故障排除:网关激活期间出现内部错误 - AWS Storage Gateway

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

故障排除:网关激活期间出现内部错误

Storage Gateway 激活请求会通过两条网络路径传输。客户端发送的传入激活请求通过端口 80 连接到网关的虚拟机 (VM) 或亚马逊弹性计算云 (AmazonEC2) 实例。如果网关成功收到激活请求,则网关将与 Storage Gateway 端点通信以接收激活密钥。如果网关无法到达 Storage Gateway 终端节点,则网关会向客户端发送一条内部错误消息。

使用以下疑难解答信息来确定在尝试激活时收到内部错误消息时该怎么做 AWS Storage Gateway。

注意
  • 确保使用最新的虚拟机映像文件或 Amazon 系统映像 (AMI) 版本部署新的网关。如果您尝试激活使用过时的网关,则会收到内部错误AMI。

  • 在下载之前,请务必选择要部署的正确网关类型AMI。每种网关类型的.ova 文件都不同,并且不可互换。AMIs

解决使用公共终端节点激活网关时出现的错误

要解决使用公共终端节点激活网关时的激活错误,请执行以下检查和配置。

检查所需的端口

对于本地部署的网关,请检查本地防火墙上的端口是否已打开。对于部署在 Amazon EC2 实例上的网关,请检查实例安全组上的端口是否已打开。要确认端口已打开,请从服务器在公共端点上运行 telnet 命令。此服务器必须与网关位于同一个子网中。例如,以下 telnet 命令测试与端口 443 的连接:

telnet d4kdq0yaxexbo.cloudfront.net 443 telnet storagegateway.region.amazonaws.com 443 telnet dp-1.storagegateway.region.amazonaws.com 443 telnet proxy-app.storagegateway.region.amazonaws.com 443 telnet client-cp.storagegateway.region.amazonaws.com 443 telnet anon-cp.storagegateway.region.amazonaws.com 443

要确认网关本身是否可以到达终端节点,请访问网关的本地虚拟机控制台(适用于本地部署的网关)。或者,您可以SSH访问网关的实例(适用于部署在 Amazon 上的网关EC2)。然后,运行网络连接测试。确认测试已返回[PASSED]。有关更多信息,请参阅连接测试您的网关与 Inter

注意

网关控制台的默认登录用户名为admin,默认密码为password

确保防火墙安全不会修改从网关发送到公共端点的数据包

SSL检查、深度数据包检查或其他形式的防火墙安全措施可能会干扰从网关发送的数据包。如果根据激活端点的预期修改SSL证书,则SSL握手会失败。要确认没有正在进行的SSL检查,请在端口 443 的主激活端点 (anon-cp.storagegateway.region.amazonaws.com) 上运行 Open SSL 命令。您必须从与网关位于同一子网的计算机上运行以下命令:

$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
注意

Replace(替换) region 和你的 AWS 区域.

如果没有正在SSL进行检查,则该命令将返回类似于以下内容的响应:

$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com CONNECTED(00000003) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com verify return:1 --- Certificate chain 0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon i:/C=US/O=Amazon/CN=Amazon Root CA 1 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1 i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2 i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority ---

如果正在进行SSL检查,则响应会显示证书链已更改,类似于以下内容:

$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com CONNECTED(00000003) depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com ---

激活端点仅在识别证书时才接受SSL握手。SSL这意味着网关到终端节点的出站流量必须免受网络中防火墙的检查。这些检查可能是SSL检查或深度包检测。

检查网关时间同步

时间偏差过大可能会导致SSL握手错误。对于本地网关,您可以使用网关的本地虚拟机控制台来检查网关的时间同步。时间偏差不应大于 60 秒。有关更多信息,请参阅同步网关 VM 时间网关 VM 时间

系统时间管理选项在托管在 Amazon EC2 实例上的网关上不可用。为确保 Amazon EC2 网关能够正确同步时间,请确认 Amazon EC2 实例可以通过端口UDP和 TCP 123 连接到以下NTP服务器池列表:

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

解决使用 Amazon VPC 终端节点激活网关时出现的错误

要解决使用 Amazon Virtual Private Cloud (AmazonVPC) 终端节点激活网关时出现的激活错误,请执行以下检查和配置。

检查所需的端口

确保本地防火墙(对于本地部署的网关)或安全组(对于部署在 Amazon 中的网关EC2)中的所需端口已打开。将网关连接到 Storage Gateway VPC 端点所需的端口不同于将网关连接到公共终端节点时所需的端口。连接到 Storage Gateway 端点需要以下VPC端口:

  • TCP443

  • TCP1026

  • TCP1027

  • TCP1028

  • TCP1031

  • TCP2222

有关更多信息,请参阅为 Storage Gatew ay 创建VPC终端节点为 Storage Gate

此外,请检查连接到您的 Storage Gateway VPC 端点的安全组。连接到终端节点的默认安全组可能不允许所需的端口。创建一个新的安全组,允许来自网关 IP 地址范围的流量通过所需端口。然后,将该安全组附加到VPC终端节点。

注意

使用 A mazon VPC 控制台验证连接到VPC终端节点的安全组。从控制台查看您的 Storage Gateway VPC 终端节点,然后选择安全组选项卡。

要确认所需端口已打开,您可以在 Storage Gateway VPC 端点上运行 telnet 命令。您必须从与网关位于同一子网的服务器上运行这些命令。您可以对未指定可用区的DNS名字运行测试。例如,以下 telnet 命令使用 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce. DNS amazonaws.com 来测试所需的端口连接:

telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222

确保防火墙安全不会修改从网关发送到您的 Storage Gateway Amazon VPC 终端节点的数据包

SSL检查、深度数据包检查或其他形式的防火墙安全措施可能会干扰从网关发送的数据包。如果根据激活端点的预期修改SSL证书,则SSL握手会失败。要确认没有正在进行的SSL检查,请在您的 Storage Gateway VPC 端点上运行 Open SSL 命令。您必须从与网关位于同一子网的计算机上运行此命令。为每个必需的端口运行命令:

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

如果没有正在SSL进行检查,则该命令将返回类似于以下内容的响应:

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com CONNECTED(00000005) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com verify return:1 --- Certificate chain 0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon 1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon i:C = US, O = Amazon, CN = Amazon Root CA 1 2 s:C = US, O = Amazon, CN = Amazon Root CA 1 i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2 3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2 i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority ---

如果正在进行SSL检查,则响应会显示证书链已更改,类似于以下内容:

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com CONNECTED(00000005) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com ---

激活端点仅在识别证书时才接受SSL握手。SSL这意味着,网关通过所需端口到VPC终端节点的出站流量不受网络防火墙的检查。这些检查可能是SSL检查或深度包裹检查。

检查网关时间同步

时间偏差过大可能会导致SSL握手错误。对于本地网关,您可以使用网关的本地虚拟机控制台来检查网关的时间同步。时间偏差不应大于 60 秒。有关更多信息,请参阅同步网关 VM 时间网关 VM 时间

系统时间管理选项在托管在 Amazon EC2 实例上的网关上不可用。为确保 Amazon EC2 网关能够正确同步时间,请确认 Amazon EC2 实例可以通过端口UDP和 TCP 123 连接到以下NTP服务器池列表:

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

检查HTTP代理服务器并确认相关的安全组设置

在激活之前,请检查您是否在本地网关 VM 上EC2将 Amazon 上的HTTP代理配置为端口 3128 上的 Squid 代理。在这种情况下,请确认以下内容:

  • 附加到 Amazon HTTP 代理的安全组EC2必须有入站规则。此入站规则必须允许来自网关 VM 的 IP 地址的 Squid 代理流量通过端口 3128。

  • 附加到 Amazon EC2 VPC 终端节点的安全组必须具有入站规则。这些入站规则必须允许来自亚马逊代理的 IP 地址的端口 1026-1028、1031、2222 和 443 上的流量。HTTP EC2

解决使用公有终端节点激活网关并且该终端节点中有 Storage Gateway VPC 终端节点时出现的错误 VPC

要解决在使用公共终端节点激活网关时出现的错误,而该终端节点中有 Amazon Virtual Private Cloud (AmazonVPC) 终端节点VPC,请执行以下检查和配置。

确认您的 Storage Gateway VPC 终端节点上未启用 “启用私有DNS名称” 设置

如果启用了启用私有DNS名称,则无法激活从该网关VPC到公共终端节点的任何网关。

要禁用私人DNS名称选项,请执行以下操作:
  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择端点

  3. 选择您的 Storage Gateway VPC 端点。

  4. 选择操作

  5. 选择 “管理私人DNS名称”。

  6. 在 “启用私有DNS名称” 中,清除 “为此端点启用”。

  7. 选择 “修改私人DNS名称” 以保存设置。