ネットワーク アドレス変換 (NAT) は、パケット ヘッダー内の IP アドレスがゲートウェイの両側でどのように表示されるのかを制御します。コンピューティング ゲートウェイで実行されるルールは、ゲートウェイに出入りするインターネット トラフィックをマッピングします。他の Tier-1 ゲートウェイで実行されるルールは、ゲートウェイと他の SDDC ネットワーク インターフェイス間のトラフィックをマッピングします。
NAT ルールは、コンピューティング ゲートウェイおよび作成した追加の Tier-1 ゲートウェイで実行されます。SDDC で追加の Tier-1 ゲートウェイを作成する方法については、VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照してください。
SDDC のインターネット インターフェイス(コンピューティング ゲートウェイ)で実行される NAT ルールは、コンピューティング ネットワーク セグメントから送信されるパケットの内部送信元アドレスまたは内部宛先 IP アドレスを、パブリック インターネットで使用可能なアドレスにマッピングします。NAT ルールを作成するには、ワークロード仮想マシンまたはサービスの内部アドレスと、選択した外部 IP アドレスを指定します。[インターネット] インターフェイスで実行される NAT ルールには、パブリック IP アドレスが必要です。パブリック IP アドレスの要求またはリリースを参照してください。
パケットの送信元アドレスと宛先アドレスを調べるファイアウォール ルールはこれらのゲートウェイで実行され、適用可能な NAT ルールによって変換された後のトラフィックを処理します。NAT ルールを作成する際に、仮想マシンの内部または外部 IP アドレスとポート番号を、その仮想マシンとの間のネットワーク トラフィックに影響するファイアウォール ルールに公開するかどうかを指定できます。
重要:
SDDC のパブリック IP アドレスへの受信トラフィックは、常にユーザーが作成した NAT ルールによって処理されます。送信トラフィック(SDDC ワークロード仮想マシンからの応答パケット)は、アドバタイズされるルートに沿ってルーティングされ、SDDC ネットワークのデフォルト ルートが SDDC のインターネット インターフェイスを通過するときに、NAT ルールによって処理されます。ただし、デフォルト ルートの経由ルートが Direct Connect、VPN または VTGW 接続であるか、VPC へのスタティック ルートとして追加済みの場合、NAT ルールは受信トラフィックには実行されますが、送信トラフィックには実行されません。その結果、そのパブリック IP アドレスで仮想マシンがアクセス不能になる非同期パスが形成されます。たとえば、0.0.0.0/0 が BGP を介してアドバタイズされる場合、またはリモート ネットワークが 0.0.0.0/0 のポリシーベース VPN がある場合に、この非同期性が生じる可能性があります。デフォルト ルートがオンプレミス環境からアドバタイズされる場合は、オンプレミスのインターネット接続とパブリック IP アドレスを使用して、オンプレミス ネットワークで NAT ルールを構成する必要があります。
前提条件
- コンピューティング ゲートウェイ([インターネット] インターフェイス)で NAT ルールを作成するには、この SDDC の仮想マシンで使用するパブリック IP アドレスを取得しておく必要があります。パブリック IP アドレスの要求またはリリースを参照してください。
- 仮想マシンは、ルーティングされたコンピューティング ネットワーク セグメントに接続する必要があります。仮想マシンの NAT ルールは、割り当てられたアドレスが静的アドレスの場合でも、動的 (DHCP) アドレスの場合でも作成できます。ただし、DHCP アドレス割り当てを使用する仮想マシンの NAT ルールは、ルールで指定されているアドレスと一致しない内部アドレスが仮想マシンに割り当てられると、無効になることがあります。
手順
- https://vmc.vmware.com の VMware Cloud Services にログインします。
- の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
- [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
このワークフローでは、
VMware Cloud コンソールの
[ネットワークとセキュリティ] タブを使用することもできます。
- の順にクリックして、デフォルトのコンピューティング ゲートウェイで実行される NAT ルールを追加します。
- [NAT ルールの追加] をクリックし、ルールの [名前] を指定します。
- [インターネット] NAT ルール オプションを構成します。
オプション |
説明 |
パブリック IP アドレス |
現在の SDDC 用にプロビジョニングされたパブリック IP アドレスのドロップダウン リストから選択します。パブリック IP アドレスの要求またはリリースを参照してください。 |
サービス |
|
パブリック ポート |
[サービス] を [すべてのトラフィック] として指定した場合、デフォルトのパブリック ポートは [任意] になります。 特定の [サービス] を選択すると、そのサービスに割り当てられたパブリック ポートにルールが適用されます。 |
内部 IP アドレス |
仮想マシンの内部 IP アドレスを入力します。このアドレスは、ルーティングされた SDDC ネットワーク セグメント上にある必要があります。 |
内部ポート |
選択した[サービス]で使用する内部ポートを表示します。カスタム ポートを使用するには、カスタム サービス(インベントリ グループの操作を参照)を追加し、NAT ルールでその [サービス] を選択します。 [サービス] を [すべてのトラフィック] として指定した場合、デフォルトの内部ポートは [任意] になります。 特定の [サービス] を選択すると、そのサービスに割り当てられたパブリック ポートにルールが適用されます。 |
ファイアウォール |
この NAT ルールが適用されるトラフィックをゲートウェイ ファイアウォール ルールにどのように公開するかを指定します。デフォルトでは、これらのファイアウォール ルールで、[内部 IP アドレス] と [内部ポート] の組み合わせを照合します。ファイアウォール ルールを [外部 IP アドレス] と [外部ポート] の組み合わせと照合するには、[外部アドレスと照合] を選択します。(分散ファイアウォール ルールは、外部アドレスやポートには適用されません。) |
[すべてのトラフィック] に同じ [パブリック IP アドレス] と [内部 IP アドレス] を使用する NAT ルールを複数作成できます。その場合、各 [内部 IP アドレス] では、送信 (SNAT) トラフィックに [パブリック IP アドレス] が使用されますが、受信 (DNAT) トラフィックにはファースト マッチング ルールのみが使用されます。デフォルトの送信ルールが作成されますが、表示はされません。このルールは、[すべてのトラフィック] に適用される特定の NAT ルールと一致しないすべての [内部 IP アドレス] に使用されます。このルールに使用される IP は、[ネットワークとセキュリティ] [概要] ページの [デフォルト コンピューティング ゲートウェイ] に [送信元の NAT パブリック IP アドレス] として表示されます。
- ルールの [優先順位] を選択します。
小さい値であるほど、このルールの優先順位は高くなります。
- (オプション) [ログ] を切り替えてルールのアクションをログに記録します。
- 新しいルールは作成時にアクティブになります。[有効] を切り替えると無効になります。
- [保存] をクリックしてルールを作成します。
- (オプション) 追加の Tier-1 ゲートウェイが作成されている場合は、 の順にクリックして、そのゲートウェイで実行される NAT ルールを追加します。
- ルールを実行する [ゲートウェイ] を選択します。
- [NAT ルールの追加] をクリックし、ルールの [名前] を指定します。
- [Tier-1 ゲートウェイ] NAT ルール オプションを構成します。
オプション |
説明: |
操作 |
次のいずれかとします。
-
SNAT
-
送信元 NAT。パケット ヘッダーの送信元アドレスを変更します。
Tier-1 ルーター上の送信元 NAT の設定を参照してください。
-
DNAT
-
宛先 NAT。パケット ヘッダーの宛先アドレスを変更します。
Tier-1 ルーター上の宛先 NAT の設定を参照してください。
必要に応じて、[変換ポート] を指定します。
-
再帰
-
非対称ルートを回避するためのステートレス NAT 構成。
再帰 NATを参照してください。
-
SNAT なし
-
送信元 NAT をオフにします。
-
DNAT なし
-
宛先 NAT をオフにします。
|
一致 |
SNAT の場合は、使用する送信元アドレスを入力します。DNAT の場合は、使用する宛先アドレスを入力します。 |
変換 |
変換された SNAT または DNAT アドレスに使用する IPv4 アドレスまたは CIDR ブロックを入力します。 |
適用先 |
特定のインターフェイスまたはラベルを選択して、ルールを適用するトラフィックを定義します。 |
ファイアウォール |
この NAT ルールが適用されるトラフィックをゲートウェイ ファイアウォール ルールにどのように公開するかを指定します。デフォルトでは、これらのファイアウォール ルールで、[内部 IP アドレス] と [内部ポート] の組み合わせを照合します。ファイアウォール ルールを [外部 IP アドレス] と [外部ポート] の組み合わせと照合するには、[外部アドレスと照合] を選択します。(分散ファイアウォール ルールは、外部アドレスやポートには適用されません。) |
- ルールの [優先順位] を選択します。
小さい値であるほど、このルールの優先順位は高くなります。
- (オプション) [ログ] を切り替えてルールのアクションをログに記録します。
- 新しいルールは作成時にアクティブになります。[有効] を切り替えると無効になります。
- [保存] をクリックしてルールを作成します。