NSX Data Center for vSphere Edge Gateway でのネットワークアドレス変換の管理

VMware Cloud Director 環境の NSX Data Center for vSphere ソフトウェアにより、Edge Gateway はネットワークアドレス変換 (NAT) サービスを提供できます。この機能を使用すると、コスト上およびセキュリティ上の目的で、組織で使用するパブリック IP アドレスの数を減らすことができます。

Edge Gateway の NAT サービスは、プライベートネットワークの仮想マシンまたは仮想マシンのグループにパブリックアドレスを割り当てる機能を提供します。組織仮想データセンター内でプライベートアドレス設定された仮想マシンで実行されているサービスへのアクセスを Edge Gateway が提供できるようにするには、Edge Gateway で NAT ルールを設定する必要があります。一般に、VMware Cloud Director 環境の Edge Gateway 上のアップリンクインターフェイスに NAT サービスを関連付けて、組織仮想データセンターネットワーク上のアドレスが外部ネットワークに公開されないようにします。

NAT サービスの設定は、送信元 NAT (SNAT) ルールと宛先 NAT (DNAT) ルールに分けられます。VMware Cloud Director 環境の Edge Gateway で SNAT ルールまたは DNAT ルールを設定する場合は、常に組織仮想データセンターの観点からルールを設定します。具体的には、次のようにルールを設定することを意味します。

SNAT：トラフィックは組織仮想データセンターの内部ネットワーク上の仮想マシン（送信元）からインターネットを経由して外部ネットワーク（宛先）に移動します。SNAT ルールでは、組織仮想データセンターネットワークから外部ネットワークまたは別の組織仮想データセンターネットワークに送信されるパケットのソース IP アドレスを変換します。
DNAT：トラフィックはインターネット（送信元）から組織仮想データセンターの仮想マシン（宛先）に移動します。DNAT ルールでは、外部ネットワークまたは別の組織仮想データセンターネットワークから送信されて組織仮想データセンターネットワークで受信されるパケットの IP アドレスを変換し、オプションでそのポートを変換します。

組織仮想データセンター内にプライベート IP アドレス空間を作成するための NAT ルールを設定できます。この設定を使用すると、プライベート IP アドレス空間を 1 つの組織仮想データセンターから別の組織仮想データセンターに移植することができます。NAT ルールを設定すると、別の組織仮想データセンターで使用したプライベート IP アドレスと同じプライベート IP アドレスを組織仮想データセンターの仮想マシンで使用できます。

VMware Cloud Director 環境の NAT ルール機能では、次の操作がサポートされます。

プライベート IP アドレス空間内でのサブネットの作成
Edge Gateway の複数のプライベート IP アドレス空間の作成
複数の Edge Gateway インターフェイスに対する複数の NAT ルールの設定

重要： Edge Gateway ネットワーク上の仮想マシンにアクセスできるようにするには、Edge Gateway でファイアウォールルールと NAT ルールの両方を設定する必要があります。デフォルトでは、Edge Gateway は、Edge Gateway ネットワーク上の仮想マシンとのネットワークトラフィックをすべて拒否するようにファイアウォールルールを設定した状態でデプロイされます。また、デフォルトでは Edge Gateway の NAT は無効です。このため、Edge Gateway で NAT を設定しない限り、Edge Gateway は受信および送信トラフィックの IP アドレスを変換できません。NAT ルールの設定後、対応するトラフィックを許可するようにファイアウォールルールを追加しない限り、ネットワーク上の仮想マシンへの ping は失敗します。