我尝试使用 Amazon VPC 端点激活网关，为什么 Storage Gateway 激活失败？

解决方法

在开始之前，请确认您的网关符合 Storage Gateway 的硬件和存储要求。

对本地托管的网关进行问题排查

注意：这些问题排查步骤不适用于使用 Amazon Simple Storage Service (Amazon S3) VPC 终端节点处理 Amazon S3 流量的本地文件网关。

• 确认您的本地网络可以通过 AWS Direct Connect 或 VPN 与您的 Amazon VPC 进行通信。在虚拟机或本地服务器的 VPC 中，通过 ping Amazon Elastic Compute Cloud (Amazon EC2) 实例的私有 IP 地址，您可以检查此连接。
• 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
• 检查本地 AWS Network Firewall。确认防火墙允许到网关域名或 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的出站流量。此外，确认防火墙允许到网关 IP 地址 TCP 端口 80 的入站流量。
• 通过从网关的本地控制台运行网络连接测试，确认您的网关可以连接到 VPC 端点。

对使用 Amazon S3 Gateway 类型的 VPC 端点的本地文件网关进行问题排查

如果您的本地文件网关使用 Amazon S3 Gateway 类型的 VPC 端点（通过 Direct Connect 或 VPN）处理 Amazon S3 流量，例如创建文件共享或读取和写入 S3 存储桶，则必须创建 HTTP 代理。HTTP 代理可以托管在 Amazon EC2 实例上。

**注意：**在此配置中，除了 Amazon S3 的 VPC 端点外，您还必须配置 Storage Gateway 的 VPC 端点。如果您的 HTTP 代理使用的是 Squid 代理服务器，则默认 TCP 端口为 3128。

要排查使用 Amazon S3 Gateway 类型的 VPC 端点激活本地文件网关失败的问题，请执行以下检查：

• 确认本地网关上配置了 EC2 实例（HTTP 代理主机）的私有 IP 地址，并且允许到 TCP 端口 3128 的出站 HTTP 代理流量。
• 检查附加到 EC2 实例（HTTP 代理主机）的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 3128 的入站流量。
• 检查附加到 Storage Gateway VPC 端点的安全组。确认安全组允许来自 EC2 实例（HTTP 代理主机）IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
• 检查本地网络防火墙。确认防火墙允许到 EC2 实例（HTTP 代理主机）私有 IP 地址 TCP 端口 3128 的出站流量。

对 Amazon EC2 上托管的网关进行问题排查

• 检查附加到 VPC 终端节点的安全组。确认安全组允许来自网关 IP 地址 TCP 端口 443、1026、1027、1028、1031 和 2222 的入站流量。
• 检查附加到网关的安全组。确认安全组允许来自 TCP 端口 80 的入站流量。
• 确认用于激活网关的工作站可以通过 Direct Connect 或 VPN 与网关实例的 VPC 进行通信。
  **提示：**如果工作站无法与 VPC 通信，请尝试从同一 VPC 中的另一个实例激活网关。

利用 VPC 流日志排查使用 VPC 端点激活 Storage Gateway 的问题

要了解导致网关激活失败的更多信息，您可以在 VPC 端点的网络接口上启用 VPC 流日志。

启用 VPC 流日志后，您可以查看 VPC 端点的流记录。例如，您可以使用流日志来判断是否有端口拒绝激活网关所需的流量。

---