我嘗試使用公有端點啟用 AWS Storage Gateway 上的閘道。但是,啟用失敗。如何對此問題進行疑難排解?
簡短說明
使用公有端點啟用閘道可能會失敗的原因如下:
- 閘道虛擬機器 (VM) 不符合最低系統需求。
- 閘道的虛擬機器 (VM) 無法連線至連接埠 443 上的服務端點。
- 無法在連接埠 80 上連線至閘道。
解決方法
**注意:**如果閘道虛擬機器 (VM) 或 Amazon Elastic Compute Cloud (Amazon EC2) 上的閘道執行個體已經啟用,則啟用可能會失敗。啟用完成後,閘道會停止偵聽連接埠 80,而且無法與端點通訊。在開始疑難排解之前,請確認之前尚未啟用閘道虛擬機器 (VM) 或執行個體。
疑難排解在內部部署託管的閘道
確認閘道虛擬機器 (VM) 符合最低硬體和儲存空間需求
- 虛擬機器 (VM) 必須至少有 4 個 CPU 和 16 GB 記憶體,才能與閘道端點通訊。
- 虛擬機器 (VM) 的根磁碟必須至少有 80 GB。
根據閘道的類型,Storage Gateway 還有其他需求和建議:
確認閘道虛擬機器 (VM) 符合網路需求
- 閘道虛擬機器 (VM) 必須偵聽 TCP 連接埠 80,才能接收來自閘道端點啟用請求。
- 閘道虛擬機器 (VM) 必須能夠存取端點 anon-cp.storagegateway.region.amazonaws.com 443 才能與 AWS 通訊。
- 防火牆和路由器必須允許向 AWS 傳出流量所需的服務端點。
- 防火牆必須允許連接埠 123 上的流量,以便閘道的虛擬機器 (VM) 可以與 NTP 時間同步。
- 防火牆 DNS 解析必須允許連接埠 53 上的流量。
所有閘道共用一組通用連接埠,但其他需求會依閘道類型而有所不同:
此外,請確認閘道的虛擬機器 (VM) 和 Storage Gateway 服務端點之間沒有正在進行的 SSL 檢查或深度封包檢查。進行深度封包檢查時,檔案閘道軟體會中斷連線。這是因為軟體會將深度封包檢查視為中間人攻擊。
若要檢查是否有任何正在進行的檢查,您可以透過與閘道虛擬機器 (VM) 位於同一網路的虛擬機器 (VM) 執行 OpenSSL 命令:
openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443
測試網路連線
您可以透過下列方式測試閘道與所需端點的連線:
- 從閘道的本機虛擬機器 (VM) 主控台執行網路連線測試。
- 透過與閘道虛擬機器 (VM) 位於同一網路的虛擬機器 (VM) 執行 telnet 命令:
telnet anon-cp.storagegateway.region.amazonaws.com 443
疑難排解 Amazon EC2 上託管的閘道
確認 Amazon EC2 閘道執行個體符合最低的硬體和儲存空間需求
- 執行個體必須至少有 4 個 CPU 和 16 GB 記憶體,才能讓閘道與閘道端點進行通訊。
- 執行個體的根磁碟必須至少有 80 GB。
**注意:**用於閘道之執行個體類型的最佳實務是 m4.xlarge 和 m4.2xlarge。
根據閘道的類型,Storage Gateway 還有其他需求和建議:
確認閘道執行個體符合網路需求
- 執行個體的安全群組必須允許來自 TCP 連接埠 80 上用戶端或工作站 IP 地址的傳入流量。
- 執行個體的安全群組必須允許指向 TCP 連接埠 443、123 和 53 的傳出流量,才能與服務端點進行通訊。
所有閘道共用一組通用連接埠,但其他需求會依閘道類型而有所不同:
測試網路連線
- 從閘道的本機虛擬機器 (VM) 主控台執行網路連線測試。
- 透過與閘道執行個體位於同一網路或子網路中的 EC2 執行個體執行 telnet 命令:
telnet anon-cp.storagegateway.region.amazonaws.com 443