Amazon VPC エンドポイントを使用してゲートウェイをアクティブ化しようとすると、Storage Gateway のアクティブ化が失敗するのはなぜですか?

最終更新日: 2021 年 3 月 30 日

(AWS PrivateLink によって提供される) Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用して、AWS Storage Gateway でゲートウェイをアクティブ化しようとしています。しかし、アクティブ化が失敗します。

解決方法

開始する前に、ゲートウェイが Storage Gateway のハードウェア要件およびストレージ要件を満たしていることを確認します。

オンプレミスでホストされているゲートウェイのトラブルシューティング

: これらのトラブルシューティング手順は、Amazon S3 トラフィックに Amazon Simple Storage Service (Amazon S3) VPC エンドポイントを使用するオンプレミスのファイルゲートウェイには適用されません。

  • オンプレミスのローカルネットワークが、AWS Direct Connect または VPN 経由で Amazon VPC と通信できることを確認します。この接続を確認するには、オンプレミスの仮想マシンまたはサーバーから VPC 内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのプライベート IP アドレスに ping を実行します。
  • VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 443、1026、1027、1028、1031、および 2222 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
  • オンプレミスの AWS ネットワークファイアウォールを確認します。ファイアウォールが TCP ポート 443、1026、1027、1028、1031、および 2222 で、ゲートウェイのドメイン名または IP アドレスへのアウトバウンドトラフィックを許可することを確認します。さらに、ファイアウォールが TCP ポート 80 のゲートウェイの IP アドレスへのインバウンドトラフィックを許可していることを確認します。
  • ゲートウェイのローカルコンソールからネットワーク接続テストを実行して、ゲートウェイが VPC エンドポイントに接続できることを確認します。

Amazon S3 Gateway タイプの VPC エンドポイントを使用するオンプレミスファイルゲートウェイのトラブルシューティング

オンプレミスのファイルゲートウェイで、ファイル共有の作成や S3 バケットへの読み取りと書き込みなど、Amazon S3 トラフィックに (Direct Connect または VPN 経由で) Amazon S3 Gateway タイプの VPC エンドポイントを使用する場合は、プロキシを作成する必要があります。プロキシは Amazon EC2 インスタンスでホストできます。

注: この設定では、Amazon S3 の VPC エンドポイントに加えて、Storage Gateway 用の VPC エンドポイントも必要です。

Amazon S3 Gateway タイプの VPC エンドポイントを使用するオンプレミスファイルゲートウェイのアクティブ化の失敗のトラブルシューティングを行うには、次のチェックを実行します。

  • EC2 インスタンス (プロキシホスト) のプライベート IP アドレスが、TCP ポート 3128 で許可されるアウトバウンドプロキシトラフィックがオンプレミスのゲートウェイで設定されていることを確認します。
  • EC2 インスタンス (プロキシホスト) にアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 3128 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
  • Storage Gateway VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが、EC2 インスタンス (プロキシホスト) の IP アドレスからのインバウンドトラフィックを TCP ポート 443、1026、1027、1028、1031、および 2222 で許可することを確認します。
  • オンプレミスのネットワークファイアウォールを確認します。ファイアウォールが、TCP ポート 3128 上の EC2 インスタンス (プロキシホスト) のプライベート IP アドレスへのアウトバウンドトラフィックを許可することを確認します。

Amazon EC2 でホストされているゲートウェイのトラブルシューティング

  • VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 443、1026、1027、1028、1031、および 2222 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
  • ゲートウェイにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 80 でインバウンドトラフィックを許可していることを確認します。
  • アクティブ化にゲートウェイの EC2 インスタンスのプライベート IP アドレスを使用していることを確認します。ゲートウェイがホストされているインスタンスにパブリック IP アドレスまたは Elastic IP アドレスがある場合でも、プライベート IP アドレスを使用してゲートウェイをアクティブ化する必要があります。
  • ゲートウェイのアクティブ化に使用しているワークステーションが、Direct Connect または VPN 経由でゲートウェイインスタンスの VPC と通信できることを確認します。
    ヒント: ワークステーションが VPC と通信できない場合は、同じ VPC 内の別のインスタンスからゲートウェイのアクティブ化を試みてください。

VPC エンドポイントを使用した Storage Gateway のアクティブ化についての VPC フローログを使用したトラブルシューティング

ゲートウェイのアクティブ化が失敗する原因に関する詳細情報を得るには、VPC エンドポイントのネットワークインターフェイスVPCフローログを有効にします

VPC フローログを有効にすると、VPC エンドポイントのフローレコードを確認できます。たとえば、フローログを使用して、ゲートウェイのアクティブ化に必要なトラフィックを拒否しているポートがあるかどうかを確認できます。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?