我尝试使用 Amazon VPC 端点激活网关,为什么 Storage Gateway 激活失败?

上次更新日期:2022 年 7 月 19 日

我尝试使用 Amazon Virtual Private Cloud(Amazon VPC)端点(由 AWS PrivateLink 提供)在 AWS Storage Gateway 上激活我的网关,但是,激活失败。

解决方法

在开始之前,请确认您的网关符合 Storage Gateway 的硬件和存储要求

对本地托管的网关进行问题排查

注意:这些问题排查步骤不适用于使用 Amazon Simple Storage Service (Amazon S3) VPC 终端节点处理 Amazon S3 流量的本地文件网关。

  • 确认您的本地网络可以通过 AWS Direct Connect 或 VPN 与您的 Amazon VPC 进行通信。在虚拟机或本地服务器的 VPC 中,通过 ping Amazon Elastic Compute Cloud (Amazon EC2) 实例的私有 IP 地址,您可以检查此连接。
  • 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
  • 检查本地 AWS Network Firewall。确认防火墙允许到网关域名或 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的出站流量。此外,确认防火墙允许到网关 IP 地址 TCP 端口 80 的入站流量。
  • 通过从网关的本地控制台运行网络连接测试,确认您的网关可以连接到 VPC 端点。

对使用 Amazon S3 Gateway 类型的 VPC 端点的本地文件网关进行问题排查

如果您的本地文件网关使用 Amazon S3 Gateway 类型的 VPC 端点(通过 Direct Connect 或 VPN)处理 Amazon S3 流量,例如创建文件共享或读取和写入 S3 存储桶,则必须创建 HTTP 代理。HTTP 代理可以托管在 Amazon EC2 实例上。

注意:在此配置中,除了 Amazon S3 的 VPC 端点外,您还必须配置 Storage Gateway 的 VPC 端点。如果您的 HTTP 代理使用的是 Squid 代理服务器,则默认 TCP 端口为 3128。

要排查使用 Amazon S3 Gateway 类型的 VPC 端点激活本地文件网关失败的问题,请执行以下检查:

  • 确认本地网关上配置了 EC2 实例(HTTP 代理主机)的私有 IP 地址,并且允许到 TCP 端口 3128 的出站 HTTP 代理流量。
  • 检查附加到 EC2 实例(HTTP 代理主机)的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 3128 的入站流量。
  • 检查附加到 Storage Gateway VPC 端点的安全组。确认安全组允许来自 EC2 实例(HTTP 代理主机)IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
  • 检查本地网络防火墙。确认防火墙允许到 EC2 实例(HTTP 代理主机)私有 IP 地址 TCP 端口 3128 的出站流量。

对 Amazon EC2 上托管的网关进行问题排查

  • 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
  • 检查附加到网关的安全组。确认安全组允许来自 TCP 端口 80 的入站流量。
  • 确认用于激活网关的工作站可以通过 Direct Connect 或 VPN 与网关实例的 VPC 进行通信。
    提示:如果工作站无法与 VPC 通信,请尝试从同一 VPC 中的另一个实例激活网关。

利用 VPC 流日志排查使用 VPC 端点激活 Storage Gateway 的问题

要了解导致网关激活失败的更多信息,您可以在 VPC 端点的网络接口启用 VPC 流日志

启用 VPC 流日志后,您可以查看 VPC 端点的流记录。例如,您可以使用流日志来判断是否有端口拒绝激活网关所需的流量。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?