如何在檔案閘道與 Amazon S3 之間設定私有網路連線?
我想在 AWS Storage Gateway 的檔案介面 (檔案閘道) 與 Amazon Simple Storage Service (Amazon S3) 之間設定私有網路連線。我不希望我的閘道透過網際網路與 AWS 服務通訊。我該如何操作?
簡短描述
您可以在 ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)Amazon Virtual Private Cloud (Amazon VPC)[ 內設定檔案閘道與 Amazon S3 之間的私有網路連線,其中閘道裝置透過內部私有網路與服務端點連線。若要在 VPC 內設定此私人連線,請執行下列動作:
- 為 Amazon S3 建立 VPC 閘道端點或介面端點。
- 使用 VPC 端點建立檔案閘道。
Amazon S3 檔案閘道支援兩個 Amazon S3 端點。但是,您只需要根據您的使用情況建立一種類型的端點。
注意: Amazon S3 閘道端點無法與內部部署閘道搭配使用。Amazon S3 閘道端點可與 Amazon EC2 執行個體型閘道搭配使用。Amazon S3 介面端點可與內部部署及 EC2 執行個體型閘道搭配使用
解決方法
為 Amazon S3 建立 VPC 閘道端點
- 開啟 Amazon VPC 主控台。
- 在導覽窗格,選擇 Endpoints(端點)。
- 選擇 Create Endpoint(建立端點)。
- 對於服務類別,選取 AWS services(AWS 服務)。
- 對於服務名稱,選取以 s3 結尾且類型為閘道的服務名稱。
- 對於 VPC,選取存取儲存閘道時要使用的 VPC。
- 對於設定路由表,選取組態的路由表 ID。
- 選擇 Create endpoint(建立端點)。
使用 Gateway VPC 端點時,VPC 端點政策用於限制存取,並僅允許授權使用者向 S3 儲存貯體發出請求。此外,您還可以控制哪些儲存貯體可從特定 VPC 存取。這是從相同區域中的 VPC 存取 S3 的最佳實務模型。若要從內部部署應用程式使用 Gateway VPC 端點,或從不同 AWS 區域的 VPC 存取 S3,您必須在 VPC 中設定具有私有 IP 地址的 Proxy 伺服器叢集。這會導致對內部部署應用程式進行變更,以便將請求導向 Proxy 伺服器,然後透過 VPC 端點將其轉送至 S3。
為 Amazon S3 建立 VPC 介面端點
- 開啟 Amazon VPC 主控台。
- 在導覽窗格,選擇 Endpoints(端點)。
- 選擇 Create Endpoint(建立端點)。
- 對於服務類別,選取 AWS services(AWS 服務)。
- 對於服務名稱,選取以 s3 結尾且類型為介面的服務名稱。
- 對於 VPC,選取存取儲存閘道時要使用的 VPC 和子網路。
- 對於安全群組,選取開啟連接埠 443 的安全群組。
- 選擇 Create endpoint(建立端點)。
使用 VPC 端點建立檔案閘道
若要使用 VPC 端點建立檔案閘道,您必須為儲存閘道建立 VPC 端點、建立和設定檔案閘道,以及在 VPC 中啟用閘道。
**注意:**如果您使用的內部部署儲存閘道與 AWS 進行私有連線,則可以使用適用於 Amazon S3 的介面端點,該端點在沒有 Amazon Elastic Compute Cloud (Amazon EC2) Proxy 伺服器的情況下運作。
使用適用於 Amazon S3 的 VPC 介面端點建立檔案共用
使用 Amazon S3 檔案閘道,您可以建立可使用網路檔案系統 (NFS) 或伺服器訊息區塊 (SMB) 通訊協定存取的檔案共用。如需建立檔案共用的詳細資訊,請參閱建立檔案共用。
測試網路連線
**注意:**測試連線可協助您檢查儲存閘道裝置是否可透過所需 TCP 連接埠與服務端點連線。
- 使用 SSH 連線至檔案閘道的 Amazon EC2 主機執行個體。
- 在 SSH 工作階段中,輸入 3 以選取 3: 測試網路連線。
- 測試對成功的網路連線傳回 [PASSED]。
相關資訊
使用案例 (AWS PrivateLink 和 VPC 端點)
相關內容
- 已提問 3 個月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 7 個月前
- AWS 官方已更新 2 年前
