Amazon VPC エンドポイントを使用してゲートウェイをアクティブ化しようとすると、Storage Gateway のアクティブ化が失敗するのはなぜですか?
(AWS PrivateLink によって提供される) Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用して、AWS Storage Gateway でゲートウェイをアクティブ化しようとしています。しかし、アクティブ化が失敗します。
解決方法
開始する前に、ゲートウェイが Storage Gateway のハードウェア要件およびストレージ要件を満たしていることを確認します。
オンプレミスでホストされているゲートウェイのトラブルシューティング
注: これらのトラブルシューティング手順は、Amazon S3 トラフィックに Amazon Simple Storage Service (Amazon S3) VPC エンドポイントを使用するオンプレミスのファイルゲートウェイには適用されません。
- オンプレミスのローカルネットワークが、AWS Direct Connect または VPN 経由で Amazon VPC と通信できることを確認します。この接続を確認するには、オンプレミスの仮想マシンまたはサーバーから VPC 内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのプライベート IP アドレスに ping を実行します。
- VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 443、1026、1027、1028、1031、および 2222 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
- オンプレミスの AWS ネットワークファイアウォールを確認します。ファイアウォールが TCP ポート 443、1026、1027、1028、1031、および 2222 で、ゲートウェイのドメイン名または IP アドレスへのアウトバウンドトラフィックを許可することを確認します。さらに、ファイアウォールが TCP ポート 80 のゲートウェイの IP アドレスへのインバウンドトラフィックを許可していることを確認します。
- ゲートウェイのローカルコンソールからネットワーク接続テストを実行して、ゲートウェイが VPC エンドポイントに接続できることを確認します。
Amazon S3 Gateway タイプの VPC エンドポイントを使用するオンプレミスファイルゲートウェイのトラブルシューティング
オンプレミスのファイルゲートウェイで、ファイル共有の作成や S3 バケットへの読み取りと書き込みなど、Amazon S3 トラフィックに (Direct Connect または VPN 経由で) Amazon S3 Gateway タイプの VPC エンドポイントを使用する場合は、HTTP プロキシを作成する必要があります。HTTP プロキシは Amazon EC2 インスタンスでホストできます。
注: この設定では、Amazon S3 の VPC エンドポイントに加えて、Storage Gateway 用の VPC エンドポイントも必要です。HTTP プロキシが Squid プロキシサーバーを使用している場合、デフォルトの TCP ポートは 3128 です。
Amazon S3 Gateway タイプの VPC エンドポイントを使用するオンプレミスファイルゲートウェイのアクティブ化の失敗のトラブルシューティングを行うには、次のチェックを実行します。
- EC2 インスタンス (HTTP プロキシホスト) のプライベート IP アドレスが、TCP ポート 3128 で許可されるアウトバウンド HTTP プロキシトラフィックがオンプレミスのゲートウェイで設定されていることを確認します。
- EC2 インスタンス (HTTP プロキシホスト) にアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 3128 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
- Storage Gateway VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが、EC2 インスタンス (HTTP プロキシホスト) の IP アドレスからのインバウンドトラフィックを TCP ポート 443、1026、1027、1028、1031、および 2222 で許可することを確認します。
- オンプレミスのネットワークファイアウォールを確認します。ファイアウォールが、TCP ポート 3128 上の EC2 インスタンス (HTTP プロキシホスト) のプライベート IP アドレスへのアウトバウンドトラフィックを許可することを確認します。
Amazon EC2 でホストされているゲートウェイのトラブルシューティング
- VPC エンドポイントにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 443、1026、1027、1028、1031、および 2222 でゲートウェイの IP アドレスからのインバウンドトラフィックを許可することを確認します。
- ゲートウェイにアタッチされているセキュリティグループを確認します。セキュリティグループが TCP ポート 80 でインバウンドトラフィックを許可していることを確認します。
- ゲートウェイのアクティブ化に使用しているワークステーションが、Direct Connect または VPN 経由でゲートウェイインスタンスの VPC と通信できることを確認します。
ヒント: ワークステーションが VPC と通信できない場合は、同じ VPC 内の別のインスタンスからゲートウェイのアクティブ化を試みてください。
VPC エンドポイントを使用した Storage Gateway のアクティブ化についての VPC フローログを使用したトラブルシューティング
ゲートウェイのアクティブ化が失敗する原因に関する詳細情報を得るには、VPC エンドポイントのネットワークインターフェイスで VPCフローログを有効にします。
VPC フローログを有効にしたら、VPC エンドポイントのフローレコードを確認します。たとえば、フローログを使用して、ゲートウェイのアクティブ化に必要なトラフィックを拒否しているポートがあるかどうかを判断します。
関連するコンテンツ
- 質問済み 6年前
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
