NAT(네트워크 주소 변환)는 패킷 헤더의 IP 주소가 게이트웨이 양쪽에 표시되는 방식을 제어합니다. 계산 게이트웨이에서 실행되는 규칙은 게이트웨이에 들어오고 나가는 인터넷 트래픽을 매핑합니다. 다른 Tier-1 게이트웨이에서 실행되는 규칙은 게이트웨이와 다른 SDDC 네트워크 인터페이스 간의 트래픽을 매핑합니다.
NAT 규칙은 계산 게이트웨이 및 사용자가 생성한 추가 Tier-1 게이트웨이에서 실행됩니다. SDDC에서 추가 Tier-1 게이트웨이를 생성하는 것에 대한 자세한 내용은 VMware Cloud on AWS SDDC에 사용자 지정 Tier-1 게이트웨이 추가 항목을 참조하십시오.
SDDC의 인터넷 인터페이스(계산 게이트웨이)에서 실행되는 NAT 규칙은 계산 네트워크 세그먼트의 패킷에 있는 내부 소스 또는 대상 IP 주소를 공용 인터넷에서 사용할 수 있는 주소로 매핑합니다. NAT 규칙을 생성하려면 워크로드 VM 또는 서비스의 내부 주소와 선택한 외부 IP 주소를 제공합니다. 인터넷 인터페이스에서 실행되는 NAT 규칙에는 공용 IP 주소가 필요합니다. 공용 IP 주소 요청 또는 해제의 내용을 참조하십시오.
패킷 소스 및 대상 주소를 검토하는 방화벽 규칙은 이러한 게이트웨이에서 실행되고 적용 가능한 NAT 규칙에 의해 변환된 후 트래픽을 처리합니다. NAT 규칙을 생성할 때 VM의 내부 또는 외부 IP 주소 및 포트 번호를 해당 VM에서 송수신되는 네트워크 트래픽에 영향을 미치는 방화벽 규칙에 표시할지 여부를 지정할 수 있습니다.
중요:
SDDC의 공용 IP 주소에 대한 인바운드 트래픽은 항상 생성된 NAT 규칙에 의해 처리됩니다. 아웃바운드 트래픽(SDDC 워크로드 VM의 응답 패킷)은 보급된 경로를 따라 라우팅되고 SDDC 네트워크의 기본 경로가 SDDC의 인터넷 인터페이스를 통과할 때 NAT 규칙에 의해 처리됩니다. 기본 경로가 Direct Connect, VPN 또는 VTGW 연결을 통과하거나 VPC에 대한 고정 경로로 추가된 경우 NAT 규칙이 인바운드 트래픽에 대해서는 실행되지만 아웃바운드 트래픽에 대해서는 실행되지 않기 때문에 해당 공용 IP 주소에서 VM에 연결할 수 없는 비대칭 경로가 생성됩니다. 이 비대칭은 예를 들어 0.0.0.0/0이 BGP를 통해 보급되거나 0.0.0.0/0의 원격 네트워크를 포함하는 정책 기반 VPN이 있는 경우 발생할 수 있습니다. 기본 경로가 온-프레미스 환경에서 보급되면 온-프레미스 인터넷 연결 및 공용 IP를 사용하여 온-프레미스 네트워크에서 NAT 규칙을 구성해야 합니다.
사전 요구 사항
- 계산 게이트웨이(인터넷 인터페이스)에서 NAT 규칙을 생성하려면 이 SDDC의 VM에서 사용할 공용 IP 주소를 가져와야 합니다. 공용 IP 주소 요청 또는 해제의 내용을 참조하십시오.
- VM은 라우팅된 계산 네트워크 세그먼트에 연결해야 합니다. 정적 또는 동적(DHCP) 주소가 있는 VM에 대한 NAT 규칙을 생성할 수 있습니다. 단, DHCP 주소 할당을 사용한 VM에 대한 NAT 규칙은 VM에 규칙에 지정된 항목과 더 이상 일치하지 않는 내부 규칙이 할당될 경우 무효화될 수 있음에 유의해야 합니다.
프로시저
- https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
- 를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
- NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.
이 워크플로에 대해
VMware Cloud 콘솔
네트워킹 및 보안 탭을 사용할 수도 있습니다.
- 을 클릭하여 기본 계산 게이트웨이에서 실행되는 NAT 규칙을 추가합니다.
- NAT 규칙 추가를 클릭하고 규칙에 이름을 지정합니다.
- 인터넷 NAT 규칙 옵션을 구성합니다.
| 옵션 |
설명 |
| 공용 IP |
이 SDDC에 대해 프로비저닝된 공용 IP 주소의 드롭다운 목록에서 선택합니다. 공용 IP 주소 요청 또는 해제의 내용을 참조하십시오. |
| 서비스 |
|
| 공용 포트 |
서비스를 모든 트래픽으로 지정한 경우 기본 공용 포트는 임의입니다. 특정 서비스를 선택한 다음에는 규칙이 해당 서비스에 대해 할당된 공용 포트에 적용됩니다. |
| 내부 IP |
VM의 내부 IP 주소를 입력합니다. 이 주소는 라우팅된 SDDC 네트워크 세그먼트에 있어야 합니다. |
| 내부 포트 |
선택한 서비스에서 사용하는 내부 포트를 표시합니다. 사용자 지정 포트를 사용하려면 사용자 지정 서비스를 추가(인벤토리 그룹 사용 참조)한 다음, NAT 규칙에서 해당 서비스를 선택합니다. 서비스를 모든 트래픽으로 지정한 경우 기본 내부 포트는 임의입니다. 특정 서비스를 선택한 다음에는 규칙이 해당 서비스에 대해 할당된 공용 포트에 적용됩니다. |
| 방화벽 |
이 NAT 규칙을 따르는 트래픽이 게이트웨이 방화벽 규칙에 표시되는 방식을 지정합니다. 기본적으로 이러한 방화벽 규칙은 내부 IP 및 내부 포트의 조합과 일치합니다. 외부 주소 일치를 선택하여 방화벽 규칙이 외부 IP 및 외부 포트의 조합과 일치하게 합니다. (분산 방화벽 규칙은 외부 주소 또는 포트에 적용되지 않습니다.) |
모든 트래픽에 동일한 공용 IP 및 내부 IP를 사용하는 여러 개의 NAT 규칙을 생성할 수 있습니다. 이렇게 하면 각 내부 IP가 아웃바운드(SNAT) 트래픽에 공용 IP를 사용하지만 인바운드(DNAT) 트래픽에는 일치하는 첫 번째 규칙만 사용됩니다. 시스템에서 기본 아웃바운드 규칙을 생성합니다(표시하지는 않음). 이 규칙은 모든 트래픽에 적용되는 특정 NAT 규칙과 일치하지 않는 모든 내부 IP 주소에 사용됩니다. 이 규칙에 사용되는 IP는 네트워킹 및 보안 개요 페이지의 기본 계산 게이트웨이 요약에 소스 NAT 공용 IP로 표시됩니다.
- 규칙에 대한 우선 순위를 선택합니다.
값이 낮을수록 이 규칙의 우선 순위가 높다는 것을 의미합니다.
- (선택 사항) 로깅을 전환하여 규칙 작업을 로깅합니다.
- 새 규칙은 생성될 때 활성 상태입니다. 사용을 전환하여 비활성화합니다.
- 저장을 클릭하여 규칙을 생성합니다.
- (선택 사항) Tier-1 게이트웨이를 추가로 생성한 경우 를 클릭하여 해당 게이트웨이에서 실행되는 NAT 규칙을 추가합니다.
- 규칙을 실행할 게이트웨이를 선택합니다.
- NAT 규칙 추가를 클릭하고 규칙에 이름을 지정합니다.
- Tier-1 게이트웨이 NAT 규칙 옵션을 구성합니다.
| 옵션 |
설명: |
| 작업 |
다음 중 하나:
-
SNAT
-
소스 NAT. 패킷 헤더의 소스 주소를 변경합니다.
Tier-1 라우터에서 소스 NAT 구성을 참조하십시오.
-
DNAT
-
대상 NAT. 패킷 헤더의 대상 주소를 변경합니다.
Tier-1 라우터에서 대상 NAT 구성을 참조하십시오.
필요한 경우 변환된 포트를 지정합니다.
-
재귀
-
비대칭 경로를 방지하기 위한 상태 비저장 NAT 구성입니다.
재귀 NAT를 참조하십시오.
-
SNAT 없음
-
소스 NAT를 해제합니다.
-
DNAT 없음
-
대상 NAT를 해제합니다.
|
| 일치 |
SNAT의 경우 사용할 소스 주소를 입력합니다. DNAT의 경우 사용할 대상 주소를 입력합니다. |
| 변환됨 |
변환된 SNAT 또는 DNAT 주소에 사용할 IPv4 주소 또는 CIDR 블록을 입력합니다. |
| 적용 대상 |
특정 인터페이스 또는 레이블을 선택하여 규칙을 적용할 트래픽을 정의합니다. |
| 방화벽 |
이 NAT 규칙을 따르는 트래픽이 게이트웨이 방화벽 규칙에 표시되는 방식을 지정합니다. 기본적으로 이러한 방화벽 규칙은 내부 IP 및 내부 포트의 조합과 일치합니다. 외부 주소 일치를 선택하여 방화벽 규칙이 외부 IP 및 외부 포트의 조합과 일치하게 합니다. (분산 방화벽 규칙은 외부 주소 또는 포트에 적용되지 않습니다.) |
- 규칙에 대한 우선 순위를 선택합니다.
값이 낮을수록 이 규칙의 우선 순위가 높다는 것을 의미합니다.
- (선택 사항) 로깅을 전환하여 규칙 작업을 로깅합니다.
- 새 규칙은 생성될 때 활성 상태입니다. 사용을 전환하여 비활성화합니다.
- 저장을 클릭하여 규칙을 생성합니다.
