本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置磁带网关的要求
除非另有说明,否则所有网关配置都需要满足以下要求。
**Topics**
+ [硬件和存储要求](#requirements-hardware-storage)
+ [网络和防火墙要求](#networks)
+ [受支持的管理程序和主机要求](#requirements-host)
+ [受支持的 iSCSI 启动程序](#requirements-iscsi-initiators)
+ [磁带网关支持的第三方备份应用程序](#requirements-backup-sw-for-vtl)
## 硬件和存储要求
本节介绍网关的最低硬件和设置要求,以及为所需存储分配的最小磁盘空间量。
### 的硬件要求 VMs
在部署网关时,您必须确保部署网关虚拟机的基础硬件能够分配以下最少资源:
+ 分配给 VM 的四个虚拟处理器。
+ 对于磁带网关,您的硬件应使用以下数量的 RAM:
+ 对于缓存大小不超过 16 TiB 的网关,预留 16 GiB 的 RAM
+ 对于缓存大小为 16 TiB 至 32 TiB 的网关,预留 32 GiB 的 RAM
+ 对于缓存大小为 32 TiB 至 64 TiB 的网关,预留 48 GiB 的 RAM
+ 80 GiB 磁盘空间,用于安装虚拟机映像和系统数据。
有关更多信息,请参阅 [优化网关性能](Performance.md#Optimizing-common)。有关硬件如何影响网关 VM 的性能的信息,请参阅 [AWS Storage Gateway 配额](resource-gateway-limits.md)。
### 对 Amazon EC2 实例类型的要求
在 Amazon Elastic Compute Cloud (Amazon EC2) 上部署网关时,实例大小必须至少为 **xlarge**,网关才能正常工作。但是,对于计算优化型实例系列,大小必须至少为 **2xlarge**。
**注意**
Storage Gateway AMI 仅与使用 Intel 或 AMD 处理器的基于 x86 的实例兼容。不支持使用 Graviton 处理器的基于 ARM 的实例。
对于磁带网关,Amazon EC2 实例应根据您计划用于网关的缓存大小指定以下数量的 RAM:
+ 对于缓存大小不超过 16 TiB 的网关,预留 16 GiB 的 RAM
+ 对于缓存大小为 16 TiB 至 32 TiB 的网关,预留 32 GiB 的 RAM
+ 对于缓存大小为 32 TiB 至 64 TiB 的网关,预留 48 GiB 的 RAM
使用为您的网关类型推荐的以下实例类型之一。
**推荐用于磁带网关**
+ 通用实例系列 — **m5 或 m6** 实例类型。
+ 计算优化型实例系列 - **c5、c6 或 c7** 实例类型。选择 **2xlarge** 实例大小或更大的大小,以满足所需的 RAM 要求。
+ 内存优化型实例系列 - **r5、r6 或 r7** 实例类型。
+ 存储优化型实例系列 — **i3、i4 或 i7 实例类型**。
### 存储需求
除了 VM 的 80 GiB 磁盘空间外,您还需要为网关提供其他磁盘。
下表为所部署的网关推荐了本地磁盘存储的大小。
| 网关类型 | 缓存(最小值) | 缓存(最大值) | 上传缓冲区(最小值) | 上传缓冲区(最大值) | 其他必需的本地磁盘 |
| --- | --- | --- | --- | --- | --- |
| 磁带网关 | 150 GiB | 64 TiB | 150 GiB | 2 TiB | — |
**注意**
您可以为缓存和上传缓冲区配置一个或多个不超过最大容量的本地驱动器。
在向现有网关添加缓存或上传缓冲区时,在主机(管理程序或 Amazon EC2 实例)中创建新磁盘,这很重要。如果之前已将磁盘分配为缓存或上传缓冲区,请勿更改现有磁盘的大小。
有关网关配额的信息,请参阅[AWS Storage Gateway 配额](resource-gateway-limits.md)。
## 网络和防火墙要求
您的网关需要具有对 Internet、本地网络、域名服务 (DNS) 服务器、防火墙、路由器等的访问权。在下文中,您可以找到有关所需端口的信息,并了解如何进行设置以允许通过防火墙和路由器进行访问。
**注意**
在某些情况下,您可以在 Amazon EC2 上部署 Storage Gateway,或者使用其他类型的部署(包括本地)和限制 AWS IP 地址范围的网络安全策略。在这些情况下,当 AWS IP 范围值发生变化时,您的网关可能会遇到服务连接问题。您需要使用的 AWS IP 地址范围值位于您激活网关的 AWS 区域的 Amazon 服务子集中。有关当前 IP 范围值,请参阅**《AWS 一般参考》中的 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。
**注意**
网络带宽要求因网关上传和下载的数据量而异。成功下载、激活和更新网关至少需要 100Mbps。您的数据传输模式将决定支持您的工作负载所需的带宽。在某些情况下,您可以在 Amazon EC2 上部署 Storage Gateway 或使用其他类型的部署
**Topics**
+ [端口要求](#requirements-network)
+ [Storage Gateway 硬件设备的网络和防火墙要求](#appliance-network-requirements)
+ [允许通过防火墙和路由器进行 AWS Storage Gateway 访问](#allow-firewall-gateway-access)
+ [配置 Amazon EC2 网关实例的安全组](#EC2GatewayCustomSecurityGroup-common)
### 端口要求
T@@ ape Gat 要求允许特定端口通过您的网络安全,才能成功部署和运行。有些端口是所有网关所必需的,而其他端口则仅用于特定配置,例如连接到 VPC 端点时。
**磁带网关网关的端口要求**
| 网络元素 | 来源 | 目标 | 协议 | 端口: | 入站 | 出站 | 必需 | 注意 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Web 浏览器 | 您的 Web 浏览器 | Storage Gateway VM | TCP HTTP | 80 | ✓ | ✓ | ✓ | 由本地系统用于获取 Storage Gateway 激活密钥。仅在激活 Storage Gateway 设备期间使用端口 80。Storage Gateway VM 不要求可公开访问端口 80。端口 80 所需的访问级别取决于网络配置。如果您从 Storage Gateway 管理控制台激活了网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。 |
| Web 浏览器 | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | AWS 管理控制台(所有其他操作) |
| DNS | Storage Gateway VM | 域名服务 (DNS) 服务器 | TCP 和 UDP DNS | 53 | ✓ | ✓ | ✓ | 用于 Storage Gateway VM 和 DNS 服务器之间的通信,以解析 IP 名称。 |
| NTP | Storage Gateway VM | 网络时间协议 (NTP) 服务器 | TCP 和 UDP NTP | 123 | ✓ | ✓ | ✓ | 本地系统用于将 VM 时间与主机时间同步。Storage Gateway VM 配置为使用以下 NTP 服务器: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/storagegateway/latest/tgw/Requirements.html) 对于托管在 Amazon EC2 上的网关,则不是必需的。 |
| Storage Gateway | Storage Gateway VM | 支持 端点 | TCP SSH | 22 | ✓ | ✓ | ✓ | 支持 允许访问您的网关以帮助您解决网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要如此。有关支持端点的列表,请参阅 [支持 端点](https://docs.aws.amazon.com//general/latest/gr/awssupport.html)。 |
| Storage Gateway | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 管理控制台 |
| Amazon CloudFront | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓ | 用于激活 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理控制台 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1026 | | ✓ | ✓\$1 | 控制面板端点 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1027 | | ✓ | ✓\$1 | Anon 控制面板(用于激活) \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1028 | | ✓ | ✓\$1 | 代理端点 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 1031 | | ✓ | ✓\$1 | 数据层面 \$1仅在使用 VPC 端点时才需要 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 2222 | | ✓ | ✓\$1 | 适用于 SSH Support 频道 VPCe \$1仅在使用 VPC 端点时才需要用于开启支持通道 |
| VPC | Storage Gateway VM | AWS | TCP HTTPS | 443 | ✓ | ✓ | ✓\$1 | 管理控制台 \$1仅在使用 VPC 端点时才需要 |
| iSCSI 客户端 | iSCSI 客户端 | Storage Gateway VM | TCP | 3260 | ✓ | ✓ | ✓ | 用于本地系统连接到由网关公开的 iSCSI 目标。 |
下图显示了基本的 Volume Gatewa 。
![\[使用各种端口连接到 Storage Gateway 的网络资源。\]](http://docs.aws.amazon.com/zh_cn/storagegateway/latest/tgw/images/SGWNetworkPorts16-volume-tape2.png)
### Storage Gateway 硬件设备的网络和防火墙要求
每个 Storage Gateway 硬件设备都需要以下网络服务:
+ **Internet 访问** - 通过服务器上的任何网络接口实现与 Internet 的永久性网络连接。
+ **DNS 服务** - 用于硬件设备和 DNS 服务器之间的通信的 DNS 服务。
+ **时间同步** - 必须可访问自动配置的 Amazon NTP 时间服务。
+ **IP 地址**-分配的 DHCP IPv4 地址或静态地址。您不能分配 IPv6 地址。
Dell PowerEdge R640服务器的背面有五个物理网络端口。从左到右(面对服务器背面),这些端口如下所示:
1. iDRAC
1. `em1`
1. `em2`
1. `em3`
1. `em4`
您可以使用 iDRAC 端口进行远程服务器管理。
![\[使用各种端口连接到硬件设备的网络资源。\]](http://docs.aws.amazon.com/zh_cn/storagegateway/latest/tgw/images/ApplianceFirewallRules.png)
硬件设备需要以下端口才能运行。
| 协议 | 端口: | 方向 | 来源 | 目标位置 | 如何使用 |
| --- | --- | --- | --- | --- | --- |
| SSH | 22 | 出站 | 硬件设备 | `54.201.223.107` | 支持渠道 |
| DNS | 53 | 出站 | 硬件设备 | DNS 服务器 | 名称解析 |
| UDP/NTP | 123 | 出站 | 硬件设备 | \$1.amazon.pool.ntp.org | 时间同步 |
| HTTPS | 443 | 出站 | 硬件设备 | `*.amazonaws.com` | 数据传输 |
| HTTP | 8080 | 入站 | AWS | 硬件设备 | 激活(仅短时) |
要按设计的方式运行,硬件设备需要下面所示的网络和防火墙设置:
+ 在硬件控制台中配置所有连接的网络接口。
+ 确保每个网络接口都位于唯一的子网中。
+ 为所有连接的网络接口提供对上图中列出的端点的出站访问权限。
+ 配置至少一个网络接口以支持硬件设备。有关更多信息,请参阅 [配置硬件设备网络参数](appliance-configure-network.md)。
**注意**
有关显示服务器背面及其端口的图示,请参阅[物理安装硬件设备](appliance-rack-mount.md)
同一网络接口 (NIC) 上的所有 IP 地址(无论是用于网关还是主机)必须位于同一子网中。下图显示了寻址方案。
![\[单个子网上的主机 IP 和服务 IP 共享一个 NIC。\]](http://docs.aws.amazon.com/zh_cn/storagegateway/latest/tgw/images/ApplianceAddressing.png)
有关激活和配置硬件设备的更多信息,请参阅[使用 Storage Gateway 硬件设备](hardware-appliance.md)。
### 允许通过防火墙和路由器进行 AWS Storage Gateway 访问
您的网关需要访问 Storage Gateway 服务端点才能与之通信 AWS。在网关设置过程中,根据您的网络环境选择网关的端点类型。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。
**注意**
如果您为 Storage Gateway 配置私有 VPC 终端节点以用于连接和传出数据 AWS,则您的网关不需要访问公共互联网。有关更多信息,请参阅[在 Virtual Private Cloud 中激活网关](https://docs.aws.amazon.com/storagegateway/latest/tgw/gateway-private-link.html)。
**重要**
根据网关的 AWS 区域,在服务终端节点*region*中替换为正确的区域字符串。
#### 端点类型
**标准端点**
这些端点支持您的网关设备与之间的 IPv4 流量 AWS。
所有网关都需要以下服务端点才能执行 head-bucket 操作。
```
bucket-name.s3.region.amazonaws.com:443
```
所有网关的控制路径(`anon-cp`、`client-cp`、`proxy-app`)和数据路径(`dp-1`)操作均需要以下服务端点。
```
anon-cp.storagegateway.region.amazonaws.com:443
client-cp.storagegateway.region.amazonaws.com:443
proxy-app.storagegateway.region.amazonaws.com:443
dp-1.storagegateway.region.amazonaws.com:443
```
调用 API 需要使用以下网关服务端点。
```
storagegateway.region.amazonaws.com:443
```
以下示例是美国西部(俄勒冈州)区域 (`us-west-2`) 中的网关服务端点。
```
storagegateway.us-west-2.amazonaws.com:443
```
**双堆栈端点**
这些端点同时 IPv4 支持网关设备和之间的 IPv6 流量 AWS。
所有网关都需要以下双堆栈服务端点才能执行 head-bucket 操作。
```
bucket-name.s3.dualstack.region.amazonaws.com:443
```
所有网关的控制路径(激活、控制面板、代理)和数据路径(数据面板)操作均需要以下双堆栈服务端点。
```
activation-storagegateway.region.api.aws:443
controlplane-storagegateway.region.api.aws:443
proxy-storagegateway.region.api.aws:443
dataplane-storagegateway.region.api.aws:443
```
进行 API 调用需要使用以下网关双堆栈服务端点。
```
storagegateway.region.api.aws:443
```
以下示例是美国西部(俄勒冈州)区域(`us-west-2`)中的网关双堆栈服务端点。
```
storagegateway.us-west-2.api.aws:443
```
**NTP 服务器**
Storage Gateway 虚拟机需要通过网络访问以下 NTP 服务器。
```
time.aws.com
0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org
```
有关支持的终端节点 AWS 区域 和服务端点的完整列表,请参阅中的 [Storage Gateway *AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/sg.html)。
### 配置 Amazon EC2 网关实例的安全组
安全组会控制发往 Amazon EC2 网关实例的流量。在配置安全组时,建议您执行以下操作:
+ 安全组不应允许来自外部 Internet 的传入连接。它应仅允许网关安全组内的实例与网关进行通信。如果您需要允许实例从该安全组的外部连接到网关,我们建议您只允许端口 3260 (适用于 iSCSI 连接) 和端口 80 (适用于激活) 上的连接。
+ 若要从网关的安全组外部的 Amazon EC2 主机激活您的网关,则需要允许从该主机的 IP 地址通过端口 80 进行传入连接。如果您不能确定激活主机的 IP 地址,则可以打开端口 80、激活网关,然后在完成激活后关闭端口 80 上的访问。
+ 仅当使用端口 22 支持 进行故障排除时,才允许访问。有关更多信息,请参阅 [您 支持 想帮忙排除 EC2 网关故障](troubleshooting-EC2-gateway-issues.md#EC2-EnableAWSSupportAccess)。
在某些情况下,您可以使用 Amazon EC2 实例作为启动程序(即,连接到您部署在 Amazon EC2 上的网关上的 iSCSI 目标)。在这种情况下,我们将为您推荐一种包含两个步骤的方法:
1. 您应在与网关相同的安全组中启动启动程序实例。
1. 您应配置访问权限,以便启动程序可与网关进行通信。
有关要为您的网关开放的端口的信息,请参阅[端口要求](#requirements-network)。
## 受支持的管理程序和主机要求
您可以在本地将 Storage Gateway 作为虚拟机 (VM) 设备或物理硬件设备运行,也可以 AWS 作为 Amazon EC2 实例运行。
**注意**
文件网关 2.x、Volume Gateway 3.x 和 Tape Gateway 3.x 需要禁用安全启动的 UEFI 启动模式(loader\$1secure=no)。每次下载 qcow 时都会提供一个 xml 文件作为快速设置配置。
**注意**
当制造商结束对某个管理程序版本的一般支持时,Storage Gateway 也将结束对该版本的支持。有关支持特定版本管理程序的详细信息,请参阅制造商的文档。
Storage Gateway 支持以下管理程序版本和主机:
+ VMware ESXi 虚拟机管理程序(版本 7.0 或 8.0)-对于此设置,还需要一个 VMware vSphere 客户端来连接到主机。
+ 微软 Hyper-V 虚拟机管理程序(版本 2019、2022 或 2025)— 要进行此设置,你需要在微软 Windows 客户端计算机上安装微软 Hyper-V 管理器才能连接到主机。
+ 基于 Linux 内核的虚拟机 (KVM) - 免费的开源虚拟化技术。Linux 2.6.20 及更高版本中都包括了 KVM。Storage Gateway 经过测试并支持 CentOS/RHEL 7.7、Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS 发行版。任何其他现代 Linux 发行版可能有效,但不能保证功能或性能。如果您已经启动并运行了 KVM 环境并且您已经熟悉 KVM 的工作原理,我们建议使用此选项。有关建议的启动配置,请参阅提供的 aws-storage-gateway .xml 文件。文件网关 2.x、Volume Gateway 3.x 和 Tape Gateway 3.x 需要禁用安全启动的 UEFI 启动模式(loader\$1secure=no)。
+ Nutanix AHV(雅典卫城虚拟机管理程序)从 10.0.1.1 版本开始,这是一个基于 KVM 的虚拟化平台,已集成到 Nutanix 超融合基础架构 (HCI) 解决方案中。
+ Amazon EC2 实例 - Storage Gateway 提供了一个包含网关 VM 映像的 Amazon 系统映像 (AMI)。在 Amazon EC2 上只能部署文件、缓存卷和磁带网关类型。有关如何在 Amazon EC2 上部署网关的信息,请参阅[为磁带网关部署自定义的 Amazon EC2 实例](ec2-gateway-common.md)。
+ Storage Gateway 硬件设备 - 对于具有有限虚拟机基础架构的位置,Storage Gateway 提供了物理硬件设备来作为本地部署选项。
**注意**
Storage Gateway 不支持从另一个网关虚拟机的快照或克隆创建的虚拟机或从 Amazon EC2 AMI 恢复网关。如果您的网关 VM 出现故障,请激活新网关并将您的数据恢复到该网关。有关更多信息,请参阅 [从虚拟机意外关闭中恢复](best-practices.md#recover-from-gateway-shutdown)。
Storage Gateway 不支持动态内存和虚拟内存激增。
## 受支持的 iSCSI 启动程序
部署磁带网关时,网关会预先配置一个介质更换器和 10 个磁带驱动器。这些磁带驱动器和介质更换器可作为 iSCSI 设备用于您的现有客户端备份应用程序。
为了连接到这些 iSCSI 设备,Storage Gateway 支持以下 iSCSI 启动程序:
+ 微软 Windows 服务器 2022
+ Red Hat Enterprise Linux 8
+ Red Hat Enterprise Linux 9
+ VMware ESX Initiator,它提供了在您的客户机操作系统中使用启动器的替代方案 VMs
**重要**
Storage Gateway 不支持来自 Windows 客户端的微软 Multipath I/O (MPIO)。
如果主机使用 Windows Server 失效转移集群 (WSFC) 协调访问,Storage Gateway 支持将多个主机与同一个卷关联。但是,若未使用 WSFC,则不能将多个主机连接到同一个卷 (例如,共享非群集 NTFS/ext4 文件系统)。
## 磁带网关支持的第三方备份应用程序
使用备份应用程序通过磁带网关读取、写入和管理磁带。您选择的介质更换器的类型取决于您计划使用的备份应用程序。
AWS 已测试下表中的第三方备份应用程序,以确保与这些 Tape Gateway 特性和功能兼容:
+ 发现功能包括 iSCSI 启动器连接、介质更换器、重新扫描、自动和手动设备映射。
+ 磁带功能包括创建、删除、导入、导出、清点和条形码可见性。
+ 擦除磁带内容并验证后续恢复中不包含任何数据。
+ 将数据备份到单个和多个磁带,验证超过磁带容量的备份作业是否会暂停以等待更多磁带。
+ 从磁带恢复全部和部分数据,并验证数据完整性。
+ 在备份操作期间,在网关关闭和重启事件后验证功能和数据完整性。
| 备份应用程序 | 版本 | 介质更换器类型 | 网关版本已测试 |
| --- | --- | --- | --- |
| Arcserve Backup | 19 | AWS-Gateway-VTL | 2.12.3 |
| Bacula Enterprise | 15.0.2 | AWS-Gateway-VTL 或 STK-L700 | 2.12.3 |
| Commvault | 2024E/11.36.35 | STK-L700 | 2.12.3 |
| 戴尔 EMC NetWorker | 19.10 | AWS-Gateway-VTL | 2.12.3 |
| IBM 存储保护 | 8.1.10 | IBM-03584L32-0402 | 全部 |
| Micro Focus Data Protector | 24.4 | AWS-Gateway-VTL | 2.12.3 |
| 微软系统中心数据保护管理器 | 2025 | STK-L700 | 2.12.3 |
| NovaStor DataCenter | 9.5.3 | STK-L700 | 2.12.3 |
| Quest NetVault Back | 13.3 | STK-L700 | 2.12.3 |
| Veeam Backup & Replication | 12 | AWS-Gateway-VTL | 全部 |
| Veritas Backup Exec | 24 | AWS-Gateway-VTL | 全部 |
| Veritas NetBackup | 10.5 | AWS-Gateway-VTL | 2.12.3 |
**重要**
我们强烈建议您选择为备份应用程序列出的介质更换器。其他介质更换器可能无法正常工作。激活网关之后,您可以选择另一种介质更换器。有关更多信息,请参阅[在网关激活后选择介质更换器](https://docs.aws.amazon.com/storagegateway/latest/tgw/resource_vtl-devices.html#change-mediumchanger-vtl)。