La Network Address Translation (NAT) mappa gli indirizzi IP interni nella rete di elaborazione agli indirizzi esposti sull'Internet pubblico. Per creare una regola NAT, è necessario specificare l'indirizzo interno e il numero di porta di una macchina virtuale o di un servizio del carico di lavoro, nonché un indirizzo IP pubblico e il numero di porta ottenuti dal sistema.

Regole NAT nell'interfaccia Internet della rete SDDC, dal momento che è lì che sono esposti gli indirizzi pubblici delle macchine virtuali del carico di lavoro. Le regole del firewall, che esaminano le origini e le destinazioni dei pacchetti, vengono eseguite nel Gateway di elaborazione ed elaborano il traffico dopo che è stato trasformato da tutte le regole NAT applicabili. Quando si crea una regola NAT, è possibile specificare se l'indirizzo IP interno o esterno e il numero di porta di una macchina virtuale sono esposti alle regole del firewall che influiscono sul traffico di rete da e verso tale macchina virtuale.

Importante:

Il traffico in entrata verso l'indirizzo IP pubblico dell'SDDC viene sempre elaborato dalle regole NAT create. Il traffico in uscita (rispondi ai pacchetti dalle macchine virtuali del carico di lavoro dell'SDDC) viene instradato lungo le route annunciate e viene elaborato dalle regole NAT quando la route predefinita per la rete SDDC passa attraverso l'interfaccia Internet dell'SDDC. Ma se la route predefinita passa attraverso una connessione Direct Connect o VPN (ad esempio, se 0.0.0.0/0 viene annunciato tramite BGP oppure è presente una VPN basata su criteri con una rete remota di 0.0.0.0/0), le regole NAT vengono eseguite per il traffico in entrata ma non per il traffico in uscita, creando un percorso asimmetrico che lascia la macchina virtuale irraggiungibile al suo indirizzo IP pubblico. Quando la route predefinita viene annunciata dall'ambiente locale, è necessario configurare regole NAT nella rete locale, utilizzando la connessione Internet locale e gli IP pubblici.

Prerequisiti

  • È necessario aver ottenuto un indirizzo IP pubblico per l'uso da parte di una macchina virtuale in questo SDDC. Vedere Richiedere o rilasciare un indirizzo IP pubblico.
  • La macchina virtuale deve essere connessa a un segmento di rete di elaborazione. È possibile creare regole NAT per le macchine virtuali che dispongono di indirizzi statici o dinamici (DHCP), ma bisogna tenere presente che le regole NAT per le macchine virtuali che utilizzano l'assegnazione dell'indirizzo DHCP possono essere invalidate quando alla macchina virtuale viene assegnato un indirizzo interno che non corrisponde più a quello specificato nella regola.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Selezionare Rete e sicurezza > NAT .
  3. Fare clic su AGGIUNGI REGOLA NAT e specificare un Nome per la regola.
  4. Immettere i parametri della regola NAT.
    Opzione Descrizione
    IP pubblico Scegliere nell'elenco a discesa di indirizzi IP pubblici di cui è stato eseguito il provisioning per questo SDDC. Vedere Richiedere o rilasciare un indirizzo IP pubblico.
    Servizio
    • Selezionare Tutto il traffico per creare una regola che si applica al traffico sia in entrata (DNAT) sia in uscita (SNAT) diretto o proveniente dall'IP interno specificato.
    • Selezionare uno dei servizi elencati per creare una regola in entrata (DNAT) che si applica solo al traffico che utilizza tali protocollo e porta.
      Nota: Poiché i servizi che utilizzano più porte di destinazione non possono essere soggetti a una regola NAT, non vengono visualizzati in questo elenco.
    Porta pubblica Se si specifica Servizio come Tutto il traffico, la porta pubblica predefinita è Qualsiasi.

    Se si seleziona un determinato Servizio, la regola viene applicata alla porta pubblica assegnata per tale servizio.

    IP interno Immettere l'indirizzo IP interno della macchina virtuale.
    Porta interna

    Visualizzare la porta interna utilizzata dal Servizio selezionato. Per utilizzare una porta personalizzata, Aggiunta di un servizio personalizzato, quindi selezionare tale Servizio nella regola NAT.

    Se si specifica Servizio come Tutto il traffico, la porta interna predefinita è Qualsiasi.

    Se si seleziona un determinato Servizio, la regola viene applicata alla porta pubblica assegnata per tale servizio.

    Firewall Specificare in che modo il traffico soggetto a questa regola NAT viene esposto alle regole del firewall del gateway di elaborazione. Per impostazione predefinita, le regole del firewall CGW corrispondono alla combinazione di IP interno e Porta interna. Selezionare Associa indirizzo esterno per fare in modo che le regole del firewall corrispondano alla combinazione di IP esterno e Porta esterna. (Le regole del firewall distribuito non si applicano mai a indirizzi o a porte esterni.)

    È possibile creare più regole NAT che utilizzino lo stesso IP pubblico e IP interno con Tutto il traffico. In questo caso, ogni IP interno utilizza l'IP pubblico per il traffico in uscita (SNAT), ma solo la prima regola di corrispondenza verrà utilizzata per il traffico in entrata (DNAT). Il sistema crea (ma non visualizza) una regola in uscita predefinita,. Questa regola viene utilizzata per tutti gli indirizzi IP interni che non corrispondono a una regola NAT specifica applicabile a Tutto il traffico. L'IP utilizzato per questa regola viene visualizzato nel riepilogo Gateway di elaborazione predefinito nella pagina Rete e sicurezza Panoramica come IP pubblico NAT di origine.

  5. (Facoltativo) Attivare/disattivare Registrazione per registrare le azioni delle regole.
  6. La nuova regola è abilitata per impostazione predefinita. Attivare/disattivare Abilita per disabilitarla.
  7. Fare clic su SALVA per creare la regola.
    La regola viene creata e il relativo Stato viene segnalato come Attivo.