El software NSX Data Center for vSphere en el entorno de VMware Cloud Director permite que las puertas de enlace Edge proporcionen un servicio de traducción de direcciones de red (Network Address Translation, NAT). Con esta capacidad, se reduce la cantidad de direcciones IP públicas que debe usar una organización para fines de seguridad y economía.

El servicio NAT de la puerta de enlace Edge proporciona la capacidad de asignar una dirección pública a una máquina virtual o un grupo de máquinas virtuales en una red privada. Para permitir que las puertas de enlace Edge proporcionen acceso a los servicios que se ejecutan en máquinas virtuales con direcciones privadas del centro de datos virtual de organización, debe configurar reglas NAT en las puertas de enlace Edge. En el caso más común, se asocia un servicio NAT con una interfaz de vínculo superior en una puerta de enlace Edge del entorno de VMware Cloud Director para que las direcciones en las redes de centros de datos virtuales de organización no queden expuestas en la red externa.

La configuración del servicio NAT se separa en reglas NAT de origen (Source NAT, SNAT) y reglas NAT de destino (Destination NAT, DNAT). Cuando se configura una regla SNAT o DNAT en una puerta de enlace Edge en el entorno de VMware Cloud Director, siempre se configura la regla desde la perspectiva del centro de datos virtual de organización. En concreto, eso significa que se deben configurar las reglas de las siguientes maneras:

  • SNAT: el tráfico se transmite desde una máquina virtual en una red interna del centro de datos virtual de organización (origen) a través de Internet hasta la red externa (el destino). Una regla SNAT traduce la dirección IP de origen de los paquetes salientes de una red de centros de datos virtuales de organización que se envían a una red externa o a otra red de centros de datos virtuales de organización.
  • DNAT: el tráfico se transmite desde Internet (origen) hasta una máquina virtual dentro del centro de datos virtual de organización (destino). Una regla DNAT traduce la dirección IP (y opcionalmente, el puerto) de los paquetes que recibe una red de centros de datos virtuales de organización de una red externa o de otra red de centros de datos virtuales de organización.

Puede configurar reglas NAT para crear un espacio de direcciones IP privadas dentro del centro de datos virtual de organización. Esta configuración ofrece la capacidad de mover un espacio de direcciones IP privadas de un centro de datos virtual de organización a otro. La configuración de reglas NAT permite utilizar las mismas direcciones IP privadas para máquinas virtuales de un centro de datos virtual de organización que se utilizaron en otro.

La capacidad de reglas NAT en el entorno de VMware Cloud Director admite lo siguiente:

  • Crear subredes dentro de un espacio de direcciones IP privadas
  • Crear varios espacios de direcciones IP privadas para una puerta de enlace Edge
  • Configurar varias reglas NAT en varias interfaces de puerta de enlace Edge
Importante: Debe configurar reglas NAT y de firewall en la puerta de enlace Edge para que sea posible acceder a las máquinas virtuales en una red de la puerta de enlace Edge. De forma predeterminada, las puertas de enlace Edge se implementan con reglas de firewall configuradas para denegar todo el tráfico de red desde y hacia las máquinas virtuales en las redes de puerta de enlace Edge. Además, la opción NAT está desactivada de forma predeterminada en las puertas de enlace Edge de modo que dichas puertas no pueden traducir las direcciones IP del tráfico entrante y saliente, a menos que se configure NAT en las puertas de enlace Edge. Se producirá un error al intentar hacer ping en una máquina virtual de una red después de configurar una regla NAT a menos que se agregue una regla de firewall para permitir el tráfico correspondiente.