La traduction d'adresse réseau (NAT, Network Address Translation) mappe des adresses IP internes sur votre réseau de calcul à des adresses exposées sur l'Internet public. Pour créer une règle NAT, vous devez fournir l'adresse interne et le numéro de port d'une machine virtuelle de charge de travail ou d'un service, ainsi qu'une adresse IP publique et le numéro de port que vous avez obtenu du système.

Règles NAT sur l'interface Internet du SDDC, car c'est là que les adresses publiques des machines virtuelles de charge de travail sont exposées. Les règles de pare-feu, qui examinent les sources et les destinations des paquets, s'exécutent sur la Passerelle de calcul et traitent le trafic après qu'il a été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.

Important :

Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect ou VPN (par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0), les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.

Conditions préalables

  • Vous devez avoir obtenu une adresse IP publique qui sera utilisée par une machine virtuelle dans ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
  • La machine virtuelle doit être connectée à un segment de réseau de calcul. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Sélectionnez Mise en réseau et sécurité > NAT .
  3. Cliquez sur AJOUTER UNE RÈGLE NAT et attribuez un Nom à la règle.
  4. Entrez les paramètres de la règle NAT.
    Option Description
    Adresse IP publique Faites une sélection dans la liste déroulante d'adresses IP publiques qui ont été provisionnées pour ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
    Service
    • Sélectionnez Tout le trafic pour créer une règle qui s'applique au trafic entrant (DNAT) et au trafic sortant (SNAT) vers ou depuis l'adresse IP interne spécifiée.
    • Sélectionnez un des services répertoriés pour créer une règle entrante (DNAT) qui s'applique uniquement au trafic utilisant ce protocole et ce port.
      Note : Comme les services qui utilisent plusieurs ports de destination ne peuvent pas être soumis à une règle NAT, ils n'apparaissent pas dans cette liste.
    Port public Si vous avez défini Service sur Tout le trafic, le port public par défaut est défini sur Tous.

    Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.

    Adresse IP interne Entrez l'adresse IP interne de la machine virtuelle.
    Port interne

    Affiche le port interne utilisé par le Service sélectionné. Pour utiliser un port personnalisé, Ajouter un service personnalisé, sélectionnez ensuite ce service dans la règle NAT.

    Si vous avez défini Service sur Tout le trafic, le port interne par défaut est défini sur Tous.

    Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.

    Pare-feu Spécifiez la manière dont le trafic soumis à cette règle NAT est exposé aux règles de pare-feu de la passerelle de calcul. Par défaut, les règles de pare-feu CGW correspondent à la combinaison de l'adresse IP interne et du port interne. Sélectionnez Faire correspondre à l'adresse externe pour que les règles de pare-feu correspondent à la combinaison de l'Adresse IP externe et du Port externe. (Les règles de pare-feu distribué ne s'appliquent jamais aux adresses ou aux ports externes.)

    Vous pouvez créer plusieurs règles NAT qui utilisent les mêmes adresses IP publiques et adresses IP internes avec Tout le trafic. Si vous agissez ainsi, chaque adresse IP interne utilise l'adresse IP publique pour le trafic sortant (SNAT), mais seule la première règle correspondante sera utilisée pour le trafic entrant (DNAT). Le système crée (mais n'affiche pas) une règle sortante par défaut. Cette règle est utilisée pour toutes les adresses IP internes qui ne correspondent pas à une règle NAT spécifique qui s'applique à Tout le traffic. L'adresse IP utilisée pour cette règle s'affiche dans le résumé de la Passerelle de calcul par défaut sur la page Mise en réseau et sécurité Présentation en tant qu'adresse IP publique NAT source.

  5. (Facultatif) Cliquez sur le bouton bascule Journalisation pour enregistrer les actions de la règle.
  6. La nouvelle règle est activée par défaut. Cliquez sur le bouton bascule Activer pour la désactiver.
  7. Cliquez sur ENREGISTRER pour créer la règle.
    La règle est créée et son État est signalé comme étant Activé.