Pourquoi l'activation de ma passerelle Storage Gateway échoue-t-elle lorsque j'essaie d'activer ma passerelle à l'aide d'un point de terminaison public ?

Date de la dernière mise à jour : 25/09/2020

J'essaie d'activer ma passerelle sur AWS Storage Gateway à l'aide d'un point de terminaison public. Cependant, l'activation échoue. Comment puis-je résoudre ce problème ?

Brève description

L'activation de la passerelle à l'aide d'un point de terminaison public peut échouer pour les raisons suivantes :

  • La machine virtuelle de la passerelle ne répond pas à la configuration système minimale requise.
  • La machine virtuelle (VM) de la passerelle ne peut pas atteindre les points de terminaison de service sur le port 443.
  • La passerelle n'est pas accessible sur le port 80.

Solution

Remarque : l'activation peut échouer si la machine virtuelle ou l'instance de la passerelle sur Amazon Elastic Compute Cloud (Amazon EC2) a déjà été activée. Une fois l'activation terminée, la passerelle cesse d'écouter sur le port 80 et ne peut pas communiquer avec le point de terminaison. Avant de commencer le dépannage, vérifiez que la machine virtuelle ou l'instance de la passerelle n'ont pas été activées auparavant.

Dépannage d'une passerelle hébergée sur site

Vérifiez que la machine virtuelle de la passerelle répond aux exigences minimales en matière de matériel et de stockage.

  • La machine virtuelle doit avoir au moins 4 CPU et 16 Go de mémoire pour communiquer avec les points de terminaison de la passerelle.
  • Le disque racine de la machine virtuelle doit avoir une capacité d'au moins 80 Go.

Vérifiez que la machine virtuelle de la passerelle répond aux exigences réseau.

  • La machine virtuelle de la passerelle doit écouter sur le port TCP 80 pour recevoir la demande d'activation du point de terminaison de la passerelle.
  • La machine virtuelle de la passerelle doit pouvoir accéder au point de terminaison anon-cp.storagegateway.region.amazonaws.com 443 pour communiquer avec AWS.
  • Votre pare-feu et votre routeur doivent autoriser les points de terminaison de service requis pour le trafic sortant vers AWS.
  • Votre pare-feu doit autoriser le trafic sur le port 123 afin que la machine virtuelle de votre passerelle puisse se synchroniser avec l'heure NTP.
  • La résolution DNS de votre pare-feu doit autoriser le trafic sur le port 53.

En outre, vérifiez qu'il n'y a pas d'inspection SSL en cours ou d'inspection approfondie des paquets entre la machine virtuelle de votre passerelle et les points de terminaison du service Storage Gateway. Le logiciel de la passerelle de fichiers déconnecte la connexion lorsqu'il y a une inspection approfondie des paquets. Cela est dû au fait que le logiciel traite les inspections approfondies de paquets comme une attaque de l'intercepteur.

Pour vérifier si des inspections sont en cours, vous pouvez exécuter une commande OpenSSL à partir d'une machine virtuelle qui se trouve dans le même réseau que la machine virtuelle de votre passerelle :

openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443

Tester la connexion réseau

Vous pouvez tester la connexion de votre passerelle aux points de terminaison requis de la manière suivante :

  • Exécutez un test de connectivité réseau à partir de la console VM locale de votre passerelle.
  • Exécutez une commande telnet à partir d'une machine virtuelle qui se trouve dans le même réseau que la machine virtuelle de la passerelle :
telnet anon-cp.storagegateway.region.amazonaws.com 443

Dépannage d'une passerelle hébergée sur Amazon EC2

Vérifiez que l'instance de passerelle Amazon EC2 répond aux exigences minimales en matière de matériel et de stockage.

  • L'instance doit disposer d'un minimum de 4 CPU et de 16 Go de mémoire pour que la passerelle puisse communiquer avec les points de terminaison de la passerelle.
  • Le disque racine de l'instance doit avoir une capacité d'au moins 80 Go.

Remarque : les types d'instances recommandés pour une passerelle sont m4.xlarge et m4.2xlarge.

Vérifiez que l'instance de la passerelle répond aux exigences réseau

  • Le groupe de sécurité de l'instance doit autoriser le trafic entrant à partir de l'adresse IP de votre client ou de votre station de travail sur le port TCP 80.
  • Le groupe de sécurité de l'instance doit autoriser le trafic sortant vers les ports TCP 443, 123 et 53 pour communiquer avec les points de terminaison de service.

Tester la connexion réseau

  • Exécutez un test de connectivité réseau à partir de la console VM locale de votre passerelle.
  • Exécutez une commande telnet à partir d'une instance EC2 qui se trouve dans le même réseau ou sous-réseau que l'instance de la passerelle :
telnet anon-cp.storagegateway.region.amazonaws.com 443

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?