本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置卷网关的要求
除非另有说明,否则所有网关配置都需要满足以下要求。
硬件和存储要求
本节介绍网关的最低硬件和设置要求,以及为所需存储分配的最小磁盘空间量。
的硬件要求 VMs
在部署网关时,您必须确保部署网关虚拟机的基础硬件能够分配以下最少资源:
-
分配给 VM 的四个虚拟处理器。
-
对于卷网关,您的硬件应使用以下数量的 RAM:
-
对于缓存大小不超过 16 TiB 的网关,预留 16 GiB 的 RAM
-
对于缓存大小为 16 TiB 至 32 TiB 的网关,预留 32 GiB 的 RAM
-
对于缓存大小为 32 TiB 至 64 TiB 的网关,预留 48 GiB 的 RAM
-
-
80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。
有关更多信息,请参阅 优化网关性能。有关硬件如何影响网关 VM 的性能的信息,请参阅 AWS Storage Gateway 配额。
Amazon EC2 实例类型的要求
在亚马逊弹性计算云 (Amazon EC2) 上部署网关时,实例大小必须至少为 x large 才能使网关正常运行。但是,对于计算优化型实例系列,大小必须至少为 2xlarge。
注意
Storage Gateway AMI 仅与使用 Intel 或 AMD 处理器的基于 x86 的实例兼容。不支持使用 Graviton 处理器的基于 ARM 的实例。
对于 Volu me Gat ,您的 Amazon EC2 实例应根据您计划用于网关的缓存大小分配以下数量的 RAM:
-
对于缓存大小不超过 16 TiB 的网关,预留 16 GiB 的 RAM
-
对于缓存大小为 16 TiB 至 32 TiB 的网关,预留 32 GiB 的 RAM
-
对于缓存大小为 32 TiB 至 64 TiB 的网关,预留 48 GiB 的 RAM
使用为您的网关类型推荐的以下实例类型之一。
推荐用于缓存卷
-
通用实例系列 — m5 或 m6 实例类型。
-
计算优化型实例系列 — c5、c6 或 c7 实例类型。选择 2xlarge 实例大小或更大的大小,以满足所需的 RAM 要求。
-
内存优化型实例系列 — r5、r6 或 r7 实例类型。
-
存储优化型实例系列 — i3、i4 或 i7 实例类型。
存储需求
除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。
下表为所部署的网关推荐了本地磁盘存储的大小。
| 网关类型 | 缓存(最小值) | 缓存(最大值) | 上传缓冲区(最小值) | 上传缓冲区(最大值) | 其他必需的本地磁盘 |
|---|---|---|---|---|---|
| 缓存卷网关 | 150 GiB | 64 TiB | 150 GiB |
2 TiB |
— |
| 存储卷网关 | — | — | 150 GiB |
2 TiB |
一个或多个,用于存储卷 |
注意
您可以为缓存和上传缓冲区配置一个或多个不超过最大容量的本地驱动器。
向现有网关添加缓存或上传缓冲区时,务必在主机(虚拟机管理程序或 Amazon EC2 实例)中创建新磁盘。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。
有关网关配额的信息,请参阅AWS Storage Gateway 配额。
网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
注意
在某些情况下,您可以在 Amazon 上部署 Storage Gateway, EC2 或者使用其他类型的部署(包括本地),其网络安全策略会限制 AWS IP 地址范围。在这些情况下,当 AWS IP 范围值发生变化时,您的网关可能会遇到服务连接问题。您需要使用的 AWS IP 地址范围值位于您激活网关的 AWS 区域的 Amazon 服务子集中。有关当前 IP 范围值,请参阅《AWS 一般参考》中的 AWS IP 地址范围。
注意
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。您的数据传输模式将决定支持您的工作负载所需的带宽。在某些情况下,您可能会在亚马逊上部署 Storage Gateway EC2 或使用其他类型的部署
端口要求
T@@ eway Volume Gateway 要求允许特定端口通过您的网络安全,才能成功部署和运行。所有网关都需要某些端口,而其他端口则仅用于特定配置,例如连接到 VPC 终端节点时。
的端口要求
|
网络元素 |
From |
目的 |
协议 |
端口 |
入站 |
出站 |
必需 |
备注 |
|---|---|---|---|---|---|---|---|---|
|
Web 浏览器 |
您的 Web 浏览器 |
Storage Gateway VM |
TCP HTTP |
80 |
✓ |
✓ |
✓ |
供本地系统用来获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。Storage Gateway VM 不要求可公开访问端口 80。端口 80 所需的访问级别取决于网络配置。如果您从 Storage Gateway 管理控制台激活网关,则从中连接到控制台的主机必须能够访问网关的端口 80。 |
|
Web 浏览器 |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
AWS 管理控制台(所有其他操作) |
|
DNS |
Storage Gateway VM |
域名服务 (DNS) 服务器 |
TCP 和 UDP DNS |
53 |
✓ |
✓ |
✓ |
用于 Storage Gateway 虚拟机与 DNS 服务器之间的通信,以解析 IP 名称。 |
|
NTP |
Storage Gateway VM |
网络时间协议 (NTP) 服务器 |
TCP 和 UDP NTP |
123 |
✓ |
✓ |
✓ |
本地系统用于将虚拟机时间与主机时间同步。Storage Gateway VM 配置为使用以下 NTP 服务器:
注意Amazon 上托管的网关不是必需 EC2的。 |
|
Storage Gateway |
Storage Gateway VM |
支持 端点 |
TCP SSH |
22 |
✓ |
✓ |
✓ |
支持 允许访问您的网关以帮助您解决网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。有关支持端点的列表,请参阅支持 端点。 |
|
Storage Gateway |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
管理控制台 |
|
Amazon CloudFront |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
用于激活 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理控制台 *仅在使用 VPC 终端节点时才需要 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1026 |
✓ |
✓* |
控制平面端点 *仅在使用 VPC 终端节点时才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1027 |
✓ |
✓* |
匿名控制平面(用于激活) *仅在使用 VPC 终端节点时才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1028 |
✓ |
✓* |
代理端点 *仅在使用 VPC 终端节点时才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1031 |
✓ |
✓* |
数据层面 *仅在使用 VPC 终端节点时才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
2222 |
✓ |
✓* |
适用于 SSH Support 频道 VPCe *仅在使用 VPC 终端节点时打开支持频道时才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理控制台 *仅在使用 VPC 终端节点时才需要 |
|
iSCSI 客户端 |
iSCSI 客户端 |
Storage Gateway VM |
TCP |
3260 |
✓ |
✓ |
✓ |
让本地系统连接到网关公开的 iSCSI 目标。 |
下图显示了基本的 Volume Gatewa y 部署的网络流量。
Storage Gateway 硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
-
Internet 访问 - 通过服务器上的任何网络接口实现与 Internet 的永久性网络连接。
-
DNS 服务 - 用于硬件设备和 DNS 服务器之间的通信的 DNS 服务。
-
时间同步 - 必须可访问自动配置的 Amazon NTP 时间服务。
-
IP 地址-分配的 DHCP IPv4 地址或静态地址。您不能分配 IPv6 地址。
Dell PowerEdge R640服务器的背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
您可以使用 iDRAC 端口进行远程服务器管理。
硬件设备需要以下端口才能运行。
|
协议 |
端口 |
方向 |
来源 |
目标 |
如何使用 |
|---|---|---|---|---|---|
| SSH |
22 |
出站 |
硬件设备 |
|
支持渠道 |
| DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
| UDP/NTP | 123 | 出站 | 硬件设备 | *.amazon.pool.ntp.org |
时间同步 |
| HTTPS |
443 |
出站 |
硬件设备 |
|
数据传输 |
| HTTP | 8080 | 入站 | AWS | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
-
在硬件控制台中配置所有连接的网络接口。
-
确保每个网络接口都位于唯一的子网中。
-
为所有连接的网络接口提供对上图中列出的端点的出站访问权限。
-
配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅 配置硬件设备网络参数。
注意
有关显示服务器背面及其端口的图示,请参阅物理安装硬件设备
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
有关激活和配置硬件设备的更多信息,请参阅使用 Storage Gateway 硬件设备。
允许通过防火墙和路由器进行 AWS Storage Gateway 访问
您的网关需要访问 Storage Gateway 服务端点才能与之通信 AWS。在网关设置过程中,根据您的网络环境为网关选择终端节点类型。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。
注意
如果您为 Storage Gateway 配置私有 VPC 终端节点以用于连接和传出数据 AWS,则您的网关不需要访问公共互联网。有关更多信息,请参阅在 Virtual Private Cloud 中激活网关。
重要
根据网关的 AWS 区域,在服务终端节点region中替换为正确的区域字符串。
端点类型
标准端点
这些端点支持您的网关设备与之间的 IPv4 流量 AWS。
所有网关都需要以下服务端点才能执行 head-bucket 操作。
bucket-name.s3.region.amazonaws.com:443
所有网关都需要以下服务端点才能执行控制路径 (anon-cp、client-cp、proxy-app) 和数据路径 (dp-1) 操作。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
调用 API 需要使用以下网关服务端点。
storagegateway.region.amazonaws.com:443
以下示例是美国西部(俄勒冈州)区域 (us-west-2) 中的网关服务端点。
storagegateway.us-west-2.amazonaws.com:443
双堆栈端点
这些端点同时 IPv4 支持网关设备和之间的 IPv6 流量 AWS。
所有网关都需要以下双栈服务端点才能进行头端操作。
bucket-name.s3.dualstack.region.amazonaws.com:443
所有网关都需要以下双栈服务端点才能进行控制路径(激活、控制平面、代理)和数据路径(数据平面)操作。
activation-storagegateway.region.api.aws:443 controlplane-storagegateway.region.api.aws:443 proxy-storagegateway.region.api.aws:443 dataplane-storagegateway.region.api.aws:443
进行 API 调用需要以下网关双栈服务端点。
storagegateway.region.api.aws:443
以下示例是美国西部(俄勒冈)地区的网关双栈服务终端节点 (us-west-2)。
storagegateway.us-west-2.api.aws:443
NTP 服务器
Storage Gateway 虚拟机需要通过网络访问以下 NTP 服务器。
time.aws.com 0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
有关支持的终端节点 AWS 区域 和服务端点的完整列表,请参阅中的 Storage Gateway AWS 一般参考。
为您的 Amazon EC2 网关实例配置安全组
安全组控制您的 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
-
安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 3260 (适用于 iSCSI 连接) 和端口 80 (适用于激活) 上的连接。
-
如果您想从网关安全组之外的 Amazon EC2 主机激活网关,请允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
-
仅当使用端口 22 支持 进行故障排除时,才允许访问。有关更多信息,请参阅 你 支持 想帮忙排除 EC2 网关故障。
在某些情况下,您可以使用 Amazon EC2 实例作为启动器(即连接到部署在 Amazon EC2 上的网关上的 iSCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:
-
您应在与网关相同的安全组中启动启动程序实例。
-
您应配置访问权限,以便启动程序可与网关进行通信。
有关要为您的网关开放的端口的信息,请参阅端口要求。
受支持的管理程序和主机要求
您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,也可以 AWS 作为 Amazon EC2 实例运行。
注意
当制造商结束对某个管理程序版本的一般支持时,Storage Gateway 也将结束对该版本的支持。有关支持特定版本管理程序的详细信息,请参阅制造商的文档。
Storage Gateway 支持以下管理程序版本和主机:
-
VMware ESXi 虚拟机管理程序(版本 7.0 或 8.0)-对于此设置,还需要一个 VMware vSphere 客户端来连接到主机。
-
微软 Hyper-V 虚拟机管理程序(版本 2019、2022 或 2025)— 要进行此设置,你需要在微软 Windows 客户端计算机上安装微软 Hyper-V 管理器才能连接到主机。
-
基于 Linux 内核的虚拟机 (KVM) - 免费的开源虚拟化技术。Linux 2.6.20 及更高版本中都包括了 KVM。Storage Gateway 经过测试并支持 CentOS/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。
-
亚马逊 EC2 实例 — Storage Gateway 提供包含网关 VM 映像的亚马逊系统映像 (AMI)。只能在 Amazon 上部署文件、缓存卷和磁带网关类型 EC2。有关如何在 Amazon 上部署网关的信息 EC2,请参阅为卷网关部署自定义 Amazon EC2 实例。
-
Storage Gateway 硬件设备 - 对于具有有限虚拟机基础架构的位置,Storage Gateway 提供了物理硬件设备来作为本地部署选项。
注意
Storage Gateway 不支持从通过其他网关虚拟机的快照或克隆创建的虚拟机或从您的 Amazon EC2 AMI 中恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 从虚拟机意外关闭中恢复。
Storage Gateway 不支持动态内存和虚拟内存激增。
受支持的 iSCSI 启动程序
部署缓存卷或存储卷网关时,可以在网关上创建 iSCSI 存储卷。
为了连接到这些 iSCSI 设备,Storage Gateway 支持以下 iSCSI 启动程序:
-
微软 Windows 服务器 2022
-
Red Hat Enterprise Linux 8
-
Red Hat Enterprise Linux 9
-
VMware ESX Initiator,它提供了在您的客户机操作系统中使用启动器的替代方案 VMs
重要
Storage Gateway 不支持来自 Windows 客户端的微软 Multipath I/O (MPIO)。
如果主机使用 Windows Server 失效转移集群 (WSFC) 协调访问,Storage Gateway 支持将多个主机与同一个卷关联。但是,若未使用 WSFC,则不能将多个主机连接到同一个卷 (例如,共享非群集 NTFS/ext4 文件系统)。
