網路位址轉譯 (NAT) 會將計算網路上的內部 IP 位址對應至公用網際網路上公開的位址。若要建立 NAT 規則,請提供工作負載虛擬機器或服務的內部位址和連接埠號碼,以及您從系統中取得的公用 IP 位址和連接埠號碼。

NAT 規則在 SDDC 網路的網際網路介面上執行,因為這是公開工作負載虛擬機器之公用位址的位置。用於檢查封包來源和目的地的防火牆規則將在 計算閘道 上執行,並且在透過任何適用的 NAT 規則進行轉換後處理流量。建立 NAT 規則時,可以指定虛擬機器的內部或外部 IP 位址和連接埠號碼是否向影響進出該虛擬機器之網路流量的防火牆規則公開。

重要:

SDDC 公用 IP 位址的輸入流量始終由您建立的 NAT 規則處理。輸出流量 (來自 SDDC 工作負載虛擬機器的回覆封包) 會沿著通告的路由進行路由,並在 SDDC 網路的預設路由通過 SDDC 的網際網路介面時由 NAT 規則進行處理。但是,如果預設路由通過 Direct Connect 或 VPN 連線 (例如,如果 0.0.0.0/0 是透過 BGP 通告的,或存在具有遠端網路 0.0.0.0/0 的原則型 VPN),則會針對輸入流量執行 NAT 規則,而不會針對輸出流量執行,從而建立非對稱路徑,使虛擬機器無法在其公用 IP 位址上連線。從內部部署環境通告預設路由時,您必須使用內部部署網際網路連線和公用 IP 在內部部署網路上設定 NAT 規則。

必要條件

  • 您必須已取得公用 IP 位址,供此 SDDC 中的虛擬機器使用。請參閱要求或釋放公用 IP 位址
  • 虛擬機器必須連線到計算網路區段。無論虛擬機器是否具有靜態或動態 (DHCP) 位址,都可以為其建立 NAT 規則,但請注意,如果指派給虛擬機器的內部位址不再符合規則中指定的內部位址,則使用 DHCP 位址指派的虛擬機器的 NAT 規則可能會失效。

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 選取網路與安全性 > NAT
  3. 按一下新增 NAT 規則,並為規則指定名稱
  4. 輸入 NAT 規則參數。
    選項 說明
    公用 IP 從已為此 SDDC 佈建的公用 IP 位址的下拉式清單中選擇。請參閱要求或釋放公用 IP 位址
    服務
    • 選取所有流量,以建立同時適用於指定內部 IP 的輸入 (DNAT) 和輸出 (SNAT) 流量的規則。
    • 選取其中一項列出的服務,以建立僅適用於使用此通訊協定和連接埠之流量的輸入 (DNAT) 規則。
      備註: 由於使用多個目的地連接埠的服務不能受限於 NAT 規則,因此不會出現在此清單中。
    公用連接埠 如果已指定服務所有流量,則預設公用連接埠為任何

    如果已選取特定的服務,則規則會套用至針對該服務指派的公用連接埠。

    內部 IP 輸入虛擬機器的內部 IP 位址。
    內部連接埠

    顯示所選服務使用的內部連接埠。若要使用自訂連接埠,請新增自訂服務,然後在 NAT 規則中選取該服務

    如果已指定服務所有流量,則預設內部連接埠為任何

    如果已選取特定的服務,則規則會套用至針對該服務指派的公用連接埠。

    防火牆 指定受限於此 NAT 規則的流量向計算閘道防火牆規則公開的方式。依預設,CGW 防火牆規則與內部 IP內部連接埠的組合相符。選取符合外部位址,使防火牆規則與外部 IP外部連接埠的組合相符。(Distributed Firewall 規則永遠不適用於外部位址或連接埠。)

    您可以建立多個 NAT 規則,這些規則對所有流量使用相同的公用 IP內部 IP。如果您這麼做,每個內部 IP 都會將公用 IP 用於輸出 (SNAT) 流量,但只有第一個相符規則會用於輸入 (DNAT) 流量。系統會建立 (但不顯示) 預設輸出規則。此規則將用於所有與適用於所有流量的特定 NAT 規則不相符的內部 IP 位址。用於此規則的 IP 在網路與安全性概觀頁面上的預設計算閘道摘要中顯示為來源 NAT 公用 IP

  5. (選擇性) 切換記錄以記錄規則動作。
  6. 新規則預設為啟用。切換啟用以將其停用。
  7. 按一下儲存以建立規則。
    隨即建立規則,並將其 狀態報告為 開啟