Mithilfe der NSX Data Center for vSphere-Software in der VMware Cloud Director-Umgebung können die Edge-Gateways einen NAT-Dienst (Netzwerkadressübersetzung, Network Address Translation) zur Verfügung stellen. Mit dieser Funktion kann die Anzahl öffentlicher IP-Adressen verringert werden, die eine Organisation verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit.

Der NAT-Dienst des Edge-Gateways bietet die Möglichkeit, einer virtuellen Maschine oder einer Gruppe von virtuellen Maschinen in einem privaten Netzwerk eine öffentliche Adresse zuzuweisen. Um Ihre Edge-Gateways so zu konfigurieren, dass Zugriff auf Dienste gewährt wird, die auf privat zugänglichen virtuellen Maschinen in Ihrem Organisations-VDC ausgeführt werden, müssen Sie NAT-Regeln auf den Edge-Gateways konfigurieren. In den meisten Fällen ordnen Sie einen NAT-Dienst einer Uplink-Schnittstelle auf einem Edge-Gateway in der VMware Cloud Director-Umgebung zu, sodass die Adressen in einem Organisations-VDC nicht im externen Netzwerk offengelegt werden.

Die Konfiguration des NAT-Diensts gliedert sich in SNAT- (Source NAT, Quell-NAT) und DNAT-Regeln (Destination NAT, Ziel-NAT). Bei der Konfiguration einer SNAT- oder DNAT-Regel auf einem Edge-Gateway in der VMware Cloud Director-Umgebung konfigurieren Sie die Regel immer aus der Perspektive des virtuellen Datencenters Ihrer Organisation. Speziell bedeutet dies, dass Sie die Regeln auf folgende Arten konfigurieren können:

  • SNAT: Der Datenverkehr wird von einer virtuellen Maschine in einem internen Netzwerk in Ihrem Organisations-VDC (der Quelle) über das Internet zum externen Netzwerk (dem Ziel) geleitet. Eine SNAT-Regel übersetzt die IP-Quelladresse der ausgehenden Pakete eines VDC-Organisationsnetzwerks, die an ein externes Netzwerk oder ein anderes VDC-Organisationsnetzwerk gesendet werden.
  • DNAT: Der Datenverkehr wird aus dem Internet (der Quelle) an eine virtuelle Maschine innerhalb Ihres Organisations-VDC (das Ziel) geleitet. Eine DNAT-Regel übersetzt die IP-Adresse und optional den Port von Paketen, die von einem VDC-Organisationsnetzwerk empfangen werden und aus einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk stammen.

Sie können NAT-Regeln konfigurieren, um einen privaten IP-Adressbereich innerhalb des Organisations-VDC zu erstellen. Diese Konfiguration bietet die Möglichkeit, einen privaten IP-Adressbereich aus einem Organisations-VDC in ein anderes zu portieren. Indem Sie NAT-Regeln konfigurieren, können Sie dieselben privaten IP-Adressen für Ihre virtuellen Maschinen in einem Organisations-VDC verwenden, die bereits in einem anderen Organisations-VDC verwendet wurden.

Die NAT-Regelfunktion in Ihrer VMware Cloud Director-Umgebung unterstützt Folgendes:

  • Erstellen von Subnetzen innerhalb des privaten IP-Adressbereichs
  • Erstellen mehrerer privater IP-Adressbereiche für ein Edge-Gateway
  • Konfigurieren mehrerer NAT-Regeln in mehreren Edge-Gateway-Schnittstellen
Wichtig: Sie müssen sowohl Firewall- als auch NAT-Regeln auf einem Edge-Gateway konfigurieren, damit die virtuellen Maschinen in einem Edge-Gateway-Netzwerk zugänglich sind. Standardmäßig werden Edge-Gateways mit Firewallregeln bereitgestellt, die so konfiguriert sind, dass sämtlicher Netzwerkdatenverkehr zu und von den virtuellen Maschinen in den Edge-Gateway-Netzwerken abgelehnt wird. Darüber hinaus ist NAT standardmäßig auf den Edge-Gateways deaktiviert, sodass Edge-Gateways die IP-Adressen des ein- und ausgehenden Datenverkehrs nicht übersetzen können, es sei denn, Sie konfigurieren NAT auf den Edge-Gateways. Der Versuch, eine virtuelle Maschine in einem Netzwerk mittels Ping zu erreichen, nachdem eine NAT-Regel konfiguriert wurde, schlägt fehl, es sei denn, Sie fügen eine Firewallregel hinzu, um den entsprechenden Datenverkehr zuzulassen.

Hinzufügen einer SNAT- oder DNAT-Regel

Sie können eine Quell-NAT- bzw. SNAT-Regel erstellen, um die Quell-IP-Adresse von einer öffentlichen in eine private IP-Adresse zu ändern oder umgekehrt. Sie können eine Ziel-NAT- bzw. DNAT-Regel erstellen, um die Ziel-IP-Adresse von einer öffentlichen in eine private IP-Adresse zu ändern oder umgekehrt.

Beim Erstellen von NAT-Regeln können Sie die ursprünglichen und übersetzten IP-Adressen mit den folgenden Formaten angeben:

  • IP-Adresse – Beispiel: 192.0.2.0
  • IP-Adressbereich – Beispiel: 192.0.2.0-192.0.2.24
  • IP-Adresse/-Subnetzmaske – Beispiel: 192.0.2.0/24
  • any

Bei der Konfiguration einer SNAT- oder DNAT-Regel auf einem Edge-Gateway in der VMware Cloud Director-Umgebung konfigurieren Sie die Regel immer aus der Perspektive des virtuellen Datencenters Ihrer Organisation. Eine SNAT-Regel übersetzt die IP-Quelladresse von Paketen, die von einem VDC-Organisationsnetzwerk an ein externes Netzwerk oder an ein anderes VDC-Organisationsnetzwerk gesendet werden. Eine DNAT-Regel übersetzt die IP-Adresse und optional den Port von Paketen, die von einem VDC-Organisationsnetzwerk empfangen werden und aus einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk stammen.

Voraussetzungen

Die öffentliche IP-Adresse muss bereits der NSX Data Center for vSphere-Edge-Gateway-Schnittstelle, für die Sie die Regel hinzufügen möchten, hinzugefügt worden sein. Für DNAT-Regeln muss der Edge-Gateway-Schnittstelle die ursprüngliche (öffentliche) IP-Adresse hinzugefügt worden sein, für SNAT-Regeln die übersetzte (öffentliche) IP-Adresse.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf NAT, um den Bildschirm „NAT-Regeln“ anzuzeigen.
  3. Klicken Sie je nach dem Typ der zu erstellenden NAT-Regel auf DNAT-Regel oder SNAT-Regel.
  4. Konfigurieren Sie eine NAT-Zielregel (von außen nach innen).
    Option Beschreibung
    Angewendet auf Wählen Sie die Schnittstelle aus, auf die die Regel angewendet werden soll.
    Ursprüngliche(r) IP/Bereich

    Geben Sie die erforderliche IP-Adresse ein oder wählen Sie die zugeteilte IP-Adresse aus der Liste aus.

    Bei dieser Adresse muss es sich um die öffentliche IP-Adresse des Edge-Gateways handeln, für das Sie die DNAT-Regel konfigurieren. Im untersuchten Paket würde diese IP-Adresse oder dieser Bereich die Adressen umfassen, die als IP-Zieladresse des Pakets angezeigt werden. Bei diesen Paket-Zieladressen handelt es sich um die Adressen, die von dieser DNAT-Regel übersetzt werden.

    Protokoll Wählen Sie das Protokoll aus, auf das die Regel angewendet wird. Wenn die Regel für alle Protokolle gelten soll, wählen Sie Alle aus.
    Ursprünglicher Port (Optional) Wählen Sie den Port oder Portbereich aus, über den der eingehende Datenverkehr auf dem Edge-Gateway eine Verbindung zum internen Netzwerk herstellt, in dem die virtuellen Maschinen verbunden sind. Diese Auswahl ist nicht verfügbar, wenn Protokoll auf ICMP oder Alle festgelegt ist.
    ICMP-Typ Wenn Sie ICMP (ein Fehlerberichts- und Diagnose-Dienstprogramm für die geräteübergreifende Kommunikation von Fehlerinformationen) als Protokoll auswählen, wählen Sie im Dropdown-Menü die Option ICMP-Typ aus.

    ICMP-Meldungen werden anhand des Feldtyps identifiziert. Der ICMP-Typ ist standardmäßig auf „Alle“ festgelegt.

    Übersetzte(r) IP/Bereich Geben Sie die IP-Adresse oder einen Bereich von IP-Adressen ein, in die Zieladressen in eingehenden Paketen übersetzt werden.

    Bei diesen Adressen handelt es sich um die IP-Adressen der virtuellen Maschine(n), für die Sie DNAT konfigurieren, sodass sie Datenverkehr aus dem externen Netzwerk empfangen können.

    Übersetzter Port (Optional) Wählen Sie den Port oder Portbereich aus, zu dem eingehender Datenverkehr auf den virtuellen Maschinen im internen Netzwerk eine Verbindung herstellt. Dies sind die Ports, in die die DNAT-Regel die Übersetzung für die auf den virtuellen Maschinen eingehenden Pakete vornimmt.
    Quell-IP-Adresse Wenn Sie möchten, dass die Regel nur für den Datenverkehr zu einer bestimmten Domäne angewendet wird, geben Sie eine IP-Adresse für diese Domäne oder einen IP-Adressbereich im CIDR-Format ein. Wenn Sie dieses Textfeld leer lassen, gilt die DNAT-Regel für alle IP-Adressen innerhalb des lokalen Subnetzes.
    Quellport (Optional) Geben Sie eine Portnummer für die Quelle ein.
    Beschreibung (Optional) Geben Sie eine aussagekräftige Beschreibung für die DNAT-Regel ein.
    Aktiviert Aktivieren Sie diese Option, um diese Regel zu aktivieren.
    Protokollierung aktivieren Aktivieren Sie diese Option, damit die Adressübersetzung dieser Regel protokolliert wird.
  5. Konfigurieren Sie eine NAT-Quellregel (von innen nach außen).
    Option Beschreibung
    Angewendet auf Wählen Sie die Schnittstelle aus, auf die die Regel angewendet werden soll.
    Ursprüngliche(r) Quell-IP/Quellbereich Geben Sie die ursprüngliche IP-Adresse oder den Bereich von IP-Adressen ein, der auf diese Regel angewendet werden soll, oder wählen Sie die zugewiesene IP-Adresse aus der Liste aus.

    Bei diesen Adressen handelt es sich um die IP-Adressen der virtuellen Maschinen, für die Sie die SNAT-Regel konfigurieren, damit diese Datenverkehr an das externe Netzwerk senden können.

    Übersetzte(r) Quell-IP/Quellbereich Geben Sie die erforderliche IP-Adresse ein.

    Bei dieser Adresse handelt es sich immer um die öffentliche IP-Adresse des Gateways, für das Sie die SNAT-Regel konfigurieren. Gibt die IP-Adresse an, in die Quelladressen (die virtuellen Maschinen) in ausgehenden Paketen übersetzt werden, wenn sie Datenverkehr an das externe Netzwerk senden.

    Ziel-IP-Adresse (Optional) Wenn Sie möchten, dass die Regel nur für den Datenverkehr zu einer bestimmten Domäne angewendet wird, geben Sie eine IP-Adresse für diese Domäne oder einen IP-Adressbereich im CIDR-Format ein. Wenn Sie dieses Textfeld leer lassen, gilt die SNAT-Regel für alle Ziele außerhalb des lokalen Subnetzes.
    Zielport (Optional) Geben Sie eine Portnummer für das Ziel ein.
    Beschreibung (Optional) Geben Sie eine aussagekräftige Beschreibung für die SNAT-Regel ein.
    Aktiviert Aktivieren Sie diese Option, um diese Regel zu aktivieren.
    Protokollierung aktivieren Aktivieren Sie diese Option, damit die Adressübersetzung dieser Regel protokolliert wird.
  6. Klicken Sie auf Behalten, um die Regel der Tabelle auf dem Bildschirm hinzuzufügen.
  7. Wiederholen Sie die Schritte, um weitere Regeln zu konfigurieren.
  8. Klicken Sie auf Änderungen speichern, um die Regeln im System zu speichern.

Nächste Maßnahme

Fügen Sie die entsprechenden Edge-Gateway-Firewallregeln für die SNAT- oder DNAT-Regeln hinzu, die Sie soeben konfiguriert haben. Weitere Informationen finden Sie unter Hinzufügen einer Firewallregel für NSX Data Center for vSphere Edge-Gateways.