View a markdown version of this page

Solução de problemas: problemas em compartilhamento de arquivos - AWS Storage Gateway
Compartilhamento de arquivos bloqueado em estado de transiçãoNão é possível criar um compartilhamento de arquivosOs compartilhamentos de arquivos SMB não permitem vários métodos diferentes de acessoVários compartilhamentos de arquivos não conseguem gravar no bucket do S3 associadoNotificação para um grupo de logs excluído ao usar logs de auditoriaNão é possível fazer upload de arquivos para o bucket do S3Não é possível alterar a criptografia padrão para SSE-KMSAs alterações feitas diretamente em um bucket do S3 com o versionamento de objetos ativado podem afetar o que você vê no seu compartilhamento de arquivos.Ao gravar em um bucket do S3 com o versionamento ativado, o Gateway de Arquivos do Amazon S3 pode criar várias versões dos objetos do Amazon S3Alterações em um bucket do S3 não são exibidas no Storage GatewayAs permissões da ACL não estão funcionando como esperadoA performance do Gateway foi recusado depois de uma operação recursiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas: problemas em compartilhamento de arquivos

Você pode encontrar informações a seguir sobre as ações a adotar se enfrentar problemas inesperados em um compartilhamento de arquivos.

O compartilhamento de arquivos travou no estado CRIANDO, ATUALIZANDO ou EXCLUINDO

O status do compartilhamento de arquivos resume a integridade do compartilhamento de arquivos. Se o compartilhamento de arquivos do S3 File Gateway estiver preso no DELETING estado CREATINGUPDATING, ou, use as etapas de solução de problemas a seguir para identificar e resolver o problema.

Confirme as permissões da função e a relação de confiança do IAM

A função AWS Identity and Access Management (IAM) associada ao seu compartilhamento de arquivos deve ter permissões suficientes para acessar o bucket do Amazon S3. Além disso, a política de confiança da função deve conceder permissões ao serviço Storage Gateway para assumir a função.

Para verificar as permissões da função do IAM:

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis.

  3. Escolha a função do IAM associada ao seu compartilhamento de arquivos.

  4. Selecione a guia Trust relationships (Relações de confiança).

  5. Confirme se o Storage Gateway está listado como uma entidade confiável. Se o Storage Gateway não for uma entidade confiável, escolha Editar relação de confiança e adicione a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Verifique se a função do IAM tem as permissões corretas e se o bucket do Amazon S3 está listado como um recurso na política do IAM. Para obter mais informações, consulte Conceder acesso a um bucket do Amazon S3.

nota

Para evitar problemas confusos de prevenção delegada entre serviços, use uma política de relacionamento de confiança que inclua chaves de contexto de condição. Para obter mais informações, consulte Prevenção contra o ataque do “substituto confuso” em todos os serviços.

Verifique se o AWS STS está ativado em sua região

Os compartilhamentos de arquivos podem ficar presos no UPDATING estado CREATING ou se AWS Security Token Service (AWS STS) estiver desativado em sua AWS região.

Para verificar o status do AWS STS:

  1. Abra o AWS Identity and Access Management console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Configurações da conta.

  3. Na seção Security Token Service (STS), verifique se o status está ativo para a AWS região em que você deseja criar o compartilhamento de arquivos.

  4. Se o status for Inativo, escolha Ativar para ativar AWS STS nessa região.

Verifique se o bucket S3 existe e segue as regras de nomenclatura

Seu compartilhamento de arquivos requer um bucket válido do Amazon S3 que siga as convenções de nomenclatura do Amazon S3.

Para verificar seu bucket do S3:

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Confirme se o bucket do Amazon S3 mapeado para seu compartilhamento de arquivos existe. Se o bucket não existir, crie-o. Depois de criar o bucket, o status do compartilhamento de arquivos deve mudar paraAVAILABLE. Para obter mais informações, consulte Criar um bucket no Guia do usuário do Amazon Simple Storage Service.

  3. Verifique se o nome do seu bucket está em conformidade com as regras de nomenclatura do bucket no Guia do usuário do Amazon Simple Storage Service.

    nota

    O S3 File Gateway não é compatível com buckets do Amazon S3 com pontos . () no nome do bucket.

Forçar a exclusão de um compartilhamento de arquivos travado no estado EXCLUINDO

Quando você exclui um compartilhamento de arquivos, o gateway remove o compartilhamento do bucket Amazon S3 associado. No entanto, os dados que estão sendo carregados no momento continuam sendo carregados antes que a exclusão seja concluída. Durante esse processo, o compartilhamento de arquivos mostra um DELETING status.

Importante

Verifique a CloudWatch métrica da Amazon CachePercentDirty para seu gateway para determinar quantos dados estão pendentes de upload. Para obter mais informações sobre as métricas do Storage Gateway, consulteMonitorando seu gateway de arquivos S3, gateway de .

Se você não quiser esperar que todos os uploads em andamento terminem, você pode forçar a exclusão do compartilhamento de arquivos.

Para forçar a exclusão de um compartilhamento de arquivos:

  1. Abra o console do Storage Gateway em https://console.aws.amazon.com/storagegateway/.

  2. No painel de navegação, escolha Compartilhamentos de arquivos.

  3. Selecione o compartilhamento de arquivos que você deseja excluir.

  4. Escolha a guia Detalhes e revise a mensagem Este compartilhamento de arquivos está sendo excluído.

  5. Verifique a ID do compartilhamento de arquivos na mensagem e selecione a caixa de confirmação.

    nota

    Você não pode desfazer a operação de exclusão forçada.

  6. Escolha Forçar exclusão agora.

Como alternativa, você pode usar o AWS CLI delete-file-sharecomando com o --force-delete parâmetro definido comotrue.

Importante

Antes de forçar a exclusão de um compartilhamento de arquivos, confirme se o gateway não está em um OFFLINE estado. Se o gateway estiver off-line, primeiro resolva o problema off-line. Para obter mais informações, consulte Solução de problemas: gateway offline no console do Storage Gateway.

Se a máquina virtual (VM) do gateway já tiver sido excluída, você deverá excluir o gateway do console do Storage Gateway para remover todos os compartilhamentos de arquivos associados, incluindo aqueles presos no DELETING estado. Para obter mais informações, consulte Como excluir o gateway e remover recursos associados.

Solucionar problemas de conectividade de rede

Problemas de rede podem impedir que seu compartilhamento de arquivos saia do estado CREATINGUPDATING, ouDELETING. Os problemas comuns de rede incluem:

  • Seu gateway está off-line ou a VM do gateway foi excluída.

  • O acesso à rede entre o Storage Gateway e o endpoint do serviço Amazon S3 está bloqueado.

  • O endpoint Amazon S3 Amazon VPC que o gateway usa para se comunicar com o Amazon S3 foi excluído.

  • As portas de rede necessárias não estão abertas ou o roteamento de rede está configurado incorretamente.

Teste a conectividade do S3 a partir do console local do gateway

Para testar a conectividade do S3:

  1. Faça login no console local do gateway. Para obter mais informações, consulte Fazer login no console local do Gateway de Arquivos.

  2. No menu principal Storage Gateway - Configuração, insira o número correspondente ao Teste de conectividade do S3.

  3. Escolha o tipo de endpoint do Amazon S3:

    • Para o tráfego do Amazon S3 que flui por meio de um gateway de Internet, gateway NAT, gateway de trânsito ou gateway do Amazon S3 Gateway, endpoint Amazon VPC, escolha Público.

    • Para o tráfego do Amazon S3 que flui por meio de um endpoint Amazon VPC da interface do Amazon S3, escolha VPC (). PrivateLink

    • Para um endpoint FIPS, escolha a opção FIPS.

  4. Insira a região do bucket do Amazon S3.

  5. Se estiver usando um endpoint Amazon VPC, insira o nome DNS do endpoint Amazon S3 Amazon VPC (por exemplo,). vpce-0329c2790456f2d01-0at85l34

O gateway executa automaticamente um teste de conectividade que valida a conexão de rede e a conexão SSL. Se o teste falhar:

  • Falha no teste de rede - geralmente causada por regras de firewall, configurações de grupos de segurança ou roteamento de rede incorreto. Verifique se as portas necessárias estão abertas e se o roteamento de rede está configurado corretamente.

  • Falha no teste SSL - Indica que a inspeção SSL ou a inspeção profunda de pacotes está ocorrendo entre a VM do gateway e os endpoints do serviço Amazon S3. Desative o SSL e a inspeção profunda de pacotes para o tráfego do Storage Gateway.

Verificar a configuração do proxy

Se o gateway usa um servidor proxy, verifique se o proxy não está bloqueando a comunicação de rede.

Para verificar a configuração do proxy:

  1. No menu principal Storage Gateway - Configuration, insira o número correspondente à configuração do proxy HTTP/SOCKS.

  2. Selecione a opção para visualizar a configuração atual do proxy de rede.

  3. Se um proxy estiver configurado, verifique se o tráfego do Amazon S3 pode fluir do Storage Gateway para o servidor proxy pela porta 3128 (ou sua porta de ouvinte configurada) e, em seguida, para o endpoint do Amazon S3 pela porta 443.

  4. Confirme se o proxy ou firewall permite o tráfego de e para as portas de rede e os endpoints de serviço exigidos pelo Storage Gateway. Para obter mais informações, consulte as portas de rede necessárias.

Se os problemas persistirem, você poderá remover temporariamente a configuração do proxy para determinar se o proxy está causando o problema.

Verifique os grupos de segurança e o roteamento de rede

  • Para gateways no Amazon EC2 - Confirme se o grupo de segurança tem a porta 443 aberta para os endpoints do Amazon S3. Verifique se a tabela de rotas da sub-rede do Amazon EC2 roteia adequadamente o tráfego do Amazon S3 para os endpoints do Amazon S3. Para obter mais informações, consulte as portas de rede necessárias.

  • Para gateways locais - Confirme se as regras de firewall permitem as portas necessárias e se as tabelas de rotas locais roteiam adequadamente o tráfego do Amazon S3 para os endpoints do Amazon S3. Para obter mais informações, consulte as portas de rede necessárias.

  • VPC endpoints — Verifique se o endpoint Amazon S3 Amazon VPC usado pelo gateway não foi excluído. Se o endpoint da Amazon VPC for excluído e o gateway não tiver um endereço IP público, o gateway não poderá se comunicar com o Amazon S3.

Você não consegue criar um compartilhamento de arquivos

  1. Se não conseguir criar um compartilhamento de arquivos porque o compartilhamento está paralisado no status CREATING, verifique se o bucket do S3 ao qual você associa seu compartilhamento de arquivos existe. Para obter informações sobre como fazer isso, consulte o tópico precedente, O compartilhamento de arquivos travou no estado CRIANDO, ATUALIZANDO ou EXCLUINDO.

  2. Se o bucket do S3 existir, verifique se ele AWS Security Token Service está ativado na região em que você está criando o compartilhamento de arquivos. Se um token de segurança não estiver ativo, você deverá ativá-lo. Para obter informações sobre como ativar um token usando AWS Security Token Service, consulte Como ativar e desativar o AWS STS em uma AWS região no Guia do usuário do IAM.

Os compartilhamentos de arquivos SMB não permitem vários métodos diferentes de acesso

Os compartilhamentos de arquivo SMB possuem as seguintes restrições:

  1. Quando o mesmo cliente tenta montar um compartilhamento de arquivos SMB com acesso de convidado e do Active Directory, a seguinte mensagem de erro é exibida: Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again.

  2. Um usuário do Windows não pode permanecer conectado a dois compartilhamentos de arquivos SMB com acesso de convidado, e pode ser desconectado quando uma nova conexão com acesso de convidado é estabelecida.

  3. Um cliente Windows não pode montar um compartilhamento de arquivos SMB com acesso de convidado e um do Active Directory exportado pelo mesmo gateway.

Vários compartilhamentos de arquivos não conseguem gravar no bucket do S3 associado

Não é recomendável configurar o bucket do S3 para permitir que vários compartilhamentos de arquivos gravem nele. Esse procedimento pode provocar resultados imprevisíveis.

Em vez disso, é recomendável permitir que apenas um compartilhamento de arquivos grave em cada bucket do S3. Você cria uma política de bucket para permitir que apenas a função associada ao compartilhamento de arquivos grave no bucket. Para acessar mais informações, consulte Práticas recomendadas do Gateway de Arquivos.

Notificação para um grupo de logs excluído ao usar logs de auditoria

Se o grupo de logs não existir, o usuário poderá selecionar o link do grupo de logs abaixo dessa mensagem para criar outro ou usar um existente como destino dos logs de auditoria.

Não é possível fazer upload de arquivos para o bucket do S3

Se não conseguir fazer upload de arquivos para o bucket do S3, faça o seguinte:

  1. Verifique se você concedeu a permissão de acesso necessária para o Gateway de Arquivos do Amazon S3 fazer upload de arquivos para o bucket do S3. Para obter mais informações, consulte Conceder acesso a um bucket do Amazon S3.

  2. Verifique se a função que criou o bucket tem permissão para gravar no bucket do S3. Para acessar mais informações, consulte Práticas recomendadas do Gateway de Arquivos.

  3. Se o seu gateway de arquivos usa SSE-KMS ou DSSE-KMS para criptografia, certifique-se de que a função do IAM associada ao compartilhamento de arquivos inclua as permissões kms:encrypt, kms:decrypt, kms: *, kms: e kms:. ReEncrypt GenerateDataKey DescribeKey Para acessar mais informações, consulte Usar políticas baseadas em identidade (políticas do IAM) para o Storage Gateway.

Não é possível alterar a criptografia padrão para a SSE-KMS para criptografar os objetos armazenados no meu bucket do S3

Se você alterar a criptografia padrão e tornar a SSE-KMS (criptografia no lado do servidor com as chaves gerenciadas pelo AWS KMS) padrão para o bucket do S3, os objetos armazenados pelo Gateway de Arquivos do Amazon S3 no bucket não serão criptografados com a SSE-KMS. Por padrão, um Gateway de Arquivos usa a criptografia no lado do servidor gerenciada com o Amazon S3 (SSE-S3) quando grava dados em um bucket do S3. Alterar o padrão não altera automaticamente a criptografia.

Para alterar a criptografia para usar o SSE-KMS com sua própria AWS KMS chave, você deve ativar a criptografia SSE-KMS. Para fazer isso, forneça o nome de recurso da Amazon (ARN) da chave do KMS ao criar o compartilhamento de arquivos. Você também pode atualizar as configurações do KMS para seu compartilhamento de arquivos usando a operação de API UpdateNFSFileShare ou UpdateSMBFileShare. Essa atualização se aplica a objetos armazenados nos buckets do S3 após a atualização. Para obter mais informações, consulte Criptografia de dados usando AWS KMS.

As alterações feitas diretamente em um bucket do S3 com o versionamento de objetos ativado podem afetar o que você vê no seu compartilhamento de arquivos.

Se seu bucket do S3 tiver objetos gravados nele por outro cliente, sua visualização do bucket do S3 pode não ser up-to-date resultado do controle de versão do objeto do bucket do S3. Você deve sempre atualizar seu cache antes de examinar arquivos de interesse.

Versionamento de objeto é um recurso de bucket do S3 opcional que ajuda a proteger dados ao armazenar múltiplas cópias do objeto de mesmo nome. Cada cópia tem um valor de ID separado, por exemplo file1.jpg: ID="xxx" e file1.jpg: ID="yyy". O número de objetos com nomes idênticos e suas vidas são controlados por políticas de ciclo de vida do Amazon S3. Para ver mais detalhes sobre esses conceitos do Amazon S3, consulte Usar versionamento e Gerenciamento do ciclo de vida de objetos no Guia do desenvolvedor do Amazon S3.

Quando você exclui um objeto versionado, esse objeto será sinalizado com um marcador de exclusão, mas retido. Somente um proprietário do bucket do S3 pode excluir permanentemente um objeto com o controle de versão habilitado.

Em seu Gateway de Arquivos do S3, os arquivos mostrados são as versões mais recentes dos objetos em um bucket do S3 no momento em que o objeto foi buscado ou o cache foi atualizado. O Gateway de Arquivos ignora quaisquer versões mais antigas ou quaisquer objetos marcados para exclusão. Ao ler um arquivo, você lê os dados da versão mais recente. Quando você gravar um arquivo em seu compartilhamento de arquivos, o Gateway de Arquivos do S3 criará outra versão de um objeto nomeado com suas alterações, e essa versão se torna a mais recente.

Seu Gateway de Arquivos do S3 continua a ler a versão anterior, e as atualizações que você faz são baseadas na versão anterior caso uma nova versão deva ser adicionada ao bucket do S3 fora da sua aplicação. Para ler a versão mais recente de um objeto, use a ação da RefreshCacheAPI ou atualize a partir do console conforme descrito emAtualizar o cache de objetos do bucket do Amazon S3.

Importante

Não recomendamos que objetos ou arquivos sejam gravados em seu bucket do S3 do Gateway de Arquivos de fora do compartilhamento de arquivos.

Ao gravar em um bucket do S3 com o versionamento ativado, o Gateway de Arquivos do Amazon S3 pode criar várias versões dos objetos do Amazon S3

Com o versionamento de objetos ativado, você pode ter várias versões de um objeto criado no Amazon S3 em cada atualização de um arquivo do seu cliente NFS ou SMB. Veja abaixo alguns cenários que podem gerar a criação de várias versões de um objeto em seu bucket do S3:

  • Quando um arquivo é modificado no Gateway de Arquivos do Amazon S3 por um cliente NFS ou SMB após o upload para o Amazon S3, o Gateway de Arquivos do S3 faz upload dos dados novos ou modificados em vez de fazer upload do arquivo inteiro. A modificação do arquivo gera a criação de uma versão do objeto do Amazon S3.

  • Quando um arquivo é gravado no Gateway de Arquivos do S3 por um cliente NFS ou SMB, o Gateway de Arquivos do S3 faz upload dos dados do arquivo para o Amazon S3 seguidos por seus metadados (propriedades, carimbos de data/hora etc.). O upload dos dados do arquivo cria um objeto do Amazon S3, e o upload dos metadados atualiza os metadados do objeto do Amazon S3. Esse processo cria outra versão do objeto, gerando duas versões dele.

  • Quando o Gateway de Arquivos do S3 está fazendo upload de arquivos maiores, talvez seja necessário fazer upload de partes menores do arquivo antes que o cliente termine de gravar no Gateway de Arquivos. Alguns motivos para isso são liberar espaço no cache ou uma alta taxa de gravações em um arquivo. Isso pode gerar diversas versões de um objeto no bucket do S3.

Monitore seu bucket do S3 para saber quantas versões de um objeto existem antes de configurar políticas de ciclo de vida a fim de migrar objetos para diferentes classes de armazenamento. Configurar a expiração do ciclo de vida das versões anteriores para minimizar o número de versões de um objeto em seu bucket do S3. O uso da replicação na mesma região (SRR) ou a replicação entre regiões (CRR) entre buckets do S3 aumentará o armazenamento usado. Para acessar mais informações sobre a replicação, consulte Replicação.

Importante

Não configure a replicação entre buckets do S3 até entender quanto armazenamento está sendo utilizado quando o versionamento de objetos está ativado.

O uso de buckets do S3 versionados pode aumentar significativamente a quantidade de armazenamento no Amazon S3, pois cada modificação em um arquivo cria uma versão do objeto do S3. Por padrão, o Amazon S3 continua armazenando todas essas versões, a não ser que você crie especificamente uma política para substituir esse comportamento e limitar o número de versões que são mantidas. Se você observar uso de armazenamento grande incomum com versionamento de objetos ativado, confira se você tem políticas de armazenamento definidas adequadamente. Um aumento no número de respostas de HTTP 503-slow down para solicitações de navegador também pode ser o resultado de problemas com o versionamento de objetos.

Se você ativar o versionamento de objetos após a instalação de um Gateway de Arquivos do S3, todos os objetos exclusivos serão retidos (ID=”NULL”) e você poderá ver todos eles no sistema de arquivos. Novas versões de objetos recebem um ID exclusivo (versões mais antigas são retidas). Com base no carimbo de data e hora do objeto, apenas o objeto versionado mais recentemente é visualizável no sistema do arquivo NFS.

Depois de ativar o versionamento de objetos, o bucket do S3 não pode ser retornado para um estado sem versionamento. Você pode, contudo, suspender o versionamento. Quando você suspender o versionamento, um novo objeto recebe um ID. Se o mesmo objeto nomeado existe com um valor de ID=”NULL”, a versão mais antiga será substituída. No entanto, qualquer versão que contém um ID que não é NULL é retida. Os carimbos de data e hora identificam o novo objeto como o atual, e é aquele que aparece no sistema de arquivos NFS.

Alterações em um bucket do S3 não são exibidas no Storage Gateway

O Storage Gateway atualiza o cache do compartilhamento de arquivos automaticamente quando você grava arquivos no cache localmente utilizando o compartilhamento de arquivos. No entanto, o Storage Gateway não atualiza automaticamente o cache quando você faz upload de um arquivo direto para o Amazon S3. Ao fazer isso, realize uma operação RefreshCache para ver as alterações no compartilhamento de arquivos. Se você tiver mais de um compartilhamento de arquivos, deverá realizar a operação RefreshCache em cada um.

Você pode atualizar o cache utilizando o console do Storage Gateway e a AWS Command Line Interface (AWS CLI):

  • Para atualizar o cache utilizando o console do Storage Gateway, consulte Atualizar objetos no bucket do Amazon S3.

  • Como atualizar o cache utilizando a AWS CLI:

    1. Execute o comando aws storagegateway list-file-shares

    2. Copie o número do recurso da Amazon (ARN) do compartilhamento de arquivos no cache que deseja atualizar.

    3. Execute o comando refresh-cache com seu ARN como valor para --file-share-arn:

      aws storagegateway refresh-cache --file-share-arn arn:aws:storagegateway:eu-west-1:12345678910:share/share-FFDEE12

Para automatizar a RefreshCache operação, consulte Como posso automatizar a RefreshCache operação no Storage Gateway?

As permissões da ACL não estão funcionando como esperado

Se as permissões da lista de controle de acesso (ACL) não estiverem funcionando conforme esperado com o compartilhamento de arquivos SMB, você pode executar um teste.

Para fazer isso, primeiro teste as permissões em um servidor de arquivos do Microsoft Windows ou um compartilhamento de arquivos do Windows local. Em seguida, compare o comportamento com o compartilhamento de arquivos do gateway.

Ocorreu deterioração da performance do gateway depois de uma operação recursiva

Em alguns casos, você pode realizar uma operação recursiva, como renomear um diretório ou ativar a herança para uma ACL, e forçar para baixo na árvore. Se você fizer isso, o Gateway de Arquivos do S3 aplicará recursivamente a operação a todos os objetos no compartilhamento de arquivos.

Por exemplo, suponha que você aplique a herança a objetos existentes em um bucket do S3. O Gateway de Arquivos do S3 aplica recursivamente a herança a todos os objetos no bucket. Essas operações podem causar queda de desempenho do gateway.