VMware Cloud Director 環境中的 NSX Data Center for vSphere 軟體可使 Edge 閘道提供網路位址轉譯 (NAT) 服務。出於經濟和安全性目的,使用此功能可減少組織必須使用的公用 IP 位址數目。

Edge 閘道的 NAT 服務提供將公用位址指派給虛擬機器或私人網路中之虛擬機器群組的功能。若要使您的 Edge 閘道提供對執行於組織虛擬資料中心內私下定址的虛擬機器之服務的存取權,您必須在 Edge 閘道上設定 NAT 規則。在大多數情況下,需將 NAT 服務與 VMware Cloud Director環境中 Edge 閘道上的上行介面建立關聯,以便組織虛擬資料中心網路上的位址不會在外部網路上公開。

NAT 服務組態分為來源 NAT (SNAT) 和目的地 NAT (DNAT) 規則。在 VMware Cloud Director 環境中的 Edge 閘道上設定 SNAT 或 DNAT 規則時,一律從組織虛擬資料中心的角度來設定規則。具體來說,這表示您可以透過下列方式設定規則:

  • SNAT:流量從組織虛擬資料中心之內部網路上的虛擬機器 (來源),通過網際網路傳輸至外部網路 (目的地)。SNAT 規則會轉譯組織虛擬資料中心網路的傳出封包 (傳送至外部網路或另一個組織虛擬資料中心網路) 的來源 IP 位址。
  • DNAT:流量從網際網路 (來源) 傳輸至組織虛擬資料中心內的虛擬機器 (目的地)。DNAT 規則會轉譯組織虛擬資料中心網路從外部網路或另一個組織虛擬資料中心網路接收到之封包的 IP 位址,並會選擇性地轉譯連接埠。

您可以設定 NAT 規則,以在組織虛擬資料中心內部建立私人 IP 位址空間。此組態提供將私人 IP 位址空間從一個組織虛擬資料中心移植到另一個組織虛擬資料中心的功能。透過設定 NAT 規則,可讓您為某個組織虛擬資料中心內的虛擬機器使用曾在另一個組織虛擬資料中心使用的相同私人 IP 位址。

VMware Cloud Director 環境中的 NAT 規則功能支援:

  • 在私人 IP 位址空間內建立子網路
  • 為 Edge 閘道建立多個私人 IP 位址空間
  • 在多個 Edge 閘道介面上設定多個 NAT 規則
重要: 您必須在 Edge 閘道上設定防火牆和 NAT 規則,才能使 Edge 閘道網路上的虛擬機器可供存取。依預設,Edge 閘道已部署防火牆規則,這些規則設定為拒絕 Edge 閘道網路上虛擬機器的所有傳入和傳出網路流量。此外,NAT 在 Edge 閘道上預設為停用,以便 Edge 閘道無法轉譯傳入和傳出流量的 IP 位址,除非您在 Edge 閘道上設定 NAT。在設定 NAT 規則後嘗試對網路上的虛擬機器執行 Ping 動作會失敗,除非您新增防火牆規則以允許對應流量。

新增 SNAT 或 DNAT 規則

您可以建立來源 NAT (SNAT) 規則,將來源 IP 位址從公用 IP 位址變更為私人 IP 位址,或反向變更。您可以建立目的地 NAT (DNAT) 規則,將目的地 IP 位址從公用 IP 位址變更為私人 IP 位址,或反向變更。

建立 NAT 規則時,您可以使用下列格式指定原始和轉譯的 IP 位址:

  • IP 位址;例如 192.0.2.0
  • IP 位址範圍;例如 192.0.2.0-192.0.2.24
  • IP 位址/子網路遮罩;例如 192.0.2.0/24
  • any

VMware Cloud Director 環境中的 Edge 閘道上設定 SNAT 或 DNAT 規則時,一律從組織虛擬資料中心的角度來設定規則。SNAT 規則會轉譯從組織虛擬資料中心網路傳送至外部網路,或傳送至另一個組織虛擬資料中心網路之封包的來源 IP 位址。DNAT 規則會轉譯組織虛擬資料中心網路從外部網路或另一個組織虛擬資料中心網路接收到之封包的 IP 位址,並會選擇性地轉譯連接埠。

必要條件

公用 IP 位址必須已新增至您要在其上新增規則的 NSX Data Center for vSphere Edge 閘道介面。對於 DNAT 規則,原始 (公用) IP 位址必須已新增至 Edge 閘道介面,對於 SNAT 規則,轉譯的 (公用) IP 位址必須已新增至介面。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下 NAT 以檢視 [NAT 規則] 畫面。
  3. 根據您要建立的 NAT 規則類型,按一下 DNAT 規則SNAT 規則
  4. 設定目的地 NAT 規則 (從外到內)。
    選項 描述
    套用於 選取要套用規則的介面。
    原始 IP/範圍

    輸入所需的 IP 位址,或從清單中選取已配置的 IP 位址。

    此位址必須是為其設定 DNAT 規則的 Edge 閘道的公用 IP 位址。在要檢查的封包中,此 IP 位址或範圍是顯示為封包之目的地 IP 位址的 IP 位址或範圍。這些封包的目的地位址是此 DNAT 規則所轉譯的位址。

    通訊協定 選取要套用規則的通訊協定。若要在所有通訊協定上套用此規則,選取任何
    原始連接埠 (選擇性) 選取傳入流量在 Edge 閘道上用於連線到虛擬機器所連線之內部網路的連接埠或連接埠範圍。當通訊協定設定為 ICMP任何時,此選取項目無法使用。
    ICMP 類型 針對通訊協定選取 ICMP (裝置間用來傳達錯誤資訊的錯誤報告與診斷公用程式) 時,請從下拉式功能表中選取 ICMP 類型

    ICMP 訊息透過 [類型] 欄位來識別。依預設,ICMP 類型設定為 [任何]。

    轉譯的 IP/範圍 輸入輸入封包上的目的地位址將轉譯到的 IP 位址或 IP 位址範圍。

    這些位址是您要為其設定 DNAT 的一或多個虛擬機器的 IP 位址,使其能夠從外部網路接收流量。

    轉譯的連接埠 (選擇性) 選取在內部網路的虛擬機器上輸入流量要連線到的連接埠或連接埠範圍。這些連接埠是針對輸入到虛擬機器的封包將 DNAT 規則轉譯到的連接埠。
    來源 IP 位址 如果希望僅針對來自特定網域的流量套用規則,則以 CIDR 格式輸入此網域的 IP 位址或 IP 位址範圍。如果將此文字方塊保留空白,則 DNAT 規則會套用至本機子網路中的所有 IP 位址。
    來源連接埠 (選擇性) 輸入來源的連接埠號碼。
    描述 (選擇性) 為 DNAT 規則輸入有意義的說明。
    已啟用 開啟以啟用此規則。
    啟用記錄 開啟以讓系統記錄由此規則執行的位址轉譯。
  5. 設定來源 NAT 規則 (從內到外)。
    選項 描述
    套用於 選取要套用規則的介面。
    原始來源 IP/範圍 輸入要套用到此規則的原始 IP 位址或 IP 位址範圍,或從清單中選取已配置的 IP 位址。

    這些位址是您要為其設定 SNAT 規則的一或多個虛擬機器的 IP 位址,使其能夠將流量傳送至外部網路。

    轉譯的來源 IP/範圍 輸入所需的 IP 位址。

    此位址一律是為其設定 SNAT 規則之閘道的公用 IP 位址。指定輸出封包的來源位址 (虛擬機器) 在傳送流量至外部網路時要轉譯到的 IP 位址。

    目的地 IP 位址 (選擇性) 如果希望僅針對特定網域的流量套用規則,則以 CIDR 格式輸入此網域的 IP 位址或 IP 位址範圍。如果將此文字方塊保留空白,則 SNAT 規則會套用至本機子網路外部的所有目的地。
    目的地連接埠 (選擇性) 輸入目的地的連接埠號碼。
    描述 (選擇性) 為 SNAT 規則輸入有意義的說明。
    已啟用 開啟以啟用此規則。
    啟用記錄 開啟以讓系統記錄由此規則執行的位址轉譯。
  6. 按一下保留,將規則新增至畫面上的資料表。
  7. 重複步驟來設定其他規則。
  8. 按一下儲存變更,將規則儲存至系統。

下一步

針對剛設定的 SNAT 或 DNAT 規則新增對應的 Edge 閘道防火牆規則。請參閱新增 NSX Data Center for vSphere Edge 閘道防火牆規則