VMware Cloud Director 環境中的 NSX Data Center for vSphere 軟體可使 Edge 閘道提供網路位址轉譯 (NAT) 服務。出於經濟和安全性目的,使用此功能可減少組織必須使用的公用 IP 位址數目。
Edge 閘道的 NAT 服務提供將公用位址指派給虛擬機器或私人網路中之虛擬機器群組的功能。若要使您的 Edge 閘道提供對執行於組織虛擬資料中心內私下定址的虛擬機器之服務的存取權,您必須在 Edge 閘道上設定 NAT 規則。在大多數情況下,需將 NAT 服務與 VMware Cloud Director環境中 Edge 閘道上的上行介面建立關聯,以便組織虛擬資料中心網路上的位址不會在外部網路上公開。
NAT 服務組態分為來源 NAT (SNAT) 和目的地 NAT (DNAT) 規則。在 VMware Cloud Director 環境中的 Edge 閘道上設定 SNAT 或 DNAT 規則時,一律從組織虛擬資料中心的角度來設定規則。具體來說,這表示您可以透過下列方式設定規則:
- SNAT:流量從組織虛擬資料中心之內部網路上的虛擬機器 (來源),通過網際網路傳輸至外部網路 (目的地)。SNAT 規則會轉譯組織虛擬資料中心網路的傳出封包 (傳送至外部網路或另一個組織虛擬資料中心網路) 的來源 IP 位址。
- DNAT:流量從網際網路 (來源) 傳輸至組織虛擬資料中心內的虛擬機器 (目的地)。DNAT 規則會轉譯組織虛擬資料中心網路從外部網路或另一個組織虛擬資料中心網路接收到之封包的 IP 位址,並會選擇性地轉譯連接埠。
您可以設定 NAT 規則,以在組織虛擬資料中心內部建立私人 IP 位址空間。此組態提供將私人 IP 位址空間從一個組織虛擬資料中心移植到另一個組織虛擬資料中心的功能。透過設定 NAT 規則,可讓您為某個組織虛擬資料中心內的虛擬機器使用曾在另一個組織虛擬資料中心使用的相同私人 IP 位址。
VMware Cloud Director 環境中的 NAT 規則功能支援:
- 在私人 IP 位址空間內建立子網路
- 為 Edge 閘道建立多個私人 IP 位址空間
- 在多個 Edge 閘道介面上設定多個 NAT 規則
重要: 您必須在 Edge 閘道上設定防火牆和 NAT 規則,才能使 Edge 閘道網路上的虛擬機器可供存取。依預設,Edge 閘道已部署防火牆規則,這些規則設定為拒絕 Edge 閘道網路上虛擬機器的所有傳入和傳出網路流量。此外,NAT 在 Edge 閘道上預設為停用,以便 Edge 閘道無法轉譯傳入和傳出流量的 IP 位址,除非您在 Edge 閘道上設定 NAT。在設定 NAT 規則後嘗試對網路上的虛擬機器執行 Ping 動作會失敗,除非您新增防火牆規則以允許對應流量。