Se si utilizzano spazi IP, è possibile generare regole SNAT, NO SNAT e del firewall predefinite nei gateway del provider nell'ambiente di VMware Cloud Director.

VMware Cloud Director configura automaticamente le regole SNAT, NO SNAT e del firewall in base alla topologia degli spazi IP pertinenti e ai relativi ambiti esterni e interni.

Una nuova esecuzione della configurazione automatica elimina tutte le regole NAT e del firewall create in precedenza e le ricrea. Ciò include le regole modificate dagli utenti. Durante la nuova configurazione automatica vengono presi in considerazione tutti gli uplink IP esistenti

Le regole vengono applicate in un ordine specifico.
Tipo di regola Ordine di priorità
Regole NAT
  • Le regole NO SNAT predefinite sono definite con la priorità 0, ovvero la priorità più alta. L'eccezione si verifica per uno spazio IP in cui l'ambito esterno è la route predefinita (ad esempio 0.0.0.0/0). La regola NO SNAT associata alla route predefinita ha la priorità 1000.
  • Le regole SNAT predefinite hanno una priorità di 100, ad eccezione della regola SNAT associata alla route predefinita. La regola SNAT associata alla route predefinita ha la priorità 1001.
  • Per impostazione predefinita, le regole NAT create dall'utente hanno la priorità 50.
Regole firewall

L'ordine di applicazione delle regole firewall varia in base alla versione di VMware Cloud Director.

VMware Cloud Director applica le regole nel seguente ordine.
  1. Regole del firewall per le regole SNAT predefinite associate.
  2. Regole del firewall per le regole NO SNAT predefinite associate.
  3. Regole firewall esistenti.
Regola SNAT predefinita
Questa regola indica che tutto il traffico può accedere all'ambito esterno di uno spazio IP specifico utilizzando NAT. L'origine configurata automaticamente è qualsiasi indirizzo IP o CIDR e la destinazione configurata automaticamente è l'ambito esterno dello spazio IP.
Regola NO SNAT predefinita
Una regola NO SNAT consente al traffico di scorrere dall'ambito interno dello spazio IP al relativo ambito esterno senza applicare regole NAT.
Regola firewall associata
Viene creata una regola del firewall associata per ogni regola SNAT e NO SNAT predefinita.

Prerequisiti

  • Verificare di essere un amministratore di sistema o che il proprio ruolo includa il diritto Servizi gateway predefiniti spazi IP: Gestisci.
  • Verificare che il gateway del provider sia supportato da un gateway VRF di livello 0 di NSX configurato con la modalità alta disponibilità attiva-standby.
  • Verificare che il gateway del provider sia dedicato a un singolo tenant.
  • Verificare di aver associato almeno uno spazio IP al gateway del provider. Vedere Aggiunta di un uplink di spazio IP in un gateway del provider in VMware Cloud Director.
  • Verificare di aver configurato gli ambiti interni ed esterni per gli spazi IP associati al gateway del provider.
  • Verificare di aver configurato la topologia di rete per gli spazi IP per cui si desidera configurare automaticamente le regole NAT e del firewall. Vedere Configurazione della topologia di rete per uno spazio IP nel VMware Cloud Director.

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
  2. Nel riquadro a sinistra, fare clic su Gateway del provider.
  3. A destra del nome del gateway del provider, fare clic su Configura automaticamente > NAT e Firewall.
  4. Fare clic su Configura automaticamente.