Si utiliza espacios de IP, puede generar reglas de firewall, SNAT y SIN SNAT predeterminadas en puertas de enlace de proveedor en el entorno de VMware Cloud Director.

VMware Cloud Director configura automáticamente las reglas de firewall, SNAT y SIN SNAT en función de la topología de los espacios de IP relevantes y sus ámbitos internos y externos.

Al volver a ejecutar la configuración automática, se eliminan todas las reglas de firewall y NAT creadas previamente, y se vuelven a crear. Esto incluye las reglas modificadas por los usuarios. Todos los enlaces ascendentes de IP existentes se tienen en cuenta durante la reconfiguración automática

Las reglas se aplican en un orden específico.
Tipo de regla Orden de prioridad
Reglas NAT
  • Las reglas SIN SNAT predeterminadas se definen con una prioridad de 0, lo cual significa la prioridad más alta. La excepción a esto sería para un espacio de IP donde el ámbito externo es la ruta predeterminada (es decir, 0.0.0.0/0). La regla SIN SNAT asociada a la ruta predeterminada tiene una prioridad de 1000.
  • De nuevo, las reglas SNAT predeterminadas tienen una prioridad de 100, a excepción de la regla SNAT asociada a la ruta predeterminada. La regla SNAT asociada a la ruta predeterminada tiene una prioridad de 1001.
  • De forma predeterminada, las reglas NAT creadas por el usuario tienen una prioridad de 50.
Reglas de firewall

El orden en el que se aplican las reglas de firewall varía en función de la versión de VMware Cloud Director.

VMware Cloud Director aplica las reglas en el siguiente orden.
  1. Reglas de firewall para las reglas SNAT predeterminadas asociadas.
  2. Reglas de firewall para reglas SIN SNAT predeterminadas asociadas.
  3. Reglas de firewall existentes.
Regla SNAT predeterminada
Esta regla indica que todo el tráfico puede acceder al ámbito externo de un espacio de IP específico mediante NAT. El origen autoconfigurado es cualquier dirección IP o CIDR, y el destino autoconfigurado es el ámbito externo del espacio de IP.
Regla SIN SNAT predeterminada
Una regla SIN SNAT permite que el tráfico fluya desde el ámbito interno del espacio de IP hacia su ámbito externo sin que se apliquen reglas NAT.
Regla de firewall asociada
Se crea una regla de firewall asociada para cada regla SNAT y SIN SNAT predeterminada.

Requisitos previos

  • Compruebe que es un Administrador del sistema o que su función incluye el derecho Servicios de puerta de enlace predeterminada de espacios de IP: Administrar.
  • Compruebe que la puerta de enlace del proveedor esté respaldada por una puerta de enlace VRF de nivel 0 de NSX configurada con el modo de alta disponibilidad activo-en espera.
  • Compruebe que la puerta de enlace de proveedor está dedicada a un solo tenant.
  • Compruebe que ha asociado al menos un espacio de IP a la puerta de enlace de proveedor. Consulte la Agregar un vínculo superior de espacio de IP a una puerta de enlace de proveedor en VMware Cloud Director.
  • Compruebe que ha configurado los ámbitos internos y externos para los espacios de IP asociados con la puerta de enlace de proveedor.
  • Compruebe que ha configurado la topología de red para los espacios de IP para los que desea configurar automáticamente reglas de firewall y NAT. Consulte la Configurar la topología de red para un espacio de IP en su VMware Cloud Director.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace de proveedor.
  3. A la derecha del nombre de la puerta de enlace del proveedor, haga clic en Autoconfigurar > NAT y Firewall.
  4. Haga clic en Autoconfigurar.