Si utiliza espacios de IP, puede generar reglas de firewall, SNAT y SIN SNAT predeterminadas en puertas de enlace de proveedor en el entorno de VMware Cloud Director.

VMware Cloud Director configura automáticamente las reglas de firewall, SNAT y SIN SNAT en función de la topología de los espacios de IP relevantes y sus ámbitos internos y externos.

Nota:

Si asocia un nuevo vínculo superior de espacio de IP con una puerta de enlace de proveedor o si vuelve a configurar un espacio de IP específico después de haber configurado automáticamente reglas de firewall y NAT en una puerta de enlace de proveedor, la puerta de enlace no se actualiza automáticamente con los cambios. Esto significa que debe ir a la puerta de enlace, eliminar todas las reglas de firewall y NAT configuradas automáticamente y volver a generarlas para cada nueva actualización de espacios de IP.

Las reglas se aplican en un orden específico.
Tipo de regla Orden de prioridad
Reglas NAT
  • Las reglas SIN SNAT predeterminadas se definen con una prioridad de 0, lo cual significa la prioridad más alta. La excepción a esto sería para un espacio de IP donde el ámbito externo es la ruta predeterminada (es decir, 0.0.0.0/0). La regla SIN SNAT asociada a la ruta predeterminada tiene una prioridad de 1000.
  • De nuevo, las reglas SNAT predeterminadas tienen una prioridad de 100, a excepción de la regla SNAT asociada a la ruta predeterminada. La regla SNAT asociada a la ruta predeterminada tiene una prioridad de 1001.
  • De forma predeterminada, las reglas NAT creadas por el usuario tienen una prioridad de 50.
Reglas de firewall Las reglas de firewall se aplican en el siguiente orden:
  1. Reglas de firewall para reglas SIN SNAT predeterminadas asociadas.
  2. Reglas de firewall para las reglas SNAT predeterminadas asociadas.
  3. Reglas de firewall existentes.
Regla SNAT predeterminada
Esta regla indica que todo el tráfico puede acceder al ámbito externo de un espacio de IP específico mediante NAT. El origen autoconfigurado es cualquier dirección IP o CIDR, y el destino autoconfigurado es el ámbito externo del espacio de IP.
Regla SIN SNAT predeterminada
Una regla SIN SNAT permite que el tráfico fluya desde el ámbito interno del espacio de IP hacia su ámbito externo sin que se apliquen reglas NAT.
Regla de firewall asociada
Se crea una regla de firewall asociada para cada regla SNAT y SIN SNAT predeterminada.

Requisitos previos

  • Compruebe que es un Administrador del sistema o que su función incluye el derecho Servicios de puerta de enlace predeterminada de espacios de IP: Administrar.
  • Compruebe que la puerta de enlace del proveedor está respaldada por una puerta de enlace VRF de nivel 0 de NSX configurada con el modo HA activo-en espera.
  • Compruebe que la puerta de enlace de proveedor está dedicada a un solo tenant.
  • Compruebe que ha asociado al menos un espacio de IP a la puerta de enlace de proveedor. Consulte la Agregar un vínculo superior de espacio de IP a una puerta de enlace de proveedor en VMware Cloud Director.
  • Compruebe que ha configurado los ámbitos internos y externos para los espacios de IP asociados con la puerta de enlace de proveedor.
  • Compruebe que ha configurado la topología de red para los espacios de IP para los que desea configurar automáticamente reglas de firewall y NAT. Consulte la Configurar la topología de red para un espacio de IP en su VMware Cloud Director.

Procedimiento

  1. En la barra de navegación superior, seleccione Recursos y haga clic en Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace de proveedor.
  3. A la derecha del nombre de la puerta de enlace del proveedor, haga clic en Autoconfigurar > NAT y Firewall.
  4. Haga clic en Autoconfigurar.