Si vous utilisez des espaces IP, vous pouvez générer des règles SNAT, AUCUN SNAT et de pare-feu par défaut sur des passerelles de fournisseur dans votre environnement VMware Cloud Director.

VMware Cloud Director configure automatiquement les règles SNAT, AUCUN SNAT et de pare-feu en fonction de la topologie des espaces IP appropriés et de leurs étendues externes et internes.

La réexécution de la configuration automatique supprime toutes les règles NAT et de pare-feu précédemment créées et les recrée. Cela inclut les règles qui ont été modifiées par les utilisateurs. Toutes les liaisons montantes IP existantes sont prises en compte lors de la reconfiguration automatique

Les règles sont appliquées dans un ordre spécifique.
Type de règle Ordre de priorité
Règles NAT
  • Les règles AUCUN SNAT par défaut sont définies avec une priorité de 0, ce qui correspond à la priorité la plus élevée. L'exception à cela correspondrait à un espace IP dans lequel la portée externe est la route par défaut (c'est-à-dire 0.0.0.0/0). La règle AUCUN SNAT associée à la route par défaut a une priorité de 1 000.
  • Les règles SNAT par défaut ont une priorité de 100, là aussi à l'exception de la règle SNAT associée à la route par défaut. La règle SNAT associée à la route par défaut a une priorité de 1 001.
  • Par défaut, les règles NAT créées par l'utilisateur ont une priorité de 50.
Règles de pare-feu

L'ordre dans lequel les règles de pare-feu sont appliquées varie selon votre version de VMware Cloud Director.

VMware Cloud Director applique les règles dans l'ordre suivant.
  1. Règles de pare-feu pour les règles SNAT par défaut associées.
  2. Règles de pare-feu pour les règles AUCUN SNAT par défaut associées.
  3. Règles de pare-feu existantes.
Règle SNAT par défaut
Cette règle indique que tout le trafic peut accéder à l'étendue externe d'un espace IP spécifique à l'aide de NAT. La source configurée automatiquement est une adresse IP ou un CIDR, et la destination configurée automatiquement est l'étendue externe de l'espace IP.
Règle AUCUN SNAT par défaut
Une règle AUCUN SNAT autorise le passage du trafic de l'étendue interne de l'espace IP vers sa portée externe sans que des règles NAT soient appliquées.
Règle de pare-feu associée
Une règle de pare-feu associée est créée pour chaque règle SNAT et AUCUN SNAT par défaut.

Conditions préalables

  • Vérifiez que vous êtes administrateur système ou que votre rôle inclut le droit Services de passerelle par défaut des espaces IP : Gérer.
  • Vérifiez que la passerelle de fournisseur repose sur une passerelle VRF de niveau 0 NSX configurée avec le mode Haute disponibilité actif-veille.
  • Vérifiez que la passerelle de fournisseur est dédiée à un seul locataire.
  • Vérifiez que vous avez associé au moins un espace IP à la passerelle de fournisseur. Reportez-vous à la section Ajouter une liaison montante d'espace IP à une passerelle de fournisseur dans VMware Cloud Director.
  • Vérifiez que vous avez configuré les étendues interne et externe pour les espaces IP associés à la passerelle de fournisseur.
  • Vérifiez que vous avez configuré la topologie réseau pour les espaces IP pour lesquels vous souhaitez configurer automatiquement les règles NAT et de pare-feu. Reportez-vous à la section Configurer la topologie réseau d'un espace IP dans votre VMware Cloud Director.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez Ressources de cloud.
  2. Dans le volet de gauche, cliquez sur Passerelles de fournisseur.
  3. À droite du nom de la passerelle de fournisseur, cliquez sur Configuration automatique > NAT et pare-feu.
  4. Cliquez sur Configuration automatique.