Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
스토리지 게이트웨이를 활성화할 때 발생하는 내부 오류를 해결하려면 어떻게 해야 합니까?
AWS Storage Gateway에서 게이트웨이를 활성화하려고 하는데 내부 오류가 발생합니다.
해결 방법
참고:
- 최신 Amazon Machine Image(AMI) 버전을 사용하는지 확인하십시오. 최신 AMI를 사용하지 않는 경우 내부 오류가 발생합니다.
- 올바른 게이트웨이 유형을 선택했는지 확인하십시오. 게이트웨이 유형의 .ova 파일과 AMI는 서로 다르며 서로 바꿔서 사용할 수 없습니다.
퍼블릭 엔드포인트
퍼블릭 엔드포인트를 사용하여 게이트웨이를 활성화하는 경우 다음 조치를 취하여 문제를 해결하십시오.
필요한 포트를 열었는지 확인
온프레미스로 배포한 게이트웨이의 경우 로컬 방화벽에서 포트가 열려 있는지 확인합니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 배포한 게이트웨이의 경우, 인스턴스의 보안 그룹에서 포트가 열려 있는지 확인합니다. 포트가 열려 있는지 확인하려면 Storage Gateway 가상 머신(VM) 로컬 콘솔의 명령 프롬프트 메뉴에서 ncport 명령을 실행합니다.
다음 ncport 명령의 예는 포트 443에서 필요한 엔드포인트에 대한 연결을 테스트합니다.
ncport -d d4kdq0yaxexbo.cloudfront.net -p 443 ncport -d storagegateway.region.amazonaws.com -p 443 ncport -d dp-1.storagegateway.region.amazonaws.com -p 443 ncport -d proxy-app.storagegateway.region.amazonaws.com -p 443 ncport -d client-cp.storagegateway.region.amazonaws.com -p 443 ncport -d anon-cp.storagegateway.region.amazonaws.com -p 443
참고: 위 명령에서 region을 게이트웨이를 활성화하려는 AWS 리전으로 바꾸십시오.
게이트웨이가 엔드포인트에 도달할 수 있는지 확인하려면 게이트웨이의 로컬 VM 콘솔에 액세스하거나 SSH를 사용하여 게이트웨이의 인스턴스에 연결합니다. 그런 다음 네트워크 연결 테스트를 실행합니다. 테스트가 모든 엔드포인트에 대해 **[PASSED]**를 반환하는지 확인합니다.
참고: 게이트웨이 로컬 콘솔의 기본 사용자 이름은 admin이고 기본 암호는 password입니다.
방화벽 보안이 게이트웨이에서 퍼블릭 엔드포인트로 전송되는 패킷을 수정하지 않는지 확인
방화벽 보안은 SSL 검사, 심층 패킷 검사 또는 다른 유형의 방화벽 보안일 수 있습니다. 활성화 엔드포인트가 예상하는 대로 SSL 인증서를 수정하면 SSL 핸드셰이크가 실패합니다.
SSL 검사가 진행 중이 아닌지 확인하려면 기본 활성화 엔드포인트인 aanon-cp.storagegateway.region.amazonaws.com에서 sslcheck 명령을 실행합니다. VM 로컬 콘솔의 명령 프롬프트 메뉴에 있는 포트 443에서 명령을 실행합니다.
sslcheck -d anon-cp.storagegateway.region.amazonaws.com -p 443
참고: 위 명령에서 region을 게이트웨이를 활성화하려는 리전으로 바꾸십시오.
SSL 검사가 진행 중이 아닌 경우 명령은 다음 예와 비슷한 응답을 반환합니다.
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=/CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
SSL 검사가 진행 중인 경우 응답에는 다음 예와 비슷한 변경된 인증서가 표시됩니다.
sslcheck -d anon-cp.storagegateway.us-east-1.amazonaws.com -p 443 subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
활성화 엔드포인트는 SSL 인증서를 인식할 때만 SSL 핸드셰이크를 수락합니다. 엔드포인트로 향하는 게이트웨이의 아웃바운드 트래픽은 네트워크의 방화벽이 수행하는 검사에서 제외되어야 합니다.
게이트웨이가 시간을 올바르게 동기화하는지 확인
과도한 시간 차이로 인해 SSL 핸드셰이크 오류가 발생할 수 있습니다. 게이트웨이의 로컬 VM 콘솔을 사용하여 게이트웨이의 시간 동기화를 확인하십시오. 시간 차이는 60초보다 클 수 없습니다. 게이트웨이 VM 시간을 NTP 시간과 동기화하려면 게이트웨이 VM이 다음 NTP 서버에 액세스해야 합니다.
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
참고: 시스템 시간 관리 옵션은 EC2 인스턴스에 호스팅된 게이트웨이에서는 사용할 수 없습니다.
EC2 인스턴스에 호스팅되는 게이트웨이의 경우 게이트웨이 상태 로그에서 GatewayClockOutOfSync 오류를 확인하십시오. 이 오류가 표시되면 AWS Support에 문의하십시오.
Amazon VPC 엔드포인트
Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 사용하여 게이트웨이를 활성화하는 경우 다음 조치를 취하여 문제를 해결하십시오.
필요한 포트를 열었는지 확인
온프레미스로 배포하는 게이트웨이의 경우 로컬 방화벽 내에서 필수 포트를 열었는지 또는 Amazon EC2에 배포하는 게이트웨이의 보안 그룹을 열었는지 확인합니다. 게이트웨이를 Storage Gateway VPC 엔드포인트에 연결하는 포트는 게이트웨이를 퍼블릭 엔드포인트에 연결하는 포트와 다릅니다. 포트 TCP 443, TCP 1026, TCP 1027, TCP 1028, TCP 1031 및 TCP 2222를 사용하여 Storage Gateway VPC 엔드포인트에 연결해야 합니다.
또한 Storage Gateway VPC 엔드포인트에 연결된 보안 그룹을 확인하십시오. 기본 보안 그룹은 필수 포트를 허용하지 않을 수 있습니다. 게이트웨이의 IP 주소 범위에서 필요한 포트를 통한 트래픽을 허용하는 새 보안 그룹을 생성합니다. 그런 다음 새 보안 그룹을 VPC 엔드포인트에 연결합니다.
참고: VPC 엔드포인트에 연결된 보안 그룹을 확인하려면 Amazon VPC 콘솔을 연 다음 보안 그룹 탭을 선택합니다.
필요한 포트가 열려 있는지 확인하려면 Storage Gateway VPC 엔드포인트에서 ncport 명령을 실행합니다. Storage Gateway VM 로컬 콘솔의 명령 프롬프트 메뉴에서 명령을 실행합니다. 가용 영역을 지정하지 않은 첫 번째 DNS 이름에 대해 테스트를 수행합니다.
다음 ncport 명령의 예시는 DNS 이름이 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com인 필수 포트 연결을 테스트합니다.
ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 ncport -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
게이트웨이가 필요한 포트의 VPC 엔드포인트에 도달할 수 있는지 확인합니다. 게이트웨이의 로컬 VM 콘솔에 액세스하거나 SSH를 사용하여 게이트웨이의 인스턴스에 연결합니다. 그런 다음 네트워크 연결 테스트를 실행합니다. 테스트가 모든 엔드포인트에 대해 **[PASSED]**를 반환하는지 확인합니다.
참고: 게이트웨이 로컬 콘솔의 기본 사용자 이름은 admin이고 기본 암호는 password입니다.
방화벽 보안이 게이트웨이에서 Storage Gateway VPC 엔드포인트로 전송되는 패킷을 수정하지 않는지 확인
방화벽 보안은 SSL 검사, 심층 패킷 검사 또는 다른 유형의 방화벽 보안일 수 있습니다. 활성화 엔드포인트가 예상하는 대로 SSL 인증서를 수정하면 SSL 핸드셰이크가 실패합니다.
SSL 검사가 진행 중이 아닌지 확인하려면 Storage Gateway VPC 엔드포인트에서 OpenSSL 명령을 실행합니다. 게이트웨이와 동일한 서브넷에 있는 시스템에서 명령을 실행해야 합니다. 필요한 각 포트에 대해 명령을 실행합니다.
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 443 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1026 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1027 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1028 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 1031 sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.region.vpce.amazonaws.com -p 2222
SSL 검사가 진행 중이 아닌 경우 명령은 다음 예와 비슷한 응답을 반환합니다.
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p 1027 subject=/CN=storagegateway.us-east-1.amazonaws.com issuer=/C=US/O=Amazon/CN=Amazon RSA 2048 M02
SSL 검사가 진행 중인 경우 응답에는 다음 예와 비슷한 변경된 인증서 체인이 표시됩니다.
sslcheck -d vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com -p subject=CN=anon-cp.storagegateway.us-east-1.amazonaws.com issuer:/C=US/O=Company/CN=Admin
활성화 엔드포인트는 엔드포인트가 SSL 인증서를 인식할 때만 SSL 핸드셰이크를 수락합니다. 필수 포트를 통해 VPC 엔드포인트로 향하는 게이트웨이의 아웃바운드 트래픽은 네트워크 방화벽이 수행하는 검사에서 제외됩니다.
게이트웨이가 시간을 올바르게 동기화하는지 확인
과도한 시간 차이로 인해 SSL 핸드셰이크 오류가 발생할 수 있습니다. 게이트웨이의 로컬 VM 콘솔을 사용하여 게이트웨이의 시간 동기화를 확인하십시오. 시간 차이는 60초보다 클 수 없습니다. 게이트웨이 VM 시간을 NTP 시간과 동기화하려면 게이트웨이 VM이 다음 NTP 서버에 액세스해야 합니다.
0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org
참고: 시스템 시간 관리 옵션은 EC2 인스턴스에 호스팅된 게이트웨이에서는 사용할 수 없습니다.
EC2 인스턴스에 호스팅되는 게이트웨이의 경우 게이트웨이 상태 로그에서 GatewayClockOutOfSync 오류를 확인하십시오. 이 오류가 표시되면 AWS Support에 문의하십시오.
Amazon EC2에서 HTTP 프록시를 구성했는지 확인
활성화하기 전에 온프레미스 게이트웨이 VM을 사용하여 Amazon EC2의 HTTP 프록시를 포트 3128의 Squid 프록시로 구성했는지 확인하십시오. Amazon EC2의 HTTP 프록시에 연결된 보안 그룹에는 인바운드 규칙이 있어야 합니다. 인바운드 규칙은 게이트웨이 VM의 IP 주소에서 포트 3128의 Squid 프록시 트래픽을 허용해야 합니다. Storage Gateway VPC 엔드포인트에 연결된 보안 그룹에도 인바운드 규칙이 있어야 합니다. 인바운드 규칙은 Amazon EC2에 있는 HTTP 프록시의 IP 주소로부터 포트 1026~1028, 1031, 2222 및 443을 통한 트래픽을 허용해야 합니다.
동일한 VPC에 스토리지 게이트웨이 VPC 엔드포인트가 있는 퍼블릭 엔드포인트
스토리지 게이트웨이 VPC 엔드포인트에서 프라이빗 DNS 이름 활성화 설정이 비활성화되어 있는지 확인합니다. 이 설정이 활성화되어 있으면 VPC에서 퍼블릭 엔드포인트로 게이트웨이를 활성화할 수 없습니다.
프라이빗 DNS 이름 옵션을 끄려면 다음 단계를 완료하십시오.
- Amazon VPC 콘솔을 엽니다.
- 탐색 창에서 엔드포인트를 선택합니다.
- 스토리지 게이트웨이 VPC 엔드포인트를 선택합니다.
- 작업을 선택한 다음 프라이빗 DNS 이름 관리를 선택합니다.
- 프라이빗 DNS 이름 활성화에서 이 엔드포인트에 대해 활성화를 선택 취소합니다.
- 프라이빗 DNS 이름 수정을 선택하여 설정을 저장합니다.
관련 정보
관련 콘텐츠
- 질문됨 2년 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 4달 전
- AWS 공식업데이트됨 4달 전
