Wenn Sie IP-Räume verwenden, können Sie SNAT-Standard-, NO SNAT-Standard- und Firewallregeln auf Providergateways in Ihrer VMware Cloud Director-Umgebung generieren und anwenden.

VMware Cloud Director konfiguriert die SNAT-, NO SNAT- und Firewallregeln in Abhängigkeit von der Topologie der jeweiligen IP-Räume und deren externen und internen Geltungsbereichen automatisch.

Beim erneuten Ausführen der automatischen Konfiguration werden alle zuvor erstellten NAT- und Firewallregeln gelöscht und neu erstellt. Das umfasst auch die Regeln, die von Benutzern geändert wurden. Alle vorhandenen IP-Uplinks werden bei der automatischen Neukonfiguration berücksichtigt

Regeln werden in einer bestimmten Reihenfolge angewendet.
Regeltyp Priorität
NAT-Regeln
  • Standardmäßige NO SNAT-Regeln werden mit einer Priorität von 0 definiert, d. h. der höchsten Priorität. Eine Ausnahme hierfür ist ein IP-Raum, bei dem der externe Geltungsbereich die Standardroute ist (z. B. 0.0.0.0/0). Die der Standardroute zugeordnete NO SNAT-Regel hat eine Priorität von 1000.
  • SNAT-Standardregeln haben wiederum die Priorität 100, mit Ausnahme der SNAT-Regel, die der Standardroute zugeordnet ist. Die der Standardroute zugeordnete SNAT-Regel hat die Priorität 1001.
  • Vom Benutzer erstellte NAT-Regeln haben standardmäßig eine Priorität von 50.
Firewallregeln

Die Reihenfolge, in der Firewallregeln angewendet werden, unterscheidet sich je nach VMware Cloud Director-Version.

VMware Cloud Director wendet die Regeln in folgender Reihenfolge an.
  1. Firewallregeln für zugeordnete SNAT-Standardregeln.
  2. Firewallregeln für zugeordnete NO SNAT-Standardregeln.
  3. Vorhandene Firewallregeln.
SNAT-Standardregel
Diese Regel gibt an, dass der gesamte Datenverkehr mithilfe von NAT auf den externen Geltungsbereich eines bestimmten IP-Raums zugreifen kann. Die automatisch konfigurierte Quelle ist eine beliebige IP-Adresse oder CIDR, und das automatisch konfigurierte Ziel ist der externe Geltungsbereich des IP-Raums.
NO SNAT-Standardregel
Eine NO SNAT-Regel lässt zu, dass Datenverkehr vom IP-Raum des internen Geltungsbereichs in seinen externen Geltungsbereich fließen kann, ohne dass NAT-Regeln angewendet werden.
Zugeordnete Firewallregel
Eine zugeordnete Firewallregel wird für jede SNAT- und NO SNAT-Standardregel erstellt.

Voraussetzungen

  • Stellen Sie sicher, dass Sie ein Systemadministrator sind oder dass Ihre Rolle das Recht Standard-Gateway-Dienste für IP-Räume : Verwalten umfasst.
  • Stellen Sie sicher, dass das Providergateway von einem NSX Tier-0-VRF-Gateway gestützt wird, das mit dem Aktiv/Standby-Hochverfügbarkeitsmodus konfiguriert ist.
  • Stellen Sie sicher, dass das Providergateway für einen einzelnen Mandanten reserviert ist.
  • Stellen Sie sicher, dass Sie dem Providergateway mindestens einen IP-Bereich zugeordnet haben. Weitere Informationen finden Sie im Hinzufügen eines IP-Raum-Uplinks zu einem Providergateway in VMware Cloud Director.
  • Stellen Sie sicher, dass Sie den internen und externen Geltungsbereich für die IP-Räume konfiguriert haben, die dem Providergateway zugeordnet sind.
  • Stellen Sie sicher, dass Sie die Netzwerktopologie für die IP-Räume konfiguriert haben, für die NAT- und Firewallregeln automatisch konfiguriert werden sollen. Weitere Informationen finden Sie im Konfigurieren der Netzwerktopologie für einen IP-Raum im VMware Cloud Director.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Klicken Sie im linken Bereich auf Providergateways.
  3. Klicken Sie rechts neben dem Namen des Providergateways auf Automatisch konfigurieren > NAT und Firewall.
  4. Klicken Sie auf Automatisch konfigurieren.