Comment résoudre une erreur interne lors de l'activation de mon Storage Gateway ?

Date de la dernière mise à jour : 15/02/2021

J'essaie d'activer ma passerelle sur AWS Storage Gateway, mais je reçois une erreur interne.

Brève description

Une demande adressée à Storage Gateway traverse deux chemins réseau. Les demandes d'activation envoyée par un client se connectent à la machine virtuelle (VM) de la passerelle ou à l'instance Amazon Elastic Compute Cloud (Amazon EC2) via le port 80. Si la passerelle reçoit avec succès la demande d'activation, elle communique avec les points de terminaison Storage Gateway pour recevoir une clé d'activation. Si la passerelle ne parvient pas à atteindre ces points de terminaison Storage Gateway, le service répond au client avec un message d'erreur interne.

Résolution

Remarque : Veillez à utiliser la dernière version d'Amazon Machine Image (AMI). Une erreur interne s'affiche si vous n'utilisez pas la dernière AMI.
Assurez-vous que vous avez sélectionné le bon type de passerelle. Les fichiers .ova et les AMI des types de passerelle sont différents et ne sont pas interchangeables.

Si vous utilisez un point de terminaison public pour activer votre passerelle

1.    Vérifiez que vous avez ouvert les ports requis. Pour les passerelles déployées sur site, vérifiez que les ports sont ouverts sur votre pare-feu local. Pour les passerelles déployées sur une instance Amazon EC2, vérifiez que les ports sont ouverts sur le groupe de sécurité de l'instance. Pour confirmer que les ports sont ouverts, exécutez une commande telnet sur le point de terminaison public à partir d'un serveur. Ce serveur doit se trouver dans le même sous-réseau que la passerelle. Par exemple, les commandes telnet suivantes permettent de tester la connexion au port 443 :

telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443

Pour confirmer que la passerelle elle-même peut atteindre le point de terminaison, accédez à la console de la machine virtuelle locale de la passerelle (pour les passerelles déployées sur site). Ou, vous pouvez un SSH vers l'instance de la passerelle (pour les passerelles déployées sur Amazon EC2). Ensuite, exécutez un test de connectivité réseau. Vérifiez que le test renvoie [PASSED].

Remarque : le nom d'utilisateur de connexion par défaut pour la console de passerelle est admin, et le mot de passe par défaut password.

2.    Vérifiez qu'aucune sécurité de pare-feu ne modifie les paquets envoyés de la passerelle aux points de terminaison publics. La sécurité du pare-feu peut être une inspection SSL, une inspection approfondie des paquets ou une toute autre forme. La liaison SSL échoue si le certificat SSL est modifié à partir des attentes du point de terminaison d'activation. Pour confirmer qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur le point de terminaison d'activation principal (anon-cp.storagegateway.region.amazonaws.com) sur le port 443. Vous devez exécuter cette commande à partir d'une machine qui se trouve dans le même sous-réseau que la passerelle :

Remarque : Remplacez le champ région par votre région d'activation.

$ openssl s_client -connect  anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com

S'il n'y a pas d'inspection SSL en cours, la commande renvoie une réponse similaire à la suivante :

$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
 0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
   i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats altérée, semblable à ce qui suit :

$ openssl s_client -connect  anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les liaisons SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers les points de terminaison doit être exempt de toute inspection effectuées par les pare-feu de votre réseau. Ces inspections peuvent être une inspection SSL ou une inspection approfondie des paquets.

3.    Vérifiez que votre passerelle synchronise correctement l'heure. Des décalages excessifs peuvent provoquer des erreurs de liaison SSL. Utilisez la console VM locale de la passerelle pour vérifier la synchronisation temporelle de votre passerelle. Le décalage ne doit pas dépasser 60 secondes.

Remarque : l'option Gestion de l'heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2. Vérifiez que l'instance peut se connecter à la liste des groupes de serveurs NTP sur les ports UDP et TCP 123 :

0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour activer votre passerelle

1.    Vérifiez que vous avez ouvert les ports requis dans votre pare-feu local (pour les passerelles déployées sur site) ou dans votre groupe de sécurité (pour les passerelles déployées dans Amazon EC2). Les ports requis pour connecter une passerelle au point de terminaison d'un VPC Storage Gateway sont différents de ceux requis lorsque vous connectez une passerelle aux points de terminaison publics. Les ports suivants sont requis pour la connexion à un point de terminaison d'un VPC Storage Gateway :
  • TCP 443
  • TCP 1026
  • TCP 1027
  • TCP 1028
  • TCP 1031
  • TCP 2222

Par ailleurs, vérifiez le groupe de sécurité attaché à votre point de terminaison d'un VPC Storage Gateway. Le groupe de sécurité par défaut attaché au point de terminaison peut ne pas autoriser les ports requis. Créez un nouveau groupe de sécurité qui autorise le trafic à partir de la plage d'adresses IP de votre passerelle sur les ports requis. Ensuite, attachez ce groupe de sécurité au point de terminaison d'un VPC.

Remarque : utilisez la console Amazon VPC pour vérifier le groupe de sécurité attaché au point de terminaison d'un VPC. Affichez votre point de terminaison d'un VPC Storage Gateway à partir de la console, puis choisissez l'onglet Groupes de sécurité.

Pour confirmer que les ports requis sont ouverts, exécutez les commandes telnet sur le point de terminaison d’un VPC Storage Gateway. Vous devez exécuter ces commandes à partir d'un serveur qui se trouve dans le même sous-réseau que la passerelle. Vous pouvez exécuter les tests sur le premier nom DNS qui ne spécifie pas de zone de disponibilité. Par exemple, les commandes telnet suivantes testent les connexions des ports requis à l'aide du nom DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com :

telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222

2.    Vérifiez qu'aucune sécurité de pare-feu ne modifie les paquets envoyés de la passerelle à votre point de terminaison d’un VPC Storage Gateway. La sécurité du pare-feu peut être une inspection SSL, une inspection approfondie des paquets ou une toute autre forme. La liaison SSL échoue si le certificat SSL est modifié à partir des attentes du point de terminaison d'activation. Pour confirmer qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur votre point de terminaison d’un VPC Storage Gateway. Vous devez exécuter cette commande à partir d'une machine qui se trouve dans le même sous-réseau que la passerelle. Exécutez la commande pour chaque port requis :

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
 0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
   i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
 1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
   i:C = US, O = Amazon, CN = Amazon Root CA 1
 2 s:C = US, O = Amazon, CN = Amazon Root CA 1
   i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
 3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
   i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats altérée, semblable à ce qui suit :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les liaisons SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers votre point de terminaison d’un VPC via les ports requis est exempté des inspections effectuées par vos pare-feu réseau. Ces inspections peuvent être des inspections SSL ou des inspections approfondies de paquets.

3.    Vérifiez que votre passerelle synchronise correctement l'heure. Des décalages excessifs peuvent provoquer des erreurs de liaison SSL. Utilisez la console VM locale de la passerelle pour vérifier la synchronisation temporelle de votre passerelle. Le décalage ne doit pas dépasser 60 secondes.

Remarque : l'option Gestion de l'heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2. Vérifiez que l'instance peut se connecter à la liste des groupes de serveurs NTP sur les ports UDP et TCP 123 :
0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

4.    Avant l'activation, vérifiez si vous avez un proxy HTTP sur Amazon EC2 configuré sur la machine virtuelle de passerelle sur site en tant que proxy Squid sur le port 3128. Dans ce cas, confirmez ce qui suit :

  • Le groupe de sécurité attaché au proxy HTTP sur Amazon EC2 doit avoir une règle entrante. Cette règle entrante doit autoriser le trafic proxy Squid sur le port 3128 à partir de l'adresse IP de la machine virtuelle de passerelle.
  • Le groupe de sécurité attaché au point de terminaison d’un VPC Storage Gateway doit avoir des règles entrantes. Ces règles entrantes doivent autoriser le trafic sur les ports 1026-1028, 1031, 2222 et 443 à partir de l'adresse IP du proxy HTTP sur Amazon EC2.

Si vous utilisez un point de terminaison public pour activer votre passerelle lorsqu'il existe un point de terminaison d'un VPC Storage Gateway dans le même VPC

Vérifiez que le paramètre Activer le nom DNS privé n'est pas activé sur votre point de terminaison d'un VPC Storage Gateway. Si ce paramètre est activé, vous ne pouvez pas activer de passerelles depuis ce VPC vers le point de terminaison public. Procédez comme suit pour désactiver l'option de nom DNS privé :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Endpoints (Points de terminaison).
  3. Choisissez votre point de terminaison d'un VPC Storage Gateway.
  4. Choisissez Actions.
  5. Choisissez Gérer les noms DNS privés.
  6. Pour Activer le nom DNS privé, désélectionnez Activer pour ce point de terminaison.
  7. Choisissez Modifier les noms DNS privés pour enregistrer le paramètre.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?