Si vous utilisez des espaces IP, vous pouvez générer des règles SNAT, AUCUN SNAT et de pare-feu par défaut sur des passerelles de fournisseur dans votre environnement VMware Cloud Director.

VMware Cloud Director configure automatiquement les règles SNAT, AUCUN SNAT et de pare-feu en fonction de la topologie des espaces IP appropriés et de leurs étendues externes et internes.

Note :

Si vous associez une nouvelle liaison montante d'espace IP à une passerelle de fournisseur, ou si vous reconfigurez un espace IP spécifique après avoir configuré automatiquement des règles NAT et de pare-feu sur une passerelle de fournisseur, la passerelle n'est pas mise à jour automatiquement avec les modifications. Cela signifie que vous devez accéder à la passerelle, supprimer toutes les règles NAT et de pare-feu configurées automatiquement, puis les générer à nouveau pour chaque nouvelle mise à jour de l'espace IP.

Les règles sont appliquées dans un ordre spécifique.
Type de règle Ordre de priorité
Règles NAT
  • Les règles AUCUN SNAT par défaut sont définies avec une priorité de 0, ce qui correspond à la priorité la plus élevée. L'exception à cela correspondrait à un espace IP dans lequel la portée externe est la route par défaut (c'est-à-dire 0.0.0.0/0). La règle AUCUN SNAT associée à la route par défaut a une priorité de 1 000.
  • Les règles SNAT par défaut ont une priorité de 100, là aussi à l'exception de la règle SNAT associée à la route par défaut. La règle SNAT associée à la route par défaut a une priorité de 1 001.
  • Par défaut, les règles NAT créées par l'utilisateur ont une priorité de 50.
Règles de pare-feu Les règles de pare-feu sont appliquées dans l'ordre suivant.
  1. Règles de pare-feu pour les règles AUCUN SNAT par défaut associées.
  2. Règles de pare-feu pour les règles SNAT par défaut associées.
  3. Règles de pare-feu existantes.
Règle SNAT par défaut
Cette règle indique que tout le trafic peut accéder à l'étendue externe d'un espace IP spécifique à l'aide de NAT. La source configurée automatiquement est une adresse IP ou un CIDR, et la destination configurée automatiquement est l'étendue externe de l'espace IP.
Règle AUCUN SNAT par défaut
Une règle AUCUN SNAT autorise le passage du trafic de l'étendue interne de l'espace IP vers sa portée externe sans que des règles NAT soient appliquées.
Règle de pare-feu associée
Une règle de pare-feu associée est créée pour chaque règle SNAT et AUCUN SNAT par défaut.

Conditions préalables

  • Vérifiez que vous êtes administrateur système ou que votre rôle inclut le droit Services de passerelle par défaut des espaces IP : Gérer.
  • Vérifiez que la passerelle de fournisseur repose sur une passerelle VRF de niveau 0 NSX configurée avec le mode HA actif-veille.
  • Vérifiez que la passerelle de fournisseur est dédiée à un seul locataire.
  • Vérifiez que vous avez associé au moins un espace IP à la passerelle de fournisseur. Reportez-vous à la section Ajouter une liaison montante d'espace IP à une passerelle de fournisseur dans VMware Cloud Director.
  • Vérifiez que vous avez configuré les étendues interne et externe pour les espaces IP associés à la passerelle de fournisseur.
  • Vérifiez que vous avez configuré la topologie réseau pour les espaces IP pour lesquels vous souhaitez configurer automatiquement les règles NAT et de pare-feu. Reportez-vous à la section Configurer la topologie réseau d'un espace IP dans votre VMware Cloud Director.

Procédure

  1. Dans la barre de navigation supérieure, sélectionnez Ressources et cliquez sur Ressources de cloud.
  2. Dans le volet de gauche, cliquez sur Passerelles de fournisseur.
  3. À droite du nom de la passerelle de fournisseur, cliquez sur Configuration automatique > NAT et pare-feu.
  4. Cliquez sur Configuration automatique.