Il software NSX Data Center for vSphere nell'ambiente VMware Cloud Director consente ai gateway edge di fornire un servizio NAT. Grazie a questa funzionalità, le organizzazioni possono aumentare la sicurezza e risparmiare riducendo il numero di indirizzi IP pubblici che devono utilizzare.

Il servizio NAT del gateway edge offre la possibilità di assegnare un indirizzo pubblico a una macchina virtuale o a un gruppo di macchine virtuali in una rete privata. Per consentire ai gateway edge di fornire accesso ai servizi in esecuzione in macchine virtuali con indirizzo privato nel virtual data center dell'organizzazione, è necessario configurare regole NAT nei gateway edge. Nel caso più comune, è possibile associare un servizio NAT a un'interfaccia di uplink in un gateway edge nell'ambiente VMware Cloud Director in modo che gli indirizzi nelle reti di virtual data center dell'organizzazione non vengano esposti nella rete esterna.

La configurazione del servizio NAT è suddivisa in regola NAT di origine (SNAT) e regola NAT di destinazione (DNAT). Quando si configura una regola SNAT o DNAT in un gateway edge nell'ambiente di VMware Cloud Director, la regola viene sempre configurata dal punto di vista del virtual data center dell'organizzazione. In particolare, ciò significa che le regole vengono configurate nei modi seguenti:

  • SNAT: il traffico passa da una macchina virtuale in una rete interna nel virtual data center dell'organizzazione (l'origine) tramite Internet alla rete esterna (la destinazione). Una regola SNAT traduce l'indirizzo IP di origine dei pacchetti in uscita di una rete del virtual data center dell'organizzazione inviati a una rete esterna o a un'altra rete del virtual data center dell'organizzazione.
  • DNAT: il traffico passa da Internet (l'origine) a una macchina virtuale all'interno del virtual data center dell'organizzazione (la destinazione). Una regola DNAT converte l'indirizzo IP, e facoltativamente la porta, dei pacchetti ricevuti dalla rete di virtual data center dell'organizzazione provenienti da una rete esterna o da un'altra rete di virtual data center dell'organizzazione.

È possibile configurare regole NAT per creare uno spazio di indirizzi IP privati all'interno del virtual data center dell'organizzazione. Questa configurazione consente di portare uno spazio di indirizzi IP privati da un virtual data center dell'organizzazione a un altro. La configurazione delle regole NAT consente di utilizzare nel virtual data center di un'organizzazione gli stessi indirizzi IP privati delle macchine virtuali utilizzati in un altro virtual data center.

La funzionalità della regola NAT nell'ambiente VMware Cloud Director supporta:

  • Creazione di subnet all'interno dello spazio di indirizzi IP privati
  • Creazione di più spazi di indirizzi IP privati per un gateway edge
  • Configurazione di più regole NAT in più interfacce del gateway edge
Importante: Per rendere accessibili le macchine virtuali nella rete di un gateway edge, è necessario configurare sia regole del firewall sia regole NAT nel gateway edge. Per impostazione predefinita, i gateway edge vengono distribuiti con regole del firewall configurate per negare tutto il traffico di rete da e verso le macchine virtuali nelle reti dei gateway edge. NAT è inoltre disattivato per impostazione predefinita nei gateway edge per impedire che i gateway edge convertano gli indirizzi IP del traffico in entrata e in uscita, a meno che non si configuri NAT nei gateway edge. Il tentativo di eseguire il ping di una macchina virtuale in una rete dopo la configurazione di una regola NAT non riesce a meno che non si aggiunga una regola del firewall per consentire il traffico corrispondente.