仮想プライベートクラウドでゲートウェイをアクティブ化する - AWS Storage Gateway

仮想プライベートクラウドでゲートウェイをアクティブ化する

オンプレミスのソフトウェアアプライアンスとクラウドベースのストレージインフラストラクチャの間にプライベート接続を作成することができます。これで、ソフトウェアアプライアンスを使用して、パブリックインターネット経由で AWS ストレージサービスとゲートウェイ通信することなく、データを AWS ストレージに転送することができます。Amazon VPC サービスを使用して、カスタム仮想ネットワークで AWS リソースを起動できます。Virtual Private Cloud (VPC) を使用して、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC の詳細については、Amazon VPC ユーザーガイド の「Amazon VPC とは」を参照してください。

VPC 内の Storage Gateway VPC エンドポイントでゲートウェイを使用するには、以下の操作を行います。

  • VPC コンソールを使用して、Storage Gateway の VPC エンドポイントを作成し、VPC エンドポイント ID を取得します。

  • ファイルゲートウェイをアクティブ化する場合は、Amazon S3 の VPC エンドポイントを作成します。

  • ファイルゲートウェイをアクティブ化する場合は、HTTP プロキシを設定し、それをファイルゲートウェイの VM ローカルコンソールで設定します。このプロキシは、ハイパーバイザーベースのオンプレミスのファイルゲートウェイに必要です。これには、VMware、Microsoft HyperV をベースとするものや Linux カーネルベースの仮想マシン (KVM) などがあります。このような場合、ゲートウェイが VPC の外部から Amazon S3 プライベートエンドポイントにアクセスできるようにするためには、プロキシが必要です。HTTP プロキシの設定方法については、「HTTP プロキシを設定する」を参照してください。

  • VPC エンドポイント ID を使用してゲートウェイをアクティブ化します。

注記

ゲートウェイは、VPC エンドポイントが作成されたリージョンと同じリージョンでアクティブ化する必要があります。

ファイルゲートウェイの場合、ファイル共有用に構成されている Amazon S3 は、S3 用の VPC エンドポイントを作成したリージョンと同じリージョンに存在している必要があります。

VPC エンドポイントを使用してゲートウェイを作成する

このセクションでは、VPC エンドポイントを使用して ファイルゲートウェイ をダウンロード、デプロイ、およびアクティブ化する方法の手順について確認します。

Storage Gateway 用の VPC エンドポイントの作成

これらの手順に従って、VPC エンドポイントを作成します。Storage Gateway の VPC エンドポイントがすでに作成されている場合は、それを使用することができます。

AWS Storage Gateway の VPC エンドポイントを作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [ エンドポイント] を選択し、[Create endpoint (エンドポイントの作成)] を選択します。

  3. [Create endpoint (エンドポイントの作成)] ページで、[サービスカテゴリ] の [AWS Services (AWS のサービス)] を選択します。

  4. [サービス名] は com.amazonaws.region.storagegateway を選びます。例 com.amazonaws.us-east-2.storagegateway.

  5. [VPC] で、VPC を選択し、そのアベイラビリティーゾーンとサブネットをメモします。

  6. [プライベート DNS 名を有効にする] が選択されていないことを確認します。

  7. [セキュリティグループ] で、VPC に使用するセキュリティグループを選択します。デフォルトのセキュリティグループを使用できます。次の TCP ポートがすべてセキュリティグループで許可されていることを確認します。

    • TCP 443

    • TCP 1026

    • TCP 1027

    • TCP 1028

    • TCP 1031

    • TCP 2222

  8. [Create endpoint (エンドポイントの作成)] を選択します。エンドポイントの初期状態は [pending (保留中)] です。エンドポイントが作成された場合は、作成した VPC エンドポイントの ID をメモしておきます。

  9. エンドポイントが作成されたら、[エンドポイント] を選択後、新しい VPC エンドポイントを選択します。

  10. [DNS 名] セクションで、アベイラビリティーゾーンを指定していない最初の DNS 名を使用します。DNS 名は以下のように表示されます。vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

これで VPC エンドポイントを作成したので、ゲートウェイを作成できます。

重要

ファイルゲートウェイ を作成する場合は、Amazon S3 のエンドポイントも作成する必要があります。上記の「AWS Storage Gateway の VPC エンドポイントを作成するには」セクションに示されているステップに従います。ただし、[Service Name (サービス名)] で com.amazonaws.us-east-2.s3 を選択します。次に、サブネット/セキュリティグループの代わりに、S3 エンドポイントを関連付けるルートテーブルを選択します。手順については、「ゲートウェイエンドポイントの作成」を参照してください。

ゲートウェイの種類の選択

ゲートウェイの種類を選択するには

  1. AWS マネジメントコンソール を https://console.aws.amazon.com/storagegateway/home で開き、ゲートウェイを作成する AWS リージョンを選択します。

    この AWS リージョンに以前に作成したゲートウェイがある場合、コンソールはそのゲートウェイを表示します。それ以外の場合、サービスのホームページが表示されます。

  2. 選択した AWS リージョンにゲートウェイを作成していない場合は、[今すぐ始める] を選択します。選択した AWS リージョンにすでにゲートウェイがある場合、ナビゲーションペインで [ゲートウェイ] を選択し、[ゲートウェイ保管型ボリューム] を選択します。

  3. [ゲートウェイの種類を選択] ページで、ゲートウェイの種類を選択し、[次へ] を選択します。この例では、ファイルゲートウェイが選択されています。

ホストプラットフォームを選択し、VM をダウンロードする

ゲートウェイがオンプレミスで作成されている場合は、ハードウェアアプライアンスをデプロイするか、ゲートウェイ VM のダウンロードとデプロイを実行して、ゲートウェイをアクティブ化します。ゲートウェイを Amazon EC2 インスタンス上で作成している場合は、ゲートウェイ VM イメージが含まれている Amazon マシンイメージ (AMI) を起動して、ゲートウェイをアクティブ化します。サポートされるホストプラットフォームの詳細については、「サポートされているハイパーバイザーとホストの要件」を参照してください。

注記

ゲートウェイタイプとして、ファイル、キャッシュボリューム、およびテープゲートウェイのみを Amazon EC2 インスタンスで実行できます。

ホストプラットフォームを選択して VM をダウンロードするには

  1. [ホストプラットフォームの選択] ページで、ゲートウェイを実行するための仮想化プラットフォームを選択します。

  2. 次のいずれかを行ってください。

    • ハードウェアアプライアンスを選択する場合は、「ハードウェアアプライアンスのアクティブ化」の手順に従ってアクティブにします。

    • 他のオプションを選択する場合は、仮想プラットフォームの横にある [Download image (イメージをダウンロード)] を選択し、仮想化プラットフォームの .ova ファイルを含む .zip ファイルをダウンロードします。

      注記

      .zip ファイルのサイズは 500 MB 以上あるため、ネットワーク接続の状況によっては、ダウンロードに時間がかかることがあります。

      Amazon EC2 の場合、提供された AMI からインスタンスを作成します。

  3. ハイパーバイザーオプションを選択した場合は、ダウンロードしたイメージをハイパーバイザーにデプロイします。デプロイ中に、少なくともキャッシュ用に 1 つのローカルディスクとアップロードバッファ用に 1 つのローカルディスクを追加する必要があります。ファイルゲートウェイでは、キャッシュに 1 つのローカルディスクのみが必要です。ローカルディスク要件の詳細については、「ハードウェアとストレージの要件」を参照してください。

    ハイパーバイザーに応じて、特定のオプションを設定します。

    • VMware を選択した場合は、以下を実行する必要があります。

      • [Thick provisioned format (シックプロビジョン形式)] オプションを使用してディスクを保存します。シックプロビジョニングを使用した場合、ディスクストレージが直ちに割り当てられます。このため、他のオプションを使用する場合よりもパフォーマンスが良くなります。反対に、シンプロビジョニングの場合は、ストレージがオンデマンドで割り当てられ、オンデマンドの割り当てによって、AWS Storage Gateway の通常の機能に影響が生じることがあります。Storage Gateway を正しく機能させるには、VM ディスクをシックプロビジョニング形式で保存する必要があります。

      • 準仮想化ディスクコントローラーを使用するようゲートウェイ VM を設定する必要があります。詳細については、「準仮想化ディスクコントローラーを使用するように AWS Storage Gateway VM を構成する」を参照してください。

    • Microsoft Hyper-V を選択した場合は、以下を実行する必要があります。

      • [Fixed size (固定サイズ)] オプションを使用してディスクタイプを構成します。容量固定のプロビジョニングを使用した場合、ディスクストレージが直ちに割り当てられます。このため、他のオプションを使用する場合よりもパフォーマンスが良くなります。固定サイズプロビジョニングを使用しない場合、ストレージはオンデマンドで割り当てられます。オンデマンドの割り当てによって、Storage Gateway の機能に影響が生じることがあります。Storage Gateway を正しく機能させるには、VM ディスクを固定サイズプロビジョニング形式で保存する必要があります。

      • ディスクを割り当てる場合、[virtual hard disk (.vhd) file (仮想ハードディスク (.vhd) ファイル)] を選択します。Storage Gateway は .vhdx ファイル形式をサポートします。このファイル形式では、他のファイル形式よりも大きな仮想ディスクを作成することができます。.vhdx 形式の仮想ディスクを作成する場合は、作成する仮想ディスクのサイズがゲートウェイの推奨ディスクサイズを超えないようにしてください。

    • Linux カーネルベースの仮想マシン (KVM) を選択した場合は、以下を実行します。

      • sparse フォーマットを使用するようにディスクを構成しないでください。容量固定 (非スパース) のプロビジョニングを使用した場合、ディスクストレージが直ちに割り当てられます。このため、他のオプションを使用する場合よりもパフォーマンスが良くなります。

      • 新しい仮想マシンをプロビジョニングする virt-install コマンドを使用して、仮想マシンに新しい仮想ディスクを作成するときに、sparse=false パラメータを使用してディスクを非スパース形式で保存します。

      • ディスクおよびネットワークデバイスには virtio ドライバーを使用します。

      • current_memory オプションは設定しないことをお勧めします。必要に応じて、--ram パラメータでゲートウェイにプロビジョニングされた RAM と同じ値を設定します。

      以下は、KVMをインストールする virt-install コマンドの例です。

      virt-install --name "SGW_KVM" --description "SGW KVM" --os-type=generic --ram=32768 --vcpus=16 --disk path=fgw-kvm.qcow2,bus=virtio,size=80,sparse=false --disk path=fgw-kvm-cache.qcow2,bus=virtio,size=1024,sparse=false --network default,model=virtio --graphics none --import
注記

VMware、Microsoft Hyper-V、および KVM で、ゲートウェイを正常にアクティブ化するには、VM の時刻とホストの時刻を同期する必要があります。ホストの時計が正しい時刻に設定されており、ネットワークタイムプロトコル (NTP) サーバーと同期していることを確認してください。

Amazon EC2 ホストにゲートウェイをデプロイすることに関する情報は、「Amazon EC2 ホストにゲートウェイをデプロイする」を参照してください。

サービスエンドポイントの選択

ゲートウェイは、プライベート VPC エンドポイントを使用してアクティブ化することができます。VPC エンドポイントを使用する場合、ゲートウェイから AWS のサービスへの通信はすべて、AWS の VPC の VPC エンドポイントを介して行われます。

  1. コンソールで、ホストプラットフォームを選択した後、ゲートウェイのサービスエンドポイントを選択できます。[エンドポイントタイプ] で、[VPC] を選択します。VPC エンドポイントがない場合は、[VPC エンドポイントの作成] を選択して作成します。VPC エンドポイントを使用すると、ゲートウェイから AWS の VPC のみで AWS のサービスと通信できます。パブリックインターネットを経由する必要はありません。

    この手順は、VPC エンドポイントを使用してゲートウェイをアクティブ化していることを前提としています。パブリックエンドポイントを使用してゲートウェイをアクティブ化する方法については、「ゲートウェイを作成する」を参照してください。

  2. Storage Gateway 用の VPC エンドポイントの作成 セクションで作成した Storage Gateway の VPC エンドポイントの DNS 名を入力します。DNS 名は次のようになります。vpce-1234567e1c11a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

  3. [次へ] を選択して、ゲートウェイに接続してアクティブ化します。

ゲートウェイへの接続

ゲートウェイに接続するには、最初にゲートウェイ VM の IP アドレスを取得します。この IP アドレスは、ゲートウェイをアクティブ化する際に使用します。オンプレミスホストでデプロイしてアクティブ化したゲートウェイの場合、ゲートウェイ VM のローカルコンソールまたはハイパーバイザークライアントから IP アドレスを取得できます。Amazon EC2 インスタンスにデプロイし、アクティブ化したゲートウェイの場合、Amazon EC2 コンソールから IP アドレスを取得できます。

アクティブ化を行うと、ゲートウェイが AWS アカウントに関連付けられます。成功するには、ゲートウェイ VM がアクティベーションの実行中であることが必要です。

適切なゲートウェイの種類を選択するようにしてください。ゲートウェイタイプの .ova ファイルと AMI は異なっており、互換性がありません。

ゲートウェイ VM の IP アドレスをローカルコンソールから取得する

  1. ゲートウェイ VM のローカルコンソールにログインします。詳細な手順については、以下を参照してください。

  2. メニューページの上部から IP アドレスを取得し、後で使用できるようにメモしておきます。

IP アドレスを EC2 インスタンスから取得するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで [Instances (インスタンス)] を選択してから、EC2 インスタンスを選択します。

  3. [説明] タブを選択してから、IP アドレスを書き留めます。この IP アドレスは、ゲートウェイをアクティブ化する際に使用します。

アクティベーションには、ゲートウェイに割り当てられたパブリックまたはプライベート IP アドレスを使用できます。アクティベーションを実行するブラウザから、使用する IP アドレスに到達できる必要があります。この手順では、パブリック IP アドレスを使用してゲートウェイをアクティブ化します。

HTTP プロキシの設定および構成 (オンプレミスのファイルゲートウェイのみ)

ファイルゲートウェイをアクティブ化する場合は、HTTP プロキシを設定し、ファイルゲートウェイの VM ローカルコンソールを使用して構成する必要があります。このプロキシは、オンプレミスのファイルゲートウェイが VPC の外部から Amazon S3 のプライベートエンドポイントにアクセスするために必要です。Amazon EC2 に HTTP プロキシがすでに設定されている場合は、それを使用できます。ただし、必ず次の TCP ポートがすべてセキュリティグループで許可されていることを確認する必要があります。

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Amazon EC2 プロキシがない場合は、次の手順に従って HTTP プロキシを設定および構成します。

プロキシサーバーをセットアップするには

  1. Amazon EC2 Linux AMI を起動します。ネットワークに最適化されたインスタンスファミリー (例: c5n.large) を使用することをお勧めします。

  2. 次のコマンドを使用して squid をインストールします。sudo yum install squidこれにより、デフォルトの設定ファイルが /etc/squid/squid.conf に作成されます。

  3. この設定ファイルの内容を以下に置き換えます。

    # # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl SSL_ports port 1026 acl SSL_ports port 1027 acl SSL_ports port 1028 acl SSL_ports port 1031 acl SSL_ports port 2222 acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
  4. プロキシサーバーをロックダウンする必要がなく、変更が不要な場合は、次のコマンドを使用してプロキシサーバーを有効にし、起動します。これらのコマンドを実行すると、起動時にサーバーが起動します。

    sudo chkconfig squid on sudo service squid start

これで、Storage Gateway の HTTP プロキシを使用するように設定されました。プロキシを使用するようにゲートウェイを設定する場合は、デフォルトの squid ポート 3128 を使用します。生成された squid conf ファイルは、必要とされる以下の TCP ポートにデフォルトで対応しています。

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

VM ローカルコンソールを使用して HTTP プロキシを設定するには

  1. ゲートウェイの VM ローカルコンソールにログインします。ログイン方法については、ファイルゲートウェイローカルコンソールへのログイン を参照してください。

  2. メインメニューで、[HTTP プロキシの設定] を選択します。

  3. [設定] メニューで、[HTTP プロキシの設定] を選択します。

  4. プロキシサーバーのホスト名とポートを入力します。

HTTP プロキシの設定方法に関する詳細については、HTTP プロキシを設定する を参照してください。

ゲートウェイを AWS アカウントに関連付ける

  1. インターネットにアクセスできること、およびブラウザからプライベートネットワークにアクセスできることを確認してください。

  2. [Connect to gateway (ゲートウェイに接続)] ページが開いていない場合は、コンソールを開きそのページへ移動します。

  3. [IP アドレス] にゲートウェイの IP アドレスを入力してから、[ゲートウェイの接続] を選択します。

ゲートウェイ IP アドレスの詳しい取得方法については、「ゲートウェイへの接続」を参照してください。

VPC のゲートウェイをアクティブ化する

ファイルゲートウェイをアクティブ化するには、追加の設定が必要です。

選択したゲートウェイの種類、エンドポイントタイプ、および AWS リージョンが、アクティベーションページに表示されます。

ゲートウェイをアクティブ化するには

  1. アクティベーションプロセスを完了するには、アクティベーションページにある情報を提供し、ゲートウェイを設定します。

    • [ゲートウェイのタイムゾーン] では、ゲートウェイで使用するタイムゾーンを指定します。

    • [ゲートウェイ名] では、ゲートウェイを特定します。コンソールでゲートウェイを管理するには、この名前を使用します。ゲートウェイをアクティブ化した後で、この名前を変更できます。この名前はアカウントに対して一意である必要があります。

      次のスクリーンショットは、ファイルゲートウェイ のアクティベーションページを示しています。

  2. [ゲートウェイのアクティブ化] を選択します。

  3. アクティブ化が正常に実行されない場合は、ゲートウェイのトラブルシューティング を参照して解決策を確認してください。

ゲートウェイを AWS アカウントに関連付ける

ブラウザからインターネットにアクセスしたり、プライベートネットワークにアクセスしたりできない場合は、次の操作を実行できます。

  1. VPC エンドポイントまたは Elastic Network Interface の完全修飾 DNS 名を入力して、ゲートウェイからアクティベーションキーを取得します。次の URL で curl を使うか、ウェブブラウザにこの URL を入力するだけです。

    http://VM IP ADDRESS/?gatewayType=FILE_S3&activationRegion=REGION&vpcEndpoint=VPCEndpointDNSname&no_redirect

    curl コマンドの例を次に示します。

    curl “http://203.0.113.100/?gatewayType=FILE_S3&activationRegion=us-east-1&vpcEndpoint=vpce-12345678e91c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com&no_redirect”

    アクティベーションキーの例を次に示します。

    BME11-LQPTD-DF11P-BLLQ0-111V1

  2. 前の手順で受け取ったアクティベーションキーを指定して、AWS CLI を使用してゲートウェイをアクティブ化します。次に例を示します。

    aws --region us-east-1 storagegateway activate-gateway --activation-key BME11-LQPTD-DF11P-BLLQ0-111V1 --gateway-type FILE_S3 --gateway-name user-ec2-iad-pl-fgw2 --gateway-timezone GMT-4:00 --gateway-region us-east-1

    以下に、応答の例を示します。

    {"GatewayARN": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-FFF12345"}

ローカルディスクを設定する

VM をデプロイするときに、ゲートウェイのローカルディスクが割り当てられます。ここでは、これらのディスクを使用するようにゲートウェイを設定します。

ローカルディスクを設定するには

  1. [ローカルディスクの構成] ページで、追加されたディスクを識別し、どのディスクをキャッシュストレージ用に割り当てるかを決定します。ディスクサイズクォータの詳細については、「ゲートウェイのローカルディスクの推奨サイズ」を参照してください。

  2. キャッシュストレージとして設定するディスク用に [キャッシュ] を選択します。

    ディスクが表示されない場合は、[更新] を選択します。

  3. [保存して続行] を選択し、設定を保存します。

HTTP プロキシで必要なポートへのトラフィックの許可

HTTP プロキシを使用する場合は、Storage Gateway から次の宛先およびポートへのトラフィックを許可するようにしてください。

パブリックエンドポイント経由で通信する場合、Storage Gateway は、次の Storage Gateway サービスと通信を行います。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443 storagegateway.region.amazonaws.com:443 (Required for making API calls) s3.region.amazonaws.com (Required only for File Gateway)
重要

ゲートウェイ AWS リージョンに応じて、エンドポイントの region を、対応するリージョン文字列に置き換えます。たとえば、米国西部 (オレゴン) リージョンにゲートウェイを作成する場合、エンドポイントは storagegateway.us-west-2.amazonaws.com:443 のようになります。

VPC エンドポイント経由で通信している場合、Storage Gateway は Storage Gateway VPC エンドポイント上の複数のポートと、Amazon S3 プライベートエンドポイント上のポート 443 を介して AWS のサービスと通信します。

  • Storage Gateway の VPC エンドポイントの TCP ポート。

    • 443、1026、1027、1028、1031、2222

  • S3 プライベートエンドポイントの TCP ポート

    • 443

これで、ゲートウェイのリソースを作成することができます。

次のステップ