要将源 IP 地址从专用 IP 地址更改为公用 IP 地址,请创建源 NAT (SNAT) 规则。要将目标 IP 地址从公用 IP 地址更改为专用 IP 地址,请创建目标 NAT (DNAT) 规则。

VMware Cloud Director 环境中的 Edge 网关上配置 SNAT 或 DNAT 规则时,请始终从您组织 VDC 的角度来配置此规则。

SNAT 规则用于转换从组织 VDC 网络发送到外部网络或其他组织 VDC 网络的数据包的源 IP 地址。

NO SNAT 规则用于阻止转换从组织 VDC 发送到外部网络或其他组织 VDC 网络的数据包的内部 IP 地址。

DNAT 规则用于转换组织 VDC 网络从外部网络或其他组织 VDC 网络收到的数据包的 IP 地址,也可以选择转换其端口。

NO DNAT 规则用于阻止转换组织 VDC 从外部网络或其他组织 VDC 网络接收的数据包的外部 IP 地址。

NSX Edge 网关上使用 NAT 服务时,VMware Cloud Director 支持自动路由重新分发。

重要说明: 如果使用的是 Tanzu Kubernetes 集群,请记下在 Edge 网关上创建的系统 SNAT 规则,以避免创建冲突的规则。

前提条件

确认已将公用 IP 地址添加到您要添加规则的 Edge 网关接口。

过程

  1. 在顶部导航栏中,单击网络,然后单击 Edge 网关选项卡。
  2. 单击 Edge 网关,然后在服务下,单击 NAT
  3. 要添加规则,请单击新建
  4. 配置 SNAT 或 NO SNAT 规则(内部到外部)。
    选项 描述
    名称 为规则输入一个有意义的名称。
    描述 (可选)为规则输入描述。
    接口类型 从下拉菜单中,选择 SNAT 或 NO SNAT。
    外部 IP 根据要创建的规则的类型,选择其中一个选项。
    • 如果要创建 SNAT 规则,请选择或输入要配置 SNAT 规则的 Edge 网关的公用 IP 地址。
    • 如果要创建 NO SNAT 规则,请将此文本框留空。
    内部 IP 输入要为其配置 SNAT 的虚拟机的 IP 地址或 IP 地址列表,以便它们可以将流量发送到外部网络。
    目标 IP (可选)如果您希望将规则仅应用到流向特定域的流量,请输入此域的 IP 地址或 IP 地址列表。如果将此文本框留空,则 SNAT 规则将应用于本地子网外的所有目标。
    高级设置(可选) 单击高级设置选项卡可配置一些其他设置。
    状态
    要在创建时启用规则,请打开“状态”选项。
    日志记录
    要记录此规则执行的地址转换,请打开 日志记录选项。
    优先级
    如果某个地址具有多个 NAT 规则,可以为这些规则分配不同的优先级以确定这些规则的应用顺序。值越低表示此规则的优先级越高。
    防火墙匹配
    可以设置防火墙匹配规则以确定如何在 NAT 期间应用防火墙。从下拉菜单中,选择以下选项之一。
    • 要对 NAT 规则的内部地址应用防火墙规则,请选择匹配内部地址
    • 要对 NAT 规则的外部地址应用防火墙规则,请选择匹配外部地址
    • 要跳过应用防火墙规则,请选择绕过
    应用对象
    仅将此 NAT 规则应用于选定的组织 VDC 网络或选定的外部网络选择。可以选择已停用分布式路由的组织 VDC 网络,也可以选择外部网络上行链路。
  5. 配置 DNAT 或 NO DNAT 规则(外部到内部)。
    选项 描述
    名称 为规则输入一个有意义的名称。
    描述 (可选)为规则输入描述。
    接口类型 从下拉菜单中,选择 DNAT 或 NO DNAT。
    外部 IP 输入要配置 DNAT 规则的 Edge 网关的公用 IP 地址。

    所输入的 IP 地址必须属于二次分配给 Edge 网关的 IP 地址。

    外部端口 (可选)输入 DNAT 规则要针对虚拟机入站数据包转换到的端口。
    内部 IP 根据要创建的规则的类型,选择其中一个选项。
    • 如果要创建 DNAT 规则,请选择或输入要配置 DNAT 的虚拟机的 IP 地址或 IP 地址列表,以便它们可以从外部网络接收流量。
    • 如果要创建 NO DNAT 规则,请将该文本框留空。
    应用程序 (可选)选择要应用规则的特定应用程序端口配置文件。

    应用程序端口配置文件包含入站流量在 Edge 网关上用于连接到内部网络的端口和协议。

    高级设置(可选) 单击高级设置选项卡可配置一些其他设置。
    状态
    要在创建时启用规则,请打开“状态”选项。
    日志记录
    要记录此规则执行的地址转换,请打开 日志记录选项。
    优先级
    如果某个地址具有多个 NAT 规则,可以为这些规则分配不同的优先级以确定这些规则的应用顺序。值越低表示此规则的优先级越高。
    防火墙匹配
    可以设置防火墙匹配规则以确定如何在 NAT 期间应用防火墙。从下拉菜单中,选择以下选项之一。
    • 要对 NAT 规则的内部地址应用防火墙规则,请选择匹配内部地址
    • 要对 NAT 规则的外部地址应用防火墙规则,请选择匹配外部地址
    • 要跳过应用防火墙规则,请选择绕过
    应用对象
    默认情况下,NAT 规则将应用于连接到 Edge 网关的所有网络。您可以选择要应用此 NAT 规则的特定网络。可以选择已停用分布式路由的组织 VDC 网络,也可以选择外部网络上行链路。
  6. 单击保存
  7. 要配置其他规则,请重复这些步骤。