VMware Cloud Director 環境の NSX Data Center for vSphere ソフトウェアにより、Edge Gateway はネットワーク アドレス変換 (NAT) サービスを提供できます。この機能を使用すると、コスト上およびセキュリティ上の目的で、組織で使用するパブリック IP アドレスの数を減らすことができます。

Edge Gateway の NAT サービスは、プライベート ネットワークの仮想マシンまたは仮想マシンのグループにパブリック アドレスを割り当てる機能を提供します。組織仮想データセンター内でプライベート アドレス設定された仮想マシンで実行されているサービスへのアクセスを Edge Gateway が提供できるようにするには、Edge Gateway で NAT ルールを設定する必要があります。一般に、VMware Cloud Director 環境の Edge Gateway 上のアップリンク インターフェイスに NAT サービスを関連付けて、組織仮想データセンター ネットワーク上のアドレスが外部ネットワークに公開されないようにします。

NAT サービスの設定は、送信元 NAT (SNAT) ルールと宛先 NAT (DNAT) ルールに分けられます。VMware Cloud Director 環境の Edge Gateway で SNAT ルールまたは DNAT ルールを設定する場合は、常に組織仮想データセンターの観点からルールを設定します。具体的には、次のようにルールを設定することを意味します。

  • SNAT:トラフィックは組織仮想データセンターの内部ネットワーク上の仮想マシン(送信元)からインターネットを経由して外部ネットワーク(宛先)に移動します。SNAT ルールでは、組織仮想データセンター ネットワークから外部ネットワークまたは別の組織仮想データセンター ネットワークに送信されるパケットのソース IP アドレスを変換します。
  • DNAT:トラフィックはインターネット(送信元)から組織仮想データセンターの仮想マシン(宛先)に移動します。DNAT ルールでは、外部ネットワークまたは別の組織仮想データセンター ネットワークから送信されて組織仮想データセンター ネットワークで受信されるパケットの IP アドレスを変換し、オプションでそのポートを変換します。

組織仮想データセンター内にプライベート IP アドレス空間を作成するための NAT ルールを設定できます。この設定を使用すると、プライベート IP アドレス空間を 1 つの組織仮想データセンターから別の組織仮想データセンターに移植することができます。NAT ルールを設定すると、別の組織仮想データセンターで使用したプライベート IP アドレスと同じプライベート IP アドレスを組織仮想データセンターの仮想マシンで使用できます。

VMware Cloud Director 環境の NAT ルール機能では、次の操作がサポートされます。

  • プライベート IP アドレス空間内でのサブネットの作成
  • Edge Gateway の複数のプライベート IP アドレス空間の作成
  • 複数の Edge Gateway インターフェイスに対する複数の NAT ルールの設定
重要: Edge Gateway ネットワーク上の仮想マシンにアクセスできるようにするには、Edge Gateway でファイアウォール ルールと NAT ルールの両方を設定する必要があります。デフォルトでは、Edge Gateway は、Edge Gateway ネットワーク上の仮想マシンとのネットワーク トラフィックをすべて拒否するようにファイアウォール ルールを設定した状態でデプロイされます。また、デフォルトでは Edge Gateway の NAT は無効です。このため、Edge Gateway で NAT を設定しない限り、Edge Gateway は受信および送信トラフィックの IP アドレスを変換できません。NAT ルールの設定後、対応するトラフィックを許可するようにファイアウォール ルールを追加しない限り、ネットワーク上の仮想マシンへの ping は失敗します。

SNAT または DNAT ルールの追加

ソース IP アドレスをパブリックからプライベート IP アドレスへ、またはその逆方向へ変更するには、ソース NAT (SNAT) ルールを作成します。ターゲット IP アドレスをパブリックからプライベート IP アドレスへ、またはその逆方向へ変更するには、ターゲット NAT (DNAT) ルールを作成します。

NAT ルールを作成するときには、次の形式を使用して、元の IP アドレスと変換先の IP アドレスを指定できます。

  • IP アドレス。たとえば、192.0.2.0 とします。
  • IP アドレス範囲。たとえば、192.0.2.0-192.0.2.24 とします。
  • IP アドレス/サブネット マスク。たとえば、192.0.2.0/24 とします。
  • any

VMware Cloud Director 環境の Edge Gateway で SNAT ルールまたは DNAT ルールを設定する場合は、常に組織仮想データセンターの観点からルールを設定します。SNAT ルールでは、組織仮想データセンター ネットワークから外部ネットワークまたは別の組織仮想データセンター ネットワークに送信されるパケットのソース IP アドレスを変換します。DNAT ルールでは、外部ネットワークまたは別の組織仮想データセンター ネットワークから送信されて組織仮想データセンター ネットワークで受信されるパケットの IP アドレスを変換し、オプションでそのポートを変換します。

前提条件

パブリック IP アドレスを、ルールを追加する NSX Data Center for vSphere Edge Gateway インターフェイスに追加しておく必要があります。DNAT ルールの場合、元の(パブリック)IP アドレスを Edge ゲートウェイ インターフェイスに追加しておく必要があります。SNAT ルールの場合、変換先の(パブリック)IP アドレスを Edge ゲートウェイ インターフェイスに追加しておく必要があります。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [NAT] をクリックして、[NAT ルール] 画面を表示します。
  3. どのタイプの NAT ルールを作成しているかに応じて、[DNAT ルール] または [SNAT ルール] をクリックします。
  4. ターゲット NAT ルール(外部から内部へ)を構成します。
    オプション 説明
    適用対象 ルールを適用するインターフェイスを選択します。
    元の IP/範囲

    必要な IP アドレスを入力するか、リストから割り当てられた IP アドレスを選択します。

    このアドレスは、DNAT ルールを設定する Edge ゲートウェイのパブリック IP アドレスにする必要があります。検査対象のパケットでは、この IP アドレスまたはアドレス範囲がパケットのターゲット IP アドレスとして表示されます。これらのパケット ターゲット アドレスは、この DNAT ルールによって変換されたものです。

    プロトコル ルールを適用するプロトコルを選択します。このルールをすべてのプロトコルに適用するには、[任意] を選択します。
    元のポート (オプション)仮想マシンが接続されている内部ネットワークに接続するために Edge ゲートウェイで受信トラフィックが使用するポートまたはポート範囲を選択します。これは、[プロトコル][ICMP] または [任意] に設定されているときには選択できません。
    ICMP タイプ [プロトコル][ICMP](デバイス間でエラー情報を通信するために使用されるエラー報告と診断のユーティリティ)を選択する場合は、ドロップダウン メニューから [ICMP タイプ] を選択します。

    ICMP メッセージは、タイプのフィールドで識別されます。デフォルトで、[ICMP タイプ] は [任意] に設定されています。

    変換された IP/範囲 着信パケット上のターゲット アドレスの変換先となる IP アドレスまたは IP アドレス範囲を入力します。

    これらのアドレスは、外部ネットワークからトラフィックを受信できるように DNAT を設定している 1 台以上の仮想マシンの IP アドレスです。

    変換されたポート (オプション)内部ネットワークの仮想マシン上で着信トラフィックが接続しているポートまたはポート範囲を選択します。仮想マシンに着信したパケットは、DNAT ルールによってこれらのポートに変換されます。
    ソース IP アドレス ルールを特定のドメインのトラフィックにのみ適用する場合、このドメインの IP アドレスまたは IP アドレス範囲を CIDR 形式で入力します。このテキスト ボックスを空白のままにすると、DNAT ルールはローカル サブネット内のすべての IP アドレスに適用されます。
    ソース ポート (オプション)ソースのポート番号を入力します。
    説明 (オプション)DNAT ルールのわかりやすい説明を入力します。
    有効 このルールを有効にするには、オンに切り替えます。
    ログの有効化 このルールによって実行されたアドレス変換をログに記録するには、オンにします。
  5. ソース NAT ルール(内部から外部へ)を構成します。
    オプション 説明
    適用対象 ルールを適用するインターフェイスを選択します。
    元のソース IP/範囲 このルールに適用する元の IP アドレスまたは IP アドレスの範囲を入力するか、割り当てられた IP アドレスをリストから選択します。

    これらのアドレスは、外部ネットワークにトラフィックを送信できるように SNAT ルールを設定している 1 台以上の仮想マシンの IP アドレスです。

    変換されたソース IP/範囲 必要な IP アドレスを入力します。

    このアドレスは、常に SNAT ルールを設定するゲートウェイのパブリック IP アドレスにする必要があります。外部ネットワークにトラフィックを送信するときに、発信パケット上のソース アドレス(仮想マシン)が変換される IP アドレスを指定します。

    ターゲット IP アドレス (オプション)ルールを特定のドメインへのトラフィックにのみ適用する場合、このドメインの IP アドレスまたは IP アドレス範囲を CIDR 形式で入力します。このテキスト ボックスを空白のままにすると、SNAT ルールはローカル サブネット外のすべてのターゲットに適用されます。
    ターゲット ポート (オプション)ターゲットのポート番号を入力します。
    説明 (オプション)SNAT ルールのわかりやすい説明を入力します。
    有効 このルールを有効にするには、オンに切り替えます。
    ログの有効化 このルールによって実行されたアドレス変換をログに記録するには、オンにします。
  6. [保持] をクリックして、画面上のテーブルにルールを追加します。
  7. 設定するルールごとに、この手順を繰り返します。
  8. [変更を保存] をクリックして、システムにルールを保存します。

次のタスク

設定した SNAT ルールまたは DNAT ルールに対応する Edge ゲートウェイ ファイアウォール ルールを追加します。NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加を参照してください。