我尝试使用 Amazon VPC 终端节点激活网关,为什么 Storage Gateway 激活失败?

上次更新时间:2020 年 9 月 30 日

我尝试使用 Amazon Virtual Private Cloud (Amazon VPC) 终端节点(由 AWS PrivateLink 提供)在 AWS Storage Gateway 上激活我的网关,但是激活失败。我应该如何排查此问题?

解决方法

在开始之前,请确认您的网关符合 Storage Gateway 的硬件和存储要求

对本地托管的网关进行问题排查

注意:这些问题排查步骤不适用于使用 Amazon Simple Storage Service (Amazon S3) VPC 终端节点处理 Amazon S3 流量的本地文件网关。 

  • 确认您的本地网络可以通过 AWS Direct Connect 或 VPN 与您的 Amazon VPC 进行通信。在虚拟机或本地服务器的 VPC 中,通过 ping Amazon Elastic Compute Cloud (Amazon EC2) 实例的私有 IP 地址,您可以检查此连接。
  • 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028 和 1031 的入站流量。
  • 检查本地网络防火墙。确认防火墙允许到网关域名或 IP 地址 TCP 端口 443、1026、1027、1028 和 1031 的出站流量。此外,确认防火墙允许到网关 IP 地址 TCP 端口 80 的入站流量。
  • 通过从网关的本地控制台运行网络连接测试,确认您的网关可以连接到 VPC 终端节点。

对使用 Amazon S3 VPC 终端节点的本地文件网关进行问题排查

如果您的本地文件网关使用 Amazon S3 VPC 终端节点(通过 Direct Connect 或 VPN)处理 Amazon S3 流量,例如创建文件共享或读取和写入 S3 存储桶,则必须创建代理。代理可以托管在 Amazon EC2 实例上。 

注意:在此配置中,除了 Amazon S3 的 VPC 终端节点外,您还必须配置 Storage Gateway 的 VPC 终端节点。 

要排查使用 Amazon S3 VPC 终端节点激活本地文件网关失败的问题,请执行以下检查:

  • 确认本地网关上配置了 EC2 实例(代理主机)的私有 IP 地址,并且 TCP 端口 3128 允许出站代理流量。
  • 检查附加到 EC2 实例(代理主机)的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 3128 的入站流量。
  • 检查附加到 Storage Gateway VPC 终端节点的安全组。确认安全组允许来自 EC2 实例(代理主机)IP 地址 TCP 端口 443、1026、1027、1028 和 1031 的入站流量。
  • 检查本地网络防火墙。确认防火墙允许到 EC2 实例(代理主机)私有 IP 地址 TCP 端口 3128 的出站流量。

对 Amazon EC2 上托管的网关进行问题排查

  • 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028 和 1031 的入站流量。
  • 检查附加到网关的安全组。确认安全组允许 TCP 端口 80 的入站流量。
  • 确认您激活使用的是网关的 EC2 实例的私有 IP 地址。即使托管网关的实例具有公有 IP 地址或弹性 IP 地址,您也必须使用私有 IP 地址激活网关。
  • 确认用于激活网关的工作站可以通过 Direct Connect 或 VPN 与网关实例的 VPC 进行通信。
    提示:如果工作站无法与 VPC 通信,请尝试从同一 VPC 中的另一个实例激活网关。

利用 VPC 流日志排查使用 VPC 终端节点激活 Storage Gateway 的问题

要了解导致网关激活失败的更多信息,您可以在 VPC 终端节点的网络接口启用 VPC 流日志

启用 VPC 流日志后,您可以查看 VPC 终端节点的流记录。例如,您可以使用流日志来判断是否有端口拒绝激活网关所需的流量。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?