我想在 AWS Storage Gateway 文件接口(文件网关)与 Amazon Simple Storage Service(Amazon S3)之间设置私有网络连接。我不希望我的网关通过 Internet 与 AWS 服务通信。该如何操作?
简短描述
您可以在 Amazon Virtual Private Cloud(Amazon VPC)内的文件网关和 Amazon S3 之间建立私有网络连接,网关设备通过内部私有网络与服务终端节点连接。要在 VPC 内设置此私有网络连接,请执行以下操作:
- 为 Amazon S3 创建 VPC 网关端点或接口端点。
- 使用 VPC 终端节点创建文件网关。
Amazon S3 文件网关支持两个 Amazon S3 端点。但是,您只需根据自己的使用场景创建一种类型的端点。
注意:Amazon S3 网关端点不能与本地网关一起使用。Amazon S3 网关端点用于基于 Amazon EC2 实例的网关。Amazon S3 接口端点可与本地网关和基于 EC2 实例的网关结合使用
解决方法
为 Amazon S3 创建一个 VPC 网关端点
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择 Endpoints(端点)。
- 选择 Create Endpoint(创建端点)。
- 对于 Service category(服务类别),选择 AWS services(AWS 服务)。
- 对于 Service Name(服务名称),选择以 s3 结尾且 Type(类型)为 Gateway(网关)的 Service Name(服务名称)。
- 对于 VPC,选择在访问 Storage Gateway 时要使用的 VPC。
- 对于 Configure route tables(配置路由表),请为您的配置选择 Route Table ID(路由表 ID)。
- 选择 Create endpoint(创建端点)。
使用网关 VPC 端点时,VPC 端点策略用于限制访问权限,并且仅允许授权用户对 S3 存储桶发出的请求。此外,您还可以控制可从特定的 VPC 访问哪些存储桶。这是从同一区域的 VPC 访问 S3 的最佳实践模式。要从本地应用程序使用网关 VPC 端点,或者要从其他 AWS 区域中的 VPC 访问 S3,您必须在 VPC 中设置一组具有私有 IP 地址的代理服务器。这会导致本地应用程序发生更改,以便它们将请求定向到代理服务器,然后通过您的 VPC 端点将其转发到 S3。
为 Amazon S3 创建 VPC 接口端点
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择 Endpoints(端点)。
- 选择 Create Endpoint(创建端点)。
- 对于 Service category(服务类别),选择 AWS services(AWS 服务)。
- 对于 Service Name(服务名称),选择以 s3 结尾且 Type(类型)为 Interface(接口)的服务名称。
- 对于 VPC,请选择访问 Storage Gateway 时要使用的 VPC 和子网。
- 对于 Security group(安全组),选择端口 443 已打开的安全组。
- 选择 Create endpoint(创建端点)。
使用 VPC 端点创建文件网关
要使用 VPC 端点创建文件网关,您必须为 Storage Gateway 创建 VPC 端点,创建和配置文件网关,然后在 VPC 中激活您的网关。
注意:如果您使用的是与 AWS 进行私有连接的本地部署的 Storage Gateway,则可以使用不使用 Amazon Elastic Compute Cloud(Amazon EC2)代理的 Amazon S3 接口端点。
使用适用于 Amazon S3 的 VPC 接口端点创建文件共享
借助 Amazon S3 文件网关,您可以创建可以使用网络文件系统(NFS)或服务器消息块(SMB)协议访问的文件共享。有关创建文件共享的详细信息,请参阅创建文件共享。
测试网络连接
注意:测试连通性有助于检查 Storage Gateway 设备是否可以通过所需的 TCP 端口与服务端点进行连接。
- 使用 SSH 连接到文件网关的 Amazon EC2 主机实例。
- 在 SSH 会话中,输入 3 以选择 3: 测试网络连接。
- 如果网络连接成功,则测试将返回 [ PASSED ]。
相关信息
使用案例(AWS PrivateLink 和 VPC 端点)
在本地控制台上执行维护任务
使用 AWS PrivateLink 保护对 Amazon S3 的混合访问