VMware Cloud Director 环境中的 NSX Data Center for vSphere 软件支持 Edge 网关提供网络地址转换 (NAT) 服务。使用该功能可减少组织必须使用的公用 IP 地址数,从而实现经济性并确保安全。

Edge 网关的 NAT 服务能够将公用地址分配给专用网络中的虚拟机或虚拟机组。要让 Edge 网关能够访问组织虚拟数据中心中专门寻址的虚拟机上运行的服务,您必须在 Edge 网关上配置 NAT 规则。在最常见的情况下,您将 NAT 服务与 VMware Cloud Director 环境中 Edge 网关上的上行链路接口相关联,以便不在外部网络上公开组织虚拟数据中心网络上的地址。

NAT 服务配置分为源 NAT (SNAT) 和目标 NAT (DNAT) 规则。在 VMware Cloud Director 环境中的 Edge 网关上配置 SNAT 或 DNAT 规则时,请始终从您组织虚拟数据中心的角度来配置此规则。具体来说,这意味着按照下列方式配置规则:

  • SNAT:流量通过 Internet 从组织虚拟数据中心内部网络上的虚拟机(源)传输到外部网络(目标)。SNAT 规则用于转换从组织虚拟数据中心网络发送到外部网络或其他组织虚拟数据中心网络的出站数据包的源 IP 地址。
  • DNAT:流量从 Internet(源)传输到您的组织虚拟数据中心内的虚拟机(目标)。DNAT 规则用于转换某个组织虚拟数据中心网络中从外部网络或其他组织虚拟数据中心网络收到的数据包的 IP 地址,也可以选择转换其端口。

您可以配置 NAT 规则以在组织虚拟数据中心内部创建专用 IP 地址空间。此配置能够将专用 IP 地址空间从一个组织虚拟数据中心移植到另一个组织虚拟数据中心。配置 NAT 规则后,可以对位于一个组织虚拟数据中心中而在另一个组织虚拟数据中心中使用的虚拟机使用相同的专用 IP 地址。

VMware Cloud Director 环境中的 NAT 规则功能支持:

  • 在专用 IP 地址空间内创建子网
  • 为一个 Edge 网关创建多个专用 IP 地址空间
  • 在多个 Edge 网关接口上配置多个 NAT 规则
重要说明: 您必须在 Edge 网关上同时配置防火墙和 NAT 规则,才能访问 Edge 网关网络上的虚拟机。默认情况下,Edge 网关部署时配置了防火墙规则,可拒绝出入 Edge 网关网络上虚拟机的所有网络流量。此外,默认情况下在 Edge 网关上停用 NAT,以便 Edge 网关无法转换入站和出站流量的 IP 地址,除非在 Edge 网关上配置 NAT。而且,如果不添加防火墙规则以允许相应的流量,那么配置 NAT 规则后尝试对网络上的虚拟机执行 ping 操作会失败。

VMware Cloud Director Tenant Portal 中将 SNAT 或 DNAT 规则添加到 NSX Data Center for vSphere Edge 网关

您可以创建源 NAT (SNAT) 规则,以便将源 IP 地址从公用 IP 地址更改为专用 IP 地址,或者相反。您可以创建目标 NAT (DNAT) 规则,以便将目标 IP 地址从公用 IP 地址更改为专用 IP 地址,或者相反。

在创建 NAT 规则时,您可以使用以下格式指定原始和转换后的 IP 地址:

  • IP 地址;例如,192.0.2.0
  • IP 地址范围;例如,192.0.2.0-192.0.2.24
  • IP 地址/子网掩码;例如,192.0.2.0/24
  • any

VMware Cloud Director 环境中的 Edge 网关上配置 SNAT 或 DNAT 规则时,请始终从您组织虚拟数据中心的角度来配置此规则。SNAT 规则用于转换从一个组织虚拟数据中心网络发送到外部网络或其他组织虚拟数据中心网络的数据包的源 IP 地址。DNAT 规则用于转换某个组织虚拟数据中心网络中从外部网络或其他组织虚拟数据中心网络收到的数据包的 IP 地址,也可以选择转换其端口。

前提条件

必须已将此公用 IP 地址添加到要添加规则的 NSX Data Center for vSphere Edge 网关接口。对于 DNAT 规则,必须已将原始(公用)IP 地址添加到 Edge 网关接口,对于 SNAT 规则,必须已将转换后的(公用)IP 地址添加到该接口。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击 NAT 以查看“NAT 规则”屏幕。
  3. 根据要创建的 NAT 规则类型,单击 DNAT 规则SNAT 规则
  4. 配置目标 NAT 规则(入站)。
    选项 描述
    应用于 选择要应用规则的接口。
    原始 IP/范围

    键入所需的 IP 地址,或从列表中选择分配的 IP 地址。

    此地址必须为您要为其配置 DNAT 规则的 Edge 网关的公用 IP 地址。在所检查的数据包中,此 IP 地址或范围将显示为此数据包的目标 IP 地址。这些数据包目标地址即为通过此 DNAT 规则转换的地址。

    协议 选择要应用此规则的协议。要对所有协议应用此规则,请选择任何
    原始端口 (可选)选择入站流量为连接到连接虚拟机的内部网络而在 Edge 网关上使用的端口或端口范围。如果协议设置为 ICMP任何,则此选项不可用。
    ICMP 类型 如果您对协议选择 ICMP(一种在设备之间传达错误信息的错误报告和诊断实用程序),请从下拉菜单中选择 ICMP 类型

    ICMP 消息可通过类型字段来识别。默认情况下,ICMP 类型设置为“任何”。

    转换的 IP/范围 键入要将入站数据包上的目标地址转换到的 IP 地址或 IP 地址范围。

    这些地址即为您要为其配置 DNAT 以使其可从外部网络接收流量的一个或多个虚拟机的 IP 地址。

    转换的端口 (可选)选择入站流量要通过内部网络上的虚拟机连接到的端口或端口范围。这些端口即为 DNAT 规则要为虚拟机入站数据包转换到的端口。
    源 IP 地址 如果您希望将规则仅应用于来自特定域的流量,请输入此域的 IP 地址或 CIDR 格式的 IP 地址范围。如果将此文本框留空,则 DNAT 规则将应用于本地子网中的所有 IP 地址。
    源端口 (可选)输入源的端口号。
    描述 (可选)为 DNAT 规则输入有意义的描述。
    已启用 启用此选项可激活此规则。
    启用日志记录 启用此选项可记录此规则执行的地址转换操作。
  5. 配置源 NAT 规则(出站)。
    选项 描述
    应用于 选择要应用规则的接口。
    原始源 IP/范围 键入要应用于此规则的原始 IP 地址或 IP 地址范围,或从列表中选择分配的 IP 地址。

    这些地址即为您要为其配置 SNAT 规则以使其可以向外部网络发送流量的一个或多个虚拟机的 IP 地址。

    转换的源 IP/范围 键入所需 IP 地址。

    此地址始终为您要为其配置 SNAT 规则的网关的公用 IP 地址。指定出站数据包上的源地址(虚拟机)在向外部网络发送流量时要转换到 IP 地址。

    目标 IP 地址 (可选)如果您希望将规则仅应用到流向特定域的流量,请输入此域的 IP 地址或 CIDR 格式的 IP 地址范围。如果将此文本框留空,则 SNAT 规则将应用于本地子网外的所有目标。
    目标端口 (可选)输入目标的端口号。
    描述 (可选)为 SNAT 规则输入有意义的描述。
    已启用 启用此选项可激活此规则。
    启用日志记录 启用此选项可记录此规则执行的地址转换操作。
  6. 单击保留以将此规则添加到屏幕上的表中。
  7. 重复这些步骤以配置其他规则。
  8. 单击保存更改将规则保存到系统。

下一步做什么

为您刚刚配置的 SNAT 或 DNAT 规则添加相应的 Edge 网关防火墙规则。请参见在 VMware Cloud Director Tenant Portal 中添加 NSX Data Center for vSphere Edge 网关防火墙规则