如何在文件网关与 Amazon S3 之间设置私有网络连接？

上次更新时间：2022 年 6 月 20 日

您可以在 Amazon Virtual Private Cloud（Amazon VPC）内的文件网关和 Amazon S3 之间建立私有网络连接，网关设备通过内部私有网络与服务终端节点连接。要在 VPC 内设置此私有网络连接，请执行以下操作：

1. 为 Amazon S3 创建 VPC 网关端点或接口端点。
2. 使用 VPC 终端节点创建文件网关。

Amazon S3 文件网关支持两个 Amazon S3 端点。但是，您只需根据自己的使用场景创建一种类型的端点。

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择 Endpoints（端点）。
3. 选择 Create Endpoint（创建端点）。
4. 对于 Service category（服务类别），选择 AWS services（AWS 服务）。
5. 对于 Service Name（服务名称），选择以 s3 结尾且 Type（类型）为 Gateway（网关）的 Service Name（服务名称）。
6. 对于 VPC，选择在访问 Storage Gateway 时要使用的 VPC。
7. 对于 Configure route tables（配置路由表），请为您的配置选择 Route Table ID（路由表 ID）。
8. 选择 Create endpoint（创建端点）。

使用网关 VPC 端点时，VPC 端点策略用于限制访问权限，并且仅允许授权用户对 S3 存储桶发出的请求。此外，您还可以控制可从特定的 VPC 访问哪些存储桶。这是从同一区域的 VPC 访问 S3 的最佳实践模式。要从本地应用程序使用网关 VPC 端点，或者要从其他 AWS 区域中的 VPC 访问 S3，您必须在 VPC 中设置一组具有私有 IP 地址的代理服务器。这会导致本地应用程序发生更改，以便它们将请求定向到代理服务器，然后通过您的 VPC 端点将其转发到 S3。

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择 Endpoints（端点）。
3. 选择 Create Endpoint（创建端点）。
4. 对于 Service category（服务类别），选择 AWS services（AWS 服务）。
5. 对于 Service Name（服务名称），选择以 s3 结尾且 Type（类型）为 Interface（接口）的服务名称。
6. 对于 VPC，请选择访问 Storage Gateway 时要使用的 VPC 和子网。
7. 对于 Security group（安全组），选择端口 443 已打开的安全组。
8. 选择 Create endpoint（创建端点）。

要使用 VPC 端点创建文件网关，您必须为 Storage Gateway 创建 VPC 端点，创建和配置文件网关，然后在 VPC 中激活您的网关。

注意：如果您使用的是与 AWS 进行私有连接的本地部署的 Storage Gateway，则可以使用不使用 Amazon Elastic Compute Cloud（Amazon EC2）代理的 Amazon S3 接口端点。

借助 Amazon S3 文件网关，您可以创建可以使用网络文件系统（NFS）或服务器消息块（SMB）协议访问的文件共享。有关创建文件共享的详细信息，请参阅创建文件共享。

注意：测试连通性有助于检查 Storage Gateway 设备是否可以通过所需的 TCP 端口与服务端点进行连接。

1. 使用 SSH 连接到文件网关的 Amazon EC2 主机实例。
2. 在 SSH 会话中，输入 3 以选择 3: 测试网络连接。
3. 如果网络连接成功，则测试将返回 [ PASSED ]。