我尝试使用公共端点激活网关，为什么 Storage Gateway 激活失败？

简短描述

使用公共终端节点的网关激活可能会因如下原因失败：

• 网关 VM 不符合最低系统要求。
• 网关的虚拟机 (VM) 无法到达端口 443 上的服务终端节点。
• 无法在端口 80 上访问网关。

解决方法

**注意：**如果网关 VM 或 Amazon Elastic Compute Cloud (Amazon EC2) 上的网关实例已激活，激活可能会失败。激活完成后，网关将停止侦听端口 80 并且无法与端点进行通信。在开始故障排除之前，请确认网关 VM 或实例之前尚未激活。

对本地托管的网关进行问题排查

确认网关 VM 符合最低的硬件和存储要求

• VM 必须至少具有 4 个 CPU 和 16GB 内存才能与网关端点进行通信。
• VM 的根磁盘必须至少为 80 GB。

存储网关还有其他要求和建议，具体取决于网关的类型：

• 请参阅卷网关的硬件要求。
• 请参阅磁带网关的硬件要求。
• 请参阅 S3 文件网关的硬件要求。
• 请参阅 FSx 文件网关的硬件要求。

确认网关 VM 满足网络要求

• 网关 VM 必须侦听 TCP 端口 80 才能接收来自网关端点的激活请求。
• 网关 VM 必须能够访问终端节点 anon-cp.storagegateway.region.amazonaws.com 443 以与 AWS 通信。
• 您的防火墙和路由器必须允许向 AWS 发送出站流量所需的服务端点。
• 防火墙必须允许端口 123 上的流量，以便网关的 VM 能够与 NTP 时间同步。
• 您的防火墙 DNS 解析必须允许端口 53 上的流量。

所有网关共享一组通用的端口，但其他要求因网关类型而异：

• 请参阅卷网关的网络要求。
• 请参阅磁带网关的网络要求。
• 请参阅 S3 文件网关的网络要求。
• 请参阅 FSx 文件网关的网络要求。

此外，请确认网关虚拟机和 Storage Gateway 服务端点之间没有正在进行的 SSL 检查或深度数据包检查。当进行深度数据包检查时，文件网关软件会断开连接。这是因为软件将深度数据包检查视为中间人攻击。

要检查是否有正在进行的检查，您可以通过与网关虚拟机位于同一网络中的虚拟机运行 OpenSSL 命令：

openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443

测试网络连接

您可以通过以下方式测试网关与所需端点的连接：

• 从网关的本地虚拟机控制台中运行网络连接测试。
• 通过与网关虚拟机位于同一网络的虚拟机运行 telnet 命令：

telnet anon-cp.storagegateway.region.amazonaws.com 443

对 Amazon EC2 上托管的网关进行问题排查

确认 Amazon EC2 网关实例符合最低的硬件和存储要求

• 实例必须至少具有 4 个 CPU 和 16GB 内存才能使网关与网关端点进行通信。
• 实例的根磁盘必须至少为 80 GB。

**注意：**用于网关的实例类型的最佳实践是 m4.xlarge 和 m4.2xlarge。

存储网关还有其他要求和建议，具体取决于网关的类型：

• 请参阅卷网关的硬件要求。
• 请参阅磁带网关的硬件要求。
• 请参阅 S3 文件网关的硬件要求。
• 请参阅 FSx 文件网关的硬件要求。

确认网关实例符合网络要求

• 实例的安全组必须允许来自 TCP 端口 80 上的客户端或工作站 IP 地址的入站流量。
• 实例安全组必须允许至 TCP 端口 443、123 和 53 的出站流量，以便与服务端点进行通信。

所有网关共享一组通用的端口，但其他要求因网关类型而异：

• 请参阅卷网关的网络要求。
• 请参阅磁带网关的网络要求。
• 请参阅 S3 文件网关的网络要求。
• 请参阅 FSx 文件网关的网络要求。

测试网络连接

• 从网关的本地虚拟机控制台中运行网络连接测试。
• 通过与网关实例位于同一网络或子网中的 EC2 实例运行 telnet 命令：

telnet anon-cp.storagegateway.region.amazonaws.com 443

---