从 VMware Cloud Director 10.5.1 开始,可以在使用 IP 空间的提供者网关上配置 NAT 规则。
前提条件
- 确认您是系统管理员,或者您的角色包含提供者网关 NAT: 查看和提供者网关 NAT: 管理权限。
- 确认提供者网关使用 IP 空间。
- 确认提供者网关是专用网关(专用于单个组织)。
- 确认支持 NSX 第 0 层路由器处于活动-备用模式。否则,您无法将提供者网关的 NAT 和防火墙服务意向设置为提供者网关或提供者网关和 Edge 网关。
- 确认您已将提供者网关的 NAT 和防火墙拓扑意向配置为提供者网关或提供者网关和 Edge 网关。请参见。
过程
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择提供者网关。
- 单击该提供者网关。
- 在“服务”下,单击 NAT。
- 要添加 NAT 规则,请单击新建。
- 输入规则的名称和可选描述。
- 从下拉菜单中选择 NAT 操作,并输入所需的信息。
操作 |
描述 |
设置 |
SNAT |
转换出站数据包的源 IP 地址,以便数据包显示为来自不同的网络。 |
- 输入外部 IP 地址或 CIDR 表示法。
- (可选)输入内部 IP 地址或 CIDR 表示法。
- 输入目标 IP 地址或 CIDR 表示法。
此字段仅适用于 SNAT 规则和无 SNAT 规则。如果您希望规则仅应用于流向特定域的流量,请输入此域的 IP 地址或 IP 地址列表。如果将此文本框留空,则规则将应用于本地子网外的所有目标。
|
无 SNAT |
关闭源 NAT。 |
- 输入外部 IP 地址或 CIDR 表示法。
- (可选)输入目标 IP 地址或 CIDR 表示法。
|
DNAT |
转换入站数据包的目标 IP 地址,以便将数据包传送到其他网络中的目标地址。 |
- 输入内部 IP 地址或 CIDR 表示法。
- (可选)输入外部端口。
- 输入内部 IP 地址或 CIDR 表示法。
- 从下拉菜单中选择要将规则应用于的特定应用程序端口配置文件。
应用程序端口配置文件包含入站流量在 Edge 网关上用于连接到内部网络的端口和协议。
|
无 DNAT |
关闭目标 NAT。 |
- 输入外部 IP 地址或 CIDR 表示法。
- (可选)输入外部端口。
|
反身 |
转换通过路由设备的地址。入站数据包会进行目标地址重写,出站数据包会进行源地址重写。 |
- 输入外部 IP 地址或 CIDR 表示法。
- 输入内部 IP 地址或 CIDR 表示法。
|
- (可选) 单击高级设置。
- 要在创建时禁用规则,请关闭状态选项。
默认情况下,此选项处于启用状态。
- 要启用日志记录,请启用日志记录选项。
- 输入一个数字以指示规则优先级。
如果同一 IP 地址存在多条 NAT 规则,则会将优先级最高的规则应用于该地址。值越小,规则的优先级越高。
- 从下拉菜单中选择如何向提供者网关防火墙公开受 NAT 规则约束的流量。
选项 |
描述 |
匹配内部地址 |
将防火墙应用于 NAT 规则的内部地址。对于 SNAT,内部地址是执行 NAT 之前的原始源地址。对于 DNAT,内部地址是执行 NAT 后转换的目标地址。 |
匹配外部地址 |
将防火墙应用于 NAT 规则的外部地址。对于 SNAT,外部地址是执行 NAT 后转换的源地址。对于 DNAT,外部地址是执行 NAT 之前的原始目标地址。 |
绕过 |
绕过防火墙。 |
- 从下拉菜单中选择要将规则应用于的 IP 空间上行链路。
注: 如果尚未将任何提供者网关接口与所选 IP 空间上行链路相关联,则 NAT 规则将应用于所有提供者网关接口。
- 单击保存。