Um die IP-Quelladresse von einer privaten in eine öffentliche IP-Adresse zu ändern, erstellen Sie eine Quell-NAT-Regel (SNAT). Um die IP-Zieladresse von einer öffentlichen in eine private IP-Adresse zu ändern, erstellen Sie eine NAT-Zielregel (DNAT).

Bei der Konfiguration einer SNAT- oder DNAT-Regel auf einem Edge-Gateway in der VMware Cloud Director-Umgebung konfigurieren Sie die Regel immer aus der Perspektive des Organisations-VDC.

Eine SNAT-Regel übersetzt die IP-Quelladresse von Paketen, die aus einem VDC-Organisationsnetzwerk an ein externes Netzwerk oder an ein anderes VDC-Organisationsnetzwerk gesendet werden.

Eine Regel des Typs KEINE SNAT verhindert die Übersetzung der internen IP-Adresse von Paketen, die aus einem VDC-Organisationsnetzwerk an ein externes Netzwerk oder an ein anderes VDC-Organisationsnetzwerk gesendet werden.

Eine DNAT-Regel übersetzt die IP-Adresse und optional den Port von Paketen, die von einem VDC-Organisationsnetzwerk empfangen werden und aus einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk stammen.

Eine Regel des Typs KEINE DNAT verhindert die Übersetzung der externen IP-Adresse von Paketen, die ein VDC-Organisationsnetzwerk von einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk empfängt.

VMware Cloud Director unterstützt die automatische Routenneuverteilung, wenn Sie NAT-Dienste auf einem NSX-Edge-Gateway verwenden.

Wichtig: Wenn Sie Tanzu Kubernetes-Cluster verwenden, notieren Sie sich die auf dem Edge-Gateway erstellte SNAT-Systemregel, um das Erstellen einer widersprüchlichen Regel zu vermeiden.

Voraussetzungen

Stellen Sie sicher, dass die öffentlichen IP-Adressen der Edge-Gateway-Schnittstelle, für die Sie die Regel hinzufügen möchten, hinzugefügt wurden.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
  2. Klicken Sie auf das Edge-Gateway und dann unter Dienste auf NAT.
  3. Klicken Sie auf Neu, um eine Regel hinzuzufügen.
  4. Konfigurieren Sie eine SNAT- oder KEINE SNAT-Regel (von innen nach außen).
    Option Beschreibung
    Name Geben Sie einen aussagekräftigen Namen für die Regel ein.
    Beschreibung (Optional) Geben Sie eine Beschreibung für die Regel ein.
    Schnittstellentyp Wählen Sie im Dropdown-Menü SNAT oder KEINE SNAT aus.
    Externe IP Abhängig vom Typ der von Ihnen erstellten Regel wählen Sie eine der Optionen aus.
    • Wenn Sie eine SNAT-Regel erstellen, wählen Sie die öffentliche IP-Adresse des Edge-Gateways, für das Sie die SNAT-Regel konfigurieren, aus oder geben Sie sie ein.
    • Wenn Sie eine Regel des Typs KEINE SNAT erstellen, lassen Sie das Textfeld leer.
    Interne IP Geben Sie die IP-Adresse oder eine Liste der IP-Adressen der virtuellen Maschinen ein, für die Sie SNAT konfigurieren, damit sie Datenverkehr an das externe Netzwerk senden können.
    Ziel-IP (Optional) Wenn die Regel nur für den Datenverkehr zu einer bestimmten Domäne gelten soll, geben Sie eine IP-Adresse für diese Domäne oder eine IP-Adressliste ein. Wenn Sie dieses Textfeld leer lassen, gilt die SNAT-Regel für alle Ziele außerhalb des lokalen Subnetzes.
    Erweiterte Einstellungen (optional) Klicken Sie auf die Registerkarte Erweiterte Einstellungen, um weitere Einstellungen anzuzeigen.
    Zustand
    Um die Regel bei der Erstellung zu aktivieren, aktivieren Sie die Umschaltoption „Zustand“.
    Protokollierung
    Damit die von dieser Regel durchgeführte Adressübersetzung protokolliert wird, aktivieren Sie die Umschaltoption Protokollierung.
    Priorität
    Wenn eine Adresse über mehrere NAT-Regeln verfügt, können Sie diesen Regeln verschiedene Prioritäten zuweisen und somit die Reihenfolge bestimmen, in der sie angewendet werden. Ein niedrigerer Wert bedeutet eine höhere Priorität für diese Regel.
    Firewall-Übereinstimmung
    Sie können eine Regel für die Firewall-Übereinstimmung festlegen, um die Anwendung der Firewall während NAT anzugeben. Wählen Sie im Dropdown-Menü eine der folgenden Optionen aus.
    • Zum Anwenden von Firewallregeln auf die interne Adresse einer NAT-Regel wählen Sie Interne Adresse abgleichen aus.
    • Zum Anwenden von Firewallregeln auf die externe Adresse einer NAT-Regel wählen Sie Externe Adresse abgleichen aus.
    • Zum Überspringen der Anwendung von Firewallregeln wählen Sie Bypass aus.
    Angewendet auf
    Wenden Sie diese NAT-Regel nur auf das ausgewählte VDC-Organisationsnetzwerk oder auf die ausgewählten externen Netzwerke an. Sie können entweder ein VDC-Organisationsnetzwerk, für das das verteilte Routing deaktiviert ist, oder einen Uplink eines externen Netzwerks auswählen.
  5. Konfigurieren Sie eine DNAT- oder KEINE DNAT-Regel (von außen nach innen).
    Option Beschreibung
    Name Geben Sie einen aussagekräftigen Namen für die Regel ein.
    Beschreibung (Optional) Geben Sie eine Beschreibung für die Regel ein.
    Schnittstellentyp Wählen Sie im Dropdown-Menü DNAT oder KEINE DNAT aus.
    Externe IP Geben Sie die öffentliche IP-Adresse des Edge-Gateways ein, für das Sie die DNAT-Regel konfigurieren.

    Die von Ihnen eingegebenen IP-Adressen müssen zu den IP-Adressen gehören, für die eine Unterzuweisung zum Edge-Gateway vorgenommen wurde.

    Externer Port (Optional) Geben Sie einen Port ein, in den die DNAT-Regel die Übersetzung für die auf den virtuellen Maschinen eingehenden Pakete vornimmt.
    Interne IP Abhängig vom Typ der von Ihnen erstellten Regel wählen Sie eine der Optionen aus.
    • Wenn Sie eine DNAT-Regel erstellen, wählen Sie die IP-Adresse oder die IP-Adressenliste der virtuellen Maschinen, für die Sie DNAT konfigurieren, aus oder geben Sie diese ein, damit sie Datenverkehr aus dem externen Netzwerk empfangen können.
    • Wenn Sie eine Regel des Typs KEINE DNAT erstellen, lassen Sie das Textfeld leer.
    Anwendung (Optional) Wählen Sie ein spezifisches Anwendungsportprofil aus, auf das die Regel angewendet werden soll.
    Das Anwendungsportprofil enthält einen Port und ein Protokoll, das der eingehende Datenverkehr auf dem Edge-Gateway verwendet, um eine Verbindung mit dem internen Netzwerk herzustellen.
    Hinweis: Sie können keine Anwendungsportprofile auswählen, die einen Portbereich enthalten.
    Erweiterte Einstellungen (optional) Klicken Sie auf die Registerkarte Erweiterte Einstellungen, um weitere Einstellungen anzuzeigen.
    Zustand
    Um die Regel bei der Erstellung zu aktivieren, aktivieren Sie die Umschaltoption „Zustand“.
    Protokollierung
    Damit die von dieser Regel durchgeführte Adressübersetzung protokolliert wird, aktivieren Sie die Umschaltoption Protokollierung.
    Priorität
    Wenn eine Adresse über mehrere NAT-Regeln verfügt, können Sie diesen Regeln verschiedene Prioritäten zuweisen und somit die Reihenfolge bestimmen, in der sie angewendet werden. Ein niedrigerer Wert bedeutet eine höhere Priorität für diese Regel.
    Firewall-Übereinstimmung
    Sie können eine Regel für die Firewall-Übereinstimmung festlegen, um die Anwendung der Firewall während NAT anzugeben. Wählen Sie im Dropdown-Menü eine der folgenden Optionen aus.
    • Zum Anwenden von Firewallregeln auf die interne Adresse einer NAT-Regel wählen Sie Interne Adresse abgleichen aus.
    • Zum Anwenden von Firewallregeln auf die externe Adresse einer NAT-Regel wählen Sie Externe Adresse abgleichen aus.
    • Zum Überspringen der Anwendung von Firewallregeln wählen Sie Bypass aus.
    Angewendet auf
    Standardmäßig werden NAT-Regeln auf alle Netzwerke angewendet, die mit dem Edge-Gateway verbunden sind. Sie können ein bestimmtes Netzwerk auswählen, auf das diese NAT-Regel angewendet werden soll. Sie können entweder ein VDC-Organisationsnetzwerk, für das das verteilte Routing deaktiviert ist, oder einen Uplink eines externen Netzwerks auswählen.
  6. Klicken Sie auf Speichern.
  7. Wiederholen Sie diese Schritte, um zusätzliche Regeln zu konfigurieren.