New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Come posso attivare un agente DataSync tra regioni AWS o tra account utilizzando un endpoint Amazon VPC?
Desidero utilizzare Amazon Virtual Private Cloud (Amazon VPC) per configurare i miei ambienti e AWS DataSync per trasferire dati in una rete privata.
Risoluzione
**Importante:**La configurazione di esempio presuppone quanto segue:
- le risorse non si connetteranno alla rete Internet pubblica ad eccezione della connessione tra gli endpoint privati ad AWS.
- L'origine del trasferimento dei dati è un ambiente VPC locale o remoto con un'origine dati NFS o SMB. La destinazione del trasferimento dei dati è in un Amazon VPC. Amazon VPC ha accesso ad Amazon Simple Storage Service (Amazon S3), Amazon Elastic File System (Amazon EFS) o Amazon FSx. Dopo aver completato la configurazione, è possibile invertire la direzione di trasferimento in base alle combinazioni di posizioni supportate per DataSync. Questa configurazione funziona anche con sorgenti locali, come HDFS e Object storage.
Configurazione dell'ambiente di rete di origine (origine dati NFS o SMB)
L'agente DataSync viene eseguito sulla rete di origine vicina all'origine dati NFS o SMB. Per questa configurazione, la rete di origine può essere locale o Amazon VPC privata.
Nota: se desideri utilizzare il peering VPC per configurare i trasferimenti tra VPC, consulta la sezione limitations of VPC peering. Assicurati che la funzionalità supporti la tua configurazione.
Configura l'ambiente di rete di destinazione (Amazon S3, Amazon EFS o Amazon FSx)
Per questa configurazione, la rete di destinazione è un Amazon VPC privato. Amazon VPC deve accedere a una posizione di destinazione, come Amazon S3, Amazon EFS o Amazon FSx.
Sul VPC privato di destinazione, completa i seguenti passaggi:
- Crea un endpoint VPC per DataSync.
- Verifica che la sottorete associata all'endpoint VPC disponga di almeno quattro indirizzi IP disponibili per gli endpoint di esecuzione di DataSync.
Nota: ogni attività DataSync utilizza quattro indirizzi IP per gli endpoint di esecuzione delle attività. - Configura un gruppo di sicurezza per gli endpoint DataSync VPC. Il gruppo di sicurezza deve consentire le seguenti opzioni:
Traffico in entrata sulla porta TCP 443 verso l'endpoint
Traffico effimero in uscita
Traffico in entrata sull'intervallo di porte TCP 1024-1062 verso l'endpoint VPC di destinazione
Per aprire un canale di supporto AWS, consenti il traffico in entrata sulla porta TCP 22
Configurare la connessione di rete tra l'ambiente di origine e quello di destinazione
Per questa configurazione, il trasferimento dei dati avviene da uno dei seguenti:
- Da un ambiente locale di origine a un VPC privato di destinazione
- Tra VPC privati che si trovano in diverse regioni AWS
- Da fonti che appartengono a diversi account AWS.
È necessario configurare i seguenti requisiti di connessione e rete tra gli ambienti di origine e di destinazione:
- Configura una connessione di rete attiva tra l'ambiente di origine e l'endpoint VPC di destinazione. Ad esempio, configura questa connessione utilizzando AWS Direct Connect, VPC peering o un VPC in transito.
- Verifica che non vi siano sovrapposizioni nello spazio degli indirizzi di rete privata tra l'ambiente di origine e quello di destinazione. Quindi, verifica i blocchi CIDR.
- Verificare che le voci della tabella di routing sia nella sottorete di origine che nella sottorete di destinazione consentano il traffico tra le reti senza problemi. Ad esempio, se utilizzi il peering VPC, aggiorna le tabelle di route per la connessione peering.
- Se è presente un firewall tra le reti di origine e di destinazione, devi consentire quanto segue:
Traffico sulla porta TCP 443 verso le sottoreti degli endpoint VPC di destinazione
Traffico sull'intervallo di porte TCP 1024-1062 verso l'endpoint VPC di destinazione
Per aprire un canale di supporto AWS, consenti il traffico sulla porta TCP 22 - Verifica che tutti i gruppi di sicurezza e i firewall consentano il traffico effimero in uscita o l'uso di strumenti di tracciamento della connessione.
Configurare una macchina da utilizzare per attivare l'agente DataSync
Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Puoi utilizzare un computer fisico, una macchina virtuale o un'istanza Amazon Elastic Compute Cloud (Amazon EC2) per attivare l'agente DataSync. Completa i seguenti passaggi sulla macchina:
- Configurare una connessione a una delle reti private nell'ambiente di origine o di destinazione. È necessario configurare percorsi di rete validi per entrambe le reti.
- Se non è disponibile una connessione Internet, è necessario configurare l'accesso di rete all'agente DataSync sulla porta TCP 80 (HTTP).
- Installa il comando cURL per ottenere la chiave di attivazione.
- Installa l'interfaccia a riga di comando AWS per attivare l'agente DataSync.
- Configura l'AWS CLI con l'autorizzazione AWS Identity and Access Management (IAM) che ti consente di attivare l'agente DataSync. Le autorizzazioni sono simili all'esempio seguente:
Nota: Se utilizzi un'istanza Amazon EC2 per attivare l'agente, puoi associare il ruolo IAM con le autorizzazioni corrette al profilo dell'istanza.{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "datasync:*" ], "Resource": "arn:aws:datasync:us-east-1:123456789012:*" }, { "Sid": "VisualEditor3", "Effect": "Allow", "Action": [ "ec2:*VpcEndpoint*", "ec2:*subnet*", "ec2:*security-group*" ], "Resource": "*" } ] }
Attiva l'agente DataSync
Nota: assicurati di sostituire us-east-1 con la regione AWS di tua scelta.
Per attivare l'agente DataSync, completare i seguenti passaggi:
-
Implementa l'agente DataSync su una macchina virtuale (on-premises) o su un'istanza EC2 (VPC privato).
-
Dal computer configurato, esegui il seguente comando cURL per ottenere la chiave di attivazione per ottenere l’agente di DataSync:
curl -vvv -G \ --data-urlencode "activationRegion=us-east-1" \ --data-urlencode "gatewayType=SYNC" \ --data-urlencode "endpointType=PRIVATE_LINK" \ --data-urlencode "privateLinkEndpoint=vpc_endpoint_ip_address" \ --data-urlencode "redirect_to=https://us-east-1.console.aws.amazon.com/datasync/home?region=us-east-1#/agents/create" \ "http://datasync_agent_ip"
Nota: Puoi facoltativamente includere --data-urlencode "no_redirect" per semplificare e abbreviare il comando e l'output. In alternativa, puoi utilizzare la console locale per ottenere la chiave di attivazione.
-
Annota la chiave di attivazione dall'output del comando.
-
Esegui il comando describe-vpc-endpoints per ottenere VpcEndpointId, VpCId, SubnetId e Security GroupId per l'endpoint VPC di destinazione:
aws ec2 describe-vpc-endpoints --region us-east-1
-
Annota il VpcEndpointId dall'output del comando. L'output è simile al seguente:
{ "VpcEndpointId": "vpce-0ba3xxxxx3752b63", "VpcEndpointType": "Interface", "VpcId": "vpc-aabb1122", "ServiceName": "com.amazonaws.us-east-1.datasync", ... "SubnetIds": [ "subnet-f0f6cd97", "subnet-990da7c1", "subnet-41241008" ], "Groups": [ { "GroupId": "sg-8ae9abf1", "GroupName": "default" } ], ...
**Nota:**se utilizzi la stessa sottorete e lo stesso gruppo di sicurezza per l'agente DataSync, salta i seguenti passaggi opzionali.
-
Utilizzando l'interfaccia a riga di comando di AWS, esegui il comando describe-security-groups per ottenere l'ID del gruppo di sicurezza del cloud privato virtuale di destinazione. Gli endpoint di esecuzione DataSync utilizzano questo gruppo di sicurezza per connettersi all'endpoint DataSync VPC.
aws ec2 describe-security-groups --region us-east-1
**Nota:**per ridurre la complessità della configurazione, è consigliabile utilizzare la stessa sottorete dell'endpoint VPC.
-
(Facoltativo) Annota il groupID dall'output del comando. L'output del comando è simile al seguente:
"GroupId": "sg-000e8edxxxx4e4701"
-
Utilizzando l'interfaccia a riga di comando di AWS, esegui il comando describe-subnets per ottenere l'ID della sottorete associato all'endpoint VPC:
aws ec2 describe-subnets --region us-east-1
Nota: per ridurre la complessità della configurazione, è consigliabile utilizzare la stessa sottorete dell'endpoint VPC.
-
(Facoltativo) Annota il SubnetArn dall'output del comando. L'output del comando è simile al seguente:
"SubnetArn": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-03dc4xxxx6905bb76"
-
Utilizzando l'interfaccia a riga di comando di AWS, esegui il comando create-agent per attivare l'agente DataSync:
aws datasync create-agent --agent-name your_agent_name --vpc-endpoint-id vpce-0cxxxxxxxxxxxxf57 --activation-key UxxxQ-0xxxB-LxxxL-AUxxV-JxxxN --subnet-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0cxxxxxxxxxxxx3 --security-group-arns arn:aws:ec2:us-east-1:123456789012:security-group/sg-xxxxxxxxxxxxxx --region us-east-1
**Nota:**Per la chiave di attivazione, inserisci la chiave di attivazione. Per vpc-endpoint-id, inserisci il tuo valore per VpcEndpointID. Per security-group-arns, inserisci il tuo valore per GroupID. Per subnet-arns, inserisci il tuo valore per SubnetArn.
Il comando restituisce l'ARN dell'agente DataSync:
{ "AgentArn": "arn:aws:datasync:us-east-1:123456789012:agent/agent-0bxxxxxxxxxxxxxx57c" }
- Esegui il comando list-agents per confermare che l'agente è stato creato correttamente:
aws datasync list-agents --region us-east-1
- Conferma che l'ARN del tuo agente DataSync sia restituito nell'output:
{ "Agents": [ { "AgentArn": "arn:aws:datasync:us-east-1:123456789012:agent/agent-0bxxxxxxxxxxxxxx57c", "Status": "ONLINE", "Name": "your_agent_name" } ] }
Dopo l'attivazione dell'agente DataSync, è possibile utilizzare la console DataSync per creare posizioni e attività per i trasferimenti.
Risoluzione degli errori durante l'attivazione dell'agente DataSync
È possibile che si verifichino errori durante l'attivazione dell'agente DataSync. Per risolvere i problemi, consulta le seguenti informazioni:
Il traffico sulla porta TCP 443 non è consentito
Il comando cURL restituisce il seguente errore e non restituisce la chiave di attivazione:
"errorType=PRIVATE_LINK_ENDPOINT_UNREACHABLE"
Questo errore si verifica in genere quando il traffico sulla porta TCP 443 non è consentito all'endpoint VPC.
Chiave di attivazione pubblica nel comando create-agent
Il seguente errore InvalidRequestException si verifica quando si chiama l'operazione CreateAgent. Potresti visualizzare un errore simile a uno dei seguenti:
La configurazione del link privato non è valida: L'ID dell'endpoint VPC non deve essere specificato per le chiavi di attivazione degli endpoint pubblici"
Questo errore si verifica in genere quando si immette la chiave di attivazione pubblica per il parametro --activation-key nel comando create-agent. È necessario inserire la chiave di attivazione privata per il tipo di endpoint privato in questa configurazione.
L'identità IAM ha autorizzazioni insufficienti
Quando si configura l'attivazione dell'agente DataSync, è possibile che venga visualizzato uno dei seguenti errori:
"An error occurred (InvalidRequestException) when calling the CreateAgent operation: Invalid EC2 subnet, ARN: arn:aws:ec2:us-east-1:123456789012:subnet/subnet-41xxxx08, reason: invalid subnet, StatusCode: 403"
-oppure-
"An error occurred (InvalidRequestException) when calling the CreateAgent operation: Invalid EC2 security group, ARN: arn:aws:ec2:us-east-1:123456789012:security-group/sg-000e8xxxx9d4e4701, reason: invalid security group, StatusCode: 403"
-oppure-
"An error occurred (InvalidRequestException) when calling the CreateAgent operation: Private link configuration is invalid: VPC endpoint vpce-0ba34edxxxx752b63 is not valid"
Questi errori si verificano in genere quando l'identità IAM configurata nell'interfaccia a riga di comando di AWS non dispone di autorizzazioni sufficienti. Devi confermare che la policy della tua identità IAM concede le autorizzazioni per ec2:*VpcEndpoint*, ec2:*subnet* ed ec2:*security-group*.
Informazioni correlate

Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa