La traduction d'adresses réseau (NAT) contrôle la manière dont les adresses IP dans les en-têtes de paquets s'affichent de chaque côté d'une passerelle. Les règles qui s'exécutent sur Passerelle de calcul mappent le trafic Internet à mesure qu'il entre et sort de la passerelle. Les règles qui s'exécutent sur d'autres passerelles de niveau 1 mappent le trafic entre la passerelle et d'autres interfaces réseau SDDC.
Les règles NAT s'exécutent sur la Passerelle de calcul et sur toutes les passerelles de niveau 1 supplémentaires que vous créez. Pour plus d'informations sur la création de passerelles de niveau 1 supplémentaires dans votre SDDC, reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS.
Les règles NAT qui s'exécutent sur l'interface Internet du SDDC (la Passerelle de calcul) mappent des adresses IP source ou de destination internes sur des paquets depuis des segments de réseau de calcul vers des adresses utilisables sur l'Internet public. Pour créer une règle NAT, fournissez l'adresse interne d'une machine virtuelle ou d'un service de charge de travail et une adresse IP externe de votre choix. Les règles NAT qui s'exécutent sur l'interface Internet nécessitent une adresse IP publique. Reportez-vous à la section Demander ou libérer une adresse IP publique.
Les règles de pare-feu, qui examinent les adresses source et de destination des paquets, s'exécutent sur ces passerelles et traitent le trafic après qu'il ait été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.
Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect VPN ou une connexion VTGW a si elle a été ajoutée en tant que route statique à un VPC, les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Cette asymétrie peut se produire, par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.
Conditions préalables
- Pour créer une règle NAT sur la Passerelle de calcul (interface Internet), vous devez avoir obtenu une adresse IP publique qui sera utilisée par une machine virtuelle dans ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
- La machine virtuelle doit être connectée à un segment de réseau de calcul acheminé. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.