La traduction d'adresse réseau (NAT, Network Address Translation) mappe des adresses IP internes sur votre réseau de calcul à des adresses exposées sur l'Internet public. Pour créer une règle NAT, vous devez fournir l'adresse interne et le numéro de port d'une machine virtuelle de charge de travail ou d'un service, ainsi qu'une adresse IP publique et le numéro de port que vous avez obtenu du système.

Les règles NAT doivent s'exécuter sur l'interface Internet du SDDC, car c'est là que les adresses publiques des machines virtuelles de charge de travail sont exposées. Les règles de pare-feu, qui examinent les sources et les destinations des paquets, s'exécutent sur la Passerelle de calcul et traitent le trafic après qu'il a été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.

Important :

Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect ou VPN (par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0), les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.

Conditions préalables

  • La machine virtuelle doit être connectée à un segment de réseau de calcul. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.
  • Vous devez demander une adresse IP publique pour la machine virtuelle. Reportez-vous à la section Demander ou libérer une adresse IP publique.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Sélectionnez Mise en réseau et sécurité > NAT .
  3. Cliquez sur AJOUTER UNE RÈGLE NAT et attribuez un Nom à la règle.
  4. Entrez les paramètres de la règle NAT.
    Option Description
    Adresse IP publique L'adresse IP publique provisionnée pour la machine virtuelle est fournie.
    Service Sélectionnez l'une des options suivantes :
    • Sélectionnez Tout le trafic pour créer une règle qui s'applique à tout le trafic.
    • Sélectionnez un des services répertoriés pour créer une règle qui s'applique uniquement au trafic utilisant ce protocole et ce port.
    Port public Si vous avez défini Service sur Tout le trafic, le port public par défaut est défini sur Tous.

    Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.

    Adresse IP interne Entrez l'adresse IP interne de la machine virtuelle.
    Port interne Si vous avez défini Service sur Tout le trafic, le port interne par défaut est défini sur Tous.

    Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.

    Pare-feu Spécifiez la manière dont le trafic soumis à cette règle NAT est exposé aux règles de pare-feu. Par défaut, les règles de pare-feu correspondent à la combinaison de l'Adresse IP interne et du Port interne. Sélectionnez Faire correspondre à l'adresse externe pour que les règles de pare-feu correspondent à la combinaison de l'Adresse IP externe et du Port externe.
  5. (Facultatif) Cliquez sur le bouton bascule Journalisation pour enregistrer les actions de la règle.
  6. La nouvelle règle est activée par défaut. Cliquez sur le bouton bascule Activer pour la désactiver.
  7. Cliquez sur ENREGISTRER pour créer la règle.
    La règle est créée et son État est signalé comme étant Activé.