのステップを実行するアプローチをお勧めします。

  1. ゲートウェイと同じセキュリティグループのイニシエータインスタンスを起動してください。

  2. アクセスを設定すると、イニシエータはゲートウェイと通信できます。

ゲートウェイで開くポートについては、「ポート要件」を参照してください。

サポートされているハイパーバイザーとホストの要件

AWS Storage Gateway は、オンプレミスで仮想マシン (VM) アプライアンスとして実行するか、AWS で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとして実行できます。

AWS Storage Gateway は、次のハイパーバイザーのバージョンとホストをサポートしています。

  • VMware ESXi Hypervisor (バージョン 4.1、5.0、5.1、5.5、6.0 または 6.5) - VMware ウェブサイトから無料版の VMware を入手できます。このセットアップでは、ホストに接続するために VMware vSphere クライアントも必要です。

  • Microsoft Hyper-V Hypervisor (バージョン 2008 R2、2012、または 2012 R2) — 無料のスタンドアロン版 Hyper-V が Microsoft Download Center から入手できます。このセットアップでは、ホストに接続する Microsoft Windows クライアントコンピュータには Microsoft Hyper-V Manager が必要になります。

  • EC2 インスタンス - AWS Storage Gateway は、ゲートウェイ VM イメージを含む Amazon マシンイメージ (AMI) を提供します。ファイル、キャッシュボリューム、テープゲートウェイのみ Amazon EC2 にデプロイできます。Amazon EC2 にゲートウェイをデプロイする方法については、「Amazon EC2 ホストにボリュームまたはテープゲートウェイをデプロイする」を参照してください。

注記

AWS Storage Gateway では、スナップショットから作成された VM、または別のゲートウェイ VM のクローン、または Amazon EC2 AMI からのゲートウェイの復元はサポートされていません。ゲートウェイ VM が正しく機能しない場合は、新しいゲートウェイをアクティブ化し、データをそのゲートウェイに復旧します。詳細については、「予期しない仮想マシンのシャットダウンからの復旧」を参照してください。

ファイルゲートウェイでサポートされる NFS クライアント

ファイルゲートウェイは以下のネットワークファイルシステム (NFS) クライアントをサポートしています。

  • Amazon Linux

  • Mac OS X

  • RHEL 7

  • SUSE Linux Enterprise Server 11 および SUSE Linux Enterprise Server 12

  • Ubuntu 14.04

  • Microsoft Windows 10 Enterprise、Windows Server 2012、Windows Server 2016。ネイティブクライアントは NFS バージョン 3 のみサポートします。

  • Windows 7 Enterprise および Windows Server 2008。

    ネイティブクライアントは NFS v3 のみサポートします。サポートされる最大 NFS I/O サイズは 32 KB であるため、これらのバージョンの Windows では、パフォーマンスが低下する可能性があります。

    注記

    Windows NFS クライアントを使用する代わりに Windows (SMB) を介してアクセスする必要がある場合に、SMB ファイル共有を使用できるようになりました。

ファイルゲートウェイでサポートされる SMB クライアント

ファイルゲートウェイは以下のサービスメッセージブロック (SMB) クライアントをサポートしています。

  • Microsoft Windows Server 2003 以降

  • Windows デスクトップバージョン: 10、8、7

  • Windows Server 2003 以降で動作する Windows Terminal Server

ファイルゲートウェイでサポートされるファイルシステムオペレーション

NFS または SMB クライアントは、ファイルの書き込み、読み取り、削除、切り捨てができます。クライアントから AWS Storage Gateway に送信された書き込みは、同期的にローカルキャッシュに書き込まれます。次に、最適化された転送を介して非同期的に Amazon S3 に書き込まれます。読み取りはまずローカルキャッシュから行われます。データがない場合は、リードスルーキャッシュとして Amazon S3 から取得されます。

読み込みと書き込みは、変更された部分またはリクエストされた部分だけがゲートウェイ経由で転送されるように最適化されます。削除は S3 からオブジェクトを削除します。ディレクトリは、Amazon S3 マネジメントコンソールと同じ構文を使用して、S3 のフォルダオブジェクトとして管理されます。

GETPUTUPDATEDELETE などの HTTP オペレーションでは、ファイル共有内のファイルを変更できます。これらのオペレーションはアトミックな作成、読み取り、更新、削除 (CRUD) 機能に従っています。

サポートされる iSCSI イニシエータ

キャッシュ型または保管型のボリュームゲートウェイをデプロイすると、ゲートウェイに iSCSI ストレージボリュームを作成できます。テープゲートウェイ をデプロイすると、ゲートウェイにメディアチェンジャー 1 個とテープドライブ 10 個が事前設定されます。このテープドライブとメディアチェンジャーは、既存のクライアントバックアップアプリケーションから iSCSI デバイスとして利用できます。

これらの iSCSI デバイスに接続するために、AWS Storage Gateway では、以下の iSCSI イニシエータがサポートされています。

  • Windows Server 2012 および Windows Server 2012 R2

  • Windows Server 2008 および Windows Server 2008 R2

  • Windows 7

  • Red Hat Enterprise Linux 5

  • Red Hat Enterprise Linux 6

  • Red Hat Enterprise Linux 7

  • VM のゲストオペレーティングシステムでのイニシエータの使用に代わる、VMware ESX イニシエータ

重要

Storage Gateway では、Windows クライアントからの Microsoft Multipath I/O (MPIO) はサポートされていません。

Storage Gatewayは、ホストが Windows Server Failover Clustering (WSFC) を使用してアクセスを調整する場合に、同じボリュームで複数のホストに接続することをサポートします。ただし、WSFC を使用せずに複数のホストを同じボリュームに接続すること (非クラスター NTFS/ext4 ファイルシステムの共有など) はできません。

テープゲートウェイ でサポートされているサードパーティーのバックアップアプリケーション

テープゲートウェイ でのテープの読み書きや管理にはバックアップアプリケーションを使用します。次のサードパーティーのバックアップアプリケーションは、テープゲートウェイで使用することができます。

選択するメディアチェンジャーのタイプは、使用する予定のバックアップアプリケーションによって決まります。次の表では、テープゲートウェイ との互換性がテスト済みで確認されている、サードパーティー製のバックアップアプリケーションを示しています。このテーブルは、各バックアプリケーションに推奨されるメディアチェンジャーを含みます。

バックアップアプリケーション メディアチェンジャーの種類
Arcserve Backup AWS-Gateway-VTL
Backup Exec 2012

注記

Veritas は、Backup Exec 2012 のサポートを終了しました。詳細については、以前の Backup Exec バージョンのサポートの終了を参照してください。

STK-L700
Backup Exec 2014 AWS-Gateway-VTL
Backup Exec 15 AWS-Gateway-VTL
Backup Exec 16 AWS-Gateway-VTL
CommVault V11 STK-L700
Dell EMC NetWorker V8.x または V9.x AWS-Gateway-VTL
Micro Focus (HPE) Data Protector 9.x AWS-Gateway-VTL
Microsoft System Center 2012 R2 または 2016 Data Protection Manager

注記

データ保護マネージャーでは、AWS Storage Gateway で作成された仮想テープのバーコードは表示されません。

STK-L700
NovaStor DataCenter/Network 6.4 または 7.1 STK-L700
Quest NetVault Backup 10.0 STK-L700
Symantec NetBackup バージョン 7.x AWS-Gateway-VTL
Veeam Backup & Replication V7 STK-L700
Veeam Backup & Replication V8 STK-L700
Veeam Backup & Replication V9 アップデート 2 以降 AWS-Gateway-VTL

重要

使用するバックアプリケーション用として示されているメディアチェンジャーを選択することを強くお勧めします。他のメディアチェンジャーは正しく機能しない可能性があります。ゲートウェイをアクティブ化した後で、別のメディアチェンジャーを選択できます。詳細については、「ゲートウェイのアクティブ化後のメディアチェンジャーの選択」を参照してください。