我尝试使用公共终端节点激活网关,为什么 Storage Gateway 激活失败?

上次更新时间:2020 年 9 月 25 日

我尝试使用公共终端节点激活 AWS Storage Gateway 上的网关。但是,激活失败。我应该如何排查此问题?

简短描述

使用公共终端节点的网关激活可能会因如下原因失败:

  • 网关 VM 不符合最低系统要求。
  • 网关的虚拟机 (VM) 无法到达端口 443 上的服务终端节点。
  • 无法在端口 80 上访问网关。

解决方法

注意:如果网关 VM 或 Amazon Elastic Compute Cloud (Amazon EC2) 上的网关实例已激活,激活可能会失败。激活完成后,网关将停止侦听端口 80 并且无法与终端节点进行通信。在开始故障排除之前,请确认网关 VM 或实例之前尚未激活。

对本地托管的网关进行问题排查

确认网关 VM 符合最低的硬件和存储要求

  • VM 必须至少具有 4 个 CPU 和 16GB 内存才能与网关终端节点进行通信。
  • VM 的根磁盘必须至少为 80GB。

确认网关 VM 满足网络要求

  • 网关 VM 必须侦听 TCP 端口 80 才能接收来自网关终端节点的激活请求。
  • 网关 VM 必须能够访问终端节点 anon-cp.storagegateway.region.amazonaws.com 443 以与 AWS 通信。
  • 您的防火墙和路由器必须允许向 AWS 发送出站流量所需的服务终端节点。
  • 防火墙必须允许端口 123 上的流量,以便网关的 VM 能够与 NTP 时间同步。
  • 您的防火墙 DNS 解析必须允许端口 53 上的流量。

此外,请确认网关虚拟机和 Storage Gateway 服务终端节点之间没有正在进行的 SSL 检查或深度数据包检查。当进行深度数据包检查时,文件网关软件会断开连接。这是因为软件将深度数据包检查视为中间人攻击。

要检查是否有正在进行的检查,您可以通过与网关虚拟机位于同一网络中的虚拟机运行 OpenSSL 命令:

openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443

测试网络连接

您可以通过以下方式测试网关与所需终端节点的连接:

  • 从网关的本地虚拟机控制台中运行网络连接测试
  • 通过与网关虚拟机位于同一网络的虚拟机运行 telnet 命令:
telnet anon-cp.storagegateway.region.amazonaws.com 443

对 Amazon EC2 上托管的网关进行问题排查

确认 Amazon EC2 网关实例符合最低的硬件和存储要求

  • 实例必须至少具有 4 个 CPU 和 16GB 内存才能使网关与网关终端节点进行通信。
  • 实例的根磁盘必须至少为 80GB。

注意:网关的推荐实例类型为 m4.xlarge 和 m4.2xlarge。

确认网关实例符合网络要求

  • 实例的安全组必须允许来自 TCP 端口 80 上的客户端或工作站 IP 地址的入站流量。
  • 实例安全组必须允许至 TCP 端口 443、123 和 53 的出站流量,以便与服务终端节点进行通信。

测试网络连接

  • 从网关的本地虚拟机控制台中运行网络连接测试
  • 通过与网关实例位于同一网络或子网中的 EC2 实例运行 telnet 命令:
telnet anon-cp.storagegateway.region.amazonaws.com 443

这篇文章对您有帮助吗?


您是否需要账单或技术支持?