VMware Cloud Director 环境中的 NSX Data Center for vSphere 软件支持 Edge 网关提供网络地址转换 (NAT) 服务。使用该功能可减少组织必须使用的公用 IP 地址数,从而实现经济性并确保安全。
Edge 网关的 NAT 服务能够将公用地址分配给专用网络中的虚拟机或虚拟机组。要让 Edge 网关能够访问组织虚拟数据中心中专门寻址的虚拟机上运行的服务,您必须在 Edge 网关上配置 NAT 规则。在最常见的情况下,您将 NAT 服务与 VMware Cloud Director 环境中 Edge 网关上的上行链路接口相关联,以便不在外部网络上公开组织虚拟数据中心网络上的地址。
NAT 服务配置分为源 NAT (SNAT) 和目标 NAT (DNAT) 规则。在 VMware Cloud Director 环境中的 Edge 网关上配置 SNAT 或 DNAT 规则时,请始终从您组织虚拟数据中心的角度来配置此规则。具体来说,这意味着按照下列方式配置规则:
- SNAT:流量通过 Internet 从组织虚拟数据中心内部网络上的虚拟机(源)传输到外部网络(目标)。SNAT 规则用于转换从组织虚拟数据中心网络发送到外部网络或其他组织虚拟数据中心网络的出站数据包的源 IP 地址。
- DNAT:流量从 Internet(源)传输到您的组织虚拟数据中心内的虚拟机(目标)。DNAT 规则用于转换某个组织虚拟数据中心网络中从外部网络或其他组织虚拟数据中心网络收到的数据包的 IP 地址,也可以选择转换其端口。
您可以配置 NAT 规则以在组织虚拟数据中心内部创建专用 IP 地址空间。此配置能够将专用 IP 地址空间从一个组织虚拟数据中心移植到另一个组织虚拟数据中心。配置 NAT 规则后,可以对位于一个组织虚拟数据中心中而在另一个组织虚拟数据中心中使用的虚拟机使用相同的专用 IP 地址。
VMware Cloud Director 环境中的 NAT 规则功能支持:
- 在专用 IP 地址空间内创建子网
- 为一个 Edge 网关创建多个专用 IP 地址空间
- 在多个 Edge 网关接口上配置多个 NAT 规则
重要说明: 您必须在 Edge 网关上同时配置防火墙和 NAT 规则,才能访问 Edge 网关网络上的虚拟机。默认情况下,Edge 网关部署时配置了防火墙规则,可拒绝出入 Edge 网关网络上虚拟机的所有网络流量。此外,默认情况下在 Edge 网关上停用 NAT,以便 Edge 网关无法转换入站和出站流量的 IP 地址,除非在 Edge 网关上配置 NAT。而且,如果不添加防火墙规则以允许相应的流量,那么配置 NAT 规则后尝试对网络上的虚拟机执行 ping 操作会失败。