Créer ou modifier des règles NAT

La traduction d'adresses réseau (NAT) contrôle la manière dont les adresses IP dans les en-têtes de paquets s'affichent de chaque côté d'une passerelle. Les règles qui s'exécutent sur Passerelle de calcul mappent le trafic Internet à mesure qu'il entre et sort de la passerelle. Les règles qui s'exécutent sur d'autres passerelles de niveau 1 mappent le trafic entre la passerelle et d'autres interfaces réseau SDDC.

Les règles NAT s'exécutent sur la Passerelle de calcul et sur toutes les passerelles de niveau 1 supplémentaires que vous créez. Pour plus d'informations sur la création de passerelles de niveau 1 supplémentaires dans votre SDDC, reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS.

Les règles NAT qui s'exécutent sur l'interface Internet du SDDC (la Passerelle de calcul) mappent des adresses IP source ou de destination internes sur des paquets depuis des segments de réseau de calcul vers des adresses utilisables sur l'Internet public. Pour créer une règle NAT, fournissez l'adresse interne d'une machine virtuelle ou d'un service de charge de travail et une adresse IP externe de votre choix. Les règles NAT qui s'exécutent sur l'interface Internet nécessitent une adresse IP publique. Reportez-vous à la section Demander ou libérer une adresse IP publique.

Les règles de pare-feu, qui examinent les adresses source et de destination des paquets, s'exécutent sur ces passerelles et traitent le trafic après qu'il ait été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.

Important :

Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect VPN ou une connexion VTGW a si elle a été ajoutée en tant que route statique à un VPC, les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Cette asymétrie peut se produire, par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.

Conditions préalables

Pour créer une règle NAT sur la Passerelle de calcul (interface Internet), vous devez avoir obtenu une adresse IP publique qui sera utilisée par une machine virtuelle dans ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
La machine virtuelle doit être connectée à un segment de réseau de calcul acheminé. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.

Procédure

Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.

Cliquez sur NAT > Internet pour ajouter des règles NAT qui s'exécutent sur la Passerelle de calcul par défaut.

Cliquez sur AJOUTER UNE RÈGLE NAT et attribuez un Nom à la règle.

Configurez les options de règle NAT Internet :

Option	Description
Adresse IP publique	Faites une sélection dans la liste déroulante d'adresses IP publiques qui ont été provisionnées pour ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
Service	Sélectionnez Tout le trafic pour créer une règle qui s'applique au trafic entrant (DNAT) et au trafic sortant (SNAT) vers ou depuis l'adresse IP interne spécifiée. Sélectionnez un des services répertoriés pour créer une règle entrante (DNAT) qui s'applique uniquement au trafic utilisant ce protocole et ce port. Tous les services personnalisés que vous avez créés (reportez-vous à la section Utilisation des groupes d'inventaire) sont également répertoriés ici. Note : Comme les services qui utilisent plusieurs ports de destination ne peuvent pas être soumis à une règle NAT, ils n'apparaissent pas dans cette liste.
Port public	Si vous avez défini Service sur Tout le trafic, le port public par défaut est défini sur Tous. Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.
Adresse IP interne	Entrez l'adresse IP interne de la machine virtuelle. Cette adresse doit se trouver sur un segment de réseau SDDC routé.
Port interne	Affiche le port interne utilisé par le Service sélectionné. Pour utiliser un port personnalisé, ajoutez un service personnalisé (reportez-vous à la section Utilisation des groupes d'inventaire), puis sélectionnez ce Service dans la règle NAT. Si vous avez défini Service sur Tout le trafic, le port interne par défaut est défini sur Tous. Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.
Pare-feu	Spécifiez comment le trafic soumis à cette règle NAT est exposé aux règles de pare-feu de passerelle. Par défaut, ces règles de pare-feu correspondent à la combinaison de l'adresse IP interne et du port interne. Sélectionnez Faire correspondre à l'adresse externe pour que les règles de pare-feu correspondent à la combinaison de l'Adresse IP externe et du Port externe. (Les règles de pare-feu distribué ne s'appliquent jamais aux adresses ou aux ports externes.)

Vous pouvez créer plusieurs règles NAT qui utilisent les mêmes adresses IP publiques et adresses IP internes avec Tout le trafic. Si vous agissez ainsi, chaque adresse IP interne utilise l'adresse IP publique pour le trafic sortant (SNAT), mais seule la première règle correspondante sera utilisée pour le trafic entrant (DNAT). Le système crée (mais n'affiche pas) une règle sortante par défaut. Cette règle est utilisée pour toutes les adresses IP internes qui ne correspondent pas à une règle NAT spécifique qui s'applique à Tout le traffic. L'adresse IP utilisée pour cette règle s'affiche dans le résumé de la Passerelle de calcul par défaut sur la page Mise en réseau et sécurité Présentation en tant qu'adresse IP publique NAT source.

Choisissez une Priorité pour la règle.
Une valeur inférieure signifie une priorité plus élevée pour cette règle.
(Facultatif) Cliquez sur le bouton bascule Journalisation pour enregistrer les actions de la règle.
La nouvelle règle est active dès sa création. Cliquez sur le bouton bascule Activer pour la désactiver.
Cliquez sur ENREGISTRER pour créer la règle.

(Facultatif) Si vous avez créé une passerelle de niveau 1 supplémentaire, cliquez sur NAT > Passerelle de niveau 1 pour ajouter des règles NAT qui s'exécutent sur cette passerelle.

Choisissez une Passerelle sur laquelle vous souhaitez que la règle s'exécute.
Cliquez sur AJOUTER UNE RÈGLE NAT et attribuez un Nom à la règle.

Configurez les options de règle NAT de la Passerelle de niveau 1 :

Option	Description :
Action	Une des versions suivantes : SNAT NAT source. Modifie l'adresse source dans l'en-tête du paquet. Reportez-vous à la section Configurer la NAT source sur un routeur de niveau 1. DNAT NAT de destination. Modifie l'adresse de destination dans l'en-tête du paquet. Reportez-vous à la section Configurer la NAT de destination sur un routeur de niveau 1. Spécifiez un Port traduit si nécessaire. Réflexif Configuration NAT sans état pour éviter les routes asymétriques. Reportez-vous à la section NAT réflexive. Aucun SNAT Désactivez la NAT source. Aucun DNAT Désactivez la NAT de destination.
Match	Pour SNAT, entrez une adresse source à utiliser. Pour DNAT, entrez une adresse de destination à utiliser.
Traduit	Entrez une adresse IPv4 ou un bloc CIDR à utiliser pour l'adresse SNAT ou DNAT traduite.
Appliquer à	Choisissez des interfaces ou des étiquettes spécifiques pour définir le trafic que vous souhaitez que la règle affecte.
Pare-feu	Spécifiez comment le trafic soumis à cette règle NAT est exposé aux règles de pare-feu de passerelle. Par défaut, ces règles de pare-feu correspondent à la combinaison de l'adresse IP interne et du port interne. Sélectionnez Faire correspondre à l'adresse externe pour que les règles de pare-feu correspondent à la combinaison de l'Adresse IP externe et du Port externe. (Les règles de pare-feu distribué ne s'appliquent jamais aux adresses ou aux ports externes.)

Choisissez une Priorité pour la règle.
Une valeur inférieure signifie une priorité plus élevée pour cette règle.
(Facultatif) Cliquez sur le bouton bascule Journalisation pour enregistrer les actions de la règle.
La nouvelle règle est active dès sa création. Cliquez sur le bouton bascule Activer pour la désactiver.
Cliquez sur ENREGISTRER pour créer la règle.