本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 檔案閘道設定需求
除非另有說明,否則以下要求適用於所有 檔案閘道類型 AWS Storage Gateway。您的設定必須符合本節的要求。在部署閘道之前,請先檢閱適用於閘道設定的需求。
**Topics**
+ [先決條件](#user-requirements)
+ [硬體及儲存體需求](#requirements-hardware-storage)
+ [網路與防火牆需求](#networks)
+ [支援的 Hypervisor 與主機需求](#requirements-host)
+ [檔案閘道支援的 NFS 和 SMB 用戶端](#requirements-s3-fgw-clients)
+ [檔案閘道支援的檔案系統操作](#requirements-file-operations)
+ [管理閘道的本機磁碟](ManagingLocalStorage-common.md)
## 先決條件
設定 Amazon S3 檔案閘道 (S3 檔案閘道) 之前,您必須符合下列先決條件:
+ 設定 Microsoft Active Directory (AD) 並建立具備必要許可的 Active Directory 服務帳戶。如需詳細資訊,請參閱 [Active Directory 服務帳戶許可要求](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)。
+ 確保閘道和 之間有足夠的網路頻寬 AWS。成功下載、啟用和更新閘道至少需要 100 Mbps。
+ 設定您要用於部署閘道之內部部署環境 AWS 與 之間網路流量的連線。您可以使用公有網際網路、私有聯網、VPN 或 進行連線 Direct Connect。如果您希望閘道 AWS 透過私有連線與 Amazon Virtual Private Cloud 通訊,請在設定閘道之前設定 Amazon VPC。
+ 確保您的閘道可以解析 Active Directory 網域控制站的名稱。您可以在 Active Directory 網域中使用 DHCP 來處理解析度,或從閘道本機主控台的網路組態設定選單手動指定 DNS 伺服器。
## 硬體及儲存體需求
下列各節提供有關閘道所需的硬體和儲存組態下限,以及為所需儲存配置的磁碟空間下限的資訊。
如需 File Gateway 效能最佳實務的詳細資訊,請參閱 [S3 File GatewayFSx 的基本效能指引](Performance.md#performance-fgw)。
### 內部部署 VM 的硬體需求
在現場部署閘道時,請確定部署閘道虛擬機器 (VM) 的基礎硬體可以專用於下列最低資源:
+ 指派給 VM 的四個虛擬處理器
+ 16 GiB 保留 RAM,適用於檔案閘道
+ 80 GiB 的磁碟空間,用於安裝 VM 映像和系統資料
如需詳細資訊,請參閱[最大化 S3 檔案閘道輸送量](https://docs.aws.amazon.com/filegateway/latest/files3/Performance-Throughput.html)。如需您硬體影響閘道 VM 效能之方式的資訊,請參閱 [檔案共享的配額](fgw-quotas.md#resource-file-limits)。
### Amazon EC2 執行個體類型的需求
在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署閘道時,執行個體大小必須至少**`xlarge`**為 ,閘道才能運作。不過,對於運算最佳化執行個體系列,大小必須至少為 **`2xlarge`**。
**注意**
Storage Gateway AMI 僅與使用 Intel 或 AMD 處理器的 x86 型執行個體相容。不支援使用 Graviton 處理器的 ARM 型執行個體。
請針對您的閘道類型,使用下列其中一個建議的執行個體類型。
**建議用於檔案閘道類型**
+ 一般用途執行個體系列 – **m5、m6 或 m7** 執行個體類型。選擇 **xlarge** 執行個體大小或更高,以符合 Storage Gateway 處理器和 RAM 需求。
+ 運算最佳化執行個體系列 – **c5、c6 或 c7** 執行個體類型。選擇 **2xlarge** 或更高的執行個體大小,以符合 Storage Gateway 處理器和 RAM 需求。
+ 記憶體最佳化執行個體系列 – **r5、r6 或 r7 **執行個體類型。選擇 **xlarge** 執行個體大小或更高,以符合 Storage Gateway 處理器和 RAM 需求。
+ 儲存體最佳化執行個體系列 – **i3、i4 或 i7** 執行個體類型。選擇 **xlarge** 執行個體大小或更高,以符合 Storage Gateway 處理器和 RAM 需求。
**注意**
當您在 Amazon EC2 中啟動閘道,且您選擇的執行個體類型支援暫時性儲存時,系統會自動列出磁碟。如需 Amazon EC2 執行個體儲存體的詳細資訊,請參閱《Amazon EC2 使用者指南》中的[執行個體儲存](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html)體。 *Amazon EC2 *
應用程式寫入會同步儲存在快取中,然後非同步上傳至 Amazon S3 中的耐用儲存體。如果因為執行個體在上傳完成之前停止而遺失暫時性儲存,則仍然位於快取中且尚未寫入 Amazon Simple Storage Service (Amazon S3) 的資料可能會遺失。在您停止託管閘道的執行個體之前,請確定 `CachePercentDirty` CloudWatch 指標為 `0`。如需暫時性儲存的詳細資訊,請參閱[搭配 EC2 閘道使用暫時性儲存](ephemeral-disk-cache.md)。如需監控 Storage Gateway 指標的資訊,請參閱 [監控 S3 檔案閘道](monitoring-file-gateway.md)。
如果您的 S3 儲存貯體中有超過 500 萬個物件,而且您使用的是 **gp2** EBS 磁碟區,則在啟動期間,閘道的可接受效能需要 350 GiB 的最低根 EBS 磁碟區。根據預設,新建立的 Amazon EC2 File Gateway 執行個體會使用 **gp3** 根磁碟區,這些磁碟區沒有此需求。如需如何增加磁碟區大小的資訊,請參閱[使用彈性磁碟區修改 EBS 磁碟區 (主控台)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html#modify-ebs-volume)。
### 儲存需求
除了 VM 的 80 GiB 磁碟空間之外,您的閘道還需要額外的磁碟。
| 閘道類型 | 快取 (最低) | 快取 (上限) |
| --- | --- | --- |
| File Gateway: | 150 GiB | 64 TiB |
**注意**
您可以為快取設定一或多個本機磁碟機,容量上限為 。
將快取新增至現有閘道時,請務必在主機 (Hypervisor 或 Amazon EC2 執行個體) 中建立新的磁碟。如果磁碟先前已配置為快取,請勿變更現有磁碟的大小。
如需閘道配額的詳細資訊,請參閱 [檔案共享的配額](fgw-quotas.md#resource-file-limits)。
## 網路與防火牆需求
您的閘道需要存取網際網路、本機網路、網域名稱服務 (DNS) 伺服器、防火牆、路由器等。
網路頻寬要求會根據閘道上傳及下載的資料數量而有所不同。至少需要 100Mbps 才能成功下載、啟用和更新閘道。您的資料傳輸模式將決定支援工作負載所需的頻寬。
您可以在以下內容找到必要連接埠及如何允許透過防火牆及路由器進行存取的相關資訊。
**注意**
在某些情況下,您可以在 Amazon EC2 上部署閘道,或搭配限制 AWS IP 地址範圍的網路安全政策使用其他類型的部署 (包括內部部署)。在這些情況下,當 AWS IP 範圍值變更時,閘道可能會遇到服務連線問題。您需要使用的 AWS IP 地址範圍值位於您啟用閘道所在區域的 AWS Amazon 服務子集中。如需有關目前 IP 範圍值的資訊,請參閱 *AWS 一般參考* 中的 [AWS IP 地址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。
**Topics**
+ [連接埠需求](#requirements-network)
+ [Storage Gateway 硬體設備的網路與防火牆要求](#appliance-network-requirements)
+ [允許透過防火牆和路由器 AWS Storage Gateway 存取](#allow-firewall-gateway-access)
+ [設定 Amazon EC2 閘道執行個體的安全群組](#EC2GatewayCustomSecurityGroup-common)
### 連接埠需求
S3 File Gateway 需要透過網路安全允許特定連接埠,才能成功部署和操作。所有閘道都需要某些連接埠,而其他連接埠只需要特定組態,例如連線至 NFS 或 SMB 用戶端、VPC 端點或 Microsoft Active Directory 時。
對於 S3 檔案閘道,只有在您想要允許網域使用者存取伺服器訊息區塊 (SMB) 檔案共享時,才需要使用 Microsoft Active Directory。您可以將檔案閘道加入任何有效的 Microsoft Windows 網域 (可由 DNS 解析)。
您也可以使用 Directory Service 在 Amazon Web Services Cloud [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)中建立 。對於大多數 AWS Managed Microsoft AD 部署,您需要為 VPC 設定動態主機組態協定 (DHCP) 服務。如需建立 DHCP 選項集的詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[建立 DHCP 選項集](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html)。
下表列出必要的連接埠,並說明**備註**欄中的條件需求。
**S3 File Gateway 的連接埠需求**
| 網路元素 | 從 | 到 | 通訊協定 | 站點 | 傳入 | 傳出 | 必要 | 備註 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Web 瀏覽器 | 您的 Web 瀏覽器 | Storage Gateway VM | TCP HTTP | 80 | ✓ | ✓ | ✓ | 供本機系統用來取得 Storage Gateway 啟用金鑰。只有在啟用 Storage Gateway 裝置時,才會使用連接埠 80。Storage Gateway VM 不需要讓連接埠 80 可公開存取。連接埠 80 所需的存取權限級別取決於您的網路設定。如果您從 Storage Gateway 管理主控台啟用閘道,您從中連線至主控台的主機必須能夠存取閘道的連接埠 80。 |
| Web 瀏覽器 | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | AWS 管理主控台 (所有其他操作) |
| DNS | Storage Gateway VM | 網域名稱服務 (DNS) 伺服器 | TCP 和 UDP DNS | 53 | ✓ | ✓ | ✓ | 用於 Storage Gateway VM 與 DNS 伺服器之間的通訊,以進行 IP 名稱解析。 |
| NTP | Storage Gateway VM | 網路時間協定 (NTP) 伺服器 | TCP 和 UDP NTP | 123 | ✓ | ✓ | ✓ | 內部部署系統用來將 VM 時間與主機時間同步。Storage Gateway VM 會設定為使用下列 NTP 伺服器: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/filegateway/latest/files3/Requirements.html) Amazon EC2 上託管的閘道不需要。 |
| Storage Gateway | Storage Gateway VM | 支援 端點 | TCP SSH | 22 | ✓ | ✓ | ✓ | 允許 支援 存取您的閘道,以協助您疑難排解閘道問題。不需要將此埠開放給閘道的正常操作使用,但進行疑難排解時需要用到。如需支援端點的清單,請參閱[支援 端點](https://docs.aws.amazon.com//general/latest/gr/awssupport.html)。 |
| Storage Gateway | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 管理主控台 |
| Amazon CloudFront | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 用於啟用 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理主控台 \$1只有在使用 VPC 端點時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1026 | | ✓ | ✓\$1 | 控制平面端點 \$1只有在使用 VPC 端點時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1027 | | ✓ | ✓\$1 | Anon 控制平面 (用於啟用) \$1只有在使用 VPC 端點時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1028 | | ✓ | ✓\$1 | Proxy 端點 \$1只有在使用 VPC 端點時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1031 | | ✓ | ✓\$1 | 資料平面 \$1只有在使用 VPC 端點時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 2222 | | ✓ | ✓\$1 | VPCe 的 SSH 支援管道 \$1僅在使用 VPC 端點時開啟支援管道時才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理主控台 \$1只有在使用 VPC 端點時才需要 |
| 檔案共享用戶端 | SMB 用戶端 | Storage Gateway VM | TCP 或 UDP SMBv3 | 445 | ✓ | ✓ | ✓\$1 | 檔案共用資料傳輸工作階段服務。 取代 Microsoft Windows NT 和更新版本的連接埠 137–139。 \$1僅適用於 SMB。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 伺服器 | UDP NetBIOS | 137 | ✓ | ✓ | ✓\$1 | 名稱服務 \$1僅適用於 SMBv1。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 伺服器 | UDP NetBIOS | 138 | ✓ | ✓ | ✓\$1 | 資料包服務 \$1僅適用於 SMBv1。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 伺服器 | TCP 和 UDP LDAP | 389 | ✓ | ✓ | ✓\$1 | Directory System Agent (DSA) 用戶端連線 \$1僅適用於 SMB。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 伺服器 | TCP 和 UDP Kerberos | 88 | ✓ | ✓ | ✓\$1 | Kerberos \$1僅適用於 SMB。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 伺服器 | TCP 分散式運算環境/端點映射器 (DCE/EMAP) | 135 | ✓ | ✓ | ✓\$1 | RPC \$1僅適用於 SMB。 |
| 檔案共享用戶端 | NFS 用戶端 | Storage Gateway VM | TCP 或 UDP 資料 NFSv3 | 111 | ✓ | ✓ | ✓\$1 | 檔案共用資料傳輸 (僅適用於 NFS v3) \$1僅適用於 NFS。 |
| 檔案共享用戶端 | NFS 用戶端 | Storage Gateway VM | TCP 或 UDP NFS | 2049 | ✓ | ✓ | ✓\$1 | 檔案共用資料傳輸 \$1僅適用於 NFS v3 和 v4。 |
| 檔案共享用戶端 | NFS 用戶端 | Storage Gateway VM | TCP 或 UDP NFSv3 | 20048 | ✓ | ✓ | ✓\$1 | 檔案共用資料傳輸 \$1僅適用於 NFSv3 |
| 檔案共享用戶端 | NFS 用戶端 | Storage Gateway VM | TCP 或 UDP NFSv3 | 8750 | ✓ | ✓ | ✓\$1 | 檔案共享配額 \$1僅適用於 NFSv3 |
| 檔案共享用戶端 | SMB 用戶端 | Storage Gateway VM | TCP 或 UDP SMBv2 | 139 | ✓ | ✓ | ✓\$1 | 檔案共用資料傳輸工作階段服務 \$1僅適用於 SMB |
| Amazon S3 | Storage Gateway VM | Amazon S3 服務端點 | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 用於從 Storage Gateway VM 到 AWS 服務端點的通訊。如需服務端點的相關資訊,請參閱[允許透過防火牆和路由器存取 AWS Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/Requirements.html#allow-firewall-gateway-access)。 |
下圖顯示基本 S3 File Gateway 部署的網路流量流程。
![\[使用各種連接埠連接到 Storage Gateway 的網絡資源。\]](http://docs.aws.amazon.com/zh_tw/filegateway/latest/files3/images/File-Gateway-Port-Diagram.png)
### Storage Gateway 硬體設備的網路與防火牆要求
每個 Storage Gateway 硬體設備都需要下列網路服務:
+ **網際網路存取**:透過任何伺服器上的網路介面,全年無休的連線到網際網路。
+ **DNS 服務**:用於在硬體設備和 DNS 伺服器之間通訊的 DNS 服務。
+ **時間同步**:必須能夠存取自動設定的 Amazon NTP 時間服務。
+ **IP 地址**:指派的 DHCP 或靜態 IPv4 地址。您不能指派 IPv6 地址。
Dell PowerEdge R640 伺服器後方有 5 個實體網路連接埠。從左到右 (面向伺服器的背面),這些連接埠如下所示:
1. iDRAC
1. `em1`
1. `em2`
1. `em3`
1. `em4`
您可以將 iDRAC 連接埠用於遠端伺服器管理。
![\[使用各種連接埠連接至硬體設備的網路資源。\]](http://docs.aws.amazon.com/zh_tw/filegateway/latest/files3/images/ApplianceFirewallRules.png)
硬體設備需要以下連接埠才能運作。
| 通訊協定 | 站點 | Direction | 來源 | 目標 | Usage |
| --- | --- | --- | --- | --- | --- |
| SSH | 22 | 傳出 | 硬體設備 | `54.201.223.107` | 支援通道 |
| DNS | 53 | 傳出 | 硬體設備 | DNS 伺服器 | 名稱解析 |
| UDP/NTP | 123 | 傳出 | 硬體設備 | \$1.amazon.pool.ntp.org | 時間同步 |
| HTTPS | 443 | 傳出 | 硬體設備 | `*.amazonaws.com` | 資料傳輸 |
| HTTP | 8080 | 傳入 | AWS | 硬體設備 | 啟用 (只需短暫時間) |
若要依設計方式執行,硬體設備需要如下所示的網路和防火牆設定:
+ 在硬體主控台設定所有連接的網路介面。
+ 確保每個網路介面位於唯一的子網路。
+ 提供所有連接網路介面可以對外存取前面的圖表中所列的端點。
+ 至少設定一個網路介面來支援硬體設備。如需詳細資訊,請參閱[設定硬體設備網路參數](appliance-configure-network.md)。
**注意**
如需顯示伺服器後端及其連接埠的圖例,請參閱 [實際安裝您的硬體設備](appliance-rack-mount.md)。
同一個網路介面 (NIC) 上的所有 IP 地址都必須位在同一個子網路,無論是用於閘道或主機。下圖顯示了定址配置。
![\[在共用一個 NIC 的單一子網路上主機 IP 和服務 IP。\]](http://docs.aws.amazon.com/zh_tw/filegateway/latest/files3/images/ApplianceAddressing.png)
如需啟用和設定硬體設備的詳細資訊,請參閱[使用 AWS Storage Gateway硬體設備](hardware-appliance.md)。
### 允許透過防火牆和路由器 AWS Storage Gateway 存取
您的閘道需要存取下列 Storage Gateway 服務端點才能與之通訊 AWS。在閘道設定期間,根據您的網路環境選取閘道的端點類型。若您使用防火牆或路由器來篩選或限制網路流量,則必須設定防火牆和路由器,以允許這些服務端點可與 AWS進行傳出通訊。
**注意**
如果您將 Storage Gateway 的私有 VPC 端點設定為用於往返連線和資料傳輸 AWS,則閘道不需要存取公有網際網路。如需詳細資訊,請參閱[在虛擬私有雲端中啟用閘道](https://docs.aws.amazon.com/filegateway/latest/files3/gateway-private-link.html)。
**重要**
將下列端點範例中*的區域*取代為閘道的正確 AWS 區域 字串,例如 `us-west-2`。
將 *amzn-s3-demo-bucket* 取代為部署中 Amazon S3 儲存貯體的實際名稱。您也可以使用星號 (`*`) 取代 *amzn-s3-demo-bucket*,在防火牆規則中建立萬用字元項目,這會允許列出所有儲存貯體名稱的服務端點。
如果您的閘道部署 AWS 區域 在美國或加拿大的 中,且需要符合聯邦資訊處理標準 (FIPS) 的端點連線,請將 *s3* 取代為 `s3-fips`。
#### 端點類型
**標準端點**
這些端點支援閘道設備與 之間的 IPv4 流量 AWS。
所有閘道都需要下列服務端點,才能進行頭部儲存貯體的操作。
```
bucket-name.s3.region.amazonaws.com:443
```
控制路徑 (`anon-cp`、`client-cp`、`proxy-app`) 和資料路徑 (`dp-1`) 操作的所有閘道都需要下列服務端點。
```
anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443
```
進行 API 呼叫時必須使用下列閘道服務端點。
```
storagegateway.region.amazonaws.com:443
```
下列範例是美國西部 (奧勒岡) 區域 (`us-west-2`) 中的閘道服務端點。
```
storagegateway.us-west-2.amazonaws.com:443
```
**雙堆疊端點**
這些端點支援閘道設備與 之間的 IPv4 和 IPv6 流量 AWS。
所有閘道都需要下列雙堆疊服務端點,才能執行前端儲存貯體操作。
```
bucket-name.s3.dualstack.region.amazonaws.com:443
```
控制路徑 (啟用、控制平面、代理) 和資料路徑 (資料平面) 操作的所有閘道都需要下列雙堆疊服務端點。
```
activation-storagegateway.region.api.aws:443
controlplane-storagegateway.region.api.aws:443
proxy-storagegateway.region.api.aws:443
dataplane-storagegateway.region.api.aws:443
```
需要下列閘道雙堆疊服務端點才能進行 API 呼叫。
```
storagegateway.region.api.aws:443
```
下列範例是美國西部 (奧勒岡) 區域 () 中的閘道雙堆疊服務端點`us-west-2`。
```
storagegateway.us-west-2.api.aws:443
```
#### Amazon S3 服務端點
Amazon S3 File Gateway 需要下列三種端點類型,才能連線至 Amazon S3 服務:
**Amazon S3 服務端點**
**注意**
僅針對此端點,*請勿*`s3`將 FIPS 相容部署的 取代`s3-fips`為 。
```
s3.amazonaws.com
```
**Amazon S3 區域端點**
```
s3.region.amazonaws.com (Standard)
s3.dualstack.region.amazonaws.com (Dual-stack)
```
下列範例顯示美國東部 (俄亥俄) 區域 () 中的 Amazon S3 區域端點`us-east-2`。
```
s3.us-east-2.amazonaws.com
s3.dualstack.us-east-2.amazonaws.com
```
下列範例顯示美國西部 (加利佛尼亞北部) 區域 () 中的標準和雙堆疊 FIPS 相容 Amazon S3 區域端點。`us-west-1`
```
s3-fips.us-west-1.amazonaws.com
s3-fips.dualstack.us-west-1.amazonaws.com
```
下列範例顯示 AWS GovCloud (US) 區域使用的標準和雙堆疊 Amazon S3 區域端點:
```
s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS))
s3-fips.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS))
s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))
s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard))
s3-fips.dualstack.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS dual-stack))
s3-fips.dualstack.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS dual-stack))
s3.dualstack.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Dual-stack))
s3.dualstack.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Dual-stack))
```
**注意**
如果您的閘道無法判斷 AWS 區域 Amazon S3 儲存貯體所在的 ,此服務端點會預設為 `s3.us-east-1.amazonaws.com`。除了啟用閘道和 AWS 區域 Amazon S3 儲存貯體所在的 之外,建議您允許存取美國東部 (維吉尼亞北部) 區域 (`us-east-1`)。
**Amazon S3 儲存貯體端點**
```
bucket-name.s3.region.amazonaws.com (Standard)
bucket-name.s3.dualstack.region.amazonaws.com (Dual-stack)
```
下列範例顯示美國東部 (俄亥俄) 區域 () *`amzn-s3-demo-bucket`*中名為 之儲存貯體的標準和雙堆疊 Amazon S3 儲存貯體端點`us-east-2`。
```
amzn-s3-demo-bucket.s3.us-east-2.amazonaws.com (Standard)
amzn-s3-demo-bucket.s3.dualstack.us-east-2.amazonaws.com (Dual-stack)
```
下列範例顯示 AWS GovCloud (美國東部) 區域 () *`amzn-s3-demo-bucket1`*中名為 之儲存貯體的標準和雙堆疊 FIPS 相容 Amazon S3 儲存貯體端點`us-gov-east-1`。
```
amzn-s3-demo-bucket1.s3-fips.us-gov-east-1.amazonaws.com (FIPS)
amzn-s3-demo-bucket1.s3-fips.dualstack.us-gov-east-1.amazonaws.com (FIPS dual-stack)
```
除了 Storage Gateway 和 Amazon S3 服務端點之外,Storage Gateway VMs 還需要網路存取下列 NTP 伺服器:
```
time.aws.com
0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org
```
如需支援 AWS 區域 和服務端點的詳細資訊,請參閱《》中的 [Storage Gateway](https://docs.aws.amazon.com/general/latest/gr/sg.html)*AWS 一般參考*。
### 設定 Amazon EC2 閘道執行個體的安全群組
在 中 AWS Storage Gateway,安全群組會控制 Amazon EC2 閘道執行個體的流量。當您設定安全群組時,建議使用下列各項:
+ 安全群組不應該允許來自外部網際網路的傳入連線。它只應該允許閘道安全群組內的執行個體與閘道通訊。
如果您需要允許執行個體從其安全群組外部連線至閘道,建議您僅允許連接埠 80 (用於啟用) 上的連線。
+ 如果您要從閘道安全群組外部的 Amazon EC2 主機啟用閘道,則允許連接埠 80 上來自該主機之 IP 地址的傳入連線。如果您無法判斷啟用主機的 IP 地址,則可以開啟連接埠 80,並啟用閘道,然後在完成啟用後關閉連接埠 80 上的存取。
+ 只有在您使用 支援 進行故障診斷時,才允許連接埠 22 存取。如需詳細資訊,請參閱[支援 您想要協助疑難排解 Amazon EC2 閘道](troubleshooting-EC2-gateway-issues.md#EC2-EnableAWSSupportAccess)。
如需要針對閘道所開啟之連接埠的資訊,請參閱[連接埠需求](#requirements-network)。
## 支援的 Hypervisor 與主機需求
您可以將 Storage Gateway 內部部署作為虛擬機器 (VM) 設備或實體硬體設備執行,或在 中 AWS 作為 Amazon EC2 執行個體執行。
**注意**
檔案閘道 2.x、磁碟區閘道 3.x 和磁帶閘道 3.x 需要停用安全開機的 UEFI 開機模式 (loader\$1secure=no)。每個 qcow 下載都會提供 xml 檔案,做為快速設定組態。
Storage Gateway 支援下列 Hypervisor 版本與主機:
+ VMware ESXi Hypervisor (7.0 或 8.0 版) – 在此設定中,您也需要 VMware vSphere 用戶端來連線至主機。
+ Microsoft Hyper-V Hypervisor (2019、2022 或 2025) – 在此設定中,您需要 Microsoft Windows 用戶端電腦上的 Microsoft Hyper-V Manager 才能連線至主機。
+ Linux 核心基礎虛擬機器 (KVM):免費的開放原始碼虛擬化技術。KVM 包含於所有版本的 Linux 2.6.20 及更新版本中。Storage Gateway 已針對 CentOS/RHEL 7.7、RHEL 8.6 Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 分佈進行測試和支援。任何其他現代 Linux 發行版都可以運作,但不保證功能或性能。如果您已經啟動並執行 KVM 環境,而且您已經熟悉 KVM 的運作方式,建議您使用此選項。如需建議的開機組態,請參閱提供的 aws-storage-gateway.xml 檔案。檔案閘道 2.x、磁碟區閘道 3.x 和磁帶閘道 3.x 需要停用安全開機的 UEFI 開機模式 (loader\$1secure=no)。
+ 從 10.0.1.1 版開始的 Nutanix AHV (Acropolis Hypervisor) – 以 KVM 為基礎的虛擬化平台,整合到 Nutanix 超融合基礎設施 (HCI) 解決方案中。
+ Amazon EC2 執行個體:Storage Gateway 提供包含閘道 VM 映像檔的 Amazon Machine Image (AMI)。如需如何在 Amazon EC2 上部署閘道的資訊,請參閱 [部署 S3 檔案閘道的預設 Amazon EC2 主機部署適用於 S3 檔案閘道的自訂 Amazon EC2 主機](ec2-gateway-file.md)。
+ Storage Gateway 硬體設備 – Storage Gateway 為虛擬機器基礎設施有限的位置提供實體硬體設備做為內部部署選項。
**注意**
Storage Gateway 不支援透過從快照、另一個閘道VM 的複製項目,或是從您的 Amazon EC2 AMI 建立的 VM 復原閘道。若您的閘道 VM 發生問題,請啟用新的閘道並將您的資料復原至該閘道。如需詳細資訊,請參閱[從非預期的虛擬機器關機復原](best-practices.md#recover-from-gateway-shutdown)。
Storage Gateway 不支援動態記憶體和虛擬記憶體佔用。
## 檔案閘道支援的 NFS 和 SMB 用戶端
File Gateway 支援下列用戶端:
| 作業系統版本 | 核心版本 | 支援的通訊協定 |
| --- | --- | --- |
| Amazon Linux 2023 | 6.1 LTS | NFSv4.1,NFSv3 |
| Amazon Linux 2 | 5.10 LTS | NFSv4.1,NFSv3 |
| RHEL 9 | 5.14 | NFSv4.1,NFSv3 |
| RHEL 8.10 | 4.18 | NFSv4.1,NFSv3 |
| SUSE 15 | 6.4 | NFSv4.1,NFSv3 |
| Ubuntu 24.04 LTS | 6.8 LTS | NFSv4.1,NFSv3 |
| Ubuntu 22.04 LTS | 5.15 LTS | NFSv4.1,NFSv3 |
| Microsoft Windows Server 2025 | | SMBv2, SMBv3, NFSv3 |
| Microsoft Windows Server 2022 | | SMBv2, SMBv3, NFSv3 |
| Microsoft Windows 11 | | SMBv2, SMBv3, NFSv3 |
| Microsoft Windows 10 | | SMBv2, SMBv3, NFSv3 |
**注意**
伺服器訊息區塊 (SMB) 加密需要支援 SMB v3 方言的用戶端。
## 檔案閘道支援的檔案系統操作
您的 NFS 或 SMB 用戶端可寫入、讀取、刪除和截斷檔案。當用戶端傳送寫入至 時 AWS Storage Gateway,它會同步寫入本機快取。接著會透過最佳化傳輸,非同步寫入 Amazon S3。讀取會先透過本機快取提供。若資料無法使用,便會從 S3 做為直接讀取快取擷取。
寫入和讀取已進行最佳化。只有變更或請求的部分才會透過您的閘道傳輸。刪除從 Amazon S3 移除物件。目錄會以 S3 中的資料夾物件進行管理,使用與 Amazon S3 主控台相同的語法。
HTTP 操作 (例如 `GET`、`PUT`、`UPDATE` 及 `DELETE`) 可修改檔案共享中的檔案。這些操作符合不可部分完成的建立、讀取、更新及刪除 (CRUD) 功能。