Le logiciel NSX Data Center for vSphere dans votre environnement VMware Cloud Director permet aux passerelles Edge de fournir un service de traduction d'adresse réseau (NAT). Cette capacité permet de limiter le nombre d'adresses IP publiques qu'une organisation doit utiliser pour des raisons économiques et de sécurité.
Le service NAT d'une passerelle Edge permet d'attribuer une adresse publique à une machine virtuelle ou à un groupe de machines virtuelles dans un réseau privé. Pour permettre à vos passerelles Edge de fournir l'accès aux services exécutés sur des machines virtuelles à adressage privé dans votre centre de données virtuel d'organisation, vous devez configurer des règles NAT sur les passerelles Edge. Dans la plupart des cas, vous associez un service NAT à une interface de liaison montante sur une passerelle Edge dans votre environnement VMware Cloud Director afin que les adresses sur les réseaux de centre de données virtuel d'organisation ne soient pas exposées sur le réseau externe.
La configuration du service NAT est séparée dans les règles de NAT source (SNAT) et de NAT de destination (DNAT). Lorsque vous configurez une règle SNAT ou DNAT sur une passerelle Edge dans l'environnement VMware Cloud Director, vous configurez toujours la règle du point de vue de votre centre de données virtuel d'organisation. Plus précisément, cela signifie que vous configurez les règles de la manière suivante :
- SNAT : le trafic se déplace d'une machine virtuelle sur un réseau interne dans votre centre de données virtuel d'organisation (la source) via Internet vers le réseau externe (la destination). Une règle SNAT traduit l'adresse IP source des paquets sortants d'un réseau de centre de données virtuel d'organisation qui sont envoyés à un réseau externe ou à un autre réseau de centre de données virtuel d'organisation.
- DNAT : le trafic se déplace d'Internet (la source) vers une machine virtuelle à l'intérieur de votre centre de données virtuel d'organisation (la destination). Une règle DNAT traduit l'adresse IP, et éventuellement le port, des paquets reçus par un réseau de centre de données virtuel d'organisation en provenance d'un réseau externe ou d'un autre réseau de centre de données virtuel d'organisation.
Vous pouvez configurer les règles NAT pour créer un espace d'adressage IP privé à l'intérieur de votre centre de données virtuel d'organisation. Cette configuration offre la possibilité de porter un espace d'adressage IP privé d'un centre de données virtuel d'organisation vers un autre. La configuration des règles NAT vous permet d'utiliser les mêmes adresses IP privées pour vos machines virtuelles dans un centre de données virtuel d'organisation que celles qui ont été utilisées dans un autre.
La fonctionnalité de règle NAT dans votre environnement VMware Cloud Director prend en charge les opérations suivantes :
- Création de sous-réseaux au sein de l'espace d'adressage IP privé
- Création de plusieurs espaces d'adressage IP privés pour une passerelle Edge
- Configuration de plusieurs règles NAT sur plusieurs interfaces de passerelle Edge
Ajouter une règle SNAT ou DNAT
Vous pouvez créer une règle NAT source (SNAT) pour rendre privée l'adresse IP source publique et inversement. Vous pouvez créer une règle NAT de destination (DNAT) pour rendre privée l'adresse IP de destination publique et inversement.
Lorsque vous créez des règles NAT, vous pouvez spécifier les adresses IP d'origine et converties en utilisant les formats suivants :
- Adresse IP ; par exemple, 192.0.2.0
- Plage d'adresses IP ; par exemple, 192.0.2.0-192.0.2.24
- Adresse IP/masque de sous-réseau ; par exemple, 192.0.2.0/24
- any
Lorsque vous configurez une règle SNAT ou DNAT sur une passerelle Edge dans l'environnement VMware Cloud Director, vous configurez toujours la règle du point de vue de votre centre de données virtuel d'organisation. Une règle SNAT traduit l'adresse IP source des paquets envoyés à partir du réseau d'un centre de données virtuel d'organisation vers un réseau externe ou un autre réseau de centre de données virtuel d'organisation. Une règle DNAT traduit l'adresse IP, et éventuellement le port, des paquets reçus par un réseau de centre de données virtuel d'organisation en provenance d'un réseau externe ou d'un autre réseau de centre de données virtuel d'organisation.
Conditions préalables
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
- Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
- Cliquez sur NAT pour afficher l'écran des règles NAT.
- Selon le type de règle NAT que vous créez, cliquez sur Règle DNAT ou Règle SNAT.
- Configurez une règle NAT de destination (de l'extérieur vers l'intérieur).
Option Description Appliqué sur Sélectionnez l'interface sur laquelle appliquer la règle. IP/plage d'origine Entrez l'adresse IP requise ou sélectionnez l'adresse IP allouée dans la liste.
Cette adresse doit être l'adresse IP publique de la passerelle Edge pour laquelle vous configurez la règle DNAT. Dans le paquet en cours d'inspection, cette adresse IP ou cette plage est celle qui apparaît comme adresse IP de destination du paquet. Ces adresses de destination du paquet sont celles traduites par cette règle DNAT.
Protocole Sélectionnez le protocole auquel la règle s'applique. Pour appliquer cette règle à tous les protocoles, sélectionnez Tous. Port d'origine (Facultatif) Sélectionnez le port ou la plage de ports que le trafic entrant utilise sur la passerelle Edge pour se connecter au réseau interne sur lequel les machines virtuelles sont connectées. Cette sélection n'est pas disponible lorsque le Protocole est défini sur ICMP ou sur Tous. Type ICMP Lorsque vous sélectionnez ICMP (un utilitaire de signalement d'erreur et de diagnostic utilisé entre les périphériques pour communiquer des informations d'erreur) pour Protocole, sélectionnez le Type ICMP dans le menu déroulant. Les messages ICMP sont identifiés par le champ type. Par défaut, le type ICMP est défini sur tous.
Adresse IP/plage traduite Tapez l'adresse IP ou la plage d'adresses IP vers laquelle les adresses de destination des paquets entrants seront traduites. Ces adresses sont les adresses IP d'une ou plusieurs machines virtuelles pour lesquelles vous configurez DNAT afin qu'elles puissent recevoir le trafic depuis le réseau externe.
Port traduit (Facultatif) Sélectionnez le port ou la plage de ports avec lesquels le trafic entrant se connecte sur les machines virtuelles du réseau interne. Ces ports sont ceux vers lesquels la règle DNAT effectue la traduction pour les paquets entrants destinés aux machines virtuelles. Adresse IP source Si vous souhaitez que la règle s'applique uniquement au trafic issu d'un domaine spécifique, entrez une adresse IP pour ce domaine ou une plage d'adresses IP au format CIDR. Si vous laissez cette zone de texte vide, la règle DNAT s'applique à toutes les adresse IP incluses dans le sous-réseau local. Port source (Facultatif) Entrez un numéro de port pour la source. Description (Facultatif) Entrez une description significative pour la règle DNAT. Activé Activez cette option pour activer la règle. Activer la journalisation Activez cette option pour que la traduction d'adresses effectuée par cette règle soit consignée. - Configurez une règle NAT source (de l'intérieur vers l'extérieur).
Option Description Appliqué sur Sélectionnez l'interface sur laquelle appliquer la règle. IP/plage source d'origine Entrez l'adresse IP ou la plage d'adresses IP d'origine à appliquer à cette règle ou sélectionner l'adresse IP allouée dans la liste. Ces adresses sont les adresses IP d'une ou plusieurs machines virtuelles pour lesquelles vous configurez la règle SNAT, afin qu'elles puissent envoyer du trafic vers le réseau externe.
IP/plage source traduite Entrez l'adresse IP requise. Cette adresse est toujours l'adresse IP publique de la passerelle pour laquelle vous configurez la règle SNAT. Spécifie l'adresse IP vers laquelle les adresses source (les machines virtuelles) des paquets sortants sont traduites lorsqu'elles envoient du trafic vers le réseau externe.
Adresse IP de destination (Facultatif) Si vous souhaitez que la règle s'applique uniquement au trafic vers un domaine spécifique, entrez une adresse IP pour ce domaine ou une plage d'adresses IP au format CIDR. Si vous laissez cette zone de texte vide, la règle SNAT s'applique à toutes les destinations à l'extérieur du sous-réseau local. Port de destination (Facultatif) Entrez un numéro de port pour la destination. Description (Facultatif) Entrez une description significative pour la règle SNAT. Activé Activez cette option pour activer la règle. Activer la journalisation Activez cette option pour que la traduction d'adresses effectuée par cette règle soit consignée. - Cliquez sur Conserver pour ajouter la règle à la table affichée à l'écran.
- Répétez les étapes pour configurer des règles supplémentaires.
- Cliquez sur Enregistrer les modifications pour enregistrer les règles dans le système.
Que faire ensuite
Ajoutez les règles de pare-feu de passerelle Edge correspondant aux règles SNAT ou DNAT que vous venez de configurer. Reportez-vous à Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere.