Wenn Sie IP-Räume verwenden, können Sie SNAT-Standard-, NO SNAT-Standard- und Firewallregeln auf Providergateways in Ihrer VMware Cloud Director-Umgebung generieren und anwenden.

VMware Cloud Director konfiguriert die SNAT-, NO SNAT- und Firewallregeln in Abhängigkeit von der Topologie der jeweiligen IP-Räume und deren externen und internen Geltungsbereichen automatisch.

Hinweis:

Wenn Sie einem Providergateway einen neuen IP-Raum-Uplink zuordnen oder einen bestimmten IP-Raum neu konfigurieren, nachdem die NAT- und Firewallregeln auf einem Providergateway automatisch konfiguriert wurden, wird das Gateway nicht automatisch mit den Änderungen aktualisiert. Dies bedeutet, dass Sie zum Gateway navigieren, alle automatisch konfigurierten NAT- und Firewallregeln löschen und sie für jedes neue IP-Raum-Update erneut generieren müssen.

Regeln werden in einer bestimmten Reihenfolge angewendet.
Regeltyp Priorität
NAT-Regeln
  • Standardmäßige NO SNAT-Regeln werden mit einer Priorität von 0 definiert, d. h. der höchsten Priorität. Eine Ausnahme hierfür ist ein IP-Raum, bei dem der externe Geltungsbereich die Standardroute ist (z. B. 0.0.0.0/0). Die der Standardroute zugeordnete NO SNAT-Regel hat eine Priorität von 1000.
  • SNAT-Standardregeln haben wiederum die Priorität 100, mit Ausnahme der SNAT-Regel, die der Standardroute zugeordnet ist. Die der Standardroute zugeordnete SNAT-Regel hat die Priorität 1001.
  • Vom Benutzer erstellte NAT-Regeln haben standardmäßig eine Priorität von 50.
Firewallregeln Firewallregeln werden in der folgenden Reihenfolge angewendet.
  1. Firewallregeln für zugeordnete NO SNAT-Standardregeln.
  2. Firewallregeln für zugeordnete SNAT-Standardregeln.
  3. Vorhandene Firewallregeln.
SNAT-Standardregel
Diese Regel gibt an, dass der gesamte Datenverkehr mithilfe von NAT auf den externen Geltungsbereich eines bestimmten IP-Raums zugreifen kann. Die automatisch konfigurierte Quelle ist eine beliebige IP-Adresse oder CIDR, und das automatisch konfigurierte Ziel ist der externe Geltungsbereich des IP-Raums.
NO SNAT-Standardregel
Eine NO SNAT-Regel lässt zu, dass Datenverkehr vom IP-Raum des internen Geltungsbereichs in seinen externen Geltungsbereich fließen kann, ohne dass NAT-Regeln angewendet werden.
Zugeordnete Firewallregel
Eine zugeordnete Firewallregel wird für jede SNAT- und NO SNAT-Standardregel erstellt.

Voraussetzungen

  • Stellen Sie sicher, dass Sie ein Systemadministrator sind oder dass Ihre Rolle das Recht Standard-Gateway-Dienste für IP-Räume : Verwalten umfasst.
  • Stellen Sie sicher, dass das Providergateway von einem NSX Tier-0-VRF-Gateway gestützt wird, das mit dem Aktiv/Standby-HA-Modus konfiguriert ist.
  • Stellen Sie sicher, dass das Providergateway für einen einzelnen Mandanten reserviert ist.
  • Stellen Sie sicher, dass Sie dem Providergateway mindestens einen IP-Bereich zugeordnet haben. Weitere Informationen finden Sie im Hinzufügen eines IP-Raum-Uplinks zu einem Providergateway in VMware Cloud Director.
  • Stellen Sie sicher, dass Sie den internen und externen Geltungsbereich für die IP-Räume konfiguriert haben, die dem Providergateway zugeordnet sind.
  • Stellen Sie sicher, dass Sie die Netzwerktopologie für die IP-Räume konfiguriert haben, für die NAT- und Firewallregeln automatisch konfiguriert werden sollen. Weitere Informationen finden Sie im Konfigurieren der Netzwerktopologie für einen IP-Raum im VMware Cloud Director.

Prozedur

  1. Wählen Sie in der oberen Navigationsleiste Ressourcen aus und klicken Sie auf Cloud-Ressourcen.
  2. Klicken Sie im linken Bereich auf Providergateways.
  3. Klicken Sie rechts neben dem Namen des Providergateways auf Automatisch konfigurieren > NAT und Firewall.
  4. Klicken Sie auf Automatisch konfigurieren.