要求 - AWS Storage Gateway

Amazon S3 檔案閘道文件已移至什麼是 Amazon S3 檔案閘道?

Amazon FSx 檔案閘道文件已移至什麼是 Amazon FSx 檔案閘道?

磁碟區閘道文件已移至什麼是磁碟區閘道?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

要求

除非另有說明,否則以下需求皆為所有閘道組態的常見需求。

硬體及儲存體需求

本節描述您閘道之最低硬體及設定的相關資訊,以及配置必要儲存體所需的最小磁碟空間。

VM 的硬體需求。

在部署您的閘道時,您必須確保要部署閘道 VM 的基礎硬體可專用於下列基本資源:

  • 指派給 VM 的四個虛擬處理器。

  • 對於磁帶閘道,您的硬體應該專用以下數量的 RAM:

    • 16 GiB 的保留記憶體,適用於快取大小高達 16 TiB 的閘道

    • 32 GiB 的保留記憶體,適用於快取大小為 16 TiB 至 32 TiB 的閘道

    • 48 GiB 的保留記憶體,適用於快取大小為 32 TiB 至 64 TiB 的閘道

  • 安裝 VM 映像和系統資料的 80 GiB 磁碟空間。

如需詳細資訊,請參閱 最佳化閘道效能。如需您硬體影響閘道 VM 效能之方式的資訊,請參閱 AWS Storage Gateway 配額

Amazon EC2 執行個體類型的需求

將閘道部署於 Amazon Elastic Compute Cloud (Amazon EC2) 時,執行個體的大小必須至少為 xlarge,您的閘道才能正常運作。但是,針對運算最佳化的執行個體系列,大小必須至少為 2xlarge

對於磁道磁帶閘道,Amazon EC2 執行個體應根據您打算用於閘道的快取大小,指定以下數量的 RAM:

  • 16 GiB 的保留記憶體,適用於快取大小高達 16 TiB 的閘道

  • 32 GiB 的保留記憶體,適用於快取大小為 16 TiB 至 32 TiB 的閘道

  • 48 GiB 的保留記憶體,適用於快取大小為 32 TiB 至 64 TiB 的閘道

請針對您的閘道類型,使用下列其中一個建議的執行個體類型。

快取磁碟區及磁帶閘道類型的建議項目

  • 一般用途執行個體系列:m4、m5 或 m6 執行個體類型。

    注意

    我們不建議使用 m4.16xlarge 執行個體類型。

  • 運算優化執行個體系列:c4、c5 或 c6 執行個體類型。選取 2xlarge 或更高的執行個體大小來符合必要的 RAM 需求。

  • 記憶體優化執行個體系列:r3、r5 或 r6 執行個體類型。

  • 儲存優化執行個體系列:i3 或 i4 執行個體類型。

儲存需求

除了 VM 的 80 GiB 磁碟空間之外,您的閘道也需要額外的磁碟。

下表針對您所部署的閘道建議本機磁碟儲存體大小。

閘道類型 快取(最小值) 快取(最大值) 上傳緩衝區(最小值) 上傳緩衝區(最大值) 其他必要的本機磁碟
磁帶閘道 150 GiB 64 TiB 150 GiB 2 TiB
注意

您可以為快取和上傳緩衝區設定一個或多個本機磁碟機,上限為最大容量。

新增快取或上傳緩衝至現有的閘道時,請務必在您的主機 (Hypervisor 或 Amazon EC2 執行個體) 中建立新的磁碟。如果先前已將磁碟配置為快取或上傳緩衝區,請勿變更現有磁碟的大小。

如需閘道配額的詳細資訊,請參閱 AWS Storage Gateway 配額

網路與防火牆需求

您的閘道需要存取網際網路、本機網路、網域名稱服務 (DNS) 伺服器、防火牆、路由器等。您可以在以下內容找到必要連接埠及如何允許透過防火牆及路由器進行存取的相關資訊。

注意

在某些情況下,您可以在 Amazon EC2 上部署 Storage Gateway,或使用其他類型的部署 (包括現場部署) 搭配限制 AWS IP 位址範圍的網路安全政策。在這些情況下,當 AWS IP 範圍值變更時,閘道可能會遇到服務連線問題。您需要使用的 AWS IP 位址範圍值位於您啟用閘道之 AWS 區域的 Amazon 服務子集中。如需有關目前 IP 範圍值的資訊,請參閱 AWS 一般參考 中的 AWS IP 地址範圍

注意

網路頻寬要求會根據閘道上傳及下載的資料數量而有所不同。至少需要 100Mbps 才能成功下載、啟用和更新閘道。您的資料傳輸模式將決定支援工作負載所需的頻寬。在某些情況下,您可以在 Amazon EC2 上部署 Storage Gateway 或使用其他類型的部署

連接埠需求

Storage Gateway 的操作需要允許特定的連接埠。下圖顯示您必須為每一種類型的閘道允許的必要連接埠。有些連接埠為所有閘道類型的必要連接埠,其他的則為特定閘道類型的必要連接埠。如需連接埠需求的詳細資訊,請參閱連接埠需求

所有閘道類型的常見連接埠

以下為所有閘道類型常見的連接埠,所有閘道磁帶均需使用到。

通訊協定

連線埠

Direction

來源

目的地

使用方式

TCP

443 (HTTPS)

傳出

Storage Gateway

AWS

用於從 Storage Gateway 到 AWS 服務端點的通訊。如需服務端點的資訊,請參閱 允許 AWS Storage Gateway 透過防火牆和路由器存取

TCP

80 (HTTP)

傳入

您連線至「 AWS 管理主控台」的主機。

Storage Gateway

由本機系統取得 Storage Gateway 啟用金鑰。僅有在啟用 Storage Gateway 裝置時,才會使用連接埠 80。

Storage Gateway 不需要可公開存取連接埠 80。連接埠 80 所需的存取權限級別取決於您的網路設定。若您是以 Storage Gateway 管理主控台啟動您的閘道,則您連線至主控台的主機必須擁有閘道連接埠 80 的存取權限。

TCP/UDP

53 (DNS)

傳出

Storage Gateway

網域名稱服務 (DNS) 伺服器

用於 Storage Gateway 與 DNS 伺服器之間的通訊。

TCP

22 (支援通道)

傳出

Storage Gateway

AWS Support

允許存 AWS Support 取閘道以協助您疑難排解閘道問題。不需要將此埠開放給閘道的正常操作使用,但進行疑難排解時需要用到。

UDP

123 (NTP)

傳出

NTP 用戶端

NTP 伺服器

本機系統用來將 VM 的時間與主機時間同步。

磁碟區及磁帶閘道的連接埠

下圖顯示要為磁帶閘道開啟的連接埠。

使用各種連接埠連接到 Storage Gateway 的網絡資源。

除了常用的連接埠之外,磁帶閘道還需要下列連接埠。

通訊協定

連線埠

Direction

來源

目的地

使用方式

TCP

3260 (iSCSI)

傳入

iSCSI 啟動器

Storage Gateway

由本機系統連線至閘道所公開的 iSCSI 目標。

如需連接埠要求的詳細資訊,請參閱其他 Storage Gateway 資源區段中的 連接埠需求

Storage Gateway 硬體設備的網路與防火牆要求

每個 Storage Gateway 硬體設備都需要下列網路服務:

  • 網際網路存取:透過任何伺服器上的網路介面,全年無休的連線到網際網路。

  • DNS 服務:用於在硬體設備和 DNS 伺服器之間通訊的 DNS 服務。

  • 時間同步:必須能夠存取自動設定的 Amazon NTP 時間服務。

  • IP 地址:指派的 DHCP 或靜態 IPv4 地址。您不能指派 IPv6 地址。

戴爾 PowerEdge R640 伺服器背面有五個實體網路連接埠。從左到右 (面向伺服器的背面),這些連接埠如下所示:

  1. iDRAC

  2. em1

  3. em2

  4. em3

  5. em4

您可以將 iDRAC 連接埠用於遠端伺服器管理。

使用各種連接埠連接至硬體設備的網路資源。

硬體設備需要以下連接埠才能運作。

通訊協定

連線埠

Direction

來源

目的地

使用方式

SSH

22

傳出

硬體設備

54.201.223.107

支援通道
DNS 53 傳出 硬體設備 DNS 伺服器 名稱解析
UDP/NTP 123 傳出 硬體設備 *.amazon.pool.ntp.org 時間同步
HTTPS

443

傳出

硬體設備

*.amazonaws.com

資料傳輸

HTTP 8080 傳入 AWS 硬體設備 啟用 (只需短暫時間)

若要依設計方式執行,硬體設備需要如下所示的網路和防火牆設定:

  • 在硬體主控台設定所有連接的網路介面。

  • 確保每個網路介面位於唯一的子網路。

  • 提供所有連接網路介面可以對外存取前面的圖表中所列的端點。

  • 至少設定一個網路介面來支援硬體設備。如需詳細資訊,請參閱 設定網路參數

注意

若要查看顯示伺服器背面及其連接埠的插圖,請參閱機架安裝您的硬體設備並將其街上電源

同一個網路介面 (NIC) 上的所有 IP 地址都必須位在同一個子網路,無論是用於閘道或主機。下圖顯示了定址配置。

在共用一個 NIC 的單一子網路上主機 IP 和服務 IP。

如需啟動和設定硬體設備的詳細資訊,請參閱使用 Storage Gateway 硬體設備

允許 AWS Storage Gateway 透過防火牆和路由器存取

您的閘道需要存取下列服務端點才能與之通訊 AWS。若您使用防火牆或路由器來篩選或限制網路流量,則必須設定防火牆和路由器,以允許這些服務端點可與 AWS進行傳出通訊。

注意

如果您將 Storage Gateway 的私人虛擬私人雲端端點設定為用於連線和傳出資料 AWS,則您的閘道不需要存取公用網際網路。如需詳細資訊,請參閱在虛擬私有雲端中啟用閘道

重要

視閘道的 AWS 區域而定,請使用正確的區域字串取代服務端點中的區域。

所有閘道都需要下列服務端點,才能進行頭部儲存貯體的操作。

s3.amazonaws.com:443

下列服務端點為所有閘道的必要項目,用於控制路徑 (anon-cp、client-cp、proxy-app) 及資料路徑 (dp-1) 操作。

anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443

進行 API 呼叫時必須使用下列閘道服務端點。

storagegateway.region.amazonaws.com:443

下列範例是美國西部 (奧勒岡) 區域 (us-west-2) 中的閘道服務端點。

storagegateway.us-west-2.amazonaws.com:443

以下顯示的 Amazon S3 服務端點僅由檔案閘道使用。檔案閘道需要此端點來存取檔案共享映射的 S3 儲存貯體。

bucketname.s3.region.amazonaws.com

下列範例是美國東部 (俄亥俄) 區域 (us-east-2) 中的 S3 服務端點。

s3.us-east-2.amazonaws.com
注意

如果您的閘道無法判斷 S3 儲存貯體所在的 AWS 區域,則此服務端點預設為s3.us-east-1.amazonaws.com。建議您除了您的閘道啟用所在、以及 S3 儲存貯體所在的 AWS 區域之外,也允許存取美國東部 (維吉尼亞北部) 區域 (us-east-1)。

下列是 AWS GovCloud (US) 區域的 S3 服務端點。

s3-fips-us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS)) s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS)) s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard)) s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))

下列範例是 AWS GovCloud (美國西部) 區域中 S3 儲存貯體的 FIPS 服務端點。

bucket-name.s3-fips-us-gov-west-1.amazonaws.com

Storage Gateway VM 會設定為使用下列 NTP 伺服器。

0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org

設定 Amazon EC2 閘道執行個體的安全群組

安全群組控制流向 Amazon EC2 閘道執行個體的流量。當您設定安全群組時,建議使用下列各項:

  • 安全群組不應該允許來自外部網際網路的傳入連線。它只應該允許閘道安全群組內的執行個體與閘道通訊。如果您需要允許執行個體從其安全群組外部連線至閘道,則建議您只允許連接埠 3260 (適用於 iSCSI 連線) 和 80 (適用於啟用) 上的連線。

  • 如果您要從閘道安全群組外部的 Amazon EC2 主機啟用閘道,則允許連接埠 80 上來自該主機之 IP 地址的傳入連線。如果您無法判斷啟用主機的 IP 地址,則可以開啟連接埠 80,並啟用閘道,然後在完成啟用後關閉連接埠 80 上的存取。

  • 僅當您用 AWS Support 於疑難排解目的時,才允許連接埠 22 存取。如需詳細資訊,請參閱 您想 AWS Support 要協助疑難排解 EC2 閘道

在某些情況下,您可能會使用 Amazon EC2 執行個體作為啟動器 (也就是說,連線至 Amazon EC2 上所部署閘道上的 iSCSI 目標)。在這種情況下,建議使用兩個步驟的方法:

  1. 您應該啟動與閘道相同之安全群組中的啟動器執行個體。

  2. 您應該設定存取權,讓啟動器可以與您的閘道通訊。

如需要針對閘道所開啟之連接埠的資訊,請參閱連接埠需求

支援的 Hypervisor 與主機需求

您可以在現場部署執行 Storage Gateway 作為虛擬機器 (VM) 設備、實體硬體設備,或在 AWS Amazon EC2 執行個體中執行。

注意

當製造商結束對 Hypervisor 版本的一般支援時,Storage Gateway 也將結束對該 Hypervisor 版本的支援。如需有關特定 Hypervisor 版本支援的詳細資訊,請參閱製造商的說明文件。

Storage Gateway 支援下列 Hypervisor 版本與主機:

  • VMware ESXi Hypervisor (版本 7.0 或 8.0) VMware 的免費版本可在 VMware 網站取得。針對此設定,您也需要 VMware vSphere 用戶端以連線到主機。

  • Microsoft Hyper-V Hypervisor (2012 R2、2016、2019 或 2022 版本):Hyper-V 的免費、獨立版本可從 Microsoft 下載中心取得。針對此設定,您需要 Microsoft Windows 用戶端電腦上的 Microsoft Hyper-V 管理員以連線到主機。

  • Linux 核心基礎虛擬機器 (KVM):免費的開放原始碼虛擬化技術。KVM 包含於所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 經過 CENTOS/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 發行版本的測試,並受其支援。任何其他現代 Linux 發行版都可以運作,但不保證功能或性能。如果您已經啟動並執行 KVM 環境,而且您已經熟悉 KVM 的運作方式,建議您使用此選項。

  • Amazon EC2 執行個體:Storage Gateway 提供包含閘道虛擬機器映像檔的 Amazon Machine Image (AMI)。僅有檔案、快取磁碟區和磁帶閘道類型才能在 Amazon EC2 上部署。如需如何在 Amazon EC2 上部署閘道的資訊,請參閱 部署 Amazon EC2 執行個體以託管磁帶閘道

  • Storage Gateway 硬體設備:Storage Gateway 以內部部署選項形式,為具有有限虛擬機器基礎設施的位置提供實體硬體設備。

注意

Storage Gateway 不支援透過從快照、另一個閘道虛擬機器的複製項目,或是從您的 Amazon EC2 AMI 建立的虛擬機器復原閘道。若您的閘道 VM 發生問題,請啟用新的閘道並將您的資料復原至該閘道。如需詳細資訊,請參閱 從非預期的虛擬機器關機復原

Storage Gateway 不支援動態記憶體和虛擬記憶體佔用。

支援的 iSCSI 啟動器

當部署磁帶閘道時,閘道會預先設定一個媒體變更器和 10 個磁帶機。這些磁帶磁碟和媒體變更器會做為 iSCSI 裝置供您現有的用戶端備份應用程式使用。

若要連線至這些 iSCSI 裝置,Storage Gateway 支援下列 iSCSI 啟動器:

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows 10

  • Windows 8.1

  • Red Hat Enterprise Linux 5

  • Red Hat Enterprise Linux 6

  • Red Hat Enterprise Linux 7

  • VMware ESX 啟動器,提供使用您 VM 之 Guest 作業系統中的啟動器之外的替代方案。

重要

Storage Gateway 不支援來自 Windows 用戶端的 Microsoft Multipath I/O (MPIO)。

如果主機使用 Windows Server 容錯移轉叢集 (WSFC) 協調存取,Storage Gateway 可支援將多個主機連線到相同的磁碟區。但是,您無法在不使用 WSFC 的情況下將多個主機連線至同個磁碟區 (例如:共享一個非叢集 NTFS/ext4 檔案系統)。

磁帶閘道支援的第三方備份應用程式

您可以與磁帶閘道使用備份應用程式讀取、寫入和管理磁帶。下列支援的第三方備份應用程式可與磁帶閘道使用。

您選擇的媒體變更器類型取決於您計劃使用的備份應用程式。下表列出了已通過測試且發現與磁帶閘道相容的第三方備份應用程式。此表格包含建議用於每個備份應用程式的媒體變更器類型。

備份應用程式 媒體變更器類型
Arcserve Backup AWS-Gateway-VTL
Bacula Enterprise V10.x AWS-Gateway-VTLSTK-L700
Commvault V11 STK-L700
戴 NetWorker 尔 AWS-Gateway-VTL
IBM Spectrum Protect v8.1.10 IBM-03584L32-0402
Micro Focus (HPE) Data Protector 9 或 11.x AWS-Gateway-VTL
Microsoft System Center 2012 R2 或 2016 Data Protection Manager STK-L700
NovaStor DataCenter/網絡6.4 或 7.1 STK-L700
任務 NetVault Backup 12.4 或 13 倍 STK-L700
Veeam Backup & Replication 11A AWS-Gateway-VTL
Veritas Backup Exec 2014 或 15 或 16 或 20 或 22.x AWS-Gateway-VTL
Veritas Backup Exec 2012
注意

Veritas 已終止對 Backup Exec 2012 的支援。

STK-L700
維利塔斯 NetBackup 版本 7.x 或 8.x AWS-Gateway-VTL
重要

我們強烈建議您選擇為備份應用程式列出的媒體變更器。其他媒體變更器可能無法正常運作。啟用閘道之後,您可以選擇不同的媒體變更器類型。如需詳細資訊,請查閲在啟用閘道後選取媒體變更器