Como posso configurar uma conexão de rede privada entre um gateway de arquivos e o Amazon S3?

4 minuto de leitura
0

Quero configurar uma conexão de rede privada entre a interface de arquivos (gateway de arquivos) do AWS Storage Gateway e o Amazon Simple Storage Service (Amazon S3). Não quero que meu gateway se comunique com os serviços da AWS pela Internet. Como posso fazer isso?

Breve descrição

Você pode configurar uma conexão de rede privada entre um gateway de arquivos e o Amazon S3 em uma Amazon Virtual Private Cloud (Amazon VPC), na qual o dispositivo de gateway se conecta a endpoints de serviço em uma rede privada interna. Para configurar essa conexão privada em uma VPC, faça o seguinte:

  1. Crie um endpoint de gateway VPC ou um endpoint de interface para o Amazon S3.
  2. Crie um gateway de arquivos usando um endpoint da VPC.

O Amazon S3 File Gateway oferece suporte a dois endpoints do Amazon S3. No entanto, você precisa criar somente um tipo de endpoint com base no seu caso de uso.

Observação: Os endpoints do gateway Amazon S3 não podem ser usados com gateways locais. Um endpoint de gateway do Amazon S3 é usado com gateways baseados em instâncias do Amazon EC2. Os endpoints de interface do Amazon S3 podem ser usados com gateways locais e baseados em instâncias do EC2

Resolução

Crie um endpoint de gateway VPC para o Amazon S3

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, escolha Endpoints.
  3. Escolha Criar Endpoint.
  4. Para a categoria Serviço, selecione Serviços da AWS.
  5. Em Nome do serviço, selecione o Nome do serviço que termina com s3 e tem Tipo como Gateway.
  6. Para VPC, selecione a VPC que você deseja usar ao acessar o Storage Gateway.
  7. Em Configurar tabelas de rotas, selecione o ID da Tabela de Rotas para sua configuração.
  8. Escolha Criar endpoint.

Ao usar endpoints da VPC do Gateway, as políticas de endpoint da VPC são usadas para restringir o acesso e permitir somente solicitações aos buckets do S3 de usuários autorizados. Além disso, você pode controlar quais buckets podem ser acessados de uma VPC específica. Esse é o modelo de melhores práticas para acessar o S3 a partir de uma VPC na mesma região. Para usar um endpoint da VPC do Gateway a partir de aplicações locais ou acessar o S3 de uma VPC em uma região diferente da AWS, você deve ter configurado uma frota de servidores proxy com endereços IP privados em sua VPC. Isso resulta em alterações em suas aplicações locais para que eles direcionem as solicitações aos servidores proxy e, em seguida, as encaminhem para o S3 por meio do seu endpoint da VPC.

Crie um endpoint de interface VPC para o Amazon S3

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, escolha Endpoints.
  3. Escolha Criar Endpoint.
  4. Para a categoria Serviço, selecione Serviços da AWS.
  5. Em Nome do serviço, selecione o nome do serviço que termina com s3 e tem Tipo como Interface.
  6. Em VPC, selecione a VPC e as sub-redes que você deseja usar ao acessar o Storage Gateway.
  7. Em Grupo de segurança, selecione o grupo de segurança em que a porta 443 está aberta.
  8. Escolha Criar endpoint.

Crie um gateway de arquivos usando o endpoint da VPC

Para criar um gateway de arquivos usando um endpoint da VPC, você deve criar um endpoint da VPC para o Storage Gateway, criar e configurar um gateway de arquivos e ativar seu gateway em uma VPC.

Observação: se você estiver usando o Storage Gateway local através de uma conectividade privada com a AWS, poderá usar um endpoint de interface para o Amazon S3 que funciona sem um proxy Amazon Elastic Compute Cloud (Amazon EC2).

Crie compartilhamento de arquivos usando o endpoint da interface VPC para Amazon S3

Com o Amazon S3 File Gateway, você pode criar um compartilhamento de arquivos que pode ser acessado usando o protocolo Network File System (NFS) ou Server Message Block (SMB). Para obter mais informações sobre como criar um compartilhamento de arquivo, consulte Criação de um compartilhamento de arquivo.

Teste a conectividade de rede

Observação: testes de conectividade ajudam você a verificar se o dispositivo Storage Gateway pode se conectar ao endpoint de serviço pela porta TCP necessária.

  1. Conecte-se à instância host Amazon EC2 do gateway de arquivos usando SSH.
  2. Na sessão SSH, digite 3 para selecionar 3: Testar a conectividade da rede.
  3. Os testes retornam [APROVADO] para uma conexão de rede bem-sucedida.

Informações relacionadas

Casos de uso (endpoints do AWS PrivateLink e da VPC)

Executando tarefas de manutenção no console local

Acesso híbrido seguro ao Amazon S3 usando o AWS PrivateLink

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos