Mithilfe der NSX Data Center for vSphere-Software in der VMware Cloud Director-Umgebung können die Edge-Gateways einen NAT-Dienst (Netzwerkadressübersetzung, Network Address Translation) zur Verfügung stellen. Mit dieser Funktion kann die Anzahl öffentlicher IP-Adressen verringert werden, die eine Organisation verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit.

Der NAT-Dienst des Edge-Gateways bietet die Möglichkeit, einer virtuellen Maschine oder einer Gruppe von virtuellen Maschinen in einem privaten Netzwerk eine öffentliche Adresse zuzuweisen. Um Ihre Edge-Gateways so zu konfigurieren, dass Zugriff auf Dienste gewährt wird, die auf privat zugänglichen virtuellen Maschinen in Ihrem Organisations-VDC ausgeführt werden, müssen Sie NAT-Regeln auf den Edge-Gateways konfigurieren. In den meisten Fällen ordnen Sie einen NAT-Dienst einer Uplink-Schnittstelle auf einem Edge-Gateway in der VMware Cloud Director-Umgebung zu, sodass die Adressen in einem Organisations-VDC nicht im externen Netzwerk offengelegt werden.

Die Konfiguration des NAT-Diensts gliedert sich in SNAT- (Source NAT, Quell-NAT) und DNAT-Regeln (Destination NAT, Ziel-NAT). Bei der Konfiguration einer SNAT- oder DNAT-Regel auf einem Edge-Gateway in der VMware Cloud Director-Umgebung konfigurieren Sie die Regel immer aus der Perspektive des virtuellen Datencenters Ihrer Organisation. Speziell bedeutet dies, dass Sie die Regeln auf folgende Arten konfigurieren können:

  • SNAT: Der Datenverkehr wird von einer virtuellen Maschine in einem internen Netzwerk in Ihrem Organisations-VDC (der Quelle) über das Internet zum externen Netzwerk (dem Ziel) geleitet. Eine SNAT-Regel übersetzt die IP-Quelladresse der ausgehenden Pakete eines VDC-Organisationsnetzwerks, die an ein externes Netzwerk oder ein anderes VDC-Organisationsnetzwerk gesendet werden.
  • DNAT: Der Datenverkehr wird aus dem Internet (der Quelle) an eine virtuelle Maschine innerhalb Ihres Organisations-VDC (das Ziel) geleitet. Eine DNAT-Regel übersetzt die IP-Adresse und optional den Port von Paketen, die von einem VDC-Organisationsnetzwerk empfangen werden und aus einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk stammen.

Sie können NAT-Regeln konfigurieren, um einen privaten IP-Adressbereich innerhalb des Organisations-VDC zu erstellen. Diese Konfiguration bietet die Möglichkeit, einen privaten IP-Adressbereich aus einem Organisations-VDC in ein anderes zu portieren. Indem Sie NAT-Regeln konfigurieren, können Sie dieselben privaten IP-Adressen für Ihre virtuellen Maschinen in einem Organisations-VDC verwenden, die bereits in einem anderen Organisations-VDC verwendet wurden.

Die NAT-Regelfunktion in Ihrer VMware Cloud Director-Umgebung unterstützt Folgendes:

  • Erstellen von Subnetzen innerhalb des privaten IP-Adressbereichs
  • Erstellen mehrerer privater IP-Adressbereiche für ein Edge-Gateway
  • Konfigurieren mehrerer NAT-Regeln in mehreren Edge-Gateway-Schnittstellen
Wichtig: Sie müssen sowohl Firewall- als auch NAT-Regeln auf einem Edge-Gateway konfigurieren, damit die virtuellen Maschinen in einem Edge-Gateway-Netzwerk zugänglich sind. Standardmäßig werden Edge-Gateways mit Firewallregeln bereitgestellt, die so konfiguriert sind, dass sämtlicher Netzwerkdatenverkehr zu und von den virtuellen Maschinen in den Edge-Gateway-Netzwerken abgelehnt wird. Darüber hinaus ist NAT standardmäßig auf den Edge-Gateways deaktiviert, sodass Edge-Gateways die IP-Adressen des ein- und ausgehenden Datenverkehrs nicht übersetzen können, es sei denn, Sie konfigurieren NAT auf den Edge-Gateways. Der Versuch, eine virtuelle Maschine in einem Netzwerk mittels Ping zu erreichen, nachdem eine NAT-Regel konfiguriert wurde, schlägt fehl, es sei denn, Sie fügen eine Firewallregel hinzu, um den entsprechenden Datenverkehr zuzulassen.