Работа с NAT в панели управления VMware Cloud Director

 

NAT (Network Address Translation) — трансляция приватных IP-адресов во внешние и наоборот. Для настройки этого механизма в vCloud Director нужно настроить правила SNAT и DNAT, далее, разберём настройки данных правил на NSX Edge и создадим правила для комфортной работы с серверами

 

Для управления виртуальной машиной через панель управления VMware vCloud Director требуется зайти в вашу организацию по URL: https://platinum.mclouds.ru/tenant/<org_name>/, где <org_name> — название вашей организации.

Общая информация о NAT в VMware Cloud Director

1. В левом меню выберите «Edges» в разделе «Networking»

2. Зайдите в меню NSX Edge с помощью нажатия на название.

3. Перейдите во вкладку NAT -> New

К заполнению доступны:

  • Name — название правила
  • Description — описание правила
  • Nat Action — функция NAT
  • External IP — Внешний IP Адрес — поле может меняться в зависимости от функции
  • Internal IP — Внутренний IP Адрес — поле может меняться в зависимости от функции

Поле, которое определяет функционал правила — Nat Action, в зависимости от его изменения, преобразование адресов будет работать по разному. Рассмотрим поля подробнее:

  • DNAT — (Destination Network Address Translation) — Преобразует адрес назначения входящих пакетов, чтобы трафик смог дойти до необходимого адреса в другой сети DNAT на NSX Edge при получении трафика, с внешним адресом Edge, проверяет порт и направляет пакеты к виртуальной машине
  • SNAT — (Source Network Address Translation) — Преобразует адреса источника в исходящих пакетах в один адрес.
    SNAT на NSX Edge при получении трафика из локальных машин с назначением за пределами Edge, преобразует внутренние адреса во внешний адрес — обязателен для предоставления виртуальным машинам доступа в интернет

  • NO DNAT — Определяет конкретный IP-адрес, от которого не будет происходить DNAT преобразование
  • NO SNAT — Определяет конкретный IP-адрес, к которому не будет происходить SNAT преобразование
  • REFLEXIVE — Смешанный функционал: При получении пакетов, транслирует адрес назначения, при отправке пакетов, транслирует адрес источника

4. Приведём пример настройки NAT со следующими требованиями:

  • ВМ должна иметь доступ в интернет
  • ВМ должна быть доступна по SSH извне

SNAT

Для предоставления доступа в интернет необходимо настроить правило SNAT:

1. Выберите NAT Action — SNAT

  • Появилось новое поле — Destination IP
  • Впишите в External IP внешний адрес Вашего Edge, в нашем случае, это 109.248.46.187
  • Укажите IP/Range адресов к которым будет применено данное правило
  • Так как External IP, NAT Action и Name — единственные обязательные поля, после введения внешнего адреса можно будет сохранить правило. В таком случае, будет происходить преобразование всех локальных адресов в один внешний адрес.

    При введении Destination IP — преобразование будет происходить только при передаче информации к указанному адресу

DNAT

Далее, настроим DNAT таким образом, чтобы он был доступен по SSH извне.

1. Создайте новое правило NAT и выберите NAT Action — DNAT

  • В External IP напишите адрес при обращении к которому будет происходиь преобразование. В нашем случае — это 109.248.46.187
  • В Internal IP напишите адрес, в который будет происходить преобразование
    Если Вы используете технологию IPsec, то для правил DNAT/ NO DNAT существует опция, которая позволяет настроить применение правил к трафику, поступающему из туннелей:
  • Bypass — Правило NAT не применяется к трафику, поступающему из туннелей
  • Match — Правило NAT применяется к трафику, поступающему из туннелей, но не применяется к трафику вне туннелей

2. Выберите Application — в VMware Cloud Director. При выборе подходящего сервиса заполнится поле Translated Port — порт назначения после преобразования.

3. В итоге должно получиться правило, которое описано на изображении ниже

С помощью данного правила мы настроили доступ к ВМ по SSH. Также, для получения доступа к ВМ Вам понадобится настроить Firewall. Подробнее о работе с правилами Firewall вы можете узнать здесь

Advanced Settings

Для изменения доступны следующие поля:

  • State — изменить состояние правила после создания — (Вкл./Выкл.)
  • Logging — Включить логирование этого правила
  • Priority — Если для какого-либо ip-адреса существует несколько правил, Вы можете назначить правилу приоритет. Чем ниже значение — тем выше приоритет
  • Firewall Match —
    Match Internal Address — Применять правила межсетевого экрана на внутренние адреса. В правилах SNAT — это адрес источника до проведения преобразования. В правилах DNAT — это адрес локальной виртуальной машины после преобразования DNAT
    Match External Address — Применять правила межсетевого экрана на внешние адреса. В правилах SNAT — это адрес источника после проведения преобразования. В правилах DNAT — это адрес назначенине я до проведения преобразования
  • Bypass Firewall — Не применять правила межсетевого экрана
  • Applied To — Применять данное правило только к выбранной сети организации. Может быть использована только с сетями в котором выключена функция Distributed Routing

 

На этом, работа с параметрами NAT — закончена