Warum schlägt meine Storage Gateway-Aktivierung fehl, wenn ich versuche, mein Gateway über einen öffentlichen Endpunkt zu aktivieren?

Lesedauer: 4 Minute
0

Ich versuche, mein Gateway auf AWS Storage Gateway über einen öffentlichen Endpunkt zu aktivieren. Die Aktivierung schlägt jedoch fehl. Wie kann ich das Problem beheben?

Kurzbeschreibung

Die Gateway-Aktivierung über einen öffentlichen Endpunkt kann aus den folgenden Gründen fehlschlagen:

  • Die Gateway-VM erfüllt nicht die Mindestsystemanforderungen.
  • Die virtuelle Maschine (VM) des Gateways kann die Dienstendpunkte auf Port 443 nicht erreichen.
  • Das Gateway ist auf Port 80 nicht erreichbar.

Behebung

Hinweis: Die Aktivierung kann fehlschlagen, wenn die Gateway-VM oder die Gateway-Instance in Amazon Elastic Compute Cloud (Amazon EC2) bereits aktiviert war. Nach Abschluss der Aktivierung hört das Gateway auf, Port 80 abzuhören und kann nicht mit dem Endpunkt kommunizieren. Bevor Sie mit der Fehlerbehebung beginnen, stellen Sie sicher, dass die Gateway-VM oder -Instance noch nicht aktiviert wurde.

Fehlerbehebung bei einem Gateway, das On-Premises gehostet wird

Stellen Sie sicher, dass die Gateway-VM die Mindestanforderungen an Hardware und Speicher erfüllt

  • Die virtuelle Maschine muss über mindestens 4 CPUs und 16 GB Arbeitsspeicher verfügen, um mit den Gateway-Endpunkten kommunizieren zu können.
  • Die Stammfestplatte der VM muss mindestens 80 GB groß sein.

Für Speicher-Gateways gelten je nach Gateway-Typ zusätzliche Anforderungen und Empfehlungen:

Stellen Sie sicher, dass die Gateway-VM die Netzwerkanforderungen erfüllt

  • Die Gateway-VM muss den TCP-Port 80 abhören, um die Aktivierungsanforderung vom Gateway-Endpunkt zu empfangen.
  • Die Gateway-VM muss auf den Endpunkt anon-cp.storagegateway.region.amazonaws.com 443 zugreifen können, um mit AWS zu kommunizieren.
  • Ihre Firewall und Ihr Router müssen die erforderlichen Service-Endpunkte für ausgehenden Datenverkehr zu AWS zulassen.
  • Ihre Firewall muss den Datenverkehr auf Port 123 zulassen, damit die VM Ihres Gateways mit der NTP-Zeit synchronisiert werden kann.
  • Ihre Firewall-DNS-Auflösung muss den Datenverkehr auf Port 53 zulassen.

Alle Gateways haben einen gemeinsamen Satz von Ports, aber die zusätzlichen Anforderungen variieren je nach Gateway-Typ:

Stellen Sie außerdem sicher, dass zwischen der VM Ihres Gateways und den Storage Gateway-Dienstendpunkten keine laufenden SSL-Inspektionen oder tiefgreifenden Inspektionen stattfinden. Die File-Gateway-Software unterbricht die Verbindung, wenn eine Deep Packet Inspection stattfindet. Dies liegt daran, dass die Software Deep Packet Inspections als Man-in-the-Middle-Angriff behandelt.

Um zu überprüfen, ob laufende Inspektionen vorliegen, können Sie einen OpenSSL-Befehl von einer VM aus ausführen, die sich im selben Netzwerk wie die VM Ihres Gateways befindet:

openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443

Testen Sie die Netzwerkverbindung

Sie können die Verbindung Ihres Gateways zu den erforderlichen Endpunkten auf folgende Weise testen:

  • Führen Sie einen Netzwerkverbindungstest von der lokalen VM-Konsole Ihres Gateways aus.
  • Führen Sie einen Telnet-Befehl von einer VM aus, die sich im selben Netzwerk wie die Gateway-VM befindet:
telnet anon-cp.storagegateway.region.amazonaws.com 443

Fehlerbehebung bei einem Gateway, das auf Amazon EC2 gehostet wird

Vergewissern Sie sich, dass die Amazon EC2-Gateway-Instance die Mindestanforderungen an Hardware und Speicherplatz erfüllt

  • Die Instance muss über mindestens 4 CPUs und 16 GB Arbeitsspeicher verfügen, damit das Gateway mit den Gateway-Endpunkten kommunizieren kann.
  • Die Stammfestplatte der Instance muss mindestens 80 GB groß sein.

**Hinweis:**Bewährte Methoden für die Instance-Typen, die für ein Gateway verwendet werden sollen, sind m4.xlarge und m4.2xlarge.

Für Speicher-Gateways gelten je nach Gateway-Typ zusätzliche Anforderungen und Empfehlungen:

Stellen Sie sicher, dass die Gateway-Instance die Netzwerkanforderungen erfüllt

  • Die Sicherheitsgruppe der Instance muss eingehenden Datenverkehr von der IP-Adresse Ihres Clients oder Ihrer Workstation auf TCP-Port 80 zulassen.
  • Die Sicherheitsgruppe der Instance muss ausgehenden Datenverkehr zu den TCP-Ports 443, 123 und 53 ermöglichen, um mit den Dienstendpunkten zu kommunizieren.

Alle Gateways haben einen gemeinsamen Satz von Ports, aber die zusätzlichen Anforderungen variieren je nach Gateway-Typ:

Testen Sie die Netzwerkverbindung

  • Führen Sie einen Netzwerkverbindungstest von der lokalen VM-Konsole Ihres Gateways aus.
  • Führen Sie einen Telnet-Befehl von einer EC2-Instance aus, die sich im selben Netzwerk oder Subnetz wie die Gateway-Instance befindet:
telnet anon-cp.storagegateway.region.amazonaws.com 443

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren