Le logiciel NSX Data Center for vSphere dans votre environnement VMware Cloud Director permet aux passerelles Edge de fournir un service de traduction d'adresse réseau (NAT). Cette capacité permet de limiter le nombre d'adresses IP publiques qu'une organisation doit utiliser pour des raisons économiques et de sécurité.

Le service NAT d'une passerelle Edge permet d'attribuer une adresse publique à une machine virtuelle ou à un groupe de machines virtuelles dans un réseau privé. Pour permettre à vos passerelles Edge de fournir l'accès aux services exécutés sur des machines virtuelles à adressage privé dans votre centre de données virtuel d'organisation, vous devez configurer des règles NAT sur les passerelles Edge. Dans la plupart des cas, vous associez un service NAT à une interface de liaison montante sur une passerelle Edge dans votre environnement VMware Cloud Director afin que les adresses sur les réseaux de centre de données virtuel d'organisation ne soient pas exposées sur le réseau externe.

La configuration du service NAT est séparée dans les règles de NAT source (SNAT) et de NAT de destination (DNAT). Lorsque vous configurez une règle SNAT ou DNAT sur une passerelle Edge dans l'environnement VMware Cloud Director, vous configurez toujours la règle du point de vue de votre centre de données virtuel d'organisation. Plus précisément, cela signifie que vous configurez les règles de la manière suivante :

  • SNAT : le trafic se déplace d'une machine virtuelle sur un réseau interne dans votre centre de données virtuel d'organisation (la source) via Internet vers le réseau externe (la destination). Une règle SNAT traduit l'adresse IP source des paquets sortants d'un réseau de centre de données virtuel d'organisation qui sont envoyés à un réseau externe ou à un autre réseau de centre de données virtuel d'organisation.
  • DNAT : le trafic se déplace d'Internet (la source) vers une machine virtuelle à l'intérieur de votre centre de données virtuel d'organisation (la destination). Une règle DNAT traduit l'adresse IP, et éventuellement le port, des paquets reçus par un réseau de centre de données virtuel d'organisation en provenance d'un réseau externe ou d'un autre réseau de centre de données virtuel d'organisation.

Vous pouvez configurer les règles NAT pour créer un espace d'adressage IP privé à l'intérieur de votre centre de données virtuel d'organisation. Cette configuration offre la possibilité de porter un espace d'adressage IP privé d'un centre de données virtuel d'organisation vers un autre. La configuration des règles NAT vous permet d'utiliser les mêmes adresses IP privées pour vos machines virtuelles dans un centre de données virtuel d'organisation que celles qui ont été utilisées dans un autre.

La fonctionnalité de règle NAT dans votre environnement VMware Cloud Director prend en charge les opérations suivantes :

  • Création de sous-réseaux au sein de l'espace d'adressage IP privé
  • Création de plusieurs espaces d'adressage IP privés pour une passerelle Edge
  • Configuration de plusieurs règles NAT sur plusieurs interfaces de passerelle Edge
Important : Vous devez configurer des règles de pare-feu et NAT sur une passerelle Edge pour que les machines virtuelles sur un réseau de passerelle Edge soient accessibles. Par défaut, les passerelles Edge sont déployées avec des règles de pare-feu configurées pour refuser tout le trafic réseau vers et depuis les machines virtuelles sur les réseaux de passerelle Edge. En outre, la fonctionnalité NAT est désactivée par défaut sur les passerelles Edge afin que celles-ci ne soient pas en mesure de traduire les adresses IP du trafic entrant et sortant, sauf si vous configurez cette fonctionnalité sur les passerelles Edge. Toute tentative d'exécution d'une commande ping vers une machine virtuelle sur un réseau après la configuration d'une règle NAT échoue, sauf si vous ajoutez une règle de pare-feu pour autoriser le trafic correspondant.