Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Storage Gateway を有効化すると発生する、内部エラーを解決する方法を教えてください。
AWS Storage Gateway でゲートウェイを有効にしようとすると、内部エラーが発生します。
解決策
注:
- 必ず、最新の Amazon マシンイメージ (AMI) バージョンを使用してください。最新の AMI を使用していない場合、内部エラーが発生します。
- 正しいゲートウェイタイプを選択していることを確認してください。.ova ファイルと AMI はゲートウェイタイプにより異なり、互換性はありません。
パブリックエンドポイント
パブリックエンドポイントを使用してゲートウェイを有効にする場合は、次のアクションを実行して問題を解決してください。
必要なポートを開いていることを確認する
オンプレミスにデプロイしたゲートウェイの場合、ローカルファイアウォールに対してポートが開いていることを確認します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにデプロイしたゲートウェイの場合は、インスタンスのセキュリティグループに対してポートが開いていることを確認します。ポートが開いていることを確認するには、Storage Gateway 仮想マシン (VM) のローカルコンソールのコマンドプロンプトメニューから ncport コマンドを実行します。
次の ncport コマンドの例では、ポート 443 で必要なエンドポイントへの接続をテストします。
ncport -d d4kdq0yaxexbo.cloudfront.net -p 443 ncport -d storagegateway.region.amazonaws.com -p 443 ncport -d dp-1.storagegateway.region.amazonaws.com -p 443 ncport -d proxy-app.storagegateway.region.amazonaws.com -p 443 ncport -d client-cp.storagegateway.region.amazonaws.com -p 443 ncport -d anon-cp.storagegateway.region.amazonaws.com -p 443
注: 上記のコマンドで、region はゲートウェイを有効にする AWS リージョンに置き換えてください。
ゲートウェイがエンドポイントに到達できることを確認するには、ゲートウェイのローカル VM コンソールにアクセスするか、SSH を使用してゲートウェイのインスタンスに接続します。次に、ネットワーク接続テストを実行します。テストがすべてのエンドポイントで [PASSED] を返すことを確認します。
注: ゲートウェイローカルコンソールのデフォルトのユーザー名は admin で、デフォルトのパスワードは password です。
** ファイアウォールセキュリティが、ゲートウェイからパブリックエンドポイントに送信されるパケットを変更しないことを確認する**
ファイアウォールセキュリティは、SSL インスペクション、ディープパケットインスペクション、またはその他の種類のファイアウォールセキュリティである場合があります。アクティベーションエンドポイントで想定される SSL 証明書をそれ以外に変更すると、SSL ハンドシェイクは失敗します。
SSL インスペクションが進行中でないことを確認するには、メインアクティベーションエンドポイント anon-cp.storagegateway.region.amazonaws.com に sslcheck コマンドを実行します。VM ローカルコンソールのコマンドプロンプトメニューからポート 443 にコマンドを実行します。
sslcheck -d anon-cp.storagegateway.region.amazonaws.com -p 443
注: 上記のコマンドで、region はゲートウェイを有効にするリージョンに置き換えてください。
SSL インスペクションが進行していない場合、コマンドは次の例のような応答を返します。
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=/CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
SSL インスペクションが進行中の場合、応答には次の例に示すように、変更された証明書が表示されます。
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
アクティベーションエンドポイントは、SSL 証明書を認識した場合にのみ SSL ハンドシェイクを受け入れます。ゲートウェイのエンドポイントへのアウトバウンドトラフィックは、お使いのネットワーク内のファイアウォールが実行する検査の対象外である必要があります。
ゲートウェイが時刻を正しく同期していることを確認する
時間が過度にずれていると、SSL ハンドシェイクエラーが発生する可能性があります。ゲートウェイのローカル VM コンソールを使用して、ゲートウェイの時刻同期を確認します。時間の誤差は、60 秒以内である必要があります。ゲートウェイ VM の時間を NTP の時間と同期するには、ゲートウェイ VM が次の NTP サーバーにアクセスできる必要があります。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
注: システム時間管理オプションは、EC2 インスタンスでホストされているゲートウェイでは使用できません。
EC2 インスタンスでホストされているゲートウェイについては、ゲートウェイのヘルスログに GatewayClockOutOfSync エラーがないかどうかを確認します。このエラーがある場合は、AWS サポートにお問い合わせください。
Amazon VPC エンドポイント
Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用してゲートウェイを有効にする場合は、次のアクションを実行して問題を解決してください。
必要なポートを開いていることを確認する
オンプレミスにデプロイするゲートウェイのローカルファイアウォール内、または Amazon EC2 にデプロイするゲートウェイ用のセキュリティグループで、必要なポートを開いていることを確認します。ゲートウェイを Storage Gateway VPC エンドポイントに接続するためのポートは、ゲートウェイをパブリックエンドポイントに接続するためのポートとは異なります。Storage Gateway VPC エンドポイントに接続するためのポートには、TCP 443、TCP 1026、TCP 1027、TCP 1028、TCP 1031、および TCP 2222 を使用する必要があります。
Storage Gateway VPC エンドポイントにアタッチされているセキュリティグループも確認してください。デフォルトのセキュリティグループでは、必要なポートが許可されていない場合があります。ゲートウェイの IP アドレス範囲からのトラフィックを必要なポート経由で許可する、新しいセキュリティグループを作成します。次に、その新しいセキュリティグループを VPC エンドポイントにアタッチします。
注: VPC エンドポイントにアタッチされているセキュリティグループを確認するには、Amazon VPC コンソールを開き、[セキュリティグループ] タブを選択します。
必要なポートが開いていることを確認するには、Storage Gateway VPC エンドポイントに ncport コマンドを実行します。Storage Gateway の VM で、ローカルコンソールのコマンドプロンプトメニューからコマンドを実行します。アベイラビリティーゾーンを指定していない、最初の DNS 名でテストを実行します。
次の ncport コマンドの例は、DNS 名 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com との必要なポート接続をテストします。
ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
ゲートウェイが、必要なポートで VPC エンドポイントに到達できることを確認します。ゲートウェイのローカル VM コンソールにアクセスするか、SSH を使用してゲートウェイのインスタンスに接続します。次に、ネットワーク接続テストを実行します。テストがすべてのエンドポイントで [PASSED] を返すことを確認します。
注: ゲートウェイローカルコンソールのデフォルトのユーザー名は admin で、デフォルトのパスワードは password です。
ファイアウォールセキュリティにより、ゲートウェイから Storage Gateway VPC エンドポイントに送信されるパケットが変更されないことを確認する
ファイアウォールセキュリティは、SSL インスペクション、ディープパケットインスペクション、またはその他の種類のファイアウォールセキュリティである場合があります。アクティベーションエンドポイントで想定される SSL 証明書をそれ以外に変更すると、SSL ハンドシェイクは失敗します。
SSL インスペクションが進行中でないことを確認するには、Storage Gateway VPC エンドポイントに OpenSSL コマンドを実行します。ゲートウェイと同じサブネットにあるマシンからコマンドを実行する必要があります。必要なポートごとにコマンドを実行します。
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
SSL インスペクションが進行していない場合、コマンドは次の例のような応答を返します。
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p 1027 subject=/CN=storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
SSL インスペクションが進行中の場合、応答には次の例のような、変更された証明書チェーンが表示されます。
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
アクティベーションエンドポイントは、エンドポイントが SSL 証明書を認識した場合にのみ SSL ハンドシェイクを受け入れます。必要なポートを経由するゲートウェイの VPC エンドポイントへのアウトバウンドトラフィックは、ネットワークファイアウォールが実行する検査から除外されます。
ゲートウェイが時刻を正しく同期していることを確認する
時間が過度にずれていると、SSL ハンドシェイクエラーが発生する可能性があります。ゲートウェイのローカル VM コンソールを使用して、ゲートウェイの時刻同期を確認します。時間の誤差は、60 秒以内である必要があります。ゲートウェイ VM の時間を NTP の時間と同期するには、ゲートウェイ VM が次の NTP サーバーにアクセスできる必要があります。
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
注: システム時間管理オプションは、EC2 インスタンスでホストされているゲートウェイでは使用できません。
EC2 インスタンスでホストされているゲートウェイについては、ゲートウェイのヘルスログに GatewayClockOutOfSync エラーがないかどうかを確認します。このエラーがある場合は、AWS サポートにお問い合わせください。
Amazon EC2 で HTTP プロキシが設定されているかどうかを確認する
有効化する前に、オンプレミスのゲートウェイ VM を使用して、Amazon EC2 への HTTP プロキシをポート 3128 の Squid プロキシと設定したかどうかを確認します。Amazon EC2 への HTTP プロキシにアタッチされているセキュリティグループには、インバウンドルールが必要です。インバウンドルールでは、ゲートウェイ VM の IP アドレスからの Squid プロキシトラフィックをポート 3128 で許可する必要があります。Storage Gateway VPC エンドポイントにアタッチされているセキュリティグループにも、インバウンドルールが必要です。インバウンドルールでは、Amazon EC2 上の HTTP プロキシの IP アドレスからのポート 1026 ~ 1028、1031、2222、443 のトラフィックを許可する必要があります。
同じ VPC 内の Storage Gateway VPC エンドポイントを持つパブリックエンドポイント
Storage Gateway VPC エンドポイントで、[プライベート DNS 名を有効にする] 設定が無効になっていることを確認します。この設定が有効な場合、VPC からパブリックエンドポイントへのゲートウェイを有効にできません。
プライベート DNS 名オプションを無効にするには、次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [エンドポイント] を選択します。
- Storage Gateway VPC エンドポイントを選択します。
- [アクション] を選択し、[プライベート DNS 名の管理] を選択します。
- [プライベート DNS 名を有効にする] で、[このエンドポイントで有効にする] をオフにします。
- [プライベート DNS 名の変更] を選択して設定を保存します。
関連情報
