AWS Storage Gateway — Cheat Sheet
AWS Storage Gateway est un service de stockage hybride qui connecte votre infrastructure on-premise au cloud AWS. Il agit comme un pont sécurisé entre vos serveurs locaux et les services de stockage AWS (S3, FSx, EBS, Glacier).
Pourquoi utiliser Storage Gateway ?
| Besoin | Solution |
|---|---|
| Conserver les protocoles NFS/SMB existants | ✅ File Gateway |
| Environnement Windows avec NTFS/Active Directory | ✅ FSx File Gateway |
| Volumes iSCSI pour bases de données et ERP | ✅ Volume Gateway |
| Remplacer les bandes physiques (backup legacy) | ✅ Tape Gateway |
Types d'appliances
Storage Gateway peut être déployé de deux façons :
-
Appliance virtuelle — Machine virtuelle sur VMware ESXi, Microsoft Hyper-V ou Linux KVM. Téléchargez le fichier OVA/OVF et importez-le dans votre hyperviseur. Idéale si vous avez déjà une infrastructure virtualisée.
-
Appliance hardware — Appareil physique livré par AWS, préconfiguré et prêt à brancher. Recommandé pour les charges de travail intensives nécessitant performances maximales et haute fiabilité.
Sécurité : toutes les données en transit sont chiffrées. L'accès aux appliances est contrôlé via des politiques IAM.
1. File Gateway — Fichiers → Amazon S3
Principe : vos applications accèdent à des fichiers via NFS ou SMB. File Gateway les stocke automatiquement comme des objets dans S3, avec un cache local des fichiers récemment utilisés.
Fonctionnement
Serveur on-premise
└── NFS / SMB
└── File Gateway (cache local)
└── HTTPS → Amazon S3
└── Lifecycle → S3 Glacier
Classes de stockage S3 supportées
- S3 Standard
- S3 Standard-IA
- S3 One Zone-IA
- S3 Intelligent-Tiering
- S3 Glacier (via règles de cycle de vie)
Points clés
- Le cache local conserve uniquement les fichiers récemment utilisés (pas une copie complète)
- Les fichiers absents du cache sont récupérés automatiquement depuis S3 à la demande
- Chaque gateway utilise un rôle IAM dédié pour accéder aux buckets S3
- Intégration avec Active Directory pour l'authentification SMB
Cas d'usage
- Sauvegarde automatique des fichiers locaux vers S3
- Archivage à long terme avec transition vers Glacier
- Extension du stockage local sans modifier les applications existantes
- Disaster recovery : données disponibles dans S3 même si le site local tombe
2. FSx File Gateway — Fichiers Windows → Amazon FSx
Principe : accès natif à Amazon FSx for Windows File Server depuis vos applications on-premise, avec cache local pour les données fréquentes.
Différence clé avec File Gateway
| File Gateway | FSx File Gateway | |
|---|---|---|
| Stockage cible | Amazon S3 (objets) | Amazon FSx (système de fichiers) |
| Protocole | NFS et SMB | SMB uniquement |
| NTFS | ❌ | ✅ natif |
| Active Directory | Oui (SMB) | Oui (natif) |
| Idéal pour | Archivage, backup | Environnements Windows, home directories |
Cas d'usage
- Partages de fichiers Windows migrés vers le cloud
- Répertoires personnels (home directories) en cloud hybride
- Applications nécessitant les ACL NTFS complètes
3. Volume Gateway — Blocs → Amazon EBS
Principe : expose des volumes de stockage en bloc via iSCSI. Vos applications voient ces volumes comme des disques physiques normaux. Les données sont sauvegardées dans AWS sous forme de snapshots EBS.
Deux modes de fonctionnement
Mode Stocké (Stored)
Données principales → stockage LOCAL
Snapshots asynchrones → Amazon EBS (via S3 en arrière-plan)
- Accès local rapide et constant
- Idéal si vos applications ont besoin de faible latence en permanence
- Sauvegarde AWS en cas de sinistre
Mode Mis en Cache (Cached)
Données principales → Amazon S3
Cache des données fréquentes → stockage LOCAL
- Réduit les besoins en stockage local
- Économique et évolutif
- Légère latence pour les données hors cache
Points clés
- Snapshots incrémentaux : seuls les blocs modifiés sont sauvegardés (économie de coût)
- En cas de sinistre : les snapshots permettent de recréer les volumes sur des instances EC2
- Intégration avec AWS Backup pour automatiser la rétention
- Protocole : iSCSI (Internet Small Computer Systems Interface)
Cas d'usage
- Sauvegarde de bases de données et systèmes ERP
- Reprise après sinistre : recréer les volumes dans EC2 depuis les snapshots
- Extension du stockage bloc sans remplacer les applications existantes
4. Tape Gateway — Bandes virtuelles → S3 + Glacier
Principe : émule une bibliothèque de bandes physiques (VTL — Virtual Tape Library) via iSCSI. Vos logiciels de backup existants (Veeam, Veritas, etc.) ne voient aucune différence — les bandes virtuelles remplacent les bandes physiques.
Fonctionnement
Serveur de backup
└── iSCSI VTL (bandes virtuelles)
└── Tape Gateway (cache local)
└── HTTPS → Amazon S3
└── Lifecycle → S3 Glacier / Glacier Deep Archive
Points clés
- Aucune modification des outils de backup existants
- Stockage intermédiaire sur S3, archivage long terme sur Glacier
- Cycle de vie automatique : déplacement des bandes vers Glacier Deep Archive
- Accès rapide aux sauvegardes récentes, coût minimal pour l'archivage
Cas d'usage
- Remplacement des infrastructures de bandes physiques
- Archivage réglementaire à long terme (finance, santé, secteur public)
- Backup hors-site : données accessibles même si le datacenter local est détruit
Tableau comparatif complet
| Critère | File Gateway | FSx File Gateway | Volume Gateway | Tape Gateway |
|---|---|---|---|---|
| Type de stockage | Objets dans S3 | Fichiers dans FSx | Blocs (snapshots EBS) | Bandes virtuelles S3/Glacier |
| Protocole d'accès | NFS, SMB | SMB | iSCSI | iSCSI VTL |
| Cache local | ✅ | ✅ | ✅ | ✅ |
| NTFS | ❌ | ✅ | ❌ | ❌ |
| Active Directory | ✅ (SMB) | ✅ | ❌ | ❌ |
| Stockage cible | S3, Glacier | Amazon FSx | EBS Snapshots | S3, Glacier, Deep Archive |
| Mode principal | Accès fichiers | Accès fichiers Windows | Stocké ou mis en cache | Archivage bandes |
| Cas d'usage | Partage, backup, archivage | Partage Windows, home dirs | Backup BD, reprise sinistre | Archivage long terme |
Bonnes pratiques
Sécurité
- Utiliser des rôles IAM dédiés par gateway (principe du moindre privilège)
- Activer le chiffrement en transit (HTTPS) et au repos (SSE-S3 ou SSE-KMS)
- Pour SMB : intégrer Active Directory pour contrôler les accès utilisateurs
Performance
- Dimensionner le cache local selon les données fréquemment accédées
- Recommandation AWS : minimum 150 GiB de cache pour File Gateway
- Pour Volume Gateway en mode stocké : prévoir du stockage local suffisant pour toutes les données primaires
- Synchroniser l'horloge de l'appliance virtuelle avec l'hôte
Coûts
- Configurer des règles de cycle de vie S3 pour descendre vers Glacier automatiquement
- Utiliser les snapshots incrémentaux de Volume Gateway pour minimiser les données stockées
- Choisir S3 Glacier Deep Archive pour les archives réglementaires rarement consultées
Connectivité
- Connexion via Internet, AWS Direct Connect (recommandé pour la production) ou VPN
- Une connexion Direct Connect réduit la latence et augmente la bande passante
Déploiement en 4 étapes
- Choisir le type de gateway selon votre cas d'usage (voir tableau ci-dessus)
- Déployer l'appliance — virtuelle (VMware/Hyper-V/KVM/EC2) ou hardware
- Configurer la connexion via la console AWS Storage Gateway
- Créer les ressources — partages NFS/SMB, volumes iSCSI ou bibliothèque VTL
À retenir pour l'examen AWS
- File Gateway = fichiers via NFS/SMB → stockés comme objets dans S3
- FSx File Gateway = partages Windows natifs (NTFS, AD) → Amazon FSx
- Volume Gateway = disques iSCSI → snapshots EBS (mode stocké vs mis en cache)
- Tape Gateway = bandes virtuelles → S3 puis Glacier (logiciels backup inchangés)
- Tous les types ont un cache local pour les performances
- Storage Gateway se connecte via Internet, Direct Connect, VPN ou VPC endpoint