网络地址转换 (NAT) 控制数据包标头中的 IP 地址在网关的任一端显示的方式。在计算网关上运行的规则会映射进入和离开网关的 Internet 流量。在其他 Tier-1 网关上运行的规则会映射网关与其他 SDDC 网络接口之间的流量。

NAT 规则在计算网关和您创建的任何其他 Tier-1 网关上运行。有关在 SDDC 中创建其他 Tier-1 网关的信息,请参见将自定义 Tier-1 网关添加到 VMware Cloud on AWS SDDC

在 SDDC 的 Internet 接口(计算网关)上运行的 NAT 规则将来自计算网络分段的数据包上的内部源或目标 IP 地址映射到公用 Internet 上可用的地址。要创建 NAT 规则,需要提供工作负载虚拟机或服务的内部地址以及您选择的外部 IP 地址。在 Internet 接口上运行的 NAT 规则需要公用 IP 地址。请参见请求或释放公用 IP 地址

用于检查数据包源地址和目标地址的防火墙规则在这些网关上运行,并处理已通过任何适用 NAT 规则转换的流量。创建 NAT 规则时,您可以指定是否将虚拟机的内部或外部 IP 地址和端口号公开到影响进出此虚拟机的网络流量的防火墙规则。

重要说明:

传输至 SDDC 的公用 IP 地址的入站流量会始终由您创建的 NAT 规则进行处理。出站流量(来自 SDDC 工作负载虚拟机的应答数据包)将沿通告路由进行路由,并在 SDDC 网络的默认路由通过 SDDC 的 Internet 接口时由 NAT 规则进行处理。但是,如果默认路由通过 Direct Connect、VPNVTGW 连接,或者被添加为到 VPC 的静态路由,则将针对入站流量(而非出站流量)运行 NAT 规则,从而创建非对称路径,这会使虚拟机在其公用 IP 地址无法访问。例如,如果通过 BGP 通告 0.0.0.0/0,或者存在远程网络为 0.0.0.0/0 的基于策略的 VPN,则可能会出现这种不对称。如果从内部部署环境通告了默认路由,则必须使用内部部署 Internet 连接和公用 IP 在内部部署网络上配置 NAT 规则。

前提条件

  • 要在计算网关Internet 接口)上创建 NAT 规则,您必须已获得供此 SDDC 中的虚拟机使用的公用 IP 地址。请参见请求或释放公用 IP 地址
  • 此虚拟机必须连接到一个路由计算网络分段。无论虚拟机具有静态地址还是动态 (DHCP) 地址,您均可为其创建 NAT 规则,但请注意,如果为分配有 DHCP 地址的虚拟机分配一个内部地址,从而使此内部地址不再与规则中指定的地址匹配,则此虚拟机的 NAT 规则可能会失效。

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 单击 NAT > Internet 以添加在默认计算网关上运行的 NAT 规则。
    1. 单击添加 NAT 规则,并为此规则指定一个名称
    2. 配置 Internet NAT 规则选项:
      选项 描述
      公用 IP 从为此 SDDC 置备的公用 IP 地址下拉列表中选择。请参见请求或释放公用 IP 地址
      服务
      • 选择所有流量可创建一个同时适用于传入或传出指定内部 IP 的入站 (DNAT) 和出站 (SNAT) 流量的规则。
      • 选择所列服务之一可创建仅适用于使用此协议和端口的流量的入站 (DNAT) 规则。此处还会列出您创建的任何自定义服务(请参见使用清单组)。
        注: 由于使用多个目标端口的服务不能受 NAT 规则的控制,因此它们不会显示在此列表中。
      公用端口 如果将服务指定为所有流量,则默认公用端口为任意

      如果选择特定服务,则此规则将适用于为此服务分配的公用端口。

      内部 IP 输入虚拟机的内部 IP 地址。此地址必须位于路由 SDDC 网络分段上。
      内部端口

      显示选定服务使用的内部端口。要使用自定义端口,请添加一个自定义服务(请参见使用清单组),然后在 NAT 规则中选择该服务

      如果将服务指定为所有流量,则默认内部端口为任意

      如果选择特定服务,则此规则将适用于为此服务分配的公用端口。

      防火墙 指定受此 NAT 规则控制的流量如何公开到网关防火墙规则。默认情况下,这些防火墙规则会匹配内部 IP内部端口的组合。选择匹配外部地址可使防火墙规则匹配外部 IP外部端口的组合。(分布式防火墙规则从不应用于外部地址或端口。)

      您可以创建多个将同一公用 IP内部 IP 用于所有流量的 NAT 规则。如果这样做,每个内部 IP 都将公用 IP 用于出站 (SNAT) 流量,但仅将第一个匹配规则用于入站 (DNAT) 流量。系统会创建(但不显示)默认出站规则。此规则用于与应用于所有流量的特定 NAT 规则不匹配的所有内部 IP。用于此规则的 IP 在 网络和安全概览页面中的默认计算网关摘要上显示为源 NAT 公用 IP

    3. 为规则选择优先级
      值越小,规则的优先级越高。
    4. (可选) 切换日志记录可记录规则操作。
    5. 创建后,新规则处于活动状态。切换启用以将其停用。
    6. 单击保存以创建此规则。
  5. (可选) 如果创建了其他 Tier-1 网关,请单击 NAT > Tier-1 网关,添加在该网关上运行的 NAT 规则。
    1. 选择要运行规则的网关
    2. 单击添加 NAT 规则,并为此规则指定一个名称
    3. 配置 Tier-1 网关 NAT 规则选项:
      选项 描述:
      操作 以下版本之一:
      SNAT
      源 NAT。更改数据包标头中的源地址。请参见 在 Tier-1 路由器上配置源 NAT
      DNAT
      目标 NAT。更改数据包标头中的目标地址。请参见 在 Tier-1 路由器上配置目标 NAT

      (如果需要)指定转换的端口

      反射
      用于避免非对称路由的无状态 NAT 配置。请参见 反射 NAT
      无 SNAT
      关闭源 NAT。
      无 DNAT
      关闭目标 NAT。
      Match 对于 SNAT,输入要使用的源地址。对于 DNAT,输入要使用的目标地址。
      已转换 输入要用于转换的 SNAT 或 DNAT 地址的 IPv4 地址或 CIDR 块。
      应用对象 选择特定的接口或标签以定义希望规则影响的流量。
      防火墙 指定受此 NAT 规则控制的流量如何公开到网关防火墙规则。默认情况下,这些防火墙规则会匹配内部 IP内部端口的组合。选择匹配外部地址可使防火墙规则匹配外部 IP外部端口的组合。(分布式防火墙规则从不应用于外部地址或端口。)
    4. 为规则选择优先级
      值越小,规则的优先级越高。
    5. (可选) 切换日志记录可记录规则操作。
    6. 创建后,新规则处于活动状态。切换启用以将其停用。
    7. 单击保存以创建此规则。