当我尝试使用 Amazon VPC 端点激活网关时，为什么我的 Storage Gateway 激活失败了？

解决方案

**先决条件：**确认您的网关满足 Storage Gateway 的硬件和存储要求。

对本地托管的网关进行故障排除

注意： 以下步骤不适用于使用 Amazon Simple Storage Service (Amazon S3) VPC 端点传输 Amazon S3 流量的本地文件网关。

要对本地托管的网关进行故障排除，请执行以下检查：

• 确认您的本地网络可以通过 AWS Direct Connect 或 VPN 与您的 Amazon VPC 通信。从您的虚拟机或本地服务器对 VPC 内的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的私有 IP 地址执行 Ping 操作。
• 检查连接到 VPC 端点的安全组。确认安全组允许来自网关的 IP 地址的入站流量通过 TCP 端口 443、1026、1027、1028、1031 和 2222 传输。
• 查看本地 AWS Network Firewall。确认防火墙允许出站流量通过 TCP 端口 443、1026、1027、1028、1031 和 2222 传输到网关的域名或 IP 地址。此外，确认防火墙允许入站流量通过 TCP 端口 80 传输到网关的 IP 地址。
• 要确认您的网关可以连接到 VPC 端点，请从网关的本地控制台运行网络连接测试。

对使用 Amazon S3 Gateway 类型的 VPC 端点的本地文件网关进行故障排除

如果您的本地文件网关使用 Amazon S3 网关类型的 VPC 端点来传输 Amazon S3 流量，则必须创建 HTTP 代理。可以将 HTTP 代理托管在 Amazon EC2 实例上。

**注意：**在此配置中，除了 Amazon S3 的 VPC 端点外，您还必须拥有 Storage Gateway 的 VPC 端点。如果您的 HTTP 代理使用 Squid 代理服务器，则默认 TCP 端口为 3128。

要对使用 Amazon S3 Gateway 类型的 VPC 端点的本地文件网关激活失败进行故障排除，请执行以下检查：

• 确认已在本地网关上配置 EC2 实例（HTTP 代理主机）的私有 IP 地址。此外，确认允许 HTTP 代理出站流量通过 TCP 端口 3128 传输。
• 检查连接到 EC2 实例（HTTP 代理主机）的安全组。确认安全组允许来自网关 IP 地址的入站流量通过 TCP 端口 3128 传输。
• 检查连接到 Storage Gateway VPC 端点的安全组。确认安全组允许来自 EC2 实例（HTTP 代理主机）IP 地址 的以下入站流量通过以下TCP 端口传输： 443、1026、1027、1028、1031 和 2222。
• 查看本地 Network Firewall。确认防火墙允许出站流量通过 TCP 端口 3128 传输到 EC2 实例（HTTP 代理主机）的私有 IP 地址。

对在 Amazon EC2 上托管的网关进行故障排除

要对在 Amazon EC2 上托管的网关进行故障排除，请执行以下检查：

• 检查连接到 VPC 端点的安全组。确认安全组允许来自网关的 IP 地址的入站流量通过 TCP 端口 443、1026、1027、1028、1031 和 2222 传输。
• 检查连接到网关的安全组。确认安全组允许入站流量通过 TCP 端口 80 传输。
• 确认您用于激活网关的工作站可以通过 Direct Connect 或 VPN 与网关实例的 VPC 通信。
  **注意：**如果您的工作站无法与 VPC 通信，请从同一 VPC 中的另一个实例激活网关。

使用 VPC 流日志对使用 VPC 端点激活 Storage Gateway 进行故障排除

要获取有关导致网关激活失败的原因的详细信息，请在 VPC 端点的网络接口上启用 VPC 流日志。

启用 VPC 流日志后，查看 VPC 端点的流记录。例如，使用流日志来确定是否有任何端口拒绝激活网关所需的流量。