网络地址转换 (NAT) 会将计算网络上的内部 IP 地址映射到公用 Internet 上公开的地址。要创建 NAT 规则,请提供工作负载虚拟机或服务的内部地址和端口号,以及从系统获取的公用 IP 地址和端口号。

NAT 规则必须在 SDDC 的 Internet 接口上运行,因为工作负载虚拟机的公用地址会通过此接口公开。用于检查数据包源和目标的防火墙规则会在 计算网关 上运行,并处理已通过任何适用 NAT 规则转换的流量。创建 NAT 规则时,您可以指定是否将虚拟机的内部或外部 IP 地址和端口号公开到影响进出此虚拟机的网络流量的防火墙规则。

重要事项:

传输至 SDDC 的公用 IP 地址的入站流量会始终由您创建的 NAT 规则进行处理。出站流量(来自 SDDC 工作负载虚拟机的应答数据包)将沿通告路由进行路由,并在 SDDC 网络的默认路由通过 SDDC 的 Internet 接口时由 NAT 规则进行处理。但是,如果默认路由通过 Direct Connect 或 VPN 连接(例如,如果通过 BGP 通告 0.0.0.0/0,或者存在远程网络为 0.0.0.0/0 的基于策略的 VPN),则 NAT 规则将针对入站流量(而非出站流量)运行,从而创建非对称路径,这会使虚拟机在其公用 IP 地址无法访问。如果从内部部署环境通告了默认路由,则必须使用内部部署 Internet 连接和公用 IP 在内部部署网络上配置 NAT 规则。

前提条件

  • 此虚拟机必须连接到一个计算网络分段。无论虚拟机具有静态地址还是动态 (DHCP) 地址,您均可为其创建 NAT 规则,但请注意,如果为分配有 DHCP 地址的虚拟机分配一个内部地址,从而使此内部地址不再与规则中指定的地址匹配,则此虚拟机的 NAT 规则可能会失效。
  • 必须为此虚拟机请求一个公用 IP 地址。请参见请求或释放公用 IP 地址

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 选择网络和安全 > NAT
  3. 单击添加 NAT 规则,并为此规则指定一个名称
  4. 输入 NAT 规则参数。
    选项 描述
    公用 IP 填充虚拟机的已置备公用 IP 地址。
    服务 选择以下选项之一。
    • 选择所有流量可创建适用于所有流量的规则。
    • 选择所列服务之一可创建仅适用于使用此协议和端口的流量的规则。
    公用端口 如果将服务指定为所有流量,则默认公用端口为任意

    如果选择特定服务,则此规则将适用于为此服务分配的公用端口。

    内部 IP 输入虚拟机的内部 IP 地址。
    内部端口 如果将服务指定为所有流量,则默认内部端口为任意

    如果选择特定服务,则此规则将适用于为此服务分配的公用端口。

    防火墙 指定受此 NAT 规则控制的流量如何公开到防火墙规则。默认情况下,防火墙规则会匹配内部 IP内部端口的组合。选择匹配外部地址可使防火墙规则匹配外部 IP外部端口的组合。
  5. (可选) 切换日志记录可记录规则操作。
  6. 新规则会默认处于启用状态。切换启用可将其禁用。
  7. 单击保存以创建此规则。
    此时将创建此规则,并将其 状态报告为 开启