新規のお客様への Amazon FSx ファイルゲートウェイの提供は終了しました。FSx ファイルゲートウェイの既存のお客様は、引き続き通常どおりサービスを使用できます。FSx ファイルゲートウェイに似た機能については、このブログ記事
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ファイルゲートウェイのセットアップ要件
特に明記されていない限り、次の要件は AWS Storage Gatewayのすべてのファイルゲートウェイタイプに共通です。セットアップはこのセクションの要件を満たしている必要があります。ゲートウェイをデプロイする前に、ゲートウェイのセットアップに適用される要件を確認してください。
トピック
前提条件
Amazon FSx ファイルゲートウェイ (FSx ファイルゲートウェイ) を設定する前に、次の前提条件を満たす必要があります:
-
FSx for Windows File Server ファイルシステムを作成および設定する。手順については、「Amazon FSx for Windows File Server ユーザーガイド」の「ステップ 1: ファイルシステムを作成する」を参照してください。
-
Microsoft Active Directory (AD) を設定し、必要なアクセス許可を持つ Active Directory サービスアカウントを作成します。詳細については、Active Directory サービスアカウントのアクセス許可要件を参照してください。
-
ゲートウェイと AWSの間に十分なネットワーク帯域幅があることを確認します。ゲートウェイのダウンロード、アクティブ化、および更新を正常に行うには、最低 100 Mbps が必要です。
-
AWS とゲートウェイをデプロイするオンプレミス環境との間のネットワークトラフィックに使用する接続を設定します。パブリックインターネット、プライベートネットワーク、VPN、または を使用して接続できます Direct Connect。Amazon Virtual Private Cloud へのプライベート接続 AWS を介してゲートウェイと通信する場合は、ゲートウェイを設定する前に Amazon VPC を設定します。
-
ゲートウェイが Active Directory ドメインコントローラーの名前を解決できることを確認します。Active Directory ドメインの DHCP を使用して解決を処理するか、ゲートウェイローカルコンソールのネットワーク設定メニューから DNS サーバーを手動で指定できます。
ハードウェアとストレージの要件
次のセクションでは、ゲートウェイに必要な最小限のハードウェアとストレージの構成、および必要なストレージに割り当てる最小限のディスクスペースについて説明します。
オンプレミス VM のハードウェア要件
ゲートウェイをオンプレミスでデプロイする前に必ず、ゲートウェイ仮想マシン (VM) をデプロイする基盤となるハードウェアで、以下の最小リソースを専有できることを確認してください。
-
VM に割り当てられた 4 つの仮想プロセッサ
-
ファイルゲートウェイ用に 16 GiB の予約済みの RAM
-
ディスクの空き容量 80 GiB (VM イメージとシステムデータのインストール用)
Amazon EC2 インスタンスタイプでの要件
Amazon Elastic Compute Cloud (Amazon EC2) でゲートウェイをデプロイする場合、このゲートウェイが機能するためには、インスタンスサイズとして少なくとも xlarge を使用する必要があります。ただし、コンピューティング最適化インスタンスファミリーの場合、サイズは少なくとも 2xlarge 以上である必要があります。
注記
Storage Gateway AMI は、Intel または AMD プロセッサを使用する x86 ベースのインスタンスとのみ互換性があります。Graviton プロセッサを使用する ARM ベースのインスタンスはサポートされていません。
ゲートウェイの種類に応じて次のインスタンスタイプのうち 1 つを使用することをお勧めします。
ファイルゲートウェイの種類に応じた推奨
-
汎用インスタンスファミリー – m5、m6、または m7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、xlarge インスタンスサイズ以上を選択します。
-
コンピューティング最適化インスタンスファミリー — c5、c6、または c7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、2xlarge インスタンスサイズ以上を選択します。
-
メモリ最適化インスタンスファミリー – r5、r6、または r7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、xlarge インスタンスサイズ以上を選択します。
-
ストレージ最適化インスタンスファミリー – i3、i4、または i7 インスタンスタイプ。Storage Gateway プロセッサと RAM の要件を満たすには、xlarge インスタンスサイズ以上を選択します。
注記
Amazon EC2 でゲートウェイを起動し、選択したインスタンスタイプがエフェメラルストレージをサポートしている場合には、自動的にディスクの一覧が表示されます。Amazon EC2 インスタンスストレージの詳細については、Amazon EC2 ユーザーガイドのインスタンスストレージを参照してください。
ストレージの要件
ゲートウェイには VM 用の 80 GiB 以外にもディスク領域が必要になります。
| ゲートウェイタイプ | キャッシュ (最小) | キャッシュ (最大) |
|---|---|---|
| ファイルゲートウェイ | 150 GiB | 64 TiB |
注記
キャッシュ用として、1 つ以上のローカルドライブを、最大容量まで構成することができます。
既存のゲートウェイにキャッシュを追加する場合、ホスト (ハイパーバイザーまたは Amazon EC2 インスタンス) に新しいディスクを作成することが重要です。ディスクが以前にキャッシュとして割り当てられている場合は、既存のディスクのサイズを変更しないでください。
ネットワークとファイアウォールの要件
ゲートウェイには、インターネット、ローカルネットワーク、ドメインネームサービス (DNS) サーバー、ファイアウォール、ルーターなどへのアクセスが必要です。
ネットワーク帯域幅の要件は、ゲートウェイによってアップロードおよびダウンロードされるデータの量によって異なります。ゲートウェイのダウンロード、アクティブ化、および更新を正常に行うには、最低 100 Mbps が必要です。データ転送のパターンによって、ワークロードのサポートに必要な帯域幅が決まります。
以下は、必要なポートと、ファイアウォールとルーターを経由してアクセスを許可する方法についての情報です。
注記
場合によっては、 AWS の IP アドレス範囲を制限するネットワークセキュリティポリシーを使用して、Amazon EC2 にゲートウェイをデプロイするか、または他のタイプのデプロイ (オンプレミスを含む) を行うことがあります。このような場合、 AWS IP 範囲の値が変更されると、ゲートウェイでサービス接続の問題が発生する可能性があります。使用する必要がある AWS IP アドレス範囲の値は、ゲートウェイをアクティブ化するリージョンの Amazon AWS サービスサブセットにあります。現在の IP 範囲値については、AWS 全般のリファレンスのAWS IP アドレスの範囲を参してください。
トピック
ポート要件
FSx ファイルゲートウェイでは、デプロイとオペレーションを成功させるために、ネットワークセキュリティを介して特定のポートを許可する必要があります。一部のポートはすべてのゲートウェイに必要ですが、他のポートは VPC エンドポイントに接続するときなど、特定の設定にのみ必要です。
FSx ファイルゲートウェイでは、ドメイン ユーザーがサーバー メッセージ ブロック (SMB) ファイル共有にアクセスできるようにするために、Microsoft Active Directory を使用する必要があります。ファイルゲートウェイは、任意の有効な (かつ DNS が解決可能な) Microsoft Windows ドメインに参加させることができます。
を使用して Directory Service 、Amazon Web Services クラウドAWS Managed Microsoft ADで を作成することもできます。ほとんどの AWS Managed Microsoft AD デプロイでは、VPC の Dynamic Host Configuration Protocol (DHCP) サービスを設定する必要があります。DHCP オプションセットの作成については、AWS Directory Service 管理ガイドの「DHCP オプションセットの作成」を参照してください。
次の表に、必要なポートと、[注] 列の条件付き要件を示します。
FSx ファイルゲートウェイのポート要件
|
ネットワーク要素 |
から |
まで |
プロトコル |
ポート |
インバウンド |
アウトバウンド |
必須 |
注意事項 |
|---|---|---|---|---|---|---|---|---|
|
ウェブブラウザ |
ウェブブラウザ |
Storage Gateway VM |
TCP HTTP |
80 |
✓ |
✓ |
✓ |
Storage Gateway のアクティベーションキーは、ローカルシステムにより取得されます。ポート 80 は Storage Gateway アプライアンスのアクティベーション時にのみ使用されます。Storage Gateway VM には、ポート 80 へのパブリックアクセスは不要です。ポート 80 へのアクセスに必要なレベルはネットワークの設定によって決まります。Storage Gateway マネジメントコンソールからゲートウェイをアクティブ化する場合、コンソールに接続するホストには、ゲートウェイのポート 80 に対するアクセス権限が必要です。 |
|
ウェブブラウザ |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
AWS マネジメントコンソール (その他すべてのオペレーション) |
|
DNS |
Storage Gateway VM |
ドメインネームサービス (DNS) サーバー |
TCP & UDP DNS |
53 |
✓ |
✓ |
✓ |
ストレージゲートウェイVMとDNSサーバー間の通信に使用され、IP 名解決を行います。 |
|
NTP |
Storage Gateway VM |
Network Time Protocol (NTP) サーバー |
TCP & UDP NTP |
123 |
✓ |
✓ |
✓ |
VM 時間をホスト時間に同期するためにオンプレミスシステムで使用されます。Storage Gateway VM は、以下の NTP サーバーを使用するように設定されています:
注記Amazon EC2 でホストされているゲートウェイには必要ありません。 |
|
Storage Gateway |
Storage Gateway VM |
サポート エンドポイント |
TCP SSH |
22 |
✓ |
✓ |
✓ |
サポート ゲートウェイの問題のトラブルシューティングに役立つゲートウェイへのアクセスを に許可します。このポートは、ゲートウェイの通常のオペレーションでは開いておく必要はありませんが、トラブルシューティングでは必要です。サポートエンドポイントのリストについては、サポート エンドポイントを参照してください。 |
|
Storage Gateway |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
管理コントロール |
|
Amazon CloudFront |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
アクティベーション用 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理コントロール *VPC エンドポイントを使用する場合にのみ必須 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1026 |
✓ |
✓* |
コントロールプレーンエンドポイント *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1027 |
✓ |
✓* |
Anon コントロールプレーン (アクティベーション用) *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1028 |
✓ |
✓* |
プロキシエンドポイント *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1031 |
✓ |
✓* |
データプレーン *VPC エンドポイントを使用する場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
2222 |
✓ |
✓* |
VPCe の SSH サポートチャネル *VPC エンドポイントを使用しサポートチャネルを開く場合にのみ必須 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理コントロール *VPC エンドポイントを使用する場合にのみ必須 |
|
ファイル共有クライアント |
SMB クライアント |
Storage Gateway VM |
TCP または UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
ファイル共有データ転送セッションサービス。 Microsoft Windows NT 以降のポート 137~139 を置き換えます。 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory サーバー |
UDP NetBIOS |
137 |
✓ |
✓ |
✓ |
サービス名 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory サーバー |
UDP NetBIOS |
138 |
✓ |
✓ |
✓ |
データグラムサービス |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory サーバー |
TCP および UDP LDAP |
389 |
✓ |
✓ |
✓ |
ディレクトリシステムエージェント (DSA) クライアント接続 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory サーバー |
TCP および UDP Kerberos |
88 |
✓ |
✓ |
✓ |
Kerberos |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory サーバー |
TCP 分散コンピューティング環境/エンドポイント マッパー (DCE/EMAP) |
135 |
✓ |
✓ |
✓ |
RPC |
|
Amazon FSx 接続 |
Storage Gateway VM |
FSx for Windows File Server |
TCP または UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
ファイル共有データ転送セッションサービス |
Storage Gateway ハードウェアアプライアンスのネットワークとファイアウォールに関する要件
それぞれの Storage Gateway ハードウェアアプライアンスには、以下のネットワークサービスが必要です。
-
インターネットアクセス – サーバー上の任意のネットワークインターフェイスを介した、インターネットへの常時接続のネットワーク接続。
-
DNS サービス – ハードウェアアプライアンスと DNS サーバー間の通信のための DNS サービス。
-
時刻同期 – 自動的に設定された Amazon NTP タイムサービスへのアクセス。
-
IP アドレス – 割り当てられた DHCP または静的 IPv4 アドレス。IPv6 アドレスを割り当てることはできません。
Dell PowerEdge R640 サーバーの背面には、5 つの物理ネットワークポートがあります。これらのポートは、サーバーの背面から見て左から右に、次のとおりです:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
iDRAC ポートをリモートサーバー管理に使用できます。
ハードウェアアプライアンスでは、以下のポートの操作が必要です。
|
プロトコル |
ポート |
Direction |
ソース |
目的地 |
使用量 |
|---|---|---|---|---|---|
| SSH |
22 |
アウトバウンド |
ハードウェアアプライアンス |
|
サポートチャネル |
| DNS | 53 | アウトバウンド | ハードウェアアプライアンス | DNS サーバー | 名前解決 |
| UDP/NTP | 123 | アウトバウンド | ハードウェアアプライアンス | *.amazon.pool.ntp.org |
時刻同期 |
| HTTPS |
443 |
アウトバウンド |
ハードウェアアプライアンス |
|
データ転送 |
| HTTP | 8080 | インバウンド | AWS | ハードウェアアプライアンス | アクティベーション (短時間のみ) |
設計どおりに動作させるには、ハードウェア アプライアンスで次のようなネットワークとファイアウォールの設定が必要です:
-
接続されているすべてのネットワークインターフェイスをハードウェアコンソールで設定します。
-
各ネットワークインターフェイスが一意のサブネット上にあることを確認します。
-
接続されているすべてのネットワーク インターフェイスに、前の図にリストされているエンドポイントへの送信アクセスを提供します。
-
ハードウェアアプライアンスをサポートするためには、少なくとも 1 つのネットワークインターフェイスを設定します。詳細については、ハードウェアアプライアンスのネットワークパラメータの設定を参照してください。
注記
サーバーの背面とポートを示す図については、ハードウェアアプライアンスの物理的なインストール を参照してください。
ゲートウェイまたはホストのどちらであっても、同じネットワーク インターフェイス (NIC) 上のすべての IP アドレスは同じサブネット上にある必要があります。次の図は、アドレス割り当てスキームを示しています。
ハードウェアアプライアンスのアクティブ化と設定の詳細については、AWS Storage Gateway ハードウェアアプライアンスの使用 を参照してください。
ファイアウォールとルーターを介した AWS Storage Gateway アクセスの許可
ゲートウェイが通信するには、次の Storage Gateway サービスエンドポイントにアクセスする必要があります AWS。ゲートウェイのセットアップ時に、ネットワーク環境に基づいてゲートウェイのエンドポイントタイプを選択します。ファイアウォールまたはルーターを使用してネットワークトラフィックをフィルタリングまたは制限する場合は、これらのサービスエンドポイントに対し AWSへのアウトバウンド通信を許可するように、対象のファイアウォールおよびルーターを設定する必要があります。
注記
Storage Gateway との接続とデータ転送に使用するように Storage Gateway のプライベート VPC エンドポイントを設定する場合 AWS、ゲートウェイはパブリックインターネットへのアクセスを必要としません。詳細については、仮想プライベートクラウドでのゲートウェイのアクティブ化 を参照してください。
重要
次のエンドポイント例の region を、 などのゲートウェイの正しい AWS リージョン 文字列に置き換えますus-west-2。
amzn-s3-demo-bucket を、デプロイメント内の実際の Amazon S3 バケット名に置き換えます。amzn-s3-demo-bucket の代わりにアスタリスク (*) を使用して、ファイアウォールルールにワイルドカードエントリを作成することもできます。これにより、すべてのバケット名のサービスエンドポイントを一覧表示できます。
ゲートウェイが米国またはカナダ AWS リージョン の にデプロイされており、連邦情報処理規格 (FIPS) 準拠のエンドポイント接続が必要な場合は、s3 を に置き換えますs3-fips。
エンドポイントタイプ
標準エンドポイント
これらのエンドポイントは、ゲートウェイアプライアンスと 間の IPv4 トラフィックをサポートします AWS。
ヘッドバケット オペレーションには、すべてのゲートウェイで以下のサービスエンドポイントが必要です。
bucket-name.s3.region.amazonaws.com:443
以下のサービスエンドポイントは、すべてのゲートウェイが制御パス (anon-cp、client-cp、proxy-app)およびデータパス (dp-1) 操作のために必要とするものです。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
次のゲートウェイサービスエンドポイントは、API コールを行うために必要です。
storagegateway.region.amazonaws.com:443
次に、米国西部 (オレゴン) リージョン (us-west-2) にあるゲートウェイサービスエンドポイントの例を示します。
storagegateway.us-west-2.amazonaws.com:443
Storage Gateway および Amazon S3 サービスエンドポイントに加えて、Storage Gateway VMs次の NTP サーバーへのネットワークアクセスも必要です。
time.aws.com 0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
サポートされている AWS リージョン およびサービスエンドポイントの詳細については、のStorage Gateway」を参照してくださいAWS 全般のリファレンス。
Amazon EC2 ゲートウェイインスタンスでのセキュリティグループの設定
では AWS Storage Gateway、セキュリティグループが Amazon EC2 ゲートウェイインスタンスへのトラフィックを制御します。セキュリティグループを設定するときは、次のことを推奨します。
-
セキュリティグループで、外部のインターネットからの着信接続は許可しないでください。ゲートウェイのセキュリティグループ内のインスタンスのみがゲートウェイと通信できるようにします。
インスタンスがセキュリティグループ外からゲートウェイに接続できるようにする必要がある場合は、ポート 80 (アクティベーション用) でのみ接続を許可することをお勧めします。
-
ゲートウェイのセキュリティグループに属さない Amazon EC2 ホストからゲートウェイをアクティベートする場合は、そのホストの IP アドレスからの着信接続をポート 80 で許可します。アクティブ化するホストの IP アドレスがわからない場合、ポート 80 を開き、ゲートウェイをアクティブ化して、アクティブ化の完了後、ポート 80 のアクセスを閉じることができます。
-
トラブルシューティング サポート の目的で を使用している場合のみ、ポート 22 アクセスを許可します。詳細については、「Amazon EC2 ゲートウェイのトラブルシューティングを支援 サポート したい」を参照してください。
サポートされているハイパーバイザーとホストの要件
Storage Gateway は、仮想マシン (VM) アプライアンスまたは物理ハードウェアアプライアンスとしてオンプレミスで実行することも、Amazon EC2 インスタンス AWS として で実行することもできます。
Storage Gateway では、以下のハイパーバイザーのバージョンとホストがサポートされます。
-
VMware ESXi ハイパーバイザー (バージョン 7.0 または 8.0) – このセットアップには、ホストに接続するための VMware vSphere クライアントも必要です。
-
Microsoft Hyper-V ハイパーバイザー (2019、2022、または 2025) – このセットアップでは、ホストに接続するために Microsoft Windows クライアント コンピューターに Microsoft Hyper-V マネージャーが必要です。
-
Linux カーネルベース仮想マシン (KVM) – これは無料のオープンソースの仮想化テクノロジーです。KVM は、Linux バージョン 2.6.20 以降のすべてのバージョンに同梱されています。Storage Gateway は、CentOS/RHEL 7.7、RHEL 8.6、Ubuntu 16.04 LTS、および Ubuntu 18.04 LTS の各ディストリビューションでテストされ動作が確認されています。他の最新の Linux ディストリビューションは動作しますが、機能やパフォーマンスは保証されません。既に KVM 環境が稼働しており、KVM の仕組みに精通している場合は、このオプションをお勧めします。
-
バージョン 10.0.1.1 から始まる Nutanix AHV (アクロポリスハイパーバイザー) – Nutanix ハイパーコンバージドインフラストラクチャ (HCI) ソリューションに統合されている KVM ベースの仮想化プラットフォーム。
-
Amazon EC2 インスタンス – Storage Gateway では、ゲートウェイ の VM イメージを含む Amazon マシンイメージ (AMI) を提供します。Amazon EC2 にゲートウェイをデプロイする方法については、FSx ファイルゲートウェイ用のデフォルトの Amazon EC2 ホストをデプロイするを参照してください。
-
Storage Gateway ハードウェアアプライアンス – Storage Gateway では、仮想マシンによるインフラストラクチャが制限されている場所のためのオンプレミス用デプロイオプションとして、物理ハードウェアアプライアンスが提供されています。
注記
Storage Gateway では、スナップショットから作成された VM、または別のゲートウェイ VM のクローン、または Amazon EC2 AMI からのゲートウェイの復元はサポートされていません。ゲートウェイ VM が正しく機能しない場合は、新しいゲートウェイをアクティブ化し、データをそのゲートウェイに復旧します。詳細については、予期しない仮想マシンのシャットダウンからの復旧を参照してください。
Storage Gateway は動的メモリと仮想メモリのバルーニングをサポートしていません。
ファイルゲートウェイでサポートされている SMB クライアント
ファイルゲートウェイは以下のサービスメッセージブロック (SMB) クライアントをサポートしています。
-
Microsoft Windows Server 2008 R2 以降
-
Windows デスクトップバージョン: 10、8、7
-
Windows Server 2008 以降で実行される Windows ターミナル サーバー
注記
サーバーメッセージブロックの暗号化には、SMB v3.x のダイアレクトをサポートするクライアントが必要です。
ファイルゲートウェイでサポートされているファイルシステムオペレーション
SMB クライアントは、ファイルの書き込み、読み取り、削除、切り捨てを行うことができます。クライアントが Storage Gateway に書き込みを送信すると、同期的にローカルキャッシュに書き込みます。次に、最適化された転送を介して非同期的に Amazon FSx に書き込まれます。読み取りはまずローカルキャッシュから行われます。データが利用できない場合は、Amazon FSx を通じてリードスルーキャッシュとして取得されます。
読み込みと書き込みは、変更された部分またはリクエストされた部分だけがゲートウェイ経由で転送されるように最適化されます。Amazon FSx からファイルを削除します。
