Die Netzwerkadressübersetzung (Network Address Translation, NAT) ordnet interne IP-Adressen in Ihrem Computing-Netzwerk den im öffentlichen Internet verfügbar gemachten Adressen zu. Zum Erstellen einer NAT-Regel geben Sie die interne Adresse und die Portnummer einer Arbeitslast-VM oder eines Diensts sowie eine öffentliche IP-Adresse und Portnummer an, die Sie vom System erhalten haben.

NAT-Regeln auf der Internetschnittstelle des SDDC-Netzwerks, da dort die öffentlichen Adressen Ihrer Arbeitslast-VMs offen gelegt werden. Firewallregeln, die Paketquellen und -ziele untersuchen, werden auf dem Computing-Gateway ausgeführt und verarbeiten den Datenverkehr, nachdem er von allen anwendbaren NAT-Regeln umgewandelt wurde. Wenn Sie eine NAT-Regel erstellen, können Sie angeben, ob die interne oder externe IP-Adresse und die Portnummer einer VM für Firewallregeln verfügbar gemacht werden, die sich auf den Netzwerkdatenverkehr zu und von dieser VM auswirken.

Wichtig:

Der eingehende Datenverkehr zur öffentlichen IP-Adresse des SDDC wird immer von den von Ihnen erstellten NAT-Regeln verarbeitet. Der ausgehende Datenverkehr (Antwortpakete von SDDC-Arbeitslast-VMs) wird über die angekündigten Routen weitergeleitet und von NAT-Regeln verarbeitet, wenn die Standardroute für Ihr SDDC-Netzwerk über die Internetschnittstelle des SDDC läuft. Wenn die Standardroute jedoch über eine Direct Connect- oder VPN-Verbindung läuft (wenn z. B. 0.0.0.0/0 über BGP angekündigt wird oder ein richtlinienbasiertes VPN mit einem Remotenetzwerk von 0.0.0.0/0 vorhanden ist), werden NAT-Regeln für eingehenden Datenverkehr, aber nicht für ausgehenden Datenverkehr ausgeführt, indem ein asymmetrischer Pfad erstellt wird, über den die VM unter ihrer öffentlichen IP-Adresse nicht erreichbar ist. Wenn die Standardroute aus der lokalen Umgebung angekündigt wird, müssen Sie NAT-Regeln für das lokale Netzwerk konfigurieren, indem Sie die lokale Internetverbindung und öffentliche IP-Adressen verwenden.

Voraussetzungen

  • Sie müssen für die Verwendung durch eine VM in diesem SDDC eine öffentliche IP bezogen haben. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
  • Die VM muss mit einem Computing-Netzwerksegment verbunden sein. Sie können NAT-Regeln für VMs erstellen, unabhängig davon, ob sie statische oder dynamische DHCP-Adressen haben. Beachten Sie jedoch, dass NAT-Regeln für VMs, die die DHCP-Adresszuweisung verwenden, ungültig werden können, wenn der VM eine interne Adresse zugewiesen wird, die nicht mehr mit der in der Regel angegebenen übereinstimmt.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Wählen Sie Netzwerk und Sicherheit > NAT .
  3. Klicken Sie auf NAT-REGEL HINZUFÜGEN und legen Sie einen Namen für die Regel fest.
  4. Geben Sie die Parameter der NAT-Regel ein.
    Option Beschreibung
    Öffentliche IP Treffen Sie in der Dropdown-Liste der öffentlichen IP-Adressen, die für dieses SDDC bereitgestellt wurden, eine Auswahl. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
    Dienst
    • Wählen Sie Gesamter Datenverkehr aus, um eine Regel zu erstellen, die sowohl für eingehenden (DNAT) als auch für ausgehenden (SNAT) Datenverkehr zur oder von der unter Interne IP angegebenen IP gilt.
    • Wählen Sie einen der aufgelisteten Dienste aus, um eine Regel für eingehende Daten (DNAT) zu erstellen, die nur für Datenverkehr gilt, für den dieses Protokoll und dieser Port verwendet werden.
      Hinweis: Da Dienste, die mehrere Zielports verwenden, keiner NAT-Regel unterliegen können, werden sie auf dieser Liste nicht angezeigt.
    Öffentlicher Port Wenn Sie Dienst als Gesamter Datenverkehr angegeben haben, ist der öffentliche Standardport Beliebig.

    Wenn Sie einen bestimmten Dienst ausgewählt haben, gilt die Regel für den zugewiesenen öffentlichen Port für diesen Dienst.

    Interne IP Geben Sie die interne IP-Adresse der VM ein.
    Interner Port

    Zeigt den internen Port an, der vom ausgewählten Dienst verwendet wird. Um einen benutzerdefinierten Port zu verwenden, gehen Sie wie unter Hinzufügen eines benutzerdefinierten Dienstes beschrieben vor und wählen Sie den Dienst anschließend in der NAT-Regel aus.

    Wenn Sie Dienst als Gesamter Datenverkehr angegeben haben, ist der interne Standardport Beliebig.

    Wenn Sie einen bestimmten Dienst ausgewählt haben, gilt die Regel für den zugewiesenen öffentlichen Port für diesen Dienst.

    Firewall Geben Sie an, wie der Datenverkehr, der dieser NAT-Regel unterliegt, für Firewallregeln des Computing-Gateway verfügbar gemacht wird. Standardmäßig entsprechen die CGW-Firewallregeln der Kombination aus Interne IP und Interner Port. Wählen Sie Externe Adresse abgleichen aus, damit Firewallregeln der Kombination aus Externe IP und Externer Port entsprechen. (Regeln für verteilte Firewalls gelten nie für externe Adressen oder Ports.)

    Sie können mehrere NAT-Regeln erstellen, welche dieselbe Öffentliche IP und Interne IP in Verbindung mit Gesamter Datenverkehr verwenden. In diesem Fall verwendet jede Interne IP für ausgehenden Datenverkehr (SNAT) die Öffentliche IP, für eingehenden Datenverkehr (DNAT) wird jedoch nur die erste übereinstimmende Regel verwendet. Das System erstellt eine Standardregel für ausgehenden Datenverkehr (zeigt diese jedoch nicht an). Diese Regel wird für alle unter Interne IP angegebenen IP-Adressen verwendet, die keiner bestimmten NAT-Regel entsprechen, die für Gesamter Datenverkehr gilt. Die für diese Regel verwendete IP wird in der Übersicht für das Standard-Computing-Gateway auf der Seite Netzwerk und Sicherheit Übersicht als Öffentliche Quell-NAT-IP angezeigt.

  5. (Optional) Schalten Sie die Protokollierung ein, um Regelaktionen zu protokollieren.
  6. Die neue Regel ist standardmäßig aktiviert. Schalten Sie Aktivieren um, um die Option zu deaktivieren.
  7. Klicken Sie auf SPEICHERN, um die Regel zu erstellen.
    Die Regel wird erstellt und ihr Status wird als Aktiv gemeldet.