Erstellen oder Ändern von NAT-Regeln

Die Netzwerkadressübersetzung (Network Address Translation, NAT) steuert, wie IP-Adressen in Paket-Headern auf beiden Seiten eines Gateways angezeigt werden. Regeln, die auf dem Computing-Gateway ausgeführt werden, ordnen den Internetdatenverkehr zu, sobald er im Gateway eingeht und dieses verlässt. Regeln, die auf anderen Tier-1-Gateways ausgeführt werden, ordnen den Datenverkehr zwischen dem Gateway und anderen SDDC-Netzwerkschnittstellen zu.

NAT-Regeln werden auf dem Computing-Gateway und auf allen von Ihnen erstellten Tier-1-Gateways ausgeführt. Weitere Informationen zum Erstellen zusätzlicher Tier-1-Gateways in Ihrem SDDC finden Sie unter Hinzufügen eines benutzerdefinierten Tier-1-Gateways zu einem VMware Cloud on AWS-SDDC.

NAT-Regeln, die auf der Internetschnittstelle (Computing-Gateway) des SDDC ausgeführt werden, ordnen interne Quell- oder Ziel-IP-Adressen in Paketen aus Computing-Netzwerksegmenten zu Adressen zu, die im öffentlichen Internet verwendet werden können. Zum Erstellen einer NAT-Regel geben Sie die interne Adresse einer Arbeitslast-VM oder eines Arbeitslastdiensts sowie eine externe IP-Adresse Ihrer Wahl an. Für NAT-Regeln, die auf der Internet-Schnittstelle ausgeführt werden, ist eine öffentliche IP-Adresse erforderlich. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.

Firewallregeln, die Paketquell- und -zieladressen untersuchen, werden auf diesen Gateways ausgeführt und verarbeiten den Datenverkehr, nachdem er von allen anwendbaren NAT-Regeln umgewandelt wurde. Wenn Sie eine NAT-Regel erstellen, können Sie angeben, ob die interne oder externe IP-Adresse und die Portnummer einer VM für Firewallregeln verfügbar gemacht werden, die sich auf den Netzwerkdatenverkehr zu und von dieser VM auswirken.

Wichtig:

Der eingehende Datenverkehr zur öffentlichen IP-Adresse des SDDC wird immer von den von Ihnen erstellten NAT-Regeln verarbeitet. Der ausgehende Datenverkehr (Antwortpakete von SDDC-Arbeitslast-VMs) wird über die angekündigten Routen weitergeleitet und von NAT-Regeln verarbeitet, wenn die Standardroute für Ihr SDDC-Netzwerk über die Internetschnittstelle des SDDC läuft. Wenn die Standardroute jedoch über eine Direct Connect-, VPN- oder VTGW-Verbindung läuft oder als statische Route zu einer VPC hinzugefügt wurde, werden -NAT-Regeln für eingehenden, aber nicht für ausgehenden Datenverkehr ausgeführt. Dadurch wird ein asymmetrischer Pfad erstellt, was dazu führt, dass die VM unter ihrer öffentlichen IP-Adresse nicht erreichbar ist. Zu dieser Asymmetrie kann es kommen, wenn beispielsweise 0.0.0.0/0 über BGP angekündigt wird oder ein richtlinienbasiertes VPN mit einem Remotenetzwerk von 0.0.0.0/0 vorhanden ist. Wenn die Standardroute aus der lokalen Umgebung angekündigt wird, müssen Sie NAT-Regeln für das lokale Netzwerk konfigurieren, indem Sie die lokale Internetverbindung und öffentliche IP-Adressen verwenden.

Voraussetzungen

Um eine NAT-Regel auf dem Computing-Gateway (Internet-Schnittstelle) zu erstellen, müssen Sie eine öffentliche IP für die Verwendung durch eine VM in diesem SDDC bezogen haben. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
Die VM muss mit einem gerouteten Computing-Netzwerksegment verbunden sein. Sie können NAT-Regeln für VMs erstellen, unabhängig davon, ob sie statische oder dynamische DHCP-Adressen haben. Beachten Sie jedoch, dass NAT-Regeln für VMs, die die DHCP-Adresszuweisung verwenden, ungültig werden können, wenn der VM eine interne Adresse zugewiesen wird, die nicht mehr mit der in der Regel angegebenen übereinstimmt.

Prozedur

Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.

Klicken Sie auf NAT > Internet, um NAT-Regeln hinzuzufügen, die auf dem standardmäßigen Computing-Gateway ausgeführt werden.

Klicken Sie auf NAT-REGEL HINZUFÜGEN und legen Sie einen Namen für die Regel fest.

Konfigurieren Sie die NAT-Regeloptionen für Internet:

Option	Beschreibung
Öffentliche IP	Treffen Sie in der Dropdown-Liste der öffentlichen IP-Adressen, die für dieses SDDC bereitgestellt wurden, eine Auswahl. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
Dienst	Wählen Sie Gesamter Datenverkehr aus, um eine Regel zu erstellen, die sowohl für eingehenden (DNAT) als auch für ausgehenden (SNAT) Datenverkehr zur oder von der unter Interne IP angegebenen IP gilt. Wählen Sie einen der aufgelisteten Dienste aus, um eine Regel für eingehende Daten (DNAT) zu erstellen, die nur für Datenverkehr gilt, für den dieses Protokoll und dieser Port verwendet werden. Alle von Ihnen erstellten benutzerdefinierten Dienste (siehe Arbeiten mit Bestandslistengruppen) werden hier ebenfalls aufgelistet. Hinweis: Da Dienste, die mehrere Zielports verwenden, keiner NAT-Regel unterliegen können, werden sie auf dieser Liste nicht angezeigt.
Öffentlicher Port	Wenn Sie Dienst als Gesamter Datenverkehr angegeben haben, ist der öffentliche Standardport Beliebig. Wenn Sie einen bestimmten Dienst ausgewählt haben, gilt die Regel für den zugewiesenen öffentlichen Port für diesen Dienst.
Interne IP	Geben Sie die interne IP-Adresse der VM ein. Diese Adresse muss sich in einem gerouteten SDDC-Netzwerksegment befinden.
Interner Port	Zeigt den internen Port an, der vom ausgewählten Dienst verwendet wird. Um einen benutzerdefinierten Port zu verwenden, fügen Sie einen benutzerdefinierten Dienst hinzu (siehe Arbeiten mit Bestandslistengruppen) und wählen Sie den Dienst anschließend in der NAT-Regel aus. Wenn Sie Dienst als Gesamter Datenverkehr angegeben haben, ist der interne Standardport Beliebig. Wenn Sie einen bestimmten Dienst ausgewählt haben, gilt die Regel für den zugewiesenen öffentlichen Port für diesen Dienst.
Firewall	Geben Sie an, wie der Datenverkehr, der dieser NAT-Regel unterliegt, für Gateway-Firewallregeln verfügbar gemacht wird. Standardmäßig entsprechen diese Firewallregeln der Kombination aus Interne IP und Interner Port. Wählen Sie Externe Adresse abgleichen aus, damit Firewallregeln der Kombination aus Externe IP und Externer Port entsprechen. (Regeln für verteilte Firewalls gelten nie für externe Adressen oder Ports.)

Sie können mehrere NAT-Regeln erstellen, welche dieselbe Öffentliche IP und Interne IP in Verbindung mit Gesamter Datenverkehr verwenden. In diesem Fall verwendet jede Interne IP für ausgehenden Datenverkehr (SNAT) die Öffentliche IP, für eingehenden Datenverkehr (DNAT) wird jedoch nur die erste übereinstimmende Regel verwendet. Das System erstellt eine Standardregel für ausgehenden Datenverkehr (zeigt diese jedoch nicht an). Diese Regel wird für alle unter Interne IP angegebenen IP-Adressen verwendet, die keiner bestimmten NAT-Regel entsprechen, die für Gesamter Datenverkehr gilt. Die für diese Regel verwendete IP wird in der Übersicht für das Standard-Computing-Gateway auf der Seite Netzwerk und Sicherheit Übersicht als Öffentliche Quell-NAT-IP angezeigt.

Wählen Sie eine Priorität für die Regel aus.
Ein niedrigerer Wert bedeutet eine höhere Priorität für diese Regel.
(Optional) Schalten Sie die Protokollierung ein, um Regelaktionen zu protokollieren.
Die neue Regel ist nach ihrer Erstellung aktiv. Schalten Sie Aktivieren um, um die Regel zu deaktivieren.
Klicken Sie auf SPEICHERN, um die Regel zu erstellen.

(Optional) Wenn Sie ein zusätzliches Tier-1-Gateway erstellt haben, klicken Sie auf NAT > Tier-1-Gateway, um NAT-Regeln hinzuzufügen, die auf diesem Gateway ausgeführt werden.

Wählen Sie ein Gateway aus, auf dem die Regel ausgeführt werden soll.
Klicken Sie auf NAT-REGEL HINZUFÜGEN und legen Sie einen Namen für die Regel fest.

Konfigurieren Sie die NAT-Regeloptionen für Tier-1-Gateway:

Option	Beschreibung:
Aktion	Eine von: SNAT Quell-NAT. Ändert die Quelladresse im Paket-Header. Siehe Konfigurieren einer Quell-NAT auf einem Tier-1-Router. DNAT Ziel-NAT. Ändert die Zieladresse im Paket-Header. Siehe Konfigurieren der Ziel-NAT auf einem Tier-1-Router. Geben Sie bei Bedarf einen übersetzten Port an. Reflexiv Statusfreie NAT-Konfiguration zur Vermeidung asymmetrischer Routen. Siehe Reflexive NAT. Keine SNAT Deaktivieren Sie die Quell-NAT. Keine DNAT Deaktivieren Sie die Ziel-NAT.
Übereinstimmung	Geben Sie für SNAT eine zu verwendende Quelladresse ein. Geben Sie für DNAT eine zu verwendende Zieladresse ein.
Übersetzt	Geben Sie eine IPv4-Adresse oder einen CIDR-Block ein, der für die übersetzte SNAT- oder DNAT-Adresse verwendet werden soll.
Anwenden auf	Wählen Sie bestimmte Schnittstellen oder Bezeichnungen zum Definieren des Datenverkehrs aus, auf den sich die Regel auswirken soll.
Firewall	Geben Sie an, wie der Datenverkehr, der dieser NAT-Regel unterliegt, für Gateway-Firewallregeln verfügbar gemacht wird. Standardmäßig entsprechen diese Firewallregeln der Kombination aus Interne IP und Interner Port. Wählen Sie Externe Adresse abgleichen aus, damit Firewallregeln der Kombination aus Externe IP und Externer Port entsprechen. (Regeln für verteilte Firewalls gelten nie für externe Adressen oder Ports.)

Wählen Sie eine Priorität für die Regel aus.
Ein niedrigerer Wert bedeutet eine höhere Priorität für diese Regel.
(Optional) Schalten Sie die Protokollierung ein, um Regelaktionen zu protokollieren.
Die neue Regel ist nach ihrer Erstellung aktiv. Schalten Sie Aktivieren um, um die Regel zu deaktivieren.
Klicken Sie auf SPEICHERN, um die Regel zu erstellen.