Comment puis-je résoudre une erreur interne que je reçois lorsque j'active ma passerelle Storage Gateway ?
Je souhaite activer ma passerelle sur AWS Storage Gateway, mais je reçois un message d'erreur interne.
Résolution
Remarque :
- Assurez-vous d'utiliser la dernière version d'Amazon Machine Image (AMI). Si vous n'utilisez pas la dernière AMI, un message d'erreur interne s'affiche.
- Assurez-vous de choisir le type de passerelle approprié. Les fichiers .ova et les AMI pour les types de passerelles sont différents et ne sont pas interchangeables.
Point de terminaison public
Si vous utilisez un point de terminaison public pour activer votre passerelle, effectuez les actions suivantes pour résoudre le problème.
Vérifiez que vous avez ouvert les ports requis
Pour les passerelles que vous avez déployées sur site, vérifiez que les ports sont ouverts sur votre pare-feu local. Pour les passerelles que vous avez déployées sur une instance Amazon Elastic Compute Cloud (Amazon EC2), vérifiez que les ports sont ouverts sur le groupe de sécurité de l'instance. Pour vérifier que les ports sont ouverts, exécutez la commande ncport à partir du menu Invite de commande de la console locale de la machine virtuelle (VM) Storage Gateway.
Les exemples de commandes ncport suivants testent la connexion aux points de terminaison requis sur le port 443 :
ncport -d d4kdq0yaxexbo.cloudfront.net -p 443 ncport -d storagegateway.region.amazonaws.com -p 443 ncport -d dp-1.storagegateway.region.amazonaws.com -p 443 ncport -d proxy-app.storagegateway.region.amazonaws.com -p 443 ncport -d client-cp.storagegateway.region.amazonaws.com -p 443 ncport -d anon-cp.storagegateway.region.amazonaws.com -p 443
Remarque : Dans les commandes précédentes, remplacez région par la région AWS dans laquelle vous souhaitez activer la passerelle.
Pour confirmer que la passerelle peut atteindre le point de terminaison, accédez à la console de machine virtuelle locale de la passerelle ou utilisez SSH pour vous connecter à l'instance de la passerelle. Puis, exécutez un test de connectivité réseau. Vérifiez que le test renvoie [PASSED] pour tous les points de terminaison.
Remarque : Le nom d'utilisateur par défaut de la console locale de la passerelle est admin et le mot de passe par défaut est mot de passe.
Vérifiez qu'un pare-feu de sécurité ne modifie pas les paquets envoyés depuis la passerelle vers les terminaux publics
La sécurité de pare-feu peut prendre la forme d'une inspection SSL, d'une inspection approfondie des paquets ou d'un autre type de sécurité de pare-feu. Si vous modifiez le certificat SSL par rapport à ce que le point de terminaison d'activation attend, l'établissement de liaison SSL échoue.
Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez la commande sslcheck sur le point de terminaison d'activation principal, anon-cp.storagegateway.region.amazonaws.com. Exécutez la commande sur le port 443 à partir du menu Invite de commande de la console locale de la machine virtuelle :
sslcheck -d anon-cp.storagegateway.region.amazonaws.com -p 443
Remarque : Dans la commande précédente, remplacez région par la région dans laquelle vous souhaitez activer la passerelle.
Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à l'exemple suivant :
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=/CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
Si une inspection SSL est en cours, la réponse indique un certificat modifié similaire à l'exemple suivant :
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
Le point de terminaison d'activation accepte les établissements de liaison SSL uniquement lorsqu'il reconnaît le certificat SSL. Le trafic sortant de la passerelle vers les points de terminaison doit être exempté des inspections effectuées par les pare-feux de votre réseau.
Vérifiez que votre passerelle synchronise correctement l'heure
Des décalages temporels excessifs peuvent provoquer des erreurs d'établissement de liaison SSL. Utilisez la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne peut pas dépasser 60 secondes. Pour synchroniser l'heure de la machine virtuelle de la passerelle avec l'heure du protocole NTP, la machine virtuelle de la passerelle doit accéder aux serveurs NTP suivants :
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
Remarque : L'option Gestion de l’heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2.
Pour les passerelles hébergées sur une instance EC2, vérifiez les journaux d'intégrité de la passerelle pour détecter une erreur GatewayClockOutOfSync. Si cette erreur s'affiche, contactez AWS Support.
Point de terminaison de VPC Amazon
Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour activer votre passerelle, effectuez les actions suivantes pour résoudre le problème.
Vérifiez que vous avez ouvert les ports requis
Vérifiez que vous avez ouvert les ports requis dans votre pare-feu local pour les passerelles que vous déployez sur site ou dans le groupe de sécurité pour les passerelles que vous déployez dans Amazon EC2. Les ports permettant de connecter une passerelle à un point de terminaison de VPC Storage Gateway sont différents des ports permettant de connecter une passerelle à des points de terminaison publics. Vous devez utiliser les ports TCP 443, TCP 1026, TCP 1027, TCP 1028, TCP 1031 et TCP 2222 pour vous connecter à un point de terminaison de VPC Storage Gateway.
Vérifiez également le groupe de sécurité attaché à votre point de terminaison de VPC Storage Gateway. Le groupe de sécurité par défaut n'autorise peut-être pas les ports requis. Créez un nouveau groupe de sécurité qui autorise le trafic provenant de la plage d'adresses IP de votre passerelle sur les ports requis. Puis, attachez le nouveau groupe de sécurité au point de terminaison de VPC.
Remarque : Pour vérifier le groupe de sécurité attaché au point de terminaison de VPC, ouvrez la console Amazon VPC, puis choisissez l'onglet Groupes de sécurité.
Pour vérifier que les ports requis sont ouverts, exécutez les commandes ncport sur le point de terminaison de VPC Storage Gateway. Exécutez la commande à partir du menu Invite de commande de la console locale de la machine virtuelle Storage Gateway. Effectuez les tests sur le premier nom DNS qui ne spécifie pas de zone de disponibilité.
Les exemples de commandes ncport suivants testent les connexions de port requises avec le nom DNSvpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com :
ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
Vérifiez que la passerelle peut atteindre le point de terminaison de VPC sur les ports requis. Accédez à la console de machine virtuelle locale de la passerelle ou utilisez SSH pour vous connecter à l'instance de la passerelle. Puis, exécutez un test de connectivité réseau. Vérifiez que le test renvoie [PASSED] pour tous les points de terminaison.
Remarque : Le nom d'utilisateur par défaut de la console locale de la passerelle est admin et le mot de passe par défaut est mot de passe.
Vérifiez qu'un pare-feu de sécurité ne modifie pas les paquets envoyés à partir de la passerelle vers votre point de terminaison de VPC Storage Gateway
La sécurité de pare-feu peut prendre la forme d'une inspection SSL, d'une inspection approfondie des paquets ou d'un autre type de sécurité de pare-feu. Lorsque vous modifiez le certificat SSL par rapport à ce que le point de terminaison d'activation attend, l'établissement de liaison SSL échoue.
Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur votre point de terminaison de VPC Storage Gateway. Vous devez exécuter la commande à partir d'une machine qui se trouve dans le même sous-réseau que la passerelle. Exécutez la commande pour chaque port requis :
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à l'exemple suivant :
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p 1027 subject=/CN=storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
Si une inspection SSL est en cours, la réponse indique une chaîne de certificats modifiée, similaire à l'exemple suivant :
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
Le terminal d'activation accepte les établissements de liaison SSL uniquement lorsqu'il reconnaît le certificat SSL. Le trafic sortant de la passerelle vers votre point de terminaison de VPC via les ports requis est exempté des inspections effectuées par les pare-feux de votre réseau.
Vérifiez que votre passerelle synchronise correctement l'heure
Des décalages temporels excessifs peuvent provoquer des erreurs d'établissement de liaison SSL. Utilisez la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne peut pas dépasser 60 secondes. Pour synchroniser l'heure de la machine virtuelle de la passerelle avec l'heure du protocole NTP, la machine virtuelle de la passerelle doit accéder aux serveurs NTP suivants :
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
Remarque : L'option Gestion de l’heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2.
Pour les passerelles hébergées sur une instance EC2, vérifiez les journaux d'intégrité de la passerelle pour détecter une erreur GatewayClockOutOfSync. Si cette erreur s'affiche, contactez AWS Support.
Vérifiez si vous avez configuré un proxy HTTP sur Amazon EC2
Avant l'activation, utilisez la machine virtuelle de passerelle locale pour vérifier si vous avez configuré un proxy HTTP sur Amazon EC2 en tant que proxy Squid sur le port 3128. Le groupe de sécurité attaché au proxy HTTP sur Amazon EC2 doit disposer d'une règle entrante. La règle entrante doit autoriser le trafic proxy Squid sur le port 3128 à partir de l'adresse IP de la machine virtuelle de la passerelle. Le groupe de sécurité attaché au point de terminaison de VPC Storage Gateway doit également disposer de règles entrantes. Les règles entrantes doivent autoriser le trafic sur les ports 1026-1028, 1031, 2222 et 443 à partir de l'adresse IP du proxy HTTP sur Amazon EC2.
Le point de terminaison public avec un point de terminaison de VPC Storage Gateway dans le même VPC
Vérifiez que le paramètre Activer le nom de DNS privé est désactivé sur votre point de terminaison de VPC Storage Gateway. Si ce paramètre est activé, vous ne pouvez pas activer les passerelles entre le VPC et le point de terminaison public.
Pour désactiver l'option de nom DNS privé, procédez comme suit :
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, sélectionnez Points de terminaison.
- Sélectionnez votre point de terminaison de VPC Storage Gateway.
- Sélectionnez Actions, puis Gérer les noms DNS privés.
- Pour Activer le nom DNS privé, désactivez la case Activer pour ce point de terminaison.
- Sélectionnez Modifier les noms DNS privés pour enregistrer le paramètre.
Informations connexes
Accéder à un service AWS à l’aide du point de terminaison du VPC d’interface
Contenus pertinents
- Réponse acceptéedemandé il y a 6 moislg...
- demandé il y a un moislg...
- demandé il y a un anlg...
- demandé il y a 7 moislg...
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 mois