網路位址轉譯 (NAT) 控制封包標頭中的 IP 位址在閘道的任一端顯示的方式。在計算閘道上執行的規則會對應進入和離開閘道的網際網路流量。在其他第 1 層閘道上執行的規則會對應閘道與其他 SDDC 網路介面之間的流量。

NAT 規則在計算閘道和您建立的任何其他第 1 層閘道上執行。如需在 SDDC 中建立其他第 1 層閘道的資訊,請參閱將自訂第 1 層閘道新增至 VMware Cloud on AWS SDDC

在 SDDC 的網際網路介面 (計算閘道) 上執行的 NAT 規則將來自計算網路區段的封包上的內部來源或目的地 IP 位址對應到公用網際網路上可用的位址。若要建立 NAT 規則,需要提供工作負載虛擬機器或服務的內部位址以及您選擇的外部 IP 位址。在網際網路介面上執行的 NAT 規則需要公用 IP 位址。請參閱要求或釋放公用 IP 位址

用於檢查封包來源位址和目的地位址的防火牆規則將在這些閘道上執行,並處理已透過任何適用 NAT 規則進行轉換的流量。建立 NAT 規則時,可以指定虛擬機器的內部或外部 IP 位址和連接埠號碼是否向影響進出該虛擬機器之網路流量的防火牆規則公開。

重要:

SDDC 公用 IP 位址的輸入流量始終由您建立的 NAT 規則處理。輸出流量 (來自 SDDC 工作負載虛擬機器的回覆封包) 會沿著通告的路由進行路由,並在 SDDC 網路的預設路由通過 SDDC 的網際網路介面時由 NAT 規則進行處理。但是,如果預設路由透過 Direct Connect、VPNVTGW 連線,或被新增為與 VPC 的靜態路由,則將針對輸入流量 (而非輸出流量) 執行 NAT 規則,從而建立非對稱路徑,這會使虛擬機器在其公用 IP 地址無法存取。例如,如果透過 BGP 通告 0.0.0.0/0,或存在遠端網路為 0.0.0.0/0 的原則型 VPN,則可能會出現這種不對稱情況。從內部部署環境通告預設路由時,您必須使用內部部署網際網路連線和公用 IP 在內部部署網路上設定 NAT 規則。

必要條件

  • 若要在計算閘道 (網際網路介面) 上建立 NAT 規則,必須已取得供此 SDDC 中的虛擬機器使用的公用 IP 位址。請參閱要求或釋放公用 IP 位址
  • 虛擬機器必須連線到路由計算網路區段。無論虛擬機器是否具有靜態或動態 (DHCP) 位址,都可以為其建立 NAT 規則,但請注意,如果指派給虛擬機器的內部位址不再符合規則中指定的內部位址,則使用 DHCP 位址指派的虛擬機器的 NAT 規則可能會失效。

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 按一下 NAT > 網際網路,新增在預設計算閘道上執行的 NAT 規則。
    1. 按一下新增 NAT 規則,並為規則指定名稱
    2. 設定網際網路 NAT 規則選項:
      選項 說明
      公用 IP 從已為此 SDDC 佈建的公用 IP 位址的下拉式清單中選擇。請參閱要求或釋放公用 IP 位址
      服務
      • 選取所有流量,以建立同時適用於指定內部 IP 的輸入 (DNAT) 和輸出 (SNAT) 流量的規則。
      • 選取其中一項列出的服務,以建立僅適用於使用此通訊協定和連接埠之流量的輸入 (DNAT) 規則。此處還會列出您建立的任何自訂服務 (請參閱使用詳細目錄群組)。
        備註: 由於使用多個目的地連接埠的服務不能受限於 NAT 規則,因此不會出現在此清單中。
      公用連接埠 如果已指定服務所有流量,則預設公用連接埠為任何

      如果已選取特定的服務,則規則會套用至針對該服務指派的公用連接埠。

      內部 IP 輸入虛擬機器的內部 IP 位址。此位址必須位於路由 SDDC 網路區段上。
      內部連接埠

      顯示所選服務使用的內部連接埠。若要使用自訂連接埠,請新增一個自訂服務 (請參閱使用詳細目錄群組),然後在 NAT 規則中選取該服務

      如果已指定服務所有流量,則預設內部連接埠為任何

      如果已選取特定的服務,則規則會套用至針對該服務指派的公用連接埠。

      防火牆 指定受限於此 NAT 規則的流量向閘道防火牆規則公開的方式。依預設,這些防火牆規則與內部 IP內部連接埠的組合相符。選取符合外部位址,使防火牆規則與外部 IP外部連接埠的組合相符。(Distributed Firewall 規則永遠不適用於外部位址或連接埠。)

      您可以建立多個 NAT 規則,這些規則對所有流量使用相同的公用 IP內部 IP。如果您這麼做,每個內部 IP 都會將公用 IP 用於輸出 (SNAT) 流量,但只有第一個相符規則會用於輸入 (DNAT) 流量。系統會建立 (但不顯示) 預設輸出規則。此規則將用於所有與適用於所有流量的特定 NAT 規則不相符的內部 IP 位址。用於此規則的 IP 在網路與安全性概觀頁面上的預設計算閘道摘要中顯示為來源 NAT 公用 IP

    3. 為規則選擇優先順序
      值越低表示此規則的優先順序越高。
    4. (選擇性) 切換記錄以記錄規則動作。
    5. 建立後,新規則處於作用中狀態。切換啟用以將其停用。
    6. 按一下儲存以建立規則。
  5. (選擇性) 如果建立了其他第 1 層閘道,請按一下 NAT > 第 1 層閘道,新增在該閘道上執行的 NAT 規則。
    1. 選擇要執行規則的閘道
    2. 按一下新增 NAT 規則,並為規則指定名稱
    3. 設定第 1 層閘道 NAT 規則選項:
      選項 說明:
      動作 下列其中一個:
      SNAT
      來源 NAT。變更封包標頭中的來源位址。請參閱 〈在第 1 層路由器上設定來源 NAT〉
      DNAT
      目的地 NAT。變更封包標頭中的目的地位址。請參閱 〈在第 1 層路由器上設定目的地 NAT〉

      可以視需要指定轉譯的連接埠

      自反
      用於避免非對稱路由的無狀態 NAT 組態。請參閱 〈自反 NAT〉
      無 SNAT
      關閉來源 NAT。
      無 DNAT
      關閉目的地 NAT。
      Match 對於 SNAT,輸入要使用的來源位址。對於 DNAT,輸入要使用的目的地位址。
      已轉譯 輸入要用於轉譯的 SNAT 或 DNAT 位址的 IPv4 位址或 CIDR 區塊。
      套用至 選擇特定的介面或標籤以定義希望受規則影響的流量。
      防火牆 指定受限於此 NAT 規則的流量向閘道防火牆規則公開的方式。依預設,這些防火牆規則與內部 IP內部連接埠的組合相符。選取符合外部位址,使防火牆規則與外部 IP外部連接埠的組合相符。(Distributed Firewall 規則永遠不適用於外部位址或連接埠。)
    4. 為規則選擇優先順序
      值越低表示此規則的優先順序越高。
    5. (選擇性) 切換記錄以記錄規則動作。
    6. 建立後,新規則處於作用中狀態。切換啟用以將其停用。
    7. 按一下儲存以建立規則。