La traducción de direcciones de red (Network Address Translation, NAT) asigna direcciones IP internas de la red de cálculo a direcciones expuestas en la Internet pública. Para crear una regla de NAT, proporcione la dirección interna y el número de puerto de una máquina virtual o servicio de carga de trabajo, y una dirección IP pública y número de puerto que haya obtenido del sistema.

Reglas de NAT en la interfaz de Internet de la red del SDDC, ya que es ahí donde se exponen las direcciones públicas de sus máquinas virtuales de carga de trabajo. Las reglas de firewall, que examinan los orígenes y los destinos de los paquetes, se ejecutan en la puerta de enlace de cómputo y procesan el tráfico después de que una regla de NAT aplicable lo ha transformado. Al crear una regla de NAT, puede especificar si las direcciones IP internas o externas y el número de puerto de una máquina virtual se expondrán a reglas de firewall que afectan al tráfico de red hacia y desde dicha máquina virtual.

Importante:

El tráfico entrante a la dirección IP pública del SDDC siempre se procesa mediante las reglas de NAT que crea. El tráfico saliente (los paquetes de respuesta de las máquinas virtuales de carga de trabajo del SDDC) se enruta a lo largo de las rutas anunciadas y se procesa mediante las reglas de NAT cuando la ruta predeterminada de la red del SDDC atraviesa la interfaz de Internet del SDDC. Pero si la ruta predeterminada pasa por una conexión VPN o Direct Connect (por ejemplo, si se anuncia 0.0.0.0/0 a través de BGP o existe una VPN basada en directivas con una red remota de 0.0.0.0/0), las reglas de NAT se ejecutan para el tráfico entrante pero no para el tráfico saliente, con lo que se crea una ruta asimétrica que impide que se pueda acceder a la máquina virtual en su dirección IP pública. Cuando la ruta predeterminada se anuncia desde el entorno local, debe configurar reglas de NAT en la red local mediante la conexión a Internet local y las direcciones IP públicas.

Requisitos previos

  • Debe haber obtenido una dirección IP pública para usarla en una máquina virtual de este SDDC. Consulte Solicitar o liberar una dirección IP pública.
  • La máquina virtual debe estar conectada a un segmento de red de cálculo. Puede crear reglas de NAT para máquinas virtuales que tengan direcciones estáticas o dinámicas (DHCP), pero tenga en cuenta que las reglas de NAT para máquinas virtuales que utilizan la asignación de direcciones DHCP se pueden invalidar cuando a la máquina virtual se le asigna una dirección interna que ya no coincide con la especificada en la regla.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Seleccione Redes y seguridad > NAT.
  3. Haga clic en AGREGAR REGLA DE NAT y asigne un nombre a la regla.
  4. Introduzca los parámetros de la regla de NAT.
    Opción Descripción
    Dirección IP pública Elija de la lista desplegable de direcciones IP públicas que se aprovisionaron para este SDDC. Consulte Solicitar o liberar una dirección IP pública.
    Servicio
    • Seleccione Todo el tráfico para crear una regla que se aplique tanto al tráfico entrante (DNAT) como al saliente (SNAT) hacia o desde la dirección IP interna especificada.
    • Seleccione uno de los servicios enumerados para crear una regla entrante (DNAT) que se aplique solo al tráfico que utiliza ese protocolo y ese puerto.
      Nota: Debido a que los servicios que utilizan varios puertos de destino no pueden estar sujetos a una regla de NAT, no aparecen en esta lista.
    Puerto público Si especificó Servicio en Todo el tráfico, el puerto público predeterminado será Cualquiera.

    Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.

    IP interna Introduzca la dirección IP interna de la máquina virtual.
    Puerto interno

    Muestra el puerto interno utilizado por el Servicio seleccionado. Para usar un puerto personalizado, Agregar un servicio personalizado, y a continuación seleccione Servicio en la regla de NAT.

    Si especificó Servicio en Todo el tráfico, el puerto interno predeterminado será Cualquiera.

    Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.

    Firewall Especifique el modo en que el tráfico sujeto a esta regla de NAT se expondrá a las reglas de firewall de la puerta de enlace de cómputo. De forma predeterminada, las reglas de firewall CGW coinciden con la combinación de IP interna y Puerto interno. Seleccione Coincidir con dirección externa para que las reglas de firewall coincidan con la combinación de IP externa y Puerto externo. (Las reglas de firewall distribuido nunca se aplican a puertos o direcciones externos).

    Puede crear varias reglas de NAT que utilicen las mismas direcciones IP pública e IP interna con Todo el tráfico. Si hace esto, cada dirección IP interna usa la dirección IP pública para el tráfico saliente (SNAT), pero solo se utilizará la primera regla que coincida para el tráfico entrante (DNAT). El sistema crea (pero no muestra) una regla de salida predeterminada. Esta regla se utiliza para todas las direcciones IP internas que no coincidan con una regla de NAT específica que se aplique a Todo el tráfico. La dirección IP utilizada para esta regla se muestra en el resumen Puerta de enlace de cómputo predeterminad de la página Redes y seguridad Descripción general como IP pública de NAT de origen.

  5. (opcional) Alterne Registro para registrar acciones de regla.
  6. La nueva regla está habilitada de forma predeterminada. Desactive Habilitar para deshabilitarla.
  7. Haga clic en GUARDAR para crear la regla.
    Se crea la regla y se indica que el valor para Estado es Activo.