VMware Cloud Director 環境の NSX Data Center for vSphere ソフトウェアにより、Edge Gateway はネットワーク アドレス変換 (NAT) サービスを提供できます。この機能を使用すると、コスト上およびセキュリティ上の目的で、組織で使用するパブリック IP アドレスの数を減らすことができます。

Edge Gateway の NAT サービスは、プライベート ネットワークの仮想マシンまたは仮想マシンのグループにパブリック アドレスを割り当てる機能を提供します。組織仮想データセンター内でプライベート アドレス設定された仮想マシンで実行されているサービスへのアクセスを Edge Gateway が提供できるようにするには、Edge Gateway で NAT ルールを設定する必要があります。一般に、VMware Cloud Director 環境の Edge Gateway 上のアップリンク インターフェイスに NAT サービスを関連付けて、組織仮想データセンター ネットワーク上のアドレスが外部ネットワークに公開されないようにします。

NAT サービスの設定は、送信元 NAT (SNAT) ルールと宛先 NAT (DNAT) ルールに分けられます。VMware Cloud Director 環境の Edge Gateway で SNAT ルールまたは DNAT ルールを設定する場合は、常に組織仮想データセンターの観点からルールを設定します。具体的には、次のようにルールを設定することを意味します。

  • SNAT:トラフィックは組織仮想データセンターの内部ネットワーク上の仮想マシン(送信元)からインターネットを経由して外部ネットワーク(宛先)に移動します。SNAT ルールでは、組織仮想データセンター ネットワークから外部ネットワークまたは別の組織仮想データセンター ネットワークに送信されるパケットのソース IP アドレスを変換します。
  • DNAT:トラフィックはインターネット(送信元)から組織仮想データセンターの仮想マシン(宛先)に移動します。DNAT ルールでは、外部ネットワークまたは別の組織仮想データセンター ネットワークから送信されて組織仮想データセンター ネットワークで受信されるパケットの IP アドレスを変換し、オプションでそのポートを変換します。

組織仮想データセンター内にプライベート IP アドレス空間を作成するための NAT ルールを設定できます。この設定を使用すると、プライベート IP アドレス空間を 1 つの組織仮想データセンターから別の組織仮想データセンターに移植することができます。NAT ルールを設定すると、別の組織仮想データセンターで使用したプライベート IP アドレスと同じプライベート IP アドレスを組織仮想データセンターの仮想マシンで使用できます。

VMware Cloud Director 環境の NAT ルール機能では、次の操作がサポートされます。

  • プライベート IP アドレス空間内でのサブネットの作成
  • Edge Gateway の複数のプライベート IP アドレス空間の作成
  • 複数の Edge Gateway インターフェイスに対する複数の NAT ルールの設定
重要: Edge Gateway ネットワーク上の仮想マシンにアクセスできるようにするには、Edge Gateway でファイアウォール ルールと NAT ルールの両方を設定する必要があります。デフォルトでは、Edge Gateway は、Edge Gateway ネットワーク上の仮想マシンとのネットワーク トラフィックをすべて拒否するようにファイアウォール ルールを設定した状態でデプロイされます。また、デフォルトでは Edge Gateway の NAT は無効です。このため、Edge Gateway で NAT を設定しない限り、Edge Gateway は受信および送信トラフィックの IP アドレスを変換できません。NAT ルールの設定後、対応するトラフィックを許可するようにファイアウォール ルールを追加しない限り、ネットワーク上の仮想マシンへの ping は失敗します。