Pourquoi l'activation de ma passerelle Storage Gateway échoue-t-elle lorsque j'essaie de l'activer à l'aide d'un point de terminaison de VPC Amazon ?

Dernière mise à jour : 30/09/2020

J'essaie d'activer ma passerelle sur AWS Storage Gateway à l'aide d'un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) (fourni par AWS PrivateLink). Cependant, l'activation échoue. Comment puis-je résoudre ce problème ?

Résolution

Avant de commencer, vérifiez que votre passerelle répond aux exigences en matière de matériel et de stockage pour Storage Gateway.

Dépannage d'une passerelle hébergée sur site

Remarque : ces étapes de dépannage ne s'appliquent pas à une passerelle de fichiers sur site qui utilise un point de terminaison de VPC Amazon Simple Storage Service (Amazon S3) pour le trafic Amazon S3. 

  • Vérifiez que votre réseau local sur site peut communiquer avec votre VPC Amazon, via AWS Direct Connect ou VPN. Vous pouvez vérifier cette connexion en effectuant un test Ping sur l'adresse IP privée d'une instance Amazon Elastic Compute Cloud (Amazon EC2) dans le VPC depuis votre machine virtuelle ou serveur sur site.
  • Vérifiez le groupe de sécurité attaché au point de terminaison d'un VPC. Vérifiez que le groupe de sécurité autorise le trafic entrant à partir de l'adresse IP de la passerelle, sur les ports TCP 443, 1 026, 1 027, 1 028 et 1 031.
  • Vérifiez le pare-feu réseau sur site. Vérifiez que le pare-feu autorise le trafic sortant vers le nom de domaine ou l'adresse IP de la passerelle, sur les ports TCP 443, 1 026, 1 027, 1 028 et 1 031. En outre, vérifiez que le pare-feu autorise le trafic entrant vers l'adresse IP de la passerelle sur le port TCP 80.
  • Vérifiez que votre passerelle peut se connecter au point de terminaison d'un VPC en exécutant un test de connectivité réseau à partir de la console locale de votre passerelle.

Dépannage d'une passerelle de fichiers sur site qui utilise un point de terminaison de VPC Amazon S3

Si votre passerelle de fichiers sur site utilise un point de terminaison de VPC Amazon S3 (via Direct Connect ou VPN) pour le trafic Amazon S3, comme la création d'un partage de fichiers ou la lecture et l'écriture dans un compartiment S3, vous devez créer un proxy. Le proxy peut être hébergé sur une instance Amazon EC2. 

Remarque : dans cette configuration, vous devez également disposer d'un point de terminaison de VPC pour Storage Gateway, en plus du point de terminaison de VPC pour Amazon S3. 

Pour résoudre les problèmes d'activation d'une passerelle de fichiers sur site qui utilise un point de terminaison de VPC Amazon S3, effectuez les vérifications suivantes :

  • Vérifiez que l'adresse IP privée de l'instance EC2 (hôte proxy) est configurée sur la passerelle sur site avec le trafic proxy sortant autorisé sur le port TCP 3 128.
  • Vérifiez le groupe de sécurité attaché à l'instance EC2 (hôte proxy). Vérifiez que le groupe de sécurité autorise le trafic entrant à partir de l'adresse IP de la passerelle sur le port TCP 3 128.
  • Vérifiez le groupe de sécurité attaché au point de terminaison de VPC Storage Gateway. Vérifiez que le groupe de sécurité autorise le trafic entrant à partir de l'adresse IP de l'instance EC2 (hôte proxy) sur les ports TCP 443, 1 026, 1 027, 1 028 et 1 031.
  • Vérifiez le pare-feu réseau sur site. Vérifiez que le pare-feu autorise le trafic sortant vers l'adresse IP privée de l'instance EC2 (hôte proxy) sur le port TCP 3 128.

Dépannage d'une passerelle hébergée sur Amazon EC2

  • Vérifiez le groupe de sécurité attaché au point de terminaison d'un VPC. Vérifiez que le groupe de sécurité autorise le trafic entrant à partir de l'adresse IP de la passerelle, sur les ports TCP 443, 1 026, 1 027, 1 028 et 1 031.
  • Vérifiez le groupe de sécurité attaché à la passerelle. Vérifiez que le groupe de sécurité autorise le trafic entrant sur le port TCP 80.
  • Vérifiez que vous utilisez l'adresse IP privée de l'instance EC2 de la passerelle pour l'activation. Même si l'instance sur laquelle votre passerelle est hébergée possède une adresse IP publique ou une adresse IP Elastic, vous devez activer la passerelle à l'aide de l'adresse IP privée.
  • Vérifiez que la station de travail que vous utilisez pour activer la passerelle peut communiquer avec le VPC de l'instance de passerelle via Direct Connect ou VPN.
    Conseil : si votre poste de travail ne peut pas communiquer avec le VPC, essayez d'activer la passerelle à partir d'une autre instance du même VPC.

Utilisation des journaux de flux VPC pour résoudre les problèmes d'activation de Storage Gateway à l'aide d'un point de terminaison de VPC

Pour en savoir plus sur les causes de l'échec d'activation de votre passerelle, vous pouvez activer les journaux de flux VPC sur l'interface réseau du point de terminaison d'un VPC.

Après avoir activé les journaux de flux VPC, vous pouvez consulter les enregistrements de flux pour le point de terminaison de VPC. Par exemple, vous pouvez utiliser les journaux de flux pour déterminer si des ports rejettent le trafic requis pour l'activation de votre passerelle.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?