Amazon FSx 檔案閘道不再提供給新客戶。FSx File Gateway 的現有客戶可以繼續正常使用服務。如需類似 FSx File Gateway 的功能,請造訪此部落格文章
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檔案閘道設定需求
除非另有說明,否則以下要求對於 中的所有檔案閘道類型都是常見的 AWS Storage Gateway。您的設定必須符合本節的要求。在部署閘道之前,請先檢閱適用於閘道設定的需求。
先決條件
設定 Amazon FSx 檔案閘道 (FSx 檔案閘道) 之前,您必須符合下列先決條件:
-
建立和設定 FSx for Windows File Server 檔案系統。如需說明,請參閱《Amazon FSx for Windows File Server 使用者指南》中的步驟 1:建立您的檔案系統。
-
設定 Microsoft Active Directory (AD) 並建立具備必要許可的 Active Directory 服務帳戶。如需詳細資訊,請參閱 Active Directory 服務帳戶許可要求。
-
確保閘道和 之間有足夠的網路頻寬 AWS。成功下載、啟用和更新閘道需要至少 100 Mbps。
-
設定您要用於部署閘道之內部部署環境 AWS 與 之間網路流量的連線。您可以使用公有網際網路、私有聯網、VPN 或 進行連線 AWS Direct Connect。如果您希望閘道 AWS 透過私有連線與 Amazon Virtual Private Cloud 通訊,請在設定閘道之前設定 Amazon VPC。
-
請確定您的閘道可以解析 Active Directory 網域控制站的名稱。您可以在 Active Directory 網域中使用 DHCP 來處理解析度,或從閘道本機主控台的網路組態設定選單手動指定 DNS 伺服器。
硬體及儲存體需求
下列各節提供有關閘道所需的硬體和儲存組態下限,以及為所需儲存配置的磁碟空間下限的資訊。
內部部署 VM 的硬體需求
在內部部署閘道時,請確定您部署閘道虛擬機器 (VM) 的基礎硬體可以專用於下列最低資源:
-
指派給 VM 的四個虛擬處理器
-
16 GiB 保留 RAM,適用於檔案閘道
-
80 GiB 的磁碟空間,用於安裝 VM 映像和系統資料
Amazon EC2 執行個體類型的需求
在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署閘道時,執行個體大小必須至少xlarge為 ,閘道才能運作。不過,對於運算最佳化執行個體系列,大小必須至少為 2xlarge。
注意
Storage Gateway AMI 僅與使用 Intel 或 AMD 處理器的 x86 型執行個體相容。不支援使用 Graviton 處理器的 ARM 型執行個體。
請針對您的閘道類型,使用下列其中一個建議的執行個體類型。
建議用於檔案閘道類型
-
一般用途執行個體系列 – m4、m5、m6 或 m7 執行個體類型。選擇 xlarge 執行個體大小或更高,以符合 Storage Gateway 處理器和 RAM 需求。
-
運算最佳化執行個體系列 – c4、c5、c6 或 c7 執行個體類型。選擇 2xlarge 或更高的執行個體大小,以符合 Storage Gateway 處理器和 RAM 需求。
-
記憶體最佳化執行個體系列 – r3、r5、r6 或 r7 執行個體類型。選擇 xlarge 執行個體大小或更高,以符合 Storage Gateway 處理器和 RAM 需求。
-
儲存體最佳化執行個體系列 – i3、i4 或 i7 執行個體類型。選擇 xlarge 執行個體大小或更高版本,以符合 Storage Gateway 處理器和 RAM 需求。
注意
當您在 Amazon EC2 中啟動閘道,且您選擇的執行個體類型支援暫時性儲存時,系統會自動列出磁碟。如需 Amazon EC2 執行個體儲存體的詳細資訊,請參閱《Amazon EC2 使用者指南》中的執行個體儲存體。 Amazon EC2
儲存需求
除了 VM 的 80 GiB 磁碟空間之外,閘道還需要額外的磁碟。
| 閘道類型 | 快取 (最低) | 快取 (上限) |
|---|---|---|
| 檔案閘道 | 150 GiB | 64 TiB |
注意
您可以為快取設定一或多個本機磁碟機,最高可達最大容量。
將快取新增至現有閘道時,請務必在主機 (Hypervisor 或 Amazon EC2 執行個體) 中建立新的磁碟。如果磁碟先前已配置為快取,請勿變更現有磁碟的大小。
網路與防火牆需求
您的閘道需要存取網際網路、本機網路、網域名稱服務 (DNS) 伺服器、防火牆、路由器等。
網路頻寬要求會根據閘道上傳及下載的資料數量而有所不同。至少需要 100Mbps 才能成功下載、啟用和更新閘道。您的資料傳輸模式將決定支援工作負載所需的頻寬。
您可以在以下內容找到必要連接埠及如何允許透過防火牆及路由器進行存取的相關資訊。
注意
在某些情況下,您可以在 Amazon EC2 上部署閘道,或搭配限制 AWS IP 地址範圍的網路安全政策使用其他類型的部署 (包括內部部署)。在這些情況下,當 AWS IP 範圍值變更時,閘道可能會遇到服務連線問題。您需要使用的 AWS IP 地址範圍值位於您啟用閘道所在區域的 AWS Amazon 服務子集中。如需有關目前 IP 範圍值的資訊,請參閱 AWS 一般參考 中的 AWS IP 地址範圍。
連接埠需求
FSx File Gateway 需要透過網路安全允許特定連接埠,才能成功部署和操作。所有閘道都需要某些連接埠,而其他連接埠只需要特定組態,例如連線至 VPC 端點時。
對於 FSx 檔案閘道,您必須使用 Microsoft Active Directory 來允許網域使用者存取伺服器訊息區塊 (SMB) 檔案共享。您可以將檔案閘道加入任何有效的 Microsoft Windows 網域 (可由 DNS 解析)。
您也可以使用 AWS Directory Service 在 Amazon Web Services Cloud AWS Managed Microsoft AD中建立 。對於大多數 AWS Managed Microsoft AD 部署,您需要為 VPC 設定動態主機組態協定 (DHCP) 服務。如需有關建立 DHCP 選項集的資訊,請參閱《 AWS Directory Service 管理指南》中的建立 DHCP 選項集。
下表列出必要的連接埠,並說明 Notes 欄中的條件式需求。
FSx File Gateway 的連接埠需求
|
網路元素 |
從 |
到 |
通訊協定 |
連線埠 |
傳入 |
傳出 |
必要 |
備註 |
|---|---|---|---|---|---|---|---|---|
|
Web 瀏覽器 |
您的 Web 瀏覽器 |
Storage Gateway VM |
TCP HTTP |
80 |
✓ |
✓ |
✓ |
供本機系統用來取得 Storage Gateway 啟用金鑰。只有在啟用 Storage Gateway 裝置時,才會使用連接埠 80。Storage Gateway VM 不需要讓連接埠 80 可公開存取。連接埠 80 所需的存取權限級別取決於您的網路設定。如果您從 Storage Gateway 管理主控台啟用閘道,您從中連線至主控台的主機必須能夠存取閘道的連接埠 80。 |
|
Web 瀏覽器 |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
AWS 管理主控台 (所有其他操作) |
|
DNS |
Storage Gateway VM |
網域名稱服務 (DNS) 伺服器 |
TCP 和 UDP DNS |
53 |
✓ |
✓ |
✓ |
用於 Storage Gateway VM 與 DNS 伺服器之間的通訊,以進行 IP 名稱解析。 |
|
NTP |
Storage Gateway VM |
網路時間協定 (NTP) 伺服器 |
TCP 和 UDP NTP |
123 |
✓ |
✓ |
✓ |
內部部署系統用來將 VM 時間與主機時間同步。Storage Gateway VM 會設定為使用下列 NTP 伺服器:
注意Amazon EC2 上託管的閘道不需要。 |
|
Storage Gateway |
Storage Gateway VM |
支援 端點 |
TCP SSH |
22 |
✓ |
✓ |
✓ |
允許 支援 存取您的閘道,以協助您疑難排解閘道問題。不需要將此埠開放給閘道的正常操作使用,但進行疑難排解時需要用到。如需支援端點的清單,請參閱支援 端點。 |
|
Storage Gateway |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
管理主控台 |
|
Amazon CloudFront |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓ |
用於啟用 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理主控台 *只有在使用 VPC 端點時才需要 |
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1026 |
✓ |
✓* |
控制平面端點 *只有在使用 VPC 端點時才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1027 |
✓ |
✓* |
Anon 控制平面 (用於啟用) *只有在使用 VPC 端點時才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1028 |
✓ |
✓* |
Proxy 端點 *只有在使用 VPC 端點時才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
1031 |
✓ |
✓* |
資料平面 *只有在使用 VPC 端點時才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
2222 |
✓ |
✓* |
VPCe 的 SSH 支援管道 *僅在使用 VPC 端點時開啟支援管道時才需要 |
|
|
VPC |
Storage Gateway VM |
AWS |
TCP HTTPS |
443 |
✓ |
✓ |
✓* |
管理主控台 *只有在使用 VPC 端點時才需要 |
|
檔案共享用戶端 |
SMB 用戶端 |
Storage Gateway VM |
TCP 或 UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
檔案共用資料傳輸工作階段服務。 取代 Microsoft Windows NT 和更新版本的連接埠 137–139。 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory 伺服器 |
UDP NetBIOS |
137 |
✓ |
✓ |
✓ |
名稱服務 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory 伺服器 |
UDP NetBIOS |
138 |
✓ |
✓ |
✓ |
資料包服務 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory 伺服器 |
TCP 和 UDP LDAP |
389 |
✓ |
✓ |
✓ |
Directory System Agent (DSA) 用戶端連線 |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory 伺服器 |
TCP 和 UDP Kerberos |
88 |
✓ |
✓ |
✓ |
Kerberos |
|
Microsoft Active Directory |
Storage Gateway VM |
Active Directory 伺服器 |
TCP 分散式運算環境/端點映射器 (DCE/EMAP) |
135 |
✓ |
✓ |
✓ |
RPC |
|
Amazon FSx 連線 |
Storage Gateway VM |
FSx for Windows File Server |
TCP 或 UDP SMBv3 |
445 |
✓ |
✓ |
✓ |
檔案共用資料傳輸工作階段服務 |
Storage Gateway 硬體設備的網路與防火牆要求
每個 Storage Gateway 硬體設備都需要下列網路服務:
-
網際網路存取:透過任何伺服器上的網路介面,全年無休的連線到網際網路。
-
DNS 服務:用於在硬體設備和 DNS 伺服器之間通訊的 DNS 服務。
-
時間同步:必須能夠存取自動設定的 Amazon NTP 時間服務。
-
IP 地址:指派的 DHCP 或靜態 IPv4 地址。您不能指派 IPv6 地址。
Dell PowerEdge R640 伺服器後方有 5 個實體網路連接埠。從左到右 (面向伺服器的背面),這些連接埠如下所示:
-
iDRAC
-
em1 -
em2 -
em3 -
em4
您可以將 iDRAC 連接埠用於遠端伺服器管理。
硬體設備需要以下連接埠才能運作。
|
通訊協定 |
連線埠 |
Direction |
來源 |
目的地 |
用量 |
|---|---|---|---|---|---|
| SSH |
22 |
傳出 |
硬體設備 |
|
支援通道 |
| DNS | 53 | 傳出 | 硬體設備 | DNS 伺服器 | 名稱解析 |
| UDP/NTP | 123 | 傳出 | 硬體設備 | *.amazon.pool.ntp.org |
時間同步 |
| HTTPS |
443 |
傳出 |
硬體設備 |
|
資料傳輸 |
| HTTP | 8080 | 傳入 | AWS | 硬體設備 | 啟用 (只需短暫時間) |
若要依設計方式執行,硬體設備需要如下所示的網路和防火牆設定:
-
在硬體主控台設定所有連接的網路介面。
-
確保每個網路介面位於唯一的子網路。
-
提供所有連接網路介面可以對外存取前面的圖表中所列的端點。
-
至少設定一個網路介面來支援硬體設備。如需詳細資訊,請參閱設定硬體設備網路參數。
注意
如需顯示伺服器後端及其連接埠的圖例,請參閱 實際安裝您的硬體設備。
同一個網路介面 (NIC) 上的所有 IP 地址都必須位在同一個子網路,無論是用於閘道或主機。下圖顯示了定址配置。
如需啟用和設定硬體設備的詳細資訊,請參閱使用 AWS Storage Gateway硬體設備。
允許透過防火牆和路由器 AWS Storage Gateway 存取
您的閘道需要存取下列服務端點才能與之通訊 AWS。若您使用防火牆或路由器來篩選或限制網路流量,則必須設定防火牆和路由器,以允許這些服務端點可與 AWS進行傳出通訊。
注意
如果您將 Storage Gateway 的私有 VPC 端點設定為用於往返連線和資料傳輸 AWS,則閘道不需要存取公有網際網路。如需詳細資訊,請參閱在虛擬私有雲端中啟用閘道。
重要
將下列端點範例中的區域取代為閘道的正確 AWS 區域 字串,例如 us-west-2。
將 amzn-s3-demo-bucket 取代為部署中 Amazon S3 儲存貯體的實際名稱。您也可以使用星號 (*) 取代 amzn-s3-demo-bucket,在防火牆規則中建立萬用字元項目,這會允許列出所有儲存貯體名稱的服務端點。
如果您的閘道部署 AWS 區域 在美國或加拿大的 中,且需要符合聯邦資訊處理標準 (FIPS) 的端點連線,請將 s3 取代為 s3-fips。
所有閘道都需要下列服務端點,才能進行頭部儲存貯體的操作。
bucket-name.s3.region.amazonaws.com:443
控制路徑 (anon-cp、client-cp、proxy-app) 和資料路徑 (dp-1) 操作的所有閘道都需要下列服務端點。
anon-cp.storagegateway.region.amazonaws.com:443 client-cp.storagegateway.region.amazonaws.com:443 proxy-app.storagegateway.region.amazonaws.com:443 dp-1.storagegateway.region.amazonaws.com:443
進行 API 呼叫時必須使用下列閘道服務端點。
storagegateway.region.amazonaws.com:443
下列範例是美國西部 (奧勒岡) 區域 (us-west-2) 中的閘道服務端點。
storagegateway.us-west-2.amazonaws.com:443
除了 Storage Gateway 和 Amazon S3 服務端點之外,Storage Gateway VMs還需要網路存取下列 NTP 伺服器:
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
-
如需可與 Storage Gateway 搭配使用的支援 AWS 區域 AWS 和服務端點的完整清單,請參閱 中的AWS Storage Gateway 端點和配額AWS 一般參考。
-
如需可搭配硬體設備使用的支援 AWS 區域清單,請參閱《》中的 Storage Gateway 硬體設備區域AWS 一般參考。
設定 Amazon EC2 閘道執行個體的安全群組
在 中 AWS Storage Gateway,安全群組會控制 Amazon EC2 閘道執行個體的流量。當您設定安全群組時,建議使用下列各項:
-
安全群組不應該允許來自外部網際網路的傳入連線。它只應該允許閘道安全群組內的執行個體與閘道通訊。
如果您需要允許執行個體從其安全群組外部連線至閘道,建議您僅允許連接埠 80 (用於啟用) 上的連線。
-
如果您要從閘道安全群組外部的 Amazon EC2 主機啟用閘道,則允許連接埠 80 上來自該主機之 IP 地址的傳入連線。如果您無法判斷啟用主機的 IP 地址,則可以開啟連接埠 80,並啟用閘道,然後在完成啟用後關閉連接埠 80 上的存取。
-
只有在您使用 支援 進行故障診斷時,才允許連接埠 22 存取。如需詳細資訊,請參閱支援 您想要協助疑難排解 Amazon EC2 閘道。
支援的 Hypervisor 與主機需求
您可以將 Storage Gateway 內部部署作為虛擬機器 (VM) 設備或實體硬體設備,或 AWS 作為 Amazon EC2 執行個體在 中執行。
Storage Gateway 支援下列 Hypervisor 版本與主機:
-
VMware ESXi Hypervisor (7.0 或 8.0 版) – 在此設定中,您也需要 VMware vSphere 用戶端來連線至主機。
-
Microsoft Hyper-V Hypervisor (2012 R2、2016、2019 或 2022 版本):Hyper-V 的免費、獨立版本可從 Microsoft 下載中心
取得。針對此設定,您需要 Microsoft Windows 用戶端電腦上的 Microsoft Hyper-V 管理員以連線到主機。 -
Linux 核心基礎虛擬機器 (KVM):免費的開放原始碼虛擬化技術。KVM 包含於所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 已針對 CentOS/RHEL 7.7、RHEL 8.6 Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 分佈進行測試和支援。任何其他現代 Linux 發行版都可以運作,但不保證功能或性能。如果您已經啟動並執行 KVM 環境,而且您已經熟悉 KVM 的運作方式,建議您使用此選項。
-
Amazon EC2 執行個體:Storage Gateway 提供包含閘道 VM 映像檔的 Amazon Machine Image (AMI)。如需如何在 Amazon EC2 上部署閘道的資訊,請參閱 部署 FSx 檔案閘道的預設 Amazon EC2 主機。
-
Storage Gateway 硬體設備 – Storage Gateway 為虛擬機器基礎設施有限的位置提供實體硬體設備做為內部部署選項。
注意
Storage Gateway 不支援透過從快照、另一個閘道VM 的複製項目,或是從您的 Amazon EC2 AMI 建立的 VM 復原閘道。若您的閘道 VM 發生問題,請啟用新的閘道並將您的資料復原至該閘道。如需詳細資訊,請參閱從非預期的虛擬機器關機復原。
Storage Gateway 不支援動態記憶體和虛擬記憶體佔用。
檔案閘道支援的 SMB 用戶端
File Gateway 支援下列服務訊息區塊 (SMB) 用戶端:
-
Microsoft Windows Server 2008 R2 及更新版本
-
Windows 桌面版本:10、8 及 7。
-
在 Windows Server 2008 及更新版本上執行的 Windows 終端機伺服器
注意
伺服器訊息區塊加密需要支援 SMB v3.x 方言的用戶端。
File Gateway 支援的檔案系統操作
您的 SMB 用戶端可以寫入、讀取、刪除和截斷檔案。當用戶端將寫入傳送至 Storage Gateway 時,它會同步寫入本機快取。然後,它會透過最佳化傳輸以非同步方式寫入 Amazon FSx。讀取會先透過本機快取提供。如果資料不可用,則會透過 Amazon FSx 擷取資料做為讀取快取。
寫入和讀取已進行最佳化。只有變更或請求的部分才會透過您的閘道傳輸。刪除從 Amazon FSx 移除檔案。
