AWS Storage Gateway の構築及び設定手順について解説します。
今回は SMB ファイル共有の設定をします。
ネットワーク構成図
今回構築する Storage Gateway 環境は、以下のような構成になります。
データは Storage Gateway を構築したリージョンの S3 に保存されます。
■構成図(IP アドレスとポートを記載したもの)
簡単な設計
- SMB ファイル共有を利用する
- ネットワークドライブをマウントする EC2 インスタンスと AWS Storage Gateway は同じサブネット
- S3 は同じリージョンで作成する
- SMB ファイル共有の認証はゲストアクセスを利用する(Microsoft Active Directory は利用しない)
- セキュリティを考慮しポートは必要最低限のみ開ける
- EC2 インスタンスの OS は Windows 2016 を利用する
S3 バケットの作成
最初にデータを保存する S3 バケットを作成します。
AWS 管理コンソールより「サービス」-「ストレージ」-「S3」をクリックします。
「バケットを作成する」ボタンをクリックします。
「名前とリージョン」画面で「バケット名」、「リージョン」を設定して「次へ」ボタンをクリックします。
「オプションの設定」画面で必要な設定をして(下図はデフォルトの設定です)、「次へ」ボタンをクリックします。
「アクセス許可の設定」画面で「パブリックアクセスをすべてブロック」にチェックが入っていることを確認して「次へ」ボタンをクリックします。
「確認」画面で設定内容を確認し「バケットを作成」ボタンをクリックします。
下図のように S3 バケットが作成されていることを確認します。
Storage Gateway の作成
S3 バケットを用意したら Storage Gateway を作成します。
AWS 管理コンソールより「サービス」-「ストレージ」-「Storage Gateway」をクリックします。
「今すぐ始める」ボタンをクリックします。
「ゲートウェイの種類を選択」画面で「ファイルゲートウェイ」を選択し「次へ」ボタンをクリックします。
ゲートウェイの種類について
■選択できるゲートウェイタイプ
- ファイルゲートウェイ
- キャッシュ型ボリュームゲートウェイ
- 保管型ボリュームゲートウェイ
- テープゲートウェイ
「ホストプラットフォームの選択」画面で「Amazon EC2」を選択し「インスタンスの起動」ボタンをクリックします。
「インスタンスの起動」ボタンをクリックするとインスタンスの作成画面が表示されるので、以下のようにインスタンスを作成します。
インスタンスの作成と起動手順
「ステップ2:インスタンスタイプの選択」画面が表示されるので、「m4.2xlarge」を選択して「次のステップ:インスタンスの詳細の設定」ボタンをクリックします。
インスタンスタイプの選択ですが、Storage Gateway の推奨インスタンスタイプで「2xlarge」以上となっています。
「ステップ3:インスタンスの詳細の設定」画面で以下の設定をします。
- ネットワーク ← 対象の VPC を選択します。
- サブネット ← 今回作成したいサブネットを選択します。
- 自動割り当てパブリック IP ← 今回はインターネット経由でアクセスするので 有効 を選択します。
- ネットワークインターフェース ← Storage Gateway の IP アドレスを設定します。
設定が完了したら「次のステップ:ストレージの追加」ボタンをクリックします。
「ステップ4:ストレージの追加」画面で下図のようにキャッシュ用のディスクを 1つ(150 GB 以上)追加して、「次のステップ:タグの追加」ボタンをクリックします。
■ローカルディスクストレージの容量の決定
以下の AWS の公式サイトを確認すると、ファイルタイプのゲートウェイの場合は、キャッシュ用のディスクが 1つ以上必要と記載があります。
つまり、OS がインストールされているディスク 1つと、キャッシュ用のディスク 1つ以上が必要になります。
キャッシュ用のディスクですが、最低限 150GB の容量が必要になります。
「ステップ5:タグの追加」画面で必要な場合はタグを設定し「次のステップ:セキュリティグループの設定」ボタンをクリックします。
「ステップ6:セキュリティグループの設定」画面で下図のようにセキュリティグループの設定をします。
- セキュリティグループの割り当て ← 新しいセキュリティグループを作成する
- セキュリティグループ名 ← 任意の名前を設定します。例では StorageGateway-sg
- SSH 22/TCP ← 同サブネット(172.31.32.0/24)に所属する EC2 インスタンス(Windows)からアクセスする
- HTTP 80/TCP ← 自宅から AWS 管理コンソールで 80/TCP にアクセスするため
- HTTP 80/TCP ← 同サブネット(172.31.32.0/24)に所属する EC2 インスタンス(Windows)からアクセスする
- SMB 445/TCP ← 同サブネット(172.31.32.0/24)に所属する EC2 インスタンス(Windows)からアクセスする
セキュリティグループの設定が完了したら「確認と作成」ボタンをクリックします。
必要なポートの要件について
■ネットワーク構成図
■AWS 公式サイト
https://docs.aws.amazon.com/ja_jp/storagegateway/latest/userguide/Resource_Ports.html
■ポートまとめ
※分かりやすくまとめましたが、詳しくは公式サイトを確認してください。
※Active Directory を利用する場合は別途 AD 用のポートが必要になります。
| 送信元(ソース) | 送信先(デスト) | プロトコル | ポート | 用途 |
|---|---|---|---|---|
| Storage Gateway VM | AWS | TCP | 443 (HTTPS) | AWS Storage Gateway VM から AWS サービスエンドポイントへの通信用。 |
| ウェブブラウザ | Storage Gateway VM | TCP | 80 (HTTP) | ローカルシステムから、Storage Gateway のアクティベーションキーを取得するためのポートで、アクティベーション時のみ使用されます。 AWS Storage Gateway マネジメントコンソールからゲートウェイをアクティベートする場合、コンソールに接続するホストにゲートウェイのポート 80 へのアクセス権限が必要です。 |
| Storage Gateway VM | DNS サーバー | UDP | 53 (DNS) | Storage Gateway VM と DNS サーバーとの通信用。 |
| Storage Gateway VM | AWS | TCP | 22 (サポートチャネル) | トラブルシューティング時に AWS サポートの担当者がアクセスするためのポート。通常のオペレーションでは開いておく必要はありません。 |
| Storage Gateway VM | NTP サーバー | UDP | 123 (NTP) | VM 時間をホスト時間に同期するためにローカルシステムで使用されます。Storage Gateway VM は、以下の NTP サーバーを使用するように設定されています。 0.amazon.pool.ntp.org 1.amazon.pool.ntp.org 2.amazon.pool.ntp.org 3.amazon.pool.ntp.org |
| AWS Storage Gateway 物理 Appliance | HTTP プロキシ | TCP | 8080 (HTTP) | Storage Gateway が物理サーバーの場合、アクティベーションのために一時的に必要です。 |
| SMB ファイル共有クライアント | Storage Gateway VM | TCP/UDP | 445 (SMBv3) | ファイル共有データ転送セッションサービス (SMB)で利用します。クライアントのバージョンが新しく、SMBv3 のみ使用する場合は 445/TCP のみでOKです。 |
| SMB ファイル共有クライアント | Storage Gateway VM | TCP/UDP | 139 (SMBv2) | ファイル共有データ転送セッションサービス (SMB)で利用します。クライアントのバージョンが古くて、SMBv3 に対応していない場合(SMBv2を利用する必要がある場合)は必要です。 |
| Storage Gateway VM | Amazon S3 | TCP | 443 (HTTPS) | S3にデータを転送する際に利用します。 |
「ステップ7:インスタンス作成の確認」画面で設定内容を確認し「起動」ボタンをクリックします。
キーペアを選択し「インスタンスの作成」ボタンをクリックします。
以下のようにエラーが出力されないことを確認します。
EC2 インスタンスが起動したら「パブリック IP アドレス」を控えておきます。
Storage Gateway の作成【続き】
Storage Gateway 用の EC2 インスタンスが起動したことを確認し、「次へ」ボタンをクリックします。
「ゲートウェイに接続」画面で、先ほど控えた「パブリック IP アドレス」を入力して、「ゲートウェイに接続」ボタンをクリックします。
「ゲートウェイのアクティブ化」画面で以下のように設定します。
- ゲートウェイのタイムゾーン ← GMT +9:00 東京、ソウル
- ゲートウェイ名 ← 任意の名前を設定します。
必要な場合はタグを設定し「ゲートウェイのアクティブ化」ボタンをクリックします。
「ローカルディスクの構成」画面で「ログ記録を設定」ボタンをクリックします。
「Gateway Log Group」画面で必要に応じて、ログ記録を「有効化」もしくは「無効化」の設定をして「保存して続行」ボタンをクリックします。
下図のようにエラーなくゲートウェイが作成されることを確認します。
SMB パスワードの設定
次にファイル共有にアクセスした際に必要な SMB パスワードを設定します。
先ほど作成したゲートウェイ(下図では StorageGateway)を選択し、「アクション」-「SMB 設定の編集」をクリックします。
「SMB 設定の編集」画面が表示されるので「セキュリティレベル」を「暗号化の適用」が選択されていることを確認し、下図のように「ゲストパスワード」を設定し「閉じる」ボタンをクリックします。
セキュリティレベルについて
- 暗号化の適用 ← ファイルゲートウェイは、暗号化が有効になっている SMBv3 クライアントからの接続のみを許可します。このオプションは、機密データを処理する環境に強くお勧めします。このオプションは、Microsoft Windows 8、Windows Server 2012 以降の SMB クライアントで使用できます。
- 署名の適用 ← ファイルゲートウェイは、署名が有効になっている SMBv2 または SMBv3 クライアントからの接続のみを許可します。このオプションは、Microsoft Windows Vista、Windows Server 2008 以降の SMB クライアントで使用できます。
- 交渉したクライアント ← リクエストは、クライアントによってネゴシエートされた内容に応じて確立されます。このオプションは、環境内の異なるクライアント間で互換性を最大限に高める場合に推奨されます。
ファイル共有の作成
次に「ファイル共有」を作成します。
Storage Gateway のダッシュボードの左側ペインより「ファイル共有」をクリックします。
「ファイル共有の作成」ボタンをクリックします。
「ファイル共有の設定」画面で以下のように設定します。
- Amazon S3 バケット名 ← 先ほど設定した S3 バケット名を入力します。
- オブジェクトへのアクセス ← 今回は Windows よりネットワークドライブとして利用するので サーバーメッセージブロック(SMB) を選択します。
- ゲートウェイ ← 先ほど作成した Storage Gateway を選択します。
必要な場合はタグを設定し「次へ」ボタンをクリックします。
「Amazon S3 でファイル保存する方法の設定」画面で以下のように設定します。
- 新しいオブジェクトのストレージクラス ← S3 スタンダード
- S3 バケットへのアクセス ← 新しい IAM ロールを作成する
「次へ」ボタンをクリックします。
「確認」画面で「SMB共有の設定」で「編集」ボタンをクリックし、「認証方法の選択」を「ゲストアクセス」に設定して「ファイル共有の作成」ボタンをクリックします。
下図のようにファイル共有が正常に作成されることを確認します。
Windows サーバーからのネットワークドライブの設定
最後に動作確認をします。
Windows サーバーからネットワークドライブを割り当てます。
Windows サーバーにログインし「This PC」をクリックし「Map network drive」をクリックします。
「Map Network Drive」画面で下図のようにネットワークドライブの設定をします。
「Windows Security」画面で先ほど設定したアカウントとパスワードを入力して「OK」ボタンをクリックします。
下図のようにネットワークドライブにアクセスできることを確認します。
コメント