Amazon S3 檔案閘道文件已移至什麼是 Amazon S3 檔案閘道?
Amazon FSx 檔案閘道文件已移至什麼是 Amazon FSx 檔案閘道?
磁碟區閘道文件已移至什麼是磁碟區閘道?
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
要求
除非另有說明,否則以下需求皆為所有閘道組態的常見需求。
硬體及儲存體需求
本節說明閘道的最低硬體和設定,以及配置給所需儲存體的磁碟空間下限。
現場部署 VM 的硬體需求
在現場部署您的閘道時,您必須確保要部署閘道 VM 的基礎硬體可專用於下列基本資源:
-
指派給 VM 的四個虛擬處理器。
-
16 GiB 的保留記憶體,適用於檔案閘道
對於磁道磁帶閘道,您的硬體應該指定下列數量的 RAM:
-
16 GiB 的保留記憶體,適用於快取大小高達 16 TiB 的閘道
-
32 GiB 的保留記憶體,適用於快取記憶體大小為 16 TiB 至 32 TiB 的閘道
-
48 GiB 的保留記憶體,適用於快取大小為 32 TiB 至 64 TiB 的閘道
-
-
安裝 VM 映像和系統資料的 80 GiB 磁碟空間。
如需詳細資訊,請參閱最佳化閘道效能。如需您硬體影響閘道 VM 效能之方式的資訊,請參閱 AWS Storage Gateway 配額。
Amazon 執行個體類型的需求
當您將閘道部署在 Amazon Elastic Compute Cloud (Amazon EC2) 雲端 (Amazon EC2) 雲端上時,執行個體的執行個體必須至少為 xlarge,以運作。但是,針對運算最佳化的執行個體系列,大小必須至少為 2xlarge。請針對您的閘道類型,使用下列其中一個建議的執行個體類型。
建議用於快取磁碟區和磁帶閘道類型
-
一般用途執行個體系列 — m4、m5 或 m6 執行個體類型。
注意 我們不建議使用 m4.16xlarge 執行個體類型。
-
運算最佳化執行個體系列 — c4、c5 或 c6 執行個體類型。選取 2xlarge 或更高的執行個體大小來符合必要的 RAM 需求。
-
記憶體最佳化執行個體系列 — r3、r5 或 r6 執行個體類型。
-
儲存體最佳化執行個體系列 — i3 或 i4 執行個體類型。
儲存需求
除了 VM 的 80 GiB 磁碟空間之外,您的閘道也需要額外的磁碟。
下表針對您所部署的閘道建議本機磁碟儲存體大小。
| 閘道類型 | 快取 (最小值) | 快取 (最大值) | 上傳緩衝區 (最小值) | 上傳緩衝區 (最大值) | 其他必要的本機磁碟 |
|---|---|---|---|---|---|
| 磁帶閘道 | 150 GiB | 64 TiB | 150 GiB | 2 TiB | — |
您可以為快取和上傳緩衝區設定一或多個本機磁碟機,最大容量為上限。
新增快取或將緩衝區上傳到現有閘道時,請務必在主機 (虛擬化管理程序或 Amazon EC2 執行個體) 中建立新磁碟。如果先前已將磁碟配置為快取或上傳緩衝區,請勿變更現有磁碟的大小。
如需閘道配額的詳細資訊,請參閱 AWS Storage Gateway 配額。
網路與防火牆需求
您的閘道需要存取網際網路、本機網路、網域名稱服務 (DNS) 伺服器、防火牆、路由器等。您可以在以下內容找到必要連接埠及如何允許透過防火牆及路由器進行存取的相關資訊。
在某些情況下,您可以在 Amazon EC2 上部署 Storage Gateway,或使用其他類型的部署 (包括現場部署) 搭配限制AWS IP 位址範圍的網路安全政策。在這些情況下,當AWS IP 範圍值變更時,閘道可能會遇到服務連線問題。您需要使用的AWS IP 位址範圍值位於您啟用閘道之AWS區域的 Amazon 服務子集中。如需目前 IP 範圍值的資訊,請參閱AWS一般參考資料中的 AWSIP 位址範圍。
網路頻寬需求會根據閘道上傳及下載的資料數量而有所不同。至少需要 100Mbps 才能成功下載、啟用和更新閘道。您的資料傳輸模式將決定支援工作負載所需的頻寬。在某些情況下,您可以在 Amazon EC2 上部署 Storage Gateway 或使用其他類型的部署
主題
連接埠需求
Storage Gateway 需要允許某些連接埠才能執行其作業。下圖顯示您必須為每一種類型的閘道允許的必要連接埠。有些連接埠為所有閘道類型的必要連接埠,其他的則為特定閘道類型的必要連接埠。如需連接埠需求的詳細資訊,請參閱連接埠需求。
所有閘道類型的常見連接埠
以下為所有閘道類型常見的連接埠,所有閘道磁帶均需使用到。
|
通訊協定 |
連接埠 |
Direction |
來源 |
目標 |
使用方式 |
|---|---|---|---|---|---|
|
TCP |
443 (HTTPS) |
傳出 |
Storage Gateway |
AWS |
用於從 Storage Gateway 到AWS服務端點的通訊。如需服務端點的資訊,請參閱 允許透過防火牆和路由器的 AWS Storage Gateway 存取。 |
|
TCP |
80 (HTTP) |
傳入 |
您連線至「AWS管理主控台」的主機。 |
Storage Gateway |
通過本地系統獲取 Storage Gateway 激活密鑰。連接埠 80 僅在啟用 Storage Gateway 應用裝置期間使用。 Storage Gateway 不需要可公開存取連接埠 80。連接埠 80 所需的存取權限級別取決於您的網路設定。如果您從 Storage Gateway 管理主控台啟動閘道,則連線到主控台的主機必須能夠存取閘道的連接埠 80。 |
|
UDP |
53 (DNS) |
傳出 |
Storage Gateway |
網域名稱服務 (DNS) 伺服器 |
用於 Storage Gateway 與 DNS 伺服器之間的通訊。 |
|
TCP |
22 (支援通道) |
傳出 |
Storage Gateway |
AWS Support |
允許存AWS Support取閘道以協助您疑難排解閘道問題。不需要將此埠開放給閘道的正常操作使用,但進行疑難排解時需要用到。 |
|
UDP |
123 (NTP) |
傳出 |
NTP 用戶端 |
NTP 伺服器 |
本機系統用來將 VM 的時間與主機時間同步。 |
磁碟區和磁帶閘道的連接埠
下圖顯示要為磁開啟的連接埠。
除了一般連接埠之外,磁磁帶閘道還需要下列連接埠。
|
通訊協定 |
連接埠 |
Direction |
來源 |
目標 |
使用方式 |
|---|---|---|---|---|---|
|
TCP |
3260 (iSCSI) |
傳入 |
iSCSI 動器 |
Storage Gateway |
通過本地系統連接到由網關公開的 iSCSI 目標。 |
如需連接埠需求的詳細資訊,請參閱其他 Storage Gateway 資源一節連接埠需求中的。
Storage Gateway 硬體應用裝置的網路和防火牆需求
每個 Storage Gateway 硬體應用裝置都需要下列網路服務:
-
網際網路存取 — 透過伺服器上的任何網路介面,隨時連線至網際網路。
-
DNS 服務 — 用於硬體設備和 DNS 伺服器之間通訊的 DNS 服務。
-
時間同步 — 必須可連線自動設定的 Amazon NTP 時間服務。
-
IP 位址 — 指定的 DHCP 或靜態 IPv4 位址。您不能指派 IPv6 地址。
戴爾 PowerEdge R640 伺服器背面有五個實體網路連接埠。從左到右 (面向伺服器的背面),這些連接埠如下所示:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
您可以將 iDRAC 連接埠用於遠端伺服器管理。
硬體設備需要以下連接埠才能運作。
|
通訊協定 |
連接埠 |
Direction |
來源 |
目標 |
使用方式 |
|---|---|---|---|---|---|
| SSH |
22 |
傳出 |
硬體設備 |
|
支援通道 |
| DNS | 53 | 傳出 | 硬體設備 | DNS 伺服器 | 名稱解析 |
| UDP/NTP | 123 | 傳出 | 硬體設備 | *.amazon.pool.ntp.org |
時間同步 |
| HTTPS |
443 |
傳出 |
硬體設備 |
|
資料傳輸 |
| HTTP | 8080 | 傳入 | AWS | 硬體設備 | 啟用 (只需短暫時間) |
若要依設計方式執行,硬體設備需要如下所示的網路和防火牆設定:
-
在硬體主控台設定所有連接的網路介面。
-
確保每個網路介面位於唯一的子網路。
-
提供所有連接網路介面可以對外存取前面的圖表中所列的端點。
-
至少設定一個網路介面來支援硬體設備。如需詳細資訊,請參閱設定網路參數。
若要查看顯示伺服器背面及其連接埠的插圖,請參閱機架安裝您的硬體設備並將其連接至電源
同一個網路介面 (NIC) 上的所有 IP 地址都必須位在同一個子網路,無論是用於閘道或主機。下圖顯示了定址配置。
如需啟動和設定硬體設備的詳細資訊,請參閱使用 Storage Gateway 硬體應用裝置。
允許透過防火牆和路由器的 AWS Storage Gateway 存取
您的閘道需要存取下列服務端點才能與之通訊AWS。如果您使用防火牆或路由器來過濾或限制網路流量,則必須將防火牆和路由器設定為允許這些服務端點進行輸出通訊AWS。
如果您將 Storage Gateway 的私人虛擬私人雲端端點設定為用於連線和傳出資料AWS,則您的閘道不需要存取公用網際網路。如需詳細資訊,請參閱在虛擬私有雲中啟用閘道。
視閘道的AWS區域而定,請使用正確的區域字串取代服務端點中的區域。
所有閘道都需要下列服務端點,才能進行頭桶作業。
s3.amazonaws.com:443
下列服務端點為所有閘道的必要項目,用於控制路徑 (anon-cp、client-cp、proxy-app) 及資料路徑 (dp-1) 操作。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
進行 API 呼叫時必須使用下列閘道服務端點。
storagegateway.region.amazonaws.com:443
下列範例是美國西部 (奧勒岡) 區域 () 區域 () 區域 (us-west-2) 的閘道服務端點。
storagegateway.us-west-2.amazonaws.com:443
Amazon S3 服務端點 (如下所示) 僅供檔案閘道使用。檔案閘道要求此端點存取檔案共用對應的 S3 儲存貯體。
bucketname.s3.region.amazonaws.com
下列範例是美國東部 (俄亥俄) 區域 () 區域 () 區域 (us-east-2) 的 S3 服務端點。
s3.us-east-2.amazonaws.com
如果您的閘道無法判斷 S3 儲存貯體所在的AWS區域,則此服務端點預設為s3.us-east-1.amazonaws.com。除了啟動閘道的區域以及 S3 儲存貯體所在的區AWS域之外,我們建議您允許存取美國東部 (維吉尼亞北部us-east-1) 區域 ()。
下列是 AWS GovCloud (US) 區域的 S3 服務端點。
s3-fips-us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS)) s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS)) s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard)) s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))
下列範例是AWS GovCloud (美國西部) 區域中 S3 儲存貯體的 FIPS 服務端點。
bucket-name.s3-fips-us-gov-west-1.amazonaws.com
Storage Gateway 需要以下 Amazon CloudFront 端點才能取得可用AWS區域清單。
https://d4kdq0yaxexbo.cloudfront.net/
儲存區閘道虛擬機器設定為使用下列 NTP 伺服器。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
Storage Gateway — 如需支援的AWS區域,以及可與 Storage Gateway 搭配使用的AWS服務AWS Storage Gateway端點清單,請參閱AWS一般參考中的端點和配額。
-
Storage Gateway 硬體設備 — 對於可與硬體設備搭配使用的支援AWS區域,請參閱AWS一般參考中的 S torage Gateway 硬體應用裝置區域。
為您的 Amazon EC2 閘道執行個體設定安全群組
安全群組可控制傳送到 Amazon EC2 閘道執行個體的流量。當您設定安全群組時,建議使用下列各項:
-
安全群組不應該允許來自外部網際網路的傳入連線。它只應該允許閘道安全群組內的執行個體與閘道通訊。如果您需要允許執行個體從其安全群組外部連線至閘道,則建議您只允許連接埠 3260 (適用於 iSCSI 連線) 和 80 (適用於啟用) 上的連線。
-
如果要從閘道安全群組外的 Amazon EC2 主機啟用閘道,請允許從該主機的 IP 位址在連接埠 80 上進行連入連線。如果您無法判斷啟用主機的 IP 地址,則可以開啟連接埠 80,並啟用閘道,然後在完成啟用後關閉連接埠 80 上的存取。
-
只有在您基於故障診斷而使用 AWS Support 時,才允許連接埠 22 存取。如需詳細資訊,請參閱您想AWS Support要協助疑難排解 EC2 閘道。
在某些情況下,您可以使用 Amazon EC2 執行個體做為啟動器 (也就是說,在部署在 Amazon EC2 上的閘道上連接到 iSCSI 目標。在這種情況下,建議使用兩個步驟的方法:
-
您應該啟動與閘道相同之安全群組中的啟動器執行個體。
-
您應該設定存取權,讓啟動器可以與您的閘道通訊。
如需要針對閘道所開啟之連接埠的資訊,請參閱連接埠需求。
支援的 Hypervisor 與主機需求
您可以在現場部署執行 Storage Gateway 作為虛擬機器 (VM) 設備、實體硬體設備,或在AWS Amazon EC2 執行個體中執行。
當製造商結束對虛擬機器管理程序版本的一般支援時,Storage Gateway 也會結束對該 Hypervisor 版本的支援。如需有關特定 Hypervisor 版本支援的詳細資訊,請參閱製造商的說明文件。
Storage Gateway 支援下列虛擬機器管理程序版本和主機:
-
VMware ESXi 虛擬化管理程序 (版本 6.5、6.7 或 7.0 版) — VMware 網站上提供免費版本的 VMware
。針對此設定,您也需要 VMware vSphere 用戶端以連線到主機。 -
微軟超 V 管理程序(版本 2012 R2,2016 年,2019 年或 2022 年)-超 V 的免費,獨立版本可在微軟下載中心
。針對此設定,您需要 Microsoft Windows 用戶端電腦上的 Microsoft Hyper-V 管理員以連線到主機。 -
以 Linux 核心為基礎的虛擬機器 (KVM) — 免費的開放原始碼虛擬化技術。KVM 包含在所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 進行了測試和支援的中心/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 發行版。任何其他現代 Linux 發行版都可以運作,但不保證功能或性能。如果您已經啟動並執行 KVM 環境,而且您已經熟悉 KVM 的運作方式,建議您使用此選項。
-
Amazon EC2 執行個體 — Storage Gateway 提供 Amazon Machine Image (AMI) 執行個體,其中包含閘道虛擬機器映像。只能在 Amazon EC2 上部署檔案、快取磁碟區和磁帶閘道類型。如需如何在 Amazon EC2 上部署閘道的相關資訊,請參閱部署 Amazon EC2 執行個體以託管您的磁帶閘道。
-
Storage Gateway 硬體設備 — Storage Gateway 針對虛擬機器基礎結構有限的位置,提供實體硬體設備做為內部部署選項。
Storage Gateway 不支援從其他閘道虛擬機器的快照或複製或從 Amazon EC2 AMI 建立的虛擬機器復原閘道。若您的閘道 VM 發生問題,請啟用新的閘道並將您的資料復原至該閘道。如需詳細資訊,請參閱從意外的虛擬機器關機中復原。
Storage Gateway 不支援動態記憶體和虛擬記憶體膨脹。
支援的 iSCSI 啟動器
部署磁帶閘道時,閘道會預先設定一個媒體轉換器和 10 個磁帶機。這些磁帶機和媒體轉換器可供您現有的用戶端備份應用程式當做 iSCSI 裝置使用。
若要連線到這些 iSCSI 裝置,Storage Gateway 支援下列 iSCSI 啟動器:
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows 10
-
Windows 8.1
-
Red Hat Enterprise Linux 5
-
Red Hat Enterprise Linux 6
-
Red Hat Enterprise Linux 7
-
VMware ESX 啟動器,提供使用您 VM 之 Guest 作業系統中的啟動器之外的替代方案。
Storage Gateway 不支援微軟多重路徑 I/O (MPIO) 從視窗用戶端。
如果主機使用 Windows Server 容錯移轉叢集 (WSFC) 協調存取,則 Storage Gateway 支援將多個主機連線到相同的磁碟區。但是,您無法在不使用 WSFC 的情況下將多個主機連線至同個磁碟區 (例如:共享一個非叢集 NTFS/ext4 檔案系統)。
磁帶閘道支援的第三方備份應用程式
您可以使用備份應用程式透過磁帶閘道讀取、寫入和管理磁帶。下列協力廠商備份應用程式可與磁帶閘道搭配使用。
您選擇的介質轉換器類型取決於您計劃使用的備份應用程序。下表列出已通過測試且發現與磁帶閘道相容的協力廠商備份應用程式。此表格包含建議用於每個備份應用程式的介質轉換器類型。
| Backup 應用 | 中型轉換器 |
|---|---|
| Arcserve Backup | AWS-Gateway-VTL |
| 白丘拉企業 V10.x 版 | AWS-Gateway-VTL 或 STK-L700 |
| 康斯沃 | STK-L700 |
| 戴 NetWorker 尔 | AWS-Gateway-VTL |
| IBM 頻譜保護 | IBM-03584L32-0402 |
| 微焦點 (HPE) 資料保護器 9 或 11.x | AWS-Gateway-VTL |
| 微軟系統中心 2012 年 R2 或 2016 年數據保護管理器 | STK-L700 |
| NovaStor DataCenter/網路6.4 或 7.1 | STK-L700 |
| 任務 NetVault Backup 12.4 或 13 倍 | STK-L700 |
| Veeam Backup 與複寫 11A | AWS-Gateway-VTL |
| 立即 Backup 執行員 2014 年或 15 或 16 或 20 或 22 倍 | AWS-Gateway-VTL |
| 立即 Backup 執行長 2012 維立達已終止對 Backup 執行長 2012 的支援。 |
STK-L700 |
| 維利塔斯 NetBackup 版本 7.x 或 8.x 版 | AWS-Gateway-VTL |
我們強烈建議您選擇為備份應用程序列出的介質更換器。其他介質轉換器可能無法正常運作。啟動閘道後,您可以選擇不同的媒體轉換器。如需詳細資訊,請參閱啟用閘道後選取中型轉換器。
