La traduction d'adresse réseau (NAT, Network Address Translation) mappe des adresses IP internes sur votre réseau de calcul à des adresses exposées sur l'Internet public. Pour créer une règle NAT, vous devez fournir l'adresse interne et le numéro de port d'une machine virtuelle de charge de travail ou d'un service, ainsi qu'une adresse IP publique et le numéro de port que vous avez obtenu du système.
Les règles NAT doivent s'exécuter sur l'interface Internet du SDDC, car c'est là que les adresses publiques des machines virtuelles de charge de travail sont exposées. Les règles de pare-feu, qui examinent les sources et les destinations des paquets, s'exécutent sur la Passerelle de calcul et traitent le trafic après qu'il a été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.
Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect ou VPN (par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0), les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.
Conditions préalables
- La machine virtuelle doit être connectée à un segment de réseau de calcul. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.
- Vous devez demander une adresse IP publique pour la machine virtuelle. Reportez-vous à la section Demander ou libérer une adresse IP publique.