O software NSX Data Center for vSphere no seu ambiente VMware Cloud Director permite que os edge gateways forneçam um serviço de conversão de endereços de rede (NAT). Usar esse recurso reduz o número de endereços IP públicos que uma organização deve usar, por fins de economia e de segurança.

O serviço NAT do edge gateway fornece a capacidade de atribuir um endereço público a uma máquina virtual ou a um grupo de máquinas virtuais em uma rede privada. Para permitir que seus edge gateways forneçam acesso a serviços em execução em máquinas virtuais endereçadas privadamente no data center virtual de organização, você deve configurar as regras de NAT nos edge gateways. No caso mais comum, você associa um serviço NAT a uma interface de uplink em um edge gateway no seu ambiente VMware Cloud Director para que os endereços em redes de data centers virtuais de organização não fiquem expostos na rede externa.

A configuração do serviço NAT é separada nas regras de NAT (SNAT) de origem e NAT de destino (DNAT). Ao configurar uma regra de SNAT ou de DNAT em um edge gateway no ambiente do VMware Cloud Director, você sempre configura a regra da perspectiva do data center virtual da sua organização. Especificamente, isso significa que você configura as regras das seguintes maneiras:

  • SNAT: o tráfego está viajando de uma máquina virtual em uma rede interna no seu data center virtual de organização (a origem) através da Internet para a rede externa (o destino). Uma regra de SNAT converte o endereço IP de origem dos pacotes de saída de uma rede de data center virtual de organização que estão sendo enviadas para uma rede externa ou para outra rede de data center virtual de organização.
  • DNAT: o tráfego está viajando da Internet (a origem) para uma máquina virtual dentro do data center virtual de organização (o destino). Uma regra de DNAT converte o endereço IP (e, opcionalmente, a porta) de pacotes recebidos por uma rede de data centers virtuais da organização provenientes de uma rede externa ou de outra rede de data centers virtuais da organização.

Você pode configurar as regras de NAT para criar um espaço de endereço IP privado no seu data center virtual de organização. Essa configuração fornece a capacidade de portar um espaço de endereço IP privado de um data center virtual de organização para outro. A configuração de regras de NAT permite que você use os mesmos endereços IP privados para suas máquinas virtuais em um data center virtual da organização que foram usados em outro.

A capacidade da regra de NAT no seu ambiente VMware Cloud Director oferece suporte a:

  • Criar sub-redes no espaço de endereço IP privado
  • Criar vários espaços de endereço IP privados para um edge gateway
  • Configurar várias regras de NAT em várias interfaces de edge gateway
Importante: Você deve configurar as regras de firewall e NAT em um edge gateway para que as máquinas virtuais em uma rede de edge gateway fiquem acessíveis. Por padrão, os edge gateways são implantados com regras de firewall configuradas para negar todo o tráfego de rede de e para as máquinas virtuais nas redes de edge gateway. Além disso, o NAT é desativado por padrão nos edge gateways para que os edge gateways não consigam converter os endereços IP do tráfego de entrada e saída, a menos que você configure o NAT nos edge gateways. A tentativa de efetuar ping em uma máquina virtual em uma rede após a configuração de uma regra de NAT falhará, a menos que você adicione uma regra de firewall para permitir o tráfego correspondente.

Adicionar uma regra de SNAT ou de DNAT

Você pode criar uma regra de NAT (SNAT) de origem para alterar o endereço IP de origem de um endereço IP público para privado ou vice-versa. Você pode criar uma regra de NAT (DNAT) de destino para alterar o endereço IP de destino de um endereço IP público para privado ou vice-versa.

Ao criar regras de NAT, você pode especificar os endereços IP originais e convertidos usando os seguintes formatos:

  • Endereço IP; por exemplo, 192.0.2.0
  • Intervalo de endereços IP; por exemplo, 192.0.2.0-192.0.2.24
  • Endereço IP/máscara de sub-rede; por exemplo, 192.0.2.0/24
  • any

Ao configurar uma regra de SNAT ou de DNAT em um edge gateway no ambiente do VMware Cloud Director, você sempre configura a regra da perspectiva do data center virtual da sua organização. Uma regra de SNAT converte o endereço IP de origem dos pacotes enviados de uma rede de data center virtual da organização em uma rede externa ou em outra rede de data centers virtuais da organização. Uma regra de DNAT converte o endereço IP (e, opcionalmente, a porta) de pacotes recebidos por uma rede de data centers virtuais da organização provenientes de uma rede externa ou de outra rede de data centers virtuais da organização.

Pré-requisitos

Os endereços IP públicos devem ter sido adicionados à interface do edge gateway do NSX Data Center for vSphere na qual você deseja adicionar a regra. Para as regras de DNAT, o endereço IP original (público) deve ter sido adicionado à interface do edge gateway. Para regras de SNAT, o endereço IP convertido (público) deve ter sido adicionado à interface.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique em NAT para exibir a tela Regras de NAT.
  3. Dependendo do tipo de regra de NAT que você está criando, clique em Regra de DNAT ou Regra de SNAT.
  4. Configure uma regra de NAT de destino (de fora para dentro).
    Opção Descrição
    Aplicado em Selecione a interface na qual aplicar a regra.
    IP/Intervalo Original

    Digite o endereço IP necessário ou selecione o endereço IP alocado na lista.

    Esse endereço deve ser o endereço IP público do edge gateway para o qual você está configurando a regra de DNAT. No pacote que está sendo inspecionado, esse endereço IP ou intervalo seria o que aparece como o endereço IP de destino do pacote. Esses endereços de destino do pacote são aqueles convertidos por essa regra de DNAT.

    Protocolo Selecione o protocolo ao qual a regra se aplica. Para aplicar essa regra a todos os protocolos, selecione Qualquer.
    Porta Original (Opcional) Selecione a porta ou o intervalo de portas que o tráfego de entrada usa no edge gateway para se conectar à rede interna à qual as máquinas virtuais estão conectadas. Esta seleção não está disponível quando o Protocolo está definido como ICMP ou Qualquer.
    Tipo de ICMP Quando você selecionar ICMP (um relatório de erros e um utilitário de diagnóstico usado entre dispositivos para comunicar informações de erro) para o Protocolo, selecione o Tipo de ICMP no menu suspenso.

    As mensagens de ICMP são identificadas pelo campo de tipo. Por padrão, o tipo de ICMP é definido como Qualquer.

    IP/Intervalo Convertido Digite o endereço IP ou um intervalo de endereços IP nos quais os endereços de destino nos pacotes de entrada serão convertidos.

    São endereços IP de uma ou mais máquinas virtuais para as quais você está configurando o DNAT de modo que eles possam receber o tráfego da rede externa.

    Porta Convertida (Opcional) Selecione a porta ou o intervalo de portas ao qual o tráfego de entrada está se conectando nas máquinas virtuais da rede interna. Essas portas são aquelas nas quais a regra de DNAT está convertendo os pacotes de entrada para as máquinas virtuais.
    Endereço IP de origem Se quiser que a regra se aplique apenas ao tráfego de um domínio específico, insira um endereço IP para esse domínio ou um intervalo de endereços IP no formato CIDR. Se você deixar esta caixa de texto em branco, a regra de DNAT se aplicará a todos os endereços IP que estiverem na sub-rede local.
    Porta de Origem (Opcional) Insira um número de porta para a origem.
    Descrição (Opcional) Insira uma descrição significativa para a regra de DNAT.
    Ativado Ative esta opção para ativar esta regra.
    Ativar log Ative esta opção para que a conversão de endereços realizada por essa regra seja registrada.
  5. Configure uma regra de NAT de origem (na saída externa).
    Opção Descrição
    Aplicado em Selecione a interface na qual aplicar a regra.
    IP/Intervalo de Origem Original Digite o endereço IP original ou o intervalo de endereços IP a ser aplicado a essa regra ou selecione o endereço IP alocado na lista.

    São endereços IP de uma ou mais máquinas virtuais para as quais você está configurando a regra de SNAT, de modo que eles possam enviar o tráfego para a rede externa.

    IP/Intervalo de Origem Convertido Digite o endereço IP necessário.

    Esse endereço deve ser sempre o endereço IP público do edge gateway para o qual você está configurando a regra de SNAT. Especifica o endereço IP no qual os endereços de origem (as máquinas virtuais) em pacotes de saída são convertidos quando enviam o tráfego para a rede externa.

    Endereço IP de Destino (Opcional) Se você deseja que a regra se aplique apenas ao tráfego para um domínio específico, insira um endereço IP para esse domínio ou um intervalo de endereços IP no formato CIDR. Se você deixar esta caixa de texto em branco, a regra SNAT se aplicará a todos os destinos fora da sub-rede local.
    Porta de Destino (Opcional) Insira um número de porta para o destino.
    Descrição (Opcional) Insira uma descrição significativa para a regra de SNAT.
    Ativado Ative esta opção para ativar esta regra.
    Ativar log Ative esta opção para que a conversão de endereços realizada por essa regra seja registrada.
  6. Clique em Manter para adicionar a regra à tabela na tela.
  7. Repita as etapas para configurar regras adicionais.
  8. Clique em Salvar alterações para salvar as regras no sistema.

O que Fazer Depois

Adicione as regras de firewall do edge gateway correspondentes para as regras de SNAT ou de DNAT que você acabou de configurar. Consulte Adicionar uma regra de firewall do edge gateway do NSX Data Center for vSphere.