AWS Storage Gateway とは
AWS Storage Gateway は、オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、お客様のオンプレミスの IT 環境と AWS のストレージインフラストラクチャとの間にデータセキュリティ機能を備えたシームレスな統合を実現するサービスです。このサービスを使用すると、AWS クラウドにデータを保存し、データのセキュリティを維持するために役立つ、スケーラブルで費用効率が高いストレージを利用できます。
ファイルゲートウェイ
- NFS バージョン 3 または 4.1 プロトコルを使用して、ファイルを直接保存し取得
- SMB ファイルシステムのバージョン 2 および 3 のプロトコルを使用してファイルを直接保存および取得
- AWS クラウドアプリケーションまたはサービスから Amazon S3 のデータに直接アクセス
- ライフサイクルポリシー、クロスリージョンレプリケーション、およびバージョニングを使用して Amazon S3 のデータを管理できます。ファイルゲートウェイ を S3 上のファイルシステムマウントとして考えることができます。
サービス統合
- AWS Identity and Access Management (IAM) を使用した一般的なアクセス管理
- AWS Key Management Service (AWS KMS) を使用した暗号化
- Amazon CloudWatch (CloudWatch) を使用したモニタリング
- AWS CloudTrail (CloudTrail) を使用した監査
- AWS マネジメントコンソール と AWS Command Line Interface (AWS CLI) を使用したオペレーション
- 請求情報とコスト管理
ボリュームゲートウェイ
ボリュームゲートウェイは、オンプレミスのアプリケーションサーバーから iSCSI (Internet Small Computer System Interface) デバイスとしてマウントできる、クラウドベースのストレージボリュームを提供
キャッシュボリューム
データを Amazon Simple Storage Service (Amazon S3) に保存し、頻繁にアクセスするデータサブセットのコピーをローカルに保持します。プライマリストレージのコストを大幅に削減し、ストレージをオンプレミスで拡張する必要を最小限に抑えます。また、頻繁にアクセスするデータへのアクセスを低レイテンシーに保つことができます。
ゲートウェイがキャッシュストレージとして使用するディスク
アプリケーションがデータを AWS のストレージボリュームに書き込むとき、ゲートウェイは最初にデータをキャッシュストレージに使用されるオンプレミスのディスクに保存します。次に、ゲートウェイはデータを Amazon S3 にアップロードします。キャッシュストレージは、オンプレミスで耐久性の高い保存場所として、アップロードバッファから Amazon S3 へのアップロードを保留中のデータを保存する働きをします。
ゲートウェイがアップロードバッファとして使用するディスク
ゲートウェイは、受け取ったデータを Amazon S3 にアップロードする前に、アップロードバッファと呼ばれる待機領域にいったん保存します。 ゲートウェイはこのバッファからデータを暗号化 Secure Sockets Layer (SSL) 接続で AWS にアップロードし、そこでデータは暗号化されて Amazon S3 に保存されます。
データのバックアップを復元する
Amazon EBS スナップショットをゲートウェイストレージボリュームに復元できます。また、16 TiB までのスナップショットの場合、新しい Amazon EBS ボリュームの場合は、開始点としてスナップショットを使用できます。この新しい Amazon EBS ボリュームを Amazon EC2 インスタンスにアタッチできます。
キャッシュボリューム用のすべてのゲートウェイデータとスナップショットデータは、Amazon S3 に保存され、サーバー側の暗号化 (SSE) 機能を使用して保管時に暗号化されます。
保管型ボリューム
データセット全体への低レイテンシーアクセスが必要な設定は、最初にすべてのデータをローカルに保存するようにオンプレミスのゲートウェイを設定します。次に、このデータのポイントインタイムスナップショットを非同期的に Amazon S3 にバックアップします。この設定は、ローカルデータセンターや Amazon Elastic Compute Cloud (Amazon EC2) に復元できる、耐久性が高く低コストのオフサイトバックアップを提供します。たとえば、障害復旧のための代替容量が必要な場合は、Amazon EC2 にバックアップを復元できます。
データのバックアップを復元する
Amazon EBS スナップショットをオンプレミスのゲートウェイストレージボリュームに復元できます。このスナップショットから新たに Amazon EBS ボリュームを作成し、それを Amazon EC2 インスタンスにアタッチすることもできます。
テープゲートウェイ
テープゲートウェイは、クラウドベースの仮想テープストレージを提供します。テープゲートウェイは、VMware ESXi、KVM、または Microsoft Hyper-V ハイパーバイザーで実行される VM としてオンプレミス環境にデプロイ
テープゲートウェイを使用すると、バックアップデータをコスト効果や耐久性の高い方法で GLACIER または DEEP_ARCHIVE にアーカイブできます。テープゲートウェイは仮想テープインフラストラクチャとして、お客様事業での需要に応じシームレスにスケーリングができ、物理テープインフラストラクチャのプロビジョニング、スケーリング、保守といった運用の負担を解消
オンプレミスで VM アプライアンスとして、ハードウェアアプライアンスとして、または AWS で Amazon EC2 インスタンスとして実行できます。EC2 インスタンスにゲートウェイをデプロイして、AWS の iSCSI ストレージボリュームをプロビジョニング
アーカイブ
アーカイブは現実でいえばオフサイトのテープ保管施設にあたります。ゲートウェイ VTL からアーカイブに仮想テープをアーカイブできます。必要に応じて、アーカイブからゲートウェイ VTL にテープを取得
テープのアーカイブ
VTS は S3 Glacier または S3 GlacierDeep Archive (データのアーカイブ、バックアップ、長期データ保持のための低コストのストレージサービス) によってサポートされます。
テープの取り出し
アーカイブされたテープは、直接読み取ることができません。アーカイブされたテープを読み取るには、まず、Storage Gateway コンソールまたは Storage Gateway API を使用して、テープゲートウェイ に取り出す必要があります。
テープを GLACIER にアーカイブした場合、通常 3 〜 5 時間以内に取り出すことができます。テープを DEEP_ARCHIVE にアーカイブした場合、通常 12 時間以内に取り出すことができます。
Storage Gateway のモニタリング
AWS Storage Gateway は Amazon CloudWatch メトリクスを追加料金なしで提供します。Storage Gateway メトリクスは 2 週間の間、記録されます。これらのメトリクスを使用することにより、履歴情報にアクセスして、ゲートウェイとボリュームのパフォーマンスをより的確に把握できます。
参考文献
- AWS Storage Gateway とは
ボリューム用の CHAP 認証の設定
AWS Storage Gateway では、iSCSI イニシエータは iSCSI ターゲットとしてボリュームに接続します。Storage Gateway は、チャレンジハンドシェイク認証プロトコル (CHAP) を使用して iSCSI とイニシエータの接続を認証します。CHAP は、ストレージボリュームターゲットへのアクセスが試みられる際に認証を要求することによって、プレイバック攻撃に対する保護を提供します。ボリュームターゲットごとに、1 つまたは複数の CHAP 認証情報を定義できます。さまざまなイニシエーター用のこれらの認証情報は、[Configure CHAP credentials] ダイアログボックスで表示、編集できます。