Network Address Translation (NAT) controlla il modo in cui gli indirizzi IP nelle intestazioni dei pacchetti vengono visualizzati su entrambi i lati di un gateway. Le regole eseguite nel Gateway di elaborazione mappano il traffico Internet in entrata e in uscita dal gateway. Le regole eseguite in altri gateway di livello 1 mappano il traffico tra il gateway e le altre interfacce di rete SDDC.

Le regole NAT vengono eseguite nel Gateway di elaborazione e in tutti i gateway di livello 1 aggiuntivi creati. Per informazioni sulla creazione di gateway di livello 1 aggiuntivi nell'SDDC, vedere Aggiunta di un gateway di livello 1 personalizzato a un SDDC VMware Cloud on AWS.

Le regole NAT eseguite nell'interfaccia Internet dell'SDDC (l'istanza di Gateway di elaborazione) mappano gli indirizzi IP di origine o di destinazione interni sui pacchetti dai segmenti di rete di elaborazione agli indirizzi utilizzabili su Internet pubblico. Per creare una regola NAT, è necessario fornire l'indirizzo interno di un servizio o di una macchina virtuale del carico di lavoro e un indirizzo IP esterno a scelta. Le regole NAT in esecuzione nell'interfaccia Internet richiedono un indirizzo IP pubblico. Vedere Richiedere o rilasciare un indirizzo IP pubblico.

Le regole del firewall, che esaminano gli indirizzi di origine e di destinazione dei pacchetti, vengono eseguite in questi gateway ed elaborano il traffico dopo che è stato trasformato da tutte le regole NAT applicabili. Quando si crea una regola NAT, è possibile specificare se l'indirizzo IP interno o esterno e il numero di porta di una macchina virtuale sono esposti alle regole del firewall che influiscono sul traffico di rete da e verso tale macchina virtuale.

Importante:

Il traffico in entrata verso l'indirizzo IP pubblico dell'SDDC viene sempre elaborato dalle regole NAT create. Il traffico in uscita (rispondi ai pacchetti dalle macchine virtuali del carico di lavoro dell'SDDC) viene instradato lungo le route annunciate e viene elaborato dalle regole NAT quando la route predefinita per la rete SDDC passa attraverso l'interfaccia Internet dell'SDDC. Tuttavia, se la route predefinita passa attraverso una connessione Direct ConnectVPN o una connessione VTGW oppure è stata aggiunta come route statica a un VPC, le regole NAT vengono eseguite per il traffico in entrata ma non per quello in uscita, creando un percorso asimmetrico che rende la macchina virtuale irraggiungibile al relativo indirizzo IP pubblico. Questa asimmetria può verificarsi quando, ad esempio, viene annunciato 0.0.0.0/0 tramite BGP o è presente una VPN basata su criteri con una rete remota di 0.0.0.0/0. Quando la route predefinita viene annunciata dall'ambiente locale, è necessario configurare regole NAT nella rete locale, utilizzando la connessione Internet locale e gli IP pubblici.

Prerequisiti

  • Per creare una regola NAT nel Gateway di elaborazione (interfaccia Internet ), è necessario aver ottenuto un indirizzo IP pubblico per l'utilizzo da parte di una macchina virtuale in questo SDDC. Vedere Richiedere o rilasciare un indirizzo IP pubblico.
  • La macchina virtuale deve essere connessa a un segmento di rete di elaborazione instradato. È possibile creare regole NAT per le macchine virtuali che dispongono di indirizzi statici o dinamici (DHCP), ma bisogna tenere presente che le regole NAT per le macchine virtuali che utilizzano l'assegnazione dell'indirizzo DHCP possono essere invalidate quando alla macchina virtuale viene assegnato un indirizzo interno che non corrisponde più a quello specificato nella regola.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. Fare clic su NAT > Internet per aggiungere regole NAT eseguite nel Gateway di elaborazione predefinito.
    1. Fare clic su AGGIUNGI REGOLA NAT e specificare un Nome per la regola.
    2. Configurare le opzioni della regola NAT Internet:
      Opzione Descrizione
      IP pubblico Scegliere nell'elenco a discesa di indirizzi IP pubblici di cui è stato eseguito il provisioning per questo SDDC. Vedere Richiedere o rilasciare un indirizzo IP pubblico.
      Servizio
      • Selezionare Tutto il traffico per creare una regola che si applica al traffico sia in entrata (DNAT) sia in uscita (SNAT) diretto o proveniente dall'IP interno specificato.
      • Selezionare uno dei servizi elencati per creare una regola in entrata (DNAT) che si applica solo al traffico che utilizza tali protocollo e porta. Qui sono elencati anche tutti i servizi personalizzati creati (vedere Utilizzo dei gruppi di inventario).
        Nota: Poiché i servizi che utilizzano più porte di destinazione non possono essere soggetti a una regola NAT, non vengono visualizzati in questo elenco.
      Porta pubblica Se si specifica Servizio come Tutto il traffico, la porta pubblica predefinita è Qualsiasi.

      Se si seleziona un determinato Servizio, la regola viene applicata alla porta pubblica assegnata per tale servizio.

      IP interno Immettere l'indirizzo IP interno della macchina virtuale. Questo indirizzo deve trovarsi in un segmento di rete SDDC instradato.
      Porta interna

      Visualizzare la porta interna utilizzata dal Servizio selezionato. Per utilizzare una porta personalizzata, aggiungere un servizio personalizzato (vedere Utilizzo dei gruppi di inventario), quindi selezionare tale Servizio nella regola NAT.

      Se si specifica Servizio come Tutto il traffico, la porta interna predefinita è Qualsiasi.

      Se si seleziona un determinato Servizio, la regola viene applicata alla porta pubblica assegnata per tale servizio.

      Firewall Specificare in che modo il traffico soggetto a questa regola NAT viene esposto alle regole del firewall del gateway. Per impostazione predefinita, queste regole corrispondono alla combinazione di IP interno e Porta interna. Selezionare Associa indirizzo esterno per fare in modo che le regole del firewall corrispondano alla combinazione di IP esterno e Porta esterna. (Le regole del firewall distribuito non si applicano mai a indirizzi o a porte esterni.)

      È possibile creare più regole NAT che utilizzino lo stesso IP pubblico e IP interno con Tutto il traffico. In questo caso, ogni IP interno utilizza l'IP pubblico per il traffico in uscita (SNAT), ma solo la prima regola di corrispondenza verrà utilizzata per il traffico in entrata (DNAT). Il sistema crea (ma non visualizza) una regola in uscita predefinita. Questa regola viene utilizzata per tutti gli indirizzi IP interni che non corrispondono a una regola NAT specifica applicabile a Tutto il traffico. L'IP utilizzato per questa regola viene visualizzato nel riepilogo Gateway di elaborazione predefinito nella pagina Rete e sicurezza Panoramica come IP pubblico NAT di origine.

    3. Scegliere una Priorità per la regola.
      Un valore più basso indica una precedenza più alta per questa regola.
    4. (Facoltativo) Attivare/disattivare Registrazione per registrare le azioni delle regole.
    5. La nuova regola viene attivata alla creazione. Attivare/disattivare Abilita per disattivarla.
    6. Fare clic su SALVA per creare la regola.
  5. (Facoltativo) Se è stato creato un gateway di livello 1 aggiuntivo, fare clic su NAT > Gateway di livello 1 per aggiungere regole NAT in esecuzione su tale gateway.
    1. Scegliere un Gateway in cui si desidera eseguire la regola.
    2. Fare clic su AGGIUNGI REGOLA NAT e specificare un Nome per la regola.
    3. Configurare le opzioni della regola NAT per il Gateway di livello 1:
      Opzione Descrizione:
      Azione Una delle seguenti:
      SNAT
      NAT di origine. Modifica l'indirizzo di origine nell'intestazione del pacchetto. Vedere Configure Source NAT on a Tier-1 Router.
      DNAT
      NAT di destinazione. Modifica l'indirizzo di destinazione nell'intestazione del pacchetto. Vedere Configurazione del NAT di destinazione in un router di livello 1.

      Se necessario, specificare una Porta convertita.

      Riflessivo
      Configurazione NAT stateless per evitare route asimmetriche. Vedere NAT riflessiva
      Nessuno SNAT
      Disattiva NAT di origine.
      Nessun DNAT
      Disattiva NAT di destinazione.
      Abbina Per SNAT, immettere un indirizzo di origine da utilizzare. Per DNAT, immettere un indirizzo di destinazione da utilizzare.
      Convertito Immettere un indirizzo IPv4 o un blocco CIDR da utilizzare per l'indirizzo SNAT o DNAT convertito.
      Applica a Scegliere interfacce o etichette specifiche per definire il traffico a cui si desidera che la regola venga applicata.
      Firewall Specificare in che modo il traffico soggetto a questa regola NAT viene esposto alle regole del firewall del gateway. Per impostazione predefinita, queste regole corrispondono alla combinazione di IP interno e Porta interna. Selezionare Associa indirizzo esterno per fare in modo che le regole del firewall corrispondano alla combinazione di IP esterno e Porta esterna. (Le regole del firewall distribuito non si applicano mai a indirizzi o a porte esterni.)
    4. Scegliere una Priorità per la regola.
      Un valore più basso indica una precedenza più alta per questa regola.
    5. (Facoltativo) Attivare/disattivare Registrazione per registrare le azioni delle regole.
    6. La nuova regola viene attivata alla creazione. Attivare/disattivare Abilita per disattivarla.
    7. Fare clic su SALVA per creare la regola.