Die Netzwerkadressübersetzung (Network Address Translation, NAT) steuert, wie IP-Adressen in Paket-Headern auf beiden Seiten eines Gateways angezeigt werden. Regeln, die auf dem Computing-Gateway ausgeführt werden, ordnen den Internetdatenverkehr zu, sobald er im Gateway eingeht und dieses verlässt. Regeln, die auf anderen Tier-1-Gateways ausgeführt werden, ordnen den Datenverkehr zwischen dem Gateway und anderen SDDC-Netzwerkschnittstellen zu.
NAT-Regeln werden auf dem Computing-Gateway und auf allen von Ihnen erstellten Tier-1-Gateways ausgeführt. Weitere Informationen zum Erstellen zusätzlicher Tier-1-Gateways in Ihrem SDDC finden Sie unter Hinzufügen eines benutzerdefinierten Tier-1-Gateways zu einem VMware Cloud on AWS-SDDC.
NAT-Regeln, die auf der Internetschnittstelle (Computing-Gateway) des SDDC ausgeführt werden, ordnen interne Quell- oder Ziel-IP-Adressen in Paketen aus Computing-Netzwerksegmenten zu Adressen zu, die im öffentlichen Internet verwendet werden können. Zum Erstellen einer NAT-Regel geben Sie die interne Adresse einer Arbeitslast-VM oder eines Arbeitslastdiensts sowie eine externe IP-Adresse Ihrer Wahl an. Für NAT-Regeln, die auf der Internet-Schnittstelle ausgeführt werden, ist eine öffentliche IP-Adresse erforderlich. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
Firewallregeln, die Paketquell- und -zieladressen untersuchen, werden auf diesen Gateways ausgeführt und verarbeiten den Datenverkehr, nachdem er von allen anwendbaren NAT-Regeln umgewandelt wurde. Wenn Sie eine NAT-Regel erstellen, können Sie angeben, ob die interne oder externe IP-Adresse und die Portnummer einer VM für Firewallregeln verfügbar gemacht werden, die sich auf den Netzwerkdatenverkehr zu und von dieser VM auswirken.
Der eingehende Datenverkehr zur öffentlichen IP-Adresse des SDDC wird immer von den von Ihnen erstellten NAT-Regeln verarbeitet. Der ausgehende Datenverkehr (Antwortpakete von SDDC-Arbeitslast-VMs) wird über die angekündigten Routen weitergeleitet und von NAT-Regeln verarbeitet, wenn die Standardroute für Ihr SDDC-Netzwerk über die Internetschnittstelle des SDDC läuft. Wenn die Standardroute jedoch über eine Direct Connect-, VPN- oder VTGW-Verbindung läuft oder als statische Route zu einer VPC hinzugefügt wurde, werden -NAT-Regeln für eingehenden, aber nicht für ausgehenden Datenverkehr ausgeführt. Dadurch wird ein asymmetrischer Pfad erstellt, was dazu führt, dass die VM unter ihrer öffentlichen IP-Adresse nicht erreichbar ist. Zu dieser Asymmetrie kann es kommen, wenn beispielsweise 0.0.0.0/0 über BGP angekündigt wird oder ein richtlinienbasiertes VPN mit einem Remotenetzwerk von 0.0.0.0/0 vorhanden ist. Wenn die Standardroute aus der lokalen Umgebung angekündigt wird, müssen Sie NAT-Regeln für das lokale Netzwerk konfigurieren, indem Sie die lokale Internetverbindung und öffentliche IP-Adressen verwenden.
Voraussetzungen
- Um eine NAT-Regel auf dem Computing-Gateway (Internet-Schnittstelle) zu erstellen, müssen Sie eine öffentliche IP für die Verwendung durch eine VM in diesem SDDC bezogen haben. Weitere Informationen hierzu finden Sie unter Anfordern oder Freigeben einer öffentlichen IP-Adresse.
- Die VM muss mit einem gerouteten Computing-Netzwerksegment verbunden sein. Sie können NAT-Regeln für VMs erstellen, unabhängig davon, ob sie statische oder dynamische DHCP-Adressen haben. Beachten Sie jedoch, dass NAT-Regeln für VMs, die die DHCP-Adresszuweisung verwenden, ungültig werden können, wenn der VM eine interne Adresse zugewiesen wird, die nicht mehr mit der in der Regel angegebenen übereinstimmt.