VMware Cloud Director 10.5.1 开始,可以在使用 IP 空间的提供者网关上配置 NAT 规则。

前提条件

  • 确认您是系统管理员,或者您的角色包含提供者网关 NAT: 查看提供者网关 NAT: 管理权限。
  • 确认提供者网关使用 IP 空间。
  • 确认提供者网关是专用网关(专用于单个组织)。
  • 确认支持 NSX 第 0 层路由器处于活动-备用模式。否则,您无法将提供者网关的 NAT 和防火墙服务意向设置为提供者网关提供者网关和 Edge 网关
  • 确认您已将提供者网关的 NAT 和防火墙拓扑意向配置为提供者网关提供者网关和 Edge 网关。请参见

过程

  1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择提供者网关
  2. 单击该提供者网关。
  3. 在“服务”下,单击 NAT
  4. 要添加 NAT 规则,请单击新建
  5. 输入规则的名称和可选描述。
  6. 从下拉菜单中选择 NAT 操作,并输入所需的信息。
    操作 描述 设置
    SNAT 转换出站数据包的源 IP 地址,以便数据包显示为来自不同的网络。
    1. 输入外部 IP 地址或 CIDR 表示法。
    2. (可选)输入内部 IP 地址或 CIDR 表示法。
    3. 输入目标 IP 地址或 CIDR 表示法。

      此字段仅适用于 SNAT 规则和无 SNAT 规则。如果您希望规则仅应用于流向特定域的流量,请输入此域的 IP 地址或 IP 地址列表。如果将此文本框留空,则规则将应用于本地子网外的所有目标。

    无 SNAT 关闭源 NAT。
    1. 输入外部 IP 地址或 CIDR 表示法。
    2. (可选)输入目标 IP 地址或 CIDR 表示法。
    DNAT 转换入站数据包的目标 IP 地址,以便将数据包传送到其他网络中的目标地址。
    1. 输入内部 IP 地址或 CIDR 表示法。
    2. (可选)输入外部端口。
    3. 输入内部 IP 地址或 CIDR 表示法。
    4. 从下拉菜单中选择要将规则应用于的特定应用程序端口配置文件。

      应用程序端口配置文件包含入站流量在 Edge 网关上用于连接到内部网络的端口和协议。

    无 DNAT 关闭目标 NAT。
    1. 输入外部 IP 地址或 CIDR 表示法。
    2. (可选)输入外部端口。
    反身 转换通过路由设备的地址。入站数据包会进行目标地址重写,出站数据包会进行源地址重写。
    1. 输入外部 IP 地址或 CIDR 表示法。
    2. 输入内部 IP 地址或 CIDR 表示法。
  7. (可选) 单击高级设置
    1. 要在创建时禁用规则,请关闭状态选项。
      默认情况下,此选项处于启用状态。
    2. 要启用日志记录,请启用日志记录选项。
    3. 输入一个数字以指示规则优先级。
      如果同一 IP 地址存在多条 NAT 规则,则会将优先级最高的规则应用于该地址。值越小,规则的优先级越高。
    4. 从下拉菜单中选择如何向提供者网关防火墙公开受 NAT 规则约束的流量。
      选项 描述
      匹配内部地址 将防火墙应用于 NAT 规则的内部地址。对于 SNAT,内部地址是执行 NAT 之前的原始源地址。对于 DNAT,内部地址是执行 NAT 后转换的目标地址。
      匹配外部地址 将防火墙应用于 NAT 规则的外部地址。对于 SNAT,外部地址是执行 NAT 后转换的源地址。对于 DNAT,外部地址是执行 NAT 之前的原始目标地址。
      绕过 绕过防火墙。
    5. 从下拉菜单中选择要将规则应用于的 IP 空间上行链路。
      注: 如果尚未将任何提供者网关接口与所选 IP 空间上行链路相关联,则 NAT 规则将应用于所有提供者网关接口。
  8. 单击保存