Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트(AWS PrivateLink에서 제공)를 사용하여 AWS Storage Gateway에서 게이트웨이를 활성화하고 싶습니다. 하지만 활성화가 실패합니다.
해결 방법
사전 요구 사항: 게이트웨이가 Storage Gateway에 대한 하드웨어 및 스토리지 요구 사항을 충족하는지 확인합니다.
온프레미스에서 호스팅되는 게이트웨이 문제 해결
참고: 다음 단계는 Amazon S3 트래픽에 Amazon Simple Storage Service(Amazon S3) VPC 엔드포인트를 사용하는 온프레미스 파일 게이트웨이에는 적용되지 않습니다.
온프레미스에서 호스팅되는 게이트웨이의 문제를 해결하려면 다음 검사를 수행하십시오.
- AWS Direct Connect 또는 VPN을 통해 온프레미스 로컬 네트워크가 Amazon VPC와 통신할 수 있는지 확인합니다. 가상 머신이나 온프레미스 서버에서 VPC 내 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 프라이빗 IP 주소를 핑합니다.
- VPC 엔드포인트에 연결된 보안 그룹을 확인합니다. 보안 그룹이 TCP 포트 443, 1026, 1027, 1028, 1031 및 2222의 게이트웨이 IP 주소로부터의 인바운드 트래픽을 허용하는지 확인합니다.
- 온프레미스 AWS 네트워크 방화벽을 검토합니다. 방화벽이 TCP 포트 443, 1026, 1027, 1028, 1031 및 2222에서 게이트웨이의 도메인 이름 또는 IP 주소로의 아웃바운드 트래픽을 허용하는지 확인합니다. 또한 방화벽이 TCP 포트 80의 게이트웨이 IP 주소로의 인바운드 트래픽을 허용하는지 확인합니다.
- 게이트웨이가 VPC 엔드포인트에 연결할 수 있는지 확인하려면 게이트웨이의 로컬 콘솔에서 네트워크 연결 테스트를 실행합니다.
Amazon S3 Gateway 유형 VPC 엔드포인트를 사용하는 온프레미스 파일 게이트웨이 문제 해결
온프레미스 파일 게이트웨이가 Amazon S3 트래픽에 대해 Amazon S3 게이트웨이 유형 VPC 엔드포인트를 사용하는 경우 HTTP 프록시를 생성해야 합니다. HTTP 프록시는 Amazon EC2 인스턴스에서 호스팅할 수 있습니다.
참고: 이 구성에서는 Amazon S3용 VPC 엔드포인트 외에도 Storage Gateway용 VPC 엔드포인트가 있어야 합니다. HTTP 프록시가 Squid 프록시 서버를 사용하는 경우 기본 TCP 포트는 3128입니다.
Amazon S3 Gateway 유형 VPC 엔드포인트를 사용하는 온프레미스 파일 게이트웨이의 활성화 실패 문제를 해결하려면 다음 검사를 수행합니다.
- 온프레미스 게이트웨이에 EC2 인스턴스(HTTP 프록시 호스트)의 프라이빗 IP 주소가 구성되어 있는지 확인합니다. 또한 TCP 포트 3128에서 아웃바운드 HTTP 프록시 트래픽이 허용되는지 확인합니다.
- EC2 인스턴스(HTTP 프록시 호스트)에 연결된 보안 그룹을 확인합니다. 보안 그룹이 TCP 포트 3128의 게이트웨이 IP 주소로부터의 인바운드 트래픽을 허용하는지 확인합니다.
- Storage Gateway VPC 엔드포인트에 연결된 보안 그룹을 확인합니다. 보안 그룹이 EC2 인스턴스(HTTP 프록시 호스트) IP 주소 TCP 포트에서 다음과 같은 인바운드 트래픽을 허용하는지 확인합니다. 443, 1026, 1027, 1028, 1031, 2222.
- 온프레미스 네트워크 방화벽을 검토합니다. 방화벽이 TCP 포트 3128에서 EC2 인스턴스(HTTP 프록시 호스트)의 프라이빗 IP 주소로의 아웃바운드 트래픽을 허용하는지 확인합니다.
Amazon EC2에 호스팅된 게이트웨이 문제 해결
Amazon EC2에 호스팅된 게이트웨이의 문제를 해결하려면 다음 검사를 수행하십시오.
- VPC 엔드포인트에 연결된 보안 그룹을 확인합니다. 보안 그룹이 TCP 포트 443, 1026, 1027, 1028, 1031 및 2222의 게이트웨이 IP 주소로부터의 인바운드 트래픽을 허용하는지 확인합니다.
- 게이트웨이에 연결된 보안 그룹을 확인합니다. 보안 그룹이 TCP 포트 80의 인바운드 트래픽을 허용하는지 확인합니다.
- 게이트웨이를 활성화하는 데 사용하는 워크스테이션이 Direct Connect 또는 VPN을 통해 게이트웨이 인스턴스의 VPC와 통신할 수 있는지 확인합니다.
참고: 워크스테이션이 VPC와 통신할 수 없는 경우 동일한 VPC 내의 다른 인스턴스에서 게이트웨이를 활성화합니다.
VPC 엔드포인트를 사용하여 Storage Gateway 활성화 문제를 해결하려면 VPC Flow Logs를 사용합니다.
게이트웨이 활성화가 실패하는 원인에 대한 자세한 내용을 보려면 VPC 엔드포인트의 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다.
VPC Flow Logs를 활성화한 후 VPC 엔드포인트의 흐름 레코드를 검토하십시오. 예를 들어, 흐름 로그를 사용하여 게이트웨이 활성화에 필요한 트래픽을 거부하는 포트가 있는지 확인합니다.