Il software NSX Data Center for vSphere nell'ambiente VMware Cloud Director consente ai gateway edge di fornire un servizio NAT. Grazie a questa funzionalità, le organizzazioni possono aumentare la sicurezza e risparmiare riducendo il numero di indirizzi IP pubblici che devono utilizzare.

Il servizio NAT del gateway edge offre la possibilità di assegnare un indirizzo pubblico a una macchina virtuale o a un gruppo di macchine virtuali in una rete privata. Per consentire ai gateway edge di fornire accesso ai servizi in esecuzione in macchine virtuali con indirizzo privato nel virtual data center dell'organizzazione, è necessario configurare regole NAT nei gateway edge. Nel caso più comune, è possibile associare un servizio NAT a un'interfaccia di uplink in un gateway edge nell'ambiente VMware Cloud Director in modo che gli indirizzi nelle reti di virtual data center dell'organizzazione non vengano esposti nella rete esterna.

La configurazione del servizio NAT è suddivisa in regola NAT di origine (SNAT) e regola NAT di destinazione (DNAT). Quando si configura una regola SNAT o DNAT in un gateway edge nell'ambiente di VMware Cloud Director, la regola viene sempre configurata dal punto di vista del virtual data center dell'organizzazione. In particolare, ciò significa che le regole vengono configurate nei modi seguenti:

  • SNAT: il traffico passa da una macchina virtuale in una rete interna nel virtual data center dell'organizzazione (l'origine) tramite Internet alla rete esterna (la destinazione). Una regola SNAT traduce l'indirizzo IP di origine dei pacchetti in uscita di una rete del virtual data center dell'organizzazione inviati a una rete esterna o a un'altra rete del virtual data center dell'organizzazione.
  • DNAT: il traffico passa da Internet (l'origine) a una macchina virtuale all'interno del virtual data center dell'organizzazione (la destinazione). Una regola DNAT converte l'indirizzo IP, e facoltativamente la porta, dei pacchetti ricevuti dalla rete di virtual data center dell'organizzazione provenienti da una rete esterna o da un'altra rete di virtual data center dell'organizzazione.

È possibile configurare regole NAT per creare uno spazio di indirizzi IP privati all'interno del virtual data center dell'organizzazione. Questa configurazione consente di portare uno spazio di indirizzi IP privati da un virtual data center dell'organizzazione a un altro. La configurazione delle regole NAT consente di utilizzare nel virtual data center di un'organizzazione gli stessi indirizzi IP privati delle macchine virtuali utilizzati in un altro virtual data center.

La funzionalità della regola NAT nell'ambiente VMware Cloud Director supporta:

  • Creazione di subnet all'interno dello spazio di indirizzi IP privati
  • Creazione di più spazi di indirizzi IP privati per un gateway edge
  • Configurazione di più regole NAT in più interfacce del gateway edge
Importante: Per rendere accessibili le macchine virtuali nella rete di un gateway edge, è necessario configurare sia regole del firewall sia regole NAT nel gateway edge. Per impostazione predefinita, i gateway edge vengono distribuiti con regole del firewall configurate per negare tutto il traffico di rete da e verso le macchine virtuali nelle reti dei gateway edge. NAT è inoltre disattivato per impostazione predefinita nei gateway edge per impedire che i gateway edge convertano gli indirizzi IP del traffico in entrata e in uscita, a meno che non si configuri NAT nei gateway edge. Il tentativo di eseguire il ping di una macchina virtuale in una rete dopo la configurazione di una regola NAT non riesce a meno che non si aggiunga una regola del firewall per consentire il traffico corrispondente.

Aggiunta di una regola SNAT o DNAT a un gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Tenant Portal

È possibile creare una regola NAT di origine (SNAT) per modificare l'indirizzo IP di origine da pubblico a privato o viceversa. È possibile creare una regola NAT di destinazione (DNAT) per modificare l'indirizzo IP di destinazione da pubblico a privato o viceversa.

Durante la creazione di regole NAT, è possibile specificare gli indirizzi IP originali e convertiti utilizzando i seguenti formati:

  • Indirizzo IP, ad esempio 192.0.2.0
  • Intervallo di indirizzi IP, ad esempio 192.0.2.0-192.0.2.24
  • Indirizzo IP/subnet mask, ad esempio 192.0.2.0/24
  • any

Quando si configura una regola SNAT o DNAT in un gateway edge nell'ambiente di VMware Cloud Director, la regola viene sempre configurata dal punto di vista del virtual data center dell'organizzazione. Una regola SNAT converte l'indirizzo IP di origine dei pacchetti inviati da una rete di virtual data center dell'organizzazione a una rete esterna o a un'altra rete di virtual data center dell'organizzazione. Una regola DNAT converte l'indirizzo IP, e facoltativamente la porta, dei pacchetti ricevuti dalla rete di virtual data center dell'organizzazione provenienti da una rete esterna o da un'altra rete di virtual data center dell'organizzazione.

Prerequisiti

È necessario che gli indirizzi IP pubblici siano stati aggiunti all'interfaccia del gateway edge NSX Data Center for vSphere a cui si desidera aggiungere la regola. Per le regole DNAT, è necessario che all'interfaccia del gateway edge sia stato aggiunto l'indirizzo IP originale (pubblico), mentre per le regole SNAT, è necessario che all'interfaccia sia stato aggiunto l'indirizzo IP convertito (pubblico).

Procedura

  1. Aprire i servizi gateway edge.
    1. Nel riquadro di navigazione principale a sinistra, selezionare Rete e nella barra di navigazione superiore della pagina, selezionare Gateway edge.
    2. Selezionare il gateway edge che si desidera modificare e fare clic su Servizi.
  2. Fare clic su NAT per visualizzare la schermata Regole NAT.
  3. In base al tipo di regola NAT che si sta creando, fare clic su REGOLA DNAT o REGOLA SNAT.
  4. Configurare una regola NAT di destinazione (dall'esterno verso l'interno).
    Opzione Descrizione
    Applicato su Selezionare l'interfaccia in cui si desidera applicare la regola.
    IP/Intervallo originale

    Digitare l'indirizzo IP richiesto oppure selezionare l'indirizzo IP allocato nell'elenco.

    Questo indirizzo deve essere l'indirizzo IP pubblico del gateway edge per il quale si sta configurando la regola DNAT. Nel pacchetto ispezionato, questo indirizzo o intervallo IP è quello visualizzato come indirizzo IP di destinazione del pacchetto. Questi indirizzi di destinazione dei pacchetti sono quelli convertiti dalla regola DNAT.

    Protocollo Selezionare il protocollo a cui applicare la regola. Per applicare la regola a tutti i protocolli, selezionare Qualsiasi.
    Porta originale (Facoltativo) Selezionare la porta o l'intervallo di porte che il traffico in entrata utilizza nel gateway edge per connettersi alla rete interna a cui sono connesse le macchine virtuali. Questa opzione non è disponibile quando il Protocollo è impostato su ICMP o Qualsiasi.
    Tipo di ICMP Quando si seleziona ICMP (un'utilità di segnalazione degli errori e di diagnostica utilizzata tra i dispositivi per comunicare le informazioni sugli errori) in Protocollo, selezionare Tipo di ICMP dal menu a discesa.

    I messaggi di ICMP vengono identificati dal campo del tipo. Per impostazione predefinita, il tipo di ICMP è impostato su Qualsiasi.

    IP/Intervallo convertito Digitare l'indirizzo IP o un intervallo di indirizzi IP in cui verranno convertiti gli indirizzi di destinazione dei pacchetti in entrata.

    Si tratta degli indirizzi IP di una o più macchine virtuali per le quali si sta configurando la regola DNAT in modo che possano ricevere traffico dalla rete esterna.

    Porta convertita (Facoltativo) Selezionare la porta o l'intervallo di porte a cui si connette il traffico in entrata nelle macchine virtuali della rete interna. Si tratta delle porte in cui la regola DNAT esegue la conversione per i pacchetti in entrata per le macchine virtuali.
    Indirizzo IP origine Se si desidera che la regola venga applicata solo al traffico proveniente da un dominio specifico, immettere un indirizzo IP per questo dominio o un intervallo di indirizzi IP nel formato CIDR. Se si lascia vuota questa casella di testo, la regola DNAT viene applicata a tutti gli indirizzi IP presenti nella subnet locale.
    Porta di origine (Facoltativo) Immettere un numero di porta per l'origine.
    Descrizione (Facoltativo) Immettere una descrizione significativa per la regola DNAT.
    Abilitato Attivare questa opzione per attivare la regola.
    Abilita registrazione Attivare questa opzione per abilitare la registrazione della conversione degli indirizzi eseguita dalla regola.
  5. Configurare una regola NAT di origine (dall'interno verso l'esterno).
    Opzione Descrizione
    Applicato su Selezionare l'interfaccia in cui si desidera applicare la regola.
    IP di origine/Intervallo originale Digitare l'indirizzo IP originale o l'intervallo di indirizzi IP da applicare a questa regola oppure selezionare l'indirizzo IP allocato nell'elenco.

    Si tratta degli indirizzi IP di una o più macchine virtuali per le quali si sta configurando la regola SNAT in modo che possano inviare traffico alla rete esterna.

    IP di origine/Intervallo convertito Digitare l'indirizzo IP richiesto.

    Questo indirizzo è sempre l'indirizzo IP pubblico del gateway per il quale si sta configurando la regola SNAT. Specifica l'indirizzo IP in cui gli indirizzi (le macchine virtuali) di origine nei pacchetti in uscita vengono convertiti quando inviano il traffico alla rete esterna.

    Indirizzo IP destinazione (Facoltativo) Se si desidera che la regola venga applicata solo per il traffico verso un dominio specifico, immettere un indirizzo IP per questo dominio o un intervallo di indirizzi IP in formato CIDR. Se si lascia vuota questa casella di testo, la regola SNAT viene applicata a tutte le destinazioni esterne alla subnet locale.
    Porta di destinazione (Facoltativo) Immettere un numero di porta per la destinazione.
    Descrizione (Facoltativo) Immettere una descrizione significativa per la regola SNAT.
    Abilitato Attivare questa opzione per attivare la regola.
    Abilita registrazione Attivare questa opzione per abilitare la registrazione della conversione degli indirizzi eseguita dalla regola.
  6. Fare clic su Mantieni per aggiungere la regola alla tabella nella schermata.
  7. Ripetere i passaggi per configurare regole aggiuntive.
  8. Fare clic su Salva modifiche per salvare le regole nel sistema.

Operazioni successive

Aggiungere le regole del firewall del gateway edge corrispondente per la regola SNAT o DNAT appena configurata. Vedere Aggiunta di una regola del firewall del gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Tenant Portal.