本稿は、AWS Solution Architect Professional に出題される AWS Storage Gateway について個人用にまとめた記事です。
目次
AWS Storage Gateway が出題されるシナリオ
- 企業がオンプレミスにあるデータストレージ、ファイルサーバを低いレイテンシーを維持したまま、AWS の可用性と柔軟性のあるストレージサービスを利用したい、合わせて災害復旧対策も行いたい
- テープライブラリへのバックアップを AWS に保存したい
- オンプレミスのデータを拡張したい
- オンプレミスの 1,000 TB のデータにアクセスしたまま AWS へ拡張したい
( キャッシュボリュームにするか保存型ボリュームか )
AWS Storage Gateway とは
AWS Storage Gateway サービスにより、オンプレミスの環境 (ソフトウェアアプライアンスなど) と AWS クラウドの間でハイブリッドクラウドストレージが実現されます。このサービスでは、オンプレミスのエンタープライズアプリケーションと、Amazon のブロックおよびオブジェクト型クラウドストレージサービスを利用したワークフローが、業界標準のストレージプロトコルを通してシームレスに統合されます。頻繁にアクセスされるデータはオンプレミスでキャッシュして低レイテンシーのパフォーマンスを実現する一方で、データは Amazon クラウドストレージサービスに、安全かつ耐久性に優れた方法で保存されます。最適化されたデータ転送メカニズムと帯域幅管理機能を備えているため、信頼性の低いネットワークでも利用可能で、転送されるデータ量は最小限になります。ネイティブで AWS 暗号化、ID 管理、モニタリング、およびストレージサービスと統合されて、AWS のセキュリティ、管理のしやすさ、耐久性、およびスケーラビリティを既存のエンタープライズ環境に取り入れることができます。典型的なユースケースとしては、バックアップとアーカイブ、災害対策、クラウド内ワークロードのための S3 へのデータ移動、階層化されたストレージなどが挙げられます。
( 引用: Q: AWS Storage Gateway サービスとは何ですか? )
AWS Storage Gateway の種類
AWS Storage Gateway は 3 種類あります。
ファイルゲートウェイ
NFS などのファイルプロトコルを使用して、Amazon S3 でオブジェクトの保存と取得を実行できます。ファイルゲートウェイを通して書き込まれたオブジェクトには、S3 で直接アクセスできます。
ボリュームゲートウェイ
iSCSI プロトコルを使用してアプリケーションにブロックストレージを提供します。ボリュームのデータは Amazon S3 に保存されます。AWS で iSCSI ボリュームにアクセスする場合は、EBS ボリュームの作成に使用できる EBS スナップショットを作成します。
ボリュームゲートウェイの場合、さらに2種類のアーキテクチャがあります。
キャッシュ型ボリュームのアーキテクチャ
キャッシュ型ボリュームを使用することで、頻繁にアクセスされるデータはローカルのストレージゲートウェイに保持しながら、Amazon S3 をプライマリデータストレージとして使用できます。
キャッシュ型ボリュームはオンプレのストレージをスケールする必要性を最小限に抑えます。
保管型ボリュームのアーキテクチャ
プライマリデータをローカルに保存する一方で、そのデータを非同期に AWS にバックアップします。そのため、オンプレミスのアプリケーションがそのデータセット全体に低レイテンシーでアクセスできます。
ボリューム制限
キャッシュ型ボリュームと保存型 ( Stored ) ボリュームではサイズ制限が異なります。
| 説明 | キャッシュボリューム | 保存型ボリューム |
| ボリュームの最大サイズ 注記 サイズが 16 TiB より大きいキャッシュ型ボリュームからスナップショットを作成する場合、それを Storage Gateway ボリュームに復元することはできますが、Amazon Elastic Block Store (Amazon EBS) ボリュームに復元することはできません。 | 32 TiB | 16TiB |
| ゲートウェイあたりの最大ボリューム数 | 32 | 32 |
| ゲートウェイのすべてのボリュームの合計サイズ | 1,024 TiB | 512 TiB |
テープゲートウェイ
オンプレミスにあるテープ型バックアップ装置を、AWS のアーキテクチャに置き換えたものになります。
仮想テープライブラリ (VTL) のインターフェイスを使用することで、既存のテープベースのバックアップインフラストラクチャを利用して、テープゲートウェイ 上に作成する仮想テープカートリッジにデータを保存できます。各 テープゲートウェイ にはメディアチェンジャーとテープドライブがあらかじめ組み込まれています。これらは、既存のクライアントバックアップアプリケーションから iSCSI デバイスとして利用できます。データをアーカイブするには、必要に応じてテープカートリッジを追加します。
セキュリティ
ボリューム用の CHAP 認証の設定
AWS Storage Gateway では、iSCSI イニシエータは iSCSI ターゲットとしてボリュームに接続します。Storage Gateway は、チャレンジハンドシェイク認証プロトコル (CHAP) を使用して iSCSI とイニシエータの接続を認証します。CHAP は、ストレージボリュームターゲットへのアクセスが試みられる際に認証を要求することによって、プレイバック攻撃に対する保護を提供します。ボリュームターゲットごとに、1 つまたは複数の CHAP 認証情報を定義できます。さまざまなイニシエーター用のこれらの認証情報は、[Configure CHAP credentials] ダイアログボックスで表示、編集できます。
AWS Key Management Service を使用したデータの暗号化
通信の暗号化
AWS Storage Gateway は、SSL/TLS (Secure Socket Layers/Transport Layer Security) を使用して、ゲートウェイアプライアンスと AWS ストレージ間で転送されるデータを暗号化します。
データの暗号化
- デフォルトでは、Storage Gateway は Amazon S3 で管理された暗号化キー (SSE-S3) を使用して、Amazon S3 に格納されているすべてのデータをサーバ側で暗号化します。
- Storage Gateway API を使用して、さまざまなゲートウェイタイプを設定し、AWS Key Management Service (KMS) を使用して、クラウドに保存されているデータを暗号化するオプションもあります。
参考リンク
AWS Storage Gateway の仕組み (アーキテクチャ)