本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 文件网关设置要求
除非另有说明,否则 AWS Storage Gateway中的所有文件网关类型都需要满足以下要求。您的设置必须满足本节中的要求。在部署网关之前,请查看适用于您的网关设置的要求。
**Topics**
+ [先决条件](#user-requirements)
+ [硬件和存储要求](#requirements-hardware-storage)
+ [网络和防火墙要求](#networks)
+ [受支持的管理程序和主机要求](#requirements-host)
+ [文件网关支持的 NFS 和 SMB 客户端](#requirements-s3-fgw-clients)
+ [文件网关支持的文件系统操作](#requirements-file-operations)
+ [管理网关的本地磁盘](ManagingLocalStorage-common.md)
## 先决条件
在设置 Amazon S3 文件网关(S3 文件网关)之前,您必须满足以下先决条件:
+ 配置 Microsoft Active Directory(AD)并创建具有必要权限的 Active Directory 服务账户。有关更多信息,请参阅 [Active Directory 服务账户权限要求](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)。
+ 确保网关和 AWS之间有足够的网络带宽。成功下载、激活和更新网关至少需要 100 Mbps。
+ 配置要用于与部署网关的本地环境 AWS 之间的网络流量的连接。您可以使用公共互联网、私有网络、VPN 或 Direct Connect。如果您希望网关 AWS 通过私有连接与 Amazon Virtual Private Cloud 进行通信,请在设置网关之前设置亚马逊 VPC。
+ 确保您的网关可以解析 Active Directory 域控制器的名称。您可以在 Active Directory 域中使用 DHCP 来处理解析,也可以从网关本地控制台的网络配置设置菜单中手动指定 DNS 服务器。
## 硬件和存储要求
以下各节提供了有关网关所需的最低硬件和存储配置的信息,以及为所需存储分配的最小磁盘空间量。
有关文件网关性能的最佳实践的信息,请参阅[S3 文件网关网关的基本性能指南](Performance.md#performance-fgw)。
### 本地部署的硬件要求 VMs
在本地部署网关时,请确保部署网关虚拟机的基础硬件能够分配以下最低资源:
+ 分配给 VM 的四个虚拟处理器
+ 16 GiB 预留 RAM 用于文件网关
+ 80 GiB 磁盘空间,用于安装 VM 映像和系统数据
有关更多信息,请参阅[最大化 S3 文件网关吞吐量](https://docs.aws.amazon.com/filegateway/latest/files3/Performance-Throughput.html)。有关硬件如何影响网关 VM 的性能的信息,请参阅 [文件共享的配额](fgw-quotas.md#resource-file-limits)。
### 对 Amazon EC2 实例类型的要求
在 Amazon Elastic Compute Cloud(Amazon EC2)上部署网关时,实例大小必须至少为 **`xlarge`**,网关才能正常工作。但是,对于计算优化型实例系列,大小必须至少为 **`2xlarge`**。
**注意**
Storage Gateway AMI 仅与使用 Intel 或 AMD 处理器的基于 x86 的实例兼容。不支持使用 Graviton 处理器的基于 ARM 的实例。
使用为您的网关类型推荐的以下实例类型之一。
**建议用于文件网关类型**
+ 通用实例系列:**m5、m6 或 m7** 实例类型。选择 **xlarge** 或更高的实例大小,以满足 Storage Gateway 处理器和 RAM 要求。
+ 计算优化型实例系列 - **c5、c6 或 c7** 实例类型。选择 **2xlarge** 或更高的实例大小,以满足 Storage Gateway 处理器和 RAM 要求。
+ 内存优化型实例系列 - **r5、r6 或 r7** 实例类型。选择 **xlarge** 或更高的实例大小,以满足 Storage Gateway 处理器和 RAM 要求。
+ 存储优化型实例系列 - **i3 i4 或 i7** 实例类型。选择 **xlarge** 或更高的实例大小,以满足 Storage Gateway 处理器和 RAM 要求。
**注意**
当您在 Amazon EC2 中启动网关并且所选的实例类型支持短暂存储时,将自动列出磁盘。有关 Amazon EC2 实例存储的更多信息,请参阅《Amazon EC2 用户指南》**中的[实例存储](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html)。
应用程序写入会同步存储在缓存中,然后以异步方式上传到 Amazon S3 中的持久性存储中。如果由于在上传完成之前实例停止而导致短暂存储丢失,则数据仍位于缓存中并且尚未写入可能会丢失的 Amazon Simple Storage Service(Amazon S3)中。在停止托管网关的实例之前,请确保`CachePercentDirty` CloudWatch 指标为`0`。有关短暂存储的更多信息,请参阅[将临时存储与 EC2 网关结合使用](ephemeral-disk-cache.md)。有关您的 Storage Gateway 监控指标的更多信息,请参阅[监控您的 S3 文件网关FSx](monitoring-file-gateway.md)。
如果您的 S3 存储桶中有超过 500 万个对象,并且您使用的是 **gp2** EBS 卷,则至少需要 350 GiB 的根 EBS 卷才能使网关在启动期间保持可接受的性能。默认情况下,新创建的 Amazon EC2 文件网关实例使用 **gp3** 根卷,而根卷没有此要求。有关如何增加卷大小的信息,请参阅[使用弹性卷修改 EBS 卷(控制台)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html#modify-ebs-volume)。
### 存储需求
除了 80 GiB 的 VM 磁盘空间外,您的网关还需要额外的磁盘。
| 网关类型 | 缓存(最小值) | 缓存(最大值) |
| --- | --- | --- |
| 文件网关 | 150 GiB | 64 TiB |
**注意**
您可以为缓存配置一个或多个本地驱动器,其容量不超过最大容量。
向现有网关添加缓存时,务必在主机(虚拟机监控程序或 Amazon EC2 实例)中创建新磁盘。如果先前已将现有磁盘分配为缓存,则不要更改这些磁盘的大小。
有关网关配额的信息,请参阅[文件共享的配额](fgw-quotas.md#resource-file-limits)。
## 网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。您的数据传输模式将决定支持您的工作负载所需的带宽。
在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
**注意**
在某些情况下,您可以在 Amazon EC2 上部署网关,或者使用其他类型的部署(包括本地部署),其网络安全策略会限制 AWS IP 地址范围。在这些情况下,当 AWS IP 范围值发生变化时,您的网关可能会遇到服务连接问题。您需要使用的 AWS IP 地址范围值位于您激活网关的 AWS 区域的 Amazon 服务子集中。有关当前 IP 范围值,请参阅**《AWS 一般参考》中的 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。
**Topics**
+ [端口要求](#requirements-network)
+ [Storage Gateway 硬件设备的网络和防火墙要求](#appliance-network-requirements)
+ [允许通过防火墙和路由器进行 AWS Storage Gateway 访问](#allow-firewall-gateway-access)
+ [配置 Amazon EC2 网关实例的安全组](#EC2GatewayCustomSecurityGroup-common)
### 端口要求
为了成功部署和运行,S3 文件网关需要允许特定端口通过您的网络安全。有些端口是所有网关所必需的,而其他端口则仅用于特定配置,例如连接到 NFS 或 SMB 客户端、VPC 端点或 Microsoft Active Directory 时。
对于 S3 文件网关,只有当您希望允许域用户访问服务器消息块(SMB)文件共享时,才需要使用 Microsoft Active Directory。您可以将您的文件网关加入到任何有效的 Microsoft Windows 域(可通过 DNS 解析)。
您也可以使用在 Directory Service 亚马逊 Web Ser [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)vices 云中创建。对于大多数 AWS Managed Microsoft AD 部署,您需要为您的 VPC 配置动态主机配置协议 (DHCP) 服务。有关创建 DHCP 选项集的信息,请参阅《AWS Directory Service 管理指南》**中的[创建 DHCP 选项集](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html)。
下表列出了必需的端口,并在**注释**列中描述了条件要求。
**S3 文件网关的端口要求文件网**
| 网络元素 | 来源 | 目标 | 协议 | 端口: | 入站 | 出站 | 必需 | 注意 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Web 浏览器 | 您的 Web 浏览器 | Storage Gateway VM | TCP HTTP | 80 | ✓ | ✓ | ✓ | 由本地系统用于获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。Storage Gateway VM 不要求可公开访问端口 80。端口 80 所需的访问级别取决于网络配置。如果您从 Storage Gateway 管理控制台激活了网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。 |
| Web 浏览器 | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | AWS 管理控制台(所有其他操作) |
| DNS | Storage Gateway VM | 域名服务 (DNS) 服务器 | TCP 和 UDP DNS | 53 | ✓ | ✓ | ✓ | 用于 Storage Gateway VM 和 DNS 服务器之间的通信,以解析 IP 名称。 |
| NTP | Storage Gateway VM | 网络时间协议 (NTP) 服务器 | TCP 和 UDP NTP | 123 | ✓ | ✓ | ✓ | 本地系统用于将 VM 时间与主机时间同步。Storage Gateway VM 配置为使用以下 NTP 服务器: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/Requirements.html) 对于托管在 Amazon EC2 上的网关,则不是必需的。 |
| Storage Gateway | Storage Gateway VM | 支持 端点 | TCP SSH | 22 | ✓ | ✓ | ✓ | 支持 允许访问您的网关以帮助您解决网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。有关支持端点的列表,请参阅 [支持 端点](https://docs.aws.amazon.com//general/latest/gr/awssupport.html)。 |
| Storage Gateway | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 管理控制台 |
| 亚马逊 CloudFront | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 用于激活 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理控制台 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1026 | | ✓ | ✓\$1 | 控制面板端点 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1027 | | ✓ | ✓\$1 | Anon 控制面板(用于激活) \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1028 | | ✓ | ✓\$1 | 代理端点 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1031 | | ✓ | ✓\$1 | 数据层面 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 2222 | | ✓ | ✓\$1 | 适用于 SSH Support 频道 VPCe \$1仅在使用 VPC 端点时才需要用于开启支持通道 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理控制台 \$1仅在使用 VPC 端点时才需要 |
| 文件共享客户端 | SMB 客户端 | Storage Gateway VM | TCP 或 UDP SMBv3 | 445 | ✓ | ✓ | ✓\$1 | 文件共享数据传输会话服务。 取代 Microsoft Windows NT 及更高版本的端口 137-139。 \$1仅在使用 SMB 时才需要。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 服务器 | UDP NetBIOS | 137 | ✓ | ✓ | ✓\$1 | 名称服务 \$1 SMBv1 仅为必填项。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 服务器 | UDP NetBIOS | 138 | ✓ | ✓ | ✓\$1 | 数据报服务 \$1 SMBv1 仅为必填项。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 服务器 | TCP 和 UDP LDAP | 389 | ✓ | ✓ | ✓\$1 | 目录系统代理(DSA)客户端连接 \$1仅在使用 SMB 时才需要。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 服务器 | TCP 和 UDP Kerberos | 88 | ✓ | ✓ | ✓\$1 | Kerberos \$1仅在使用 SMB 时才需要。 |
| Microsoft Active Directory | Storage Gateway VM | Active Directory 服务器 | TCP 分布式计算 Environment/End 点映射器 (DCE/EMAP) | 135 | ✓ | ✓ | ✓\$1 | RPC \$1仅在使用 SMB 时才需要。 |
| 文件共享客户端 | NFS 客户端 | Storage Gateway VM | TCP 或 UDP 数据 NFSv3 | 111 | ✓ | ✓ | ✓\$1 | 文件共享数据传输(仅针对 NFS v3) \$1仅在使用 NFS 时才需要。 |
| 文件共享客户端 | NFS 客户端 | Storage Gateway VM | TCP 或 UDP NFS | 2049 | ✓ | ✓ | ✓\$1 | 文件共享数据传输 \$1仅在使用 NFS v3 和 v4 时才需要。 |
| 文件共享客户端 | NFS 客户端 | Storage Gateway VM | TCP 或 UDP NFSv3 | 20048 | ✓ | ✓ | ✓\$1 | 文件共享数据传输 \$1仅为 NFSv3 必填项 |
| 文件共享客户端 | NFS 客户端 | Storage Gateway VM | TCP 或 UDP NFSv3 | 8750 | ✓ | ✓ | ✓\$1 | 文件共享限额 \$1仅为 NFSv3 必填项 |
| 文件共享客户端 | SMB 客户端 | Storage Gateway VM | TCP 或 UDP SMBv2 | 139 | ✓ | ✓ | ✓\$1 | 文件共享数据传输会话服务 \$1仅在使用 SMB 时才需要 |
| Amazon S3 | Storage Gateway VM | Amazon S3 服务端点 | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 用于从 Storage Gateway 虚拟机到 AWS 服务端点的通信。有关服务端点的信息,请参阅[允许 AWS Storage Gateway 通过防火墙和路由器进行访问](https://docs.aws.amazon.com/filegateway/latest/files3/Requirements.html#allow-firewall-gateway-access)。 |
下图显示了基本 S3 文件网关部署的网络流量。
![\[使用各种端口连接到 Storage Gateway 的网络资源。\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/images/File-Gateway-Port-Diagram.png)
### Storage Gateway 硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
+ **Internet 访问** - 通过服务器上的任何网络接口实现与 Internet 的永久性网络连接。
+ **DNS 服务** - 用于硬件设备和 DNS 服务器之间的通信的 DNS 服务。
+ **时间同步** - 必须可访问自动配置的 Amazon NTP 时间服务。
+ **IP 地址**-分配的 DHCP IPv4 地址或静态地址。您不能分配 IPv6 地址。
Dell PowerEdge R640服务器的背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:
1. iDRAC
1. `em1`
1. `em2`
1. `em3`
1. `em4`
您可以使用 iDRAC 端口进行远程服务器管理。
![\[使用各种端口连接到硬件设备的网络资源。\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/images/ApplianceFirewallRules.png)
硬件设备需要以下端口才能运行。
| 协议 | 端口: | 方向 | 来源 | 目标位置 | 用法 |
| --- | --- | --- | --- | --- | --- |
| SSH | 22 | 出站 | 硬件设备 | `54.201.223.107` | 支持渠道 |
| DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
| UDP/NTP | 123 | 出站 | 硬件设备 | \$1.amazon.pool.ntp.org | 时间同步 |
| HTTPS | 443 | 出站 | 硬件设备 | `*.amazonaws.com` | 数据传输 |
| HTTP | 8080 | 入站 | AWS | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
+ 在硬件控制台中配置所有连接的网络接口。
+ 确保每个网络接口都位于唯一的子网中。
+ 为所有连接的网络接口提供对上图中列出的端点的出站访问权限。
+ 配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅 [配置硬件设备网络参数](appliance-configure-network.md)。
**注意**
有关显示服务器背面及其端口的图示,请参阅[物理安装硬件设备](appliance-rack-mount.md)。
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
![\[单个子网上的主机 IP 和服务 IP 共享一个 NIC。\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/images/ApplianceAddressing.png)
有关激活和配置硬件设备的更多信息,请参阅[使用 AWS Storage Gateway 硬件设备](hardware-appliance.md)。
### 允许通过防火墙和路由器进行 AWS Storage Gateway 访问
您的网关需要访问以下 Storage Gateway 服务端点才能与之通信 AWS。在网关设置过程中,根据您的网络环境选择网关的端点类型。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。
**注意**
如果您为 Storage Gateway 配置私有 VPC 终端节点以用于连接和传出数据 AWS,则您的网关不需要访问公共互联网。有关更多信息,请参阅[在 Virtual Private Cloud 中激活网关](https://docs.aws.amazon.com/filegateway/latest/files3/gateway-private-link.html)。
**重要**
*region*在以下终端节点示例中,将替换为适用于您的网关的正确 AWS 区域 字符串,例如`us-west-2`。
*amzn-s3-demo-bucket*替换为您部署中的 Amazon S3 存储桶的实际名称。您也可以使用星号 (`*`) 代替在防火墙规则中创建通配符条目,这将允许列出所有存储桶名称的服务端点。*amzn-s3-demo-bucket*
如果您的网关部署 AWS 区域 在美国或加拿大,并且需要符合联邦信息处理标准 (FIPS) 的终端节点连接,请*s3*替`s3-fips`换为。
#### 端点类型
**标准端点**
这些端点支持您的网关设备与之间的 IPv4 流量 AWS。
所有网关都需要以下服务端点才能执行 head-bucket 操作。
```
bucket-name.s3.region.amazonaws.com:443
```
所有网关的控制路径(`anon-cp`、`client-cp`、`proxy-app`)和数据路径(`dp-1`)操作均需要以下服务端点。
```
anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443
```
调用 API 需要使用以下网关服务端点。
```
storagegateway.region.amazonaws.com:443
```
以下示例是美国西部(俄勒冈州)区域 (`us-west-2`) 中的网关服务端点。
```
storagegateway.us-west-2.amazonaws.com:443
```
**双堆栈端点**
这些端点支持 IPv4 您的网关设备和之间的 IPv6 流量 AWS。
所有网关都需要以下双堆栈服务端点才能执行 head-bucket 操作。
```
bucket-name.s3.dualstack.region.amazonaws.com:443
```
所有网关的控制路径(激活、控制面板、代理)和数据路径(数据面板)操作均需要以下双堆栈服务端点。
```
activation-storagegateway.region.api.aws:443
controlplane-storagegateway.region.api.aws:443
proxy-storagegateway.region.api.aws:443
dataplane-storagegateway.region.api.aws:443
```
进行 API 调用需要使用以下网关双堆栈服务端点。
```
storagegateway.region.api.aws:443
```
以下示例是美国西部(俄勒冈州)区域(`us-west-2`)中的网关双堆栈服务端点。
```
storagegateway.us-west-2.api.aws:443
```
#### Amazon S3 服务端点
Amazon S3 文件网关需要以下三种类型的端点才能连接到 Amazon S3 服务:
**Amazon S3 服务端点**
**注意**
仅对于此端点,在需要符合 FIPS 标准的部署中,*不要*将 `s3` 替换为 `s3-fips`。
```
s3.amazonaws.com
```
**Amazon S3 区域端点**
```
s3.region.amazonaws.com (Standard)
s3.dualstack.region.amazonaws.com (Dual-stack)
```
以下示例显示美国东部(俄亥俄州)区域(`us-east-2`)中的 Amazon S3 区域端点。
```
s3.us-east-2.amazonaws.com
s3.dualstack.us-east-2.amazonaws.com
```
以下示例显示美国西部(北加利福尼亚)区域(`us-west-1`)中符合 FIPS 的标准和双堆栈 Amazon S3 区域端点。
```
s3-fips.us-west-1.amazonaws.com
s3-fips.dualstack.us-west-1.amazonaws.com
```
以下示例显示了各区域使用的标准和双栈 Amazon S3 区域终端节点: AWS GovCloud (US)
```
s3-fips.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS))
s3-fips.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS))
s3.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Standard))
s3.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Standard))
s3-fips.dualstack.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (FIPS dual-stack))
s3-fips.dualstack.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (FIPS dual-stack))
s3.dualstack.us-gov-east-1.amazonaws.com (AWS GovCloud (US-East) Region (Dual-stack))
s3.dualstack.us-gov-west-1.amazonaws.com (AWS GovCloud (US-West) Region (Dual-stack))
```
**注意**
如果您的网关无法确定您的 Amazon S3 存储桶 AWS 区域 的位置,则此服务终端节点默认为`s3.us-east-1.amazonaws.com`。除了网关的激活位置和 Amazon S3 存储桶 AWS 区域 所在的位置之外,我们还建议您允许访问美国东部(弗吉尼亚北部`us-east-1`)区域 ()。
**Amazon S3 存储桶端点**
```
bucket-name.s3.region.amazonaws.com (Standard)
bucket-name.s3.dualstack.region.amazonaws.com (Dual-stack)
```
以下示例显示在美国东部(俄亥俄州)区域(`us-east-2`)中,名为 *`amzn-s3-demo-bucket`* 的存储桶的标准和双堆栈 Amazon S3 存储桶端点。
```
amzn-s3-demo-bucket.s3.us-east-2.amazonaws.com (Standard)
amzn-s3-demo-bucket.s3.dualstack.us-east-2.amazonaws.com (Dual-stack)
```
以下示例显示了在(美国东部)地区*`amzn-s3-demo-bucket1`*命名的存储桶的标准和双栈兼容的 Amazon S3 存储桶终端节点 ()。 AWS GovCloud `us-gov-east-1`
```
amzn-s3-demo-bucket1.s3-fips.us-gov-east-1.amazonaws.com (FIPS)
amzn-s3-demo-bucket1.s3-fips.dualstack.us-gov-east-1.amazonaws.com (FIPS dual-stack)
```
除了 Storage Gateway 和 Amazon S3 服务终端节点外,Storage Gateway VMs 还需要对以下 NTP 服务器进行网络访问:
```
time.aws.com
0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org
```
有关支持的终端节点 AWS 区域 和服务端点的更多信息,请参阅中的 [Storage Gateway *AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/sg.html)。
### 配置 Amazon EC2 网关实例的安全组
在中 AWS Storage Gateway,安全组控制您的 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
+ 安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。
如果您需要允许实例从该安全组的外部连接到网关,建议您只允许端口 80(适用于激活)上的连接。
+ 若要从网关的安全组外部的 Amazon EC2 主机激活您的网关,则需要允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
+ 仅当使用端口 22 支持 进行故障排除时,才允许访问。有关更多信息,请参阅 [你 支持 想帮忙排查你的 Amazon EC2 网关的问题](troubleshooting-EC2-gateway-issues.md#EC2-EnableAWSSupportAccess)。
有关要为您的网关开放的端口的信息,请参阅[端口要求](#requirements-network)。
## 受支持的管理程序和主机要求
您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,也可以 AWS 作为 Amazon EC2 实例运行。
**注意**
文件网关 2.x、Volume Gateway 3.x 和 Tape Gateway 3.x 需要禁用安全启动的 UEFI 启动模式(loader\$1secure=no)。每次下载 qcow 时都会提供一个 xml 文件作为快速设置配置。
Storage Gateway 支持以下管理程序版本和主机:
+ VMware ESXi 虚拟机管理程序(版本 7.0 或 8.0)-对于此设置,还需要一个 VMware vSphere 客户端来连接到主机。
+ Microsoft Hyper-V 虚拟机监控程序(2019、2022 或 2025):对于此设置,您需要 Microsoft Windows 客户端计算机上的 Microsoft Hyper-V Manager 才能连接到主机。
+ 基于 Linux 内核的虚拟机 (KVM) - 免费的开源虚拟化技术。Linux 2.6.20 及更高版本中都包括了 KVM。Storage Gateway 经过测试并支持 CentOS/RHEL 7.7、RHEL 8.6 Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。有关建议的启动配置,请参阅提供的 aws-storage-gateway .xml 文件。文件网关 2.x、Volume Gateway 3.x 和 Tape Gateway 3.x 需要禁用安全启动的 UEFI 启动模式(loader\$1secure=no)。
+ Nutanix AHV(雅典卫城虚拟机管理程序)从 10.0.1.1 版本开始,这是一个基于 KVM 的虚拟化平台,已集成到 Nutanix 超融合基础架构 (HCI) 解决方案中。
+ Amazon EC2 实例 - Storage Gateway 提供了一个包含网关 VM 映像的 Amazon 系统映像 (AMI)。有关如何在 Amazon EC2 上部署网关的信息,请参阅[为 S3 文件网关部署默认 Amazon EC2 主机为 S3 文件网关部署自定义的 Amazon EC2 主机](ec2-gateway-file.md)。
+ Storage Gateway 硬件设备:对于虚拟机基础设施有限的位置,Storage Gateway 提供了物理硬件设备来作为本地部署选项。
**注意**
Storage Gateway 不支持从另一个网关虚拟机的快照或克隆创建的虚拟机或从 Amazon EC2 AMI 恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 [从虚拟机意外关闭中恢复](best-practices.md#recover-from-gateway-shutdown)。
Storage Gateway 不支持动态内存和虚拟内存激增。
## 文件网关支持的 NFS 和 SMB 客户端
文件网关支持以下客户端:
| 操作系统版本 | 内核版本 | 支持的协议 |
| --- | --- | --- |
| Amazon Linux 2023 | 6.1 LTS | NFSv4.1, NFSv3 |
| Amazon Linux 2 | 5.10 LTS | NFSv4.1, NFSv3 |
| RHEL 9 | 5.14 | NFSv4.1, NFSv3 |
| RHEL 8.10 | 4.18 | NFSv4.1, NFSv3 |
| SUSE 15 | 6.4 | NFSv4.1, NFSv3 |
| Ubuntu 24.04 LTS | 6.8 LTS | NFSv4.1, NFSv3 |
| Ubuntu 22.04 LTS | 5.15 LTS | NFSv4.1, NFSv3 |
| 微软 Windows Server 2025 | | SMBv2, SMBv3, NFSv3 |
| 微软 Windows 服务器 2022 | | SMBv2, SMBv3, NFSv3 |
| 微软 Windows 11 | | SMBv2, SMBv3, NFSv3 |
| Microsoft Windows 10 | | SMBv2, SMBv3, NFSv3 |
**注意**
服务器消息块(SMB)加密需要支持 SMB v3 方言的客户端。
## 文件网关支持的文件系统操作
您的 NFS 或 SMB 客户端可以写入、读取、删除和截断文件。当客户端向发送写入操作时 AWS Storage Gateway,它会同步写入本地缓存。然后,通过经优化的传输异步写入 Amazon S3。首先通过本地缓存来提供读取内容。如果数据不可用,则通过 S3 将数据作为缓存的读取内容捕获。
仅在通过网关传送的已更改或请求的部分中优化写入内容和读取内容。从 Amazon S3 移除对象。使用与 Amazon S3 控制台中相同的语法,将目录作为 S3 中的文件夹对象进行管理。
HTTP 操作(如 `GET`、`PUT`、`UPDATE` 和 `DELETE`)可以修改文件共享中的文件。这些操作与原子创建、读取、更新和删除 (CRUD) 功能一致。
# 管理网关的本地磁盘
网关虚拟机(VM)使用您在本地分配的本地磁盘进行缓冲和存储。在 Amazon EC2 实例上创建的文件网关将使用 Amazon EBS 卷作为本地磁盘。要为网关分配的磁盘的数量和大小由您自己决定。网关使用您分配的缓存存储来提供对最近访问数据的低延迟访问。文件网关至少需要一个 150 GiB 磁盘用作缓存。网关的初始配置和部署完成后,随着工作负载需求的增加,您可以添加更多磁盘作为缓存存储。本节包含以下主题,这些主题说明了与管理本地磁盘相关的概念和程序。
**主题**
+ [确定本地磁盘存储量](decide-local-disks-and-sizes.md):了解如何确定要为文件网关分配的本地缓存磁盘的数量和大小。
+ [配置额外的缓存存储](ConfiguringLocalDiskStorage.md):了解如何随着应用程序需求的变化增加文件网关的缓存存储容量。
+ [将临时存储与 EC2 网关结合使用](ephemeral-disk-cache.md):了解在文件网关中使用临时磁盘存储时如何防止数据丢失。
# 确定本地磁盘存储量
部署 S 3 文件网关FSx 文件网时,请考虑要分配多少缓存磁盘。S3 文件网关FSx 使用最近最少使用的算法自动从缓存中移出数据。S 3 文件网关FSx 文件网关关上的所有文件共享之间共享。如果您有多个活动共享,请务必注意,一个共享的利用率高会影响另一个共享可以获得的缓存资源量,从而可能影响性能。
在确定给定工作负载需要多少缓存磁盘时,请务必注意,您可以随时向网关添加缓存磁盘(不超过 S3 File Gateway FSx 文件网的当前配额),但不能减少给定网关的缓存。您可以对数据集执行基本分析以确定合适的缓存磁盘容量,但是无法精确判断有多少数据是“热数据”(需要在本地存储),以及有多少数据是“冷数据”(可以分层到云端)。工作负载会随着时间的推移而变化,S3 FSx 文件网关提供了与可消耗的资源量相关的灵活性和弹性。随时可以增加缓存量,因此可以从小规模起步,然后根据需要增加缓存量,这通常是最具成本效益的方法。
在网关设置期间,您可以使用 150 GiB 的初始近似值为缓存存储预置磁盘。然后,您可以使用 Amazon CloudWatch 运营指标监控缓存存储空间使用情况,并使用控制台根据需要配置更多存储空间。有关使用指标和设置警报的信息,请参阅 [性能和优化](Performance.md)。
**注意**
底层物理存储资源在中表示为数据存储 VMware。部署网关 VM 时,您可选择用来存储 VM 文件的数据存储。预置本地磁盘(例如,用作缓存存储)时,您可以选择将虚拟磁盘存储在与 VM 相同的数据存储中,也可以选择将其存储在另一个数据存储中。
如果您有多个数据存储,强烈建议为缓存存储选择一个数据存储。如果将仅依托于一个底层物理磁盘的数据存储用于支持缓存存储,则可能会导致性能不佳。如果备份是性能较低的 RAID 配置(例如),也是如此。 RAID1
# 配置额外的缓存存储
随着应用程序需求的变化,您可以增加网关的缓存存储容量。您可以在不中断功能或导致停机的情况下为网关添加存储容量。添加更多存储时,在开启网关 VM 的情况下添加。
**重要**
向现有网关添加缓存时,必须在网关主机虚拟机监控程序或 Amazon EC2 实例上创建新磁盘。请勿删除或更改已分配为缓存的现有磁盘的大小。
**为网关配置额外的缓存存储**
1. 在您的网关主机管理程序或 Amazon EC2 实例上预配置一个或多个新磁盘。有关如何在管理程序中预配置磁盘的信息,请参阅管理程序的文档。有关为 Amazon EC2 实例预配置 Amazon EBS 卷的信息,请参阅**《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的 [Amazon EBS 卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volumes.html)。在以下步骤中,将此磁盘配置为缓存存储。
1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.aws.amazon.com/storagegateway/)中打开 Storage Gateway 控制台。
1. 在导航窗格中,选择**网关**。
1. 搜索您的网关并从列表中选择它。
1. 从**操作**菜单中选择**配置缓存存储**。
1. 在**配置缓存存储**部分,找到您预置的磁盘。如果您未看到您的磁盘,请选择刷新图标来刷新列表。对于每个磁盘,从**已分配给**下拉菜单中选择**缓存**。
**注意**
在文件网关上分配磁盘时,**缓存**是唯一可用的选项。
1. 选择**保存更改**来保存您的配置设置。
# 将临时存储与 EC2 网关结合使用
本节介绍了您在选择临时磁盘作为网关缓存的存储空间时需要执行的用来防止数据丢失的步骤。
临时磁盘为 Amazon EC2 实例提供临时块级存储。临时磁盘非常适合用于临时存储频繁更改的数据,例如网关的缓存存储中的数据。当您在 Amazon EC2 亚马逊机器映像中启动网关,并且所选的实例类型支持临时存储时,将自动列出临时磁盘。您可以选择其中一个磁盘来存储网关的缓存数据。有关更多信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例存储](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html)。
如果 Amazon EC2 实例在数据写入临时存储之后但在异步上传发生之前停止,则任何尚未上传到 Ama FSx zon S3 for 的数据都可能丢失。 在重启或停止托管网关的 EC2 实例之前,您可以按照以下步骤防止此类数据丢失。
**重要**
如果您停止并启动使用临时存储的 Amazon EC2 网关,则该网关将永久脱机。发生这种情况的原因是替换了物理存储磁盘。此问题没有解决方法。唯一的解决方案是删除该网关,然后在新的 EC2 实例上激活一个新网关。
以下过程中的这些步骤特定于文件网关。
**防止使用临时磁盘的文件网关中发生数据丢失**
1. 停止正在写入到 Amazon S3 的所有进程。
1. 订阅以接收来自 CloudWatch 活动的通知。有关信息,请参阅[获取有关文件操作的通知](monitoring-file-gateway.md#get-notification)。
1. 调用 [NotifyWhenUploaded API](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_NotifyWhenUploaded.html),以便在临时存储空间丢失之前写入的数据永久存储在 Amazon S3 中时收到通知。
1. 等待 API 完成,您将收到一个通知 ID。
您会收到一个具有相同通知 ID CloudWatch 的事件。
1. 验证文件共享的 `CachePercentDirty` 指标是否为 0。这将确认您的所有数据都已写入到 Amazon S3。有关文件共享指标的信息,请参阅[了解文件共享指标](monitoring-file-gateway.md#monitoring-file-gateway-resources)。
1. 您现在可以重新启动或停止文件网关而不用承担丢失任何数据的风险。