|
VM (Virtual Machine) – виртуальная машина IP-адрес (Internet Protocol Address) – это уникальный числовой идентификатор конкретного устройства в составе компьютерной сети, построенной на основе протокола TCP/IP. NAT (Network Address Translation) - механизм, позволяющий преобразовывать SNAT (Source Network Address Translation) – механизм, использующийся для преобразования внутреннего адреса в публичный DNAT (Destination Network Address Translation) – механизм, использующийся для преобразования внешнего адреса в локальный NO SNAT - механизм предотвращающий трансляцию внутреннего адреса в публичный адрес. |
Для настройки этого механизма в vCloud Director нужно настроить правила SNAT и DNAT.
В этом руководстве вы узнаете:
Как настроить правила SNAT
-
Правила SNAT необходимы для доступа виртуальных машин в Интернет.
-
-
Для управления VM через панель управления VMware Cloud Director зайдите в вашу организацию по URL: https://vmw.a1.by/tenant/123456789/, где 123456789 - УНП вашей организации.
-
-
-
Заходим в раздел Networking
Выбираем Edge Gateways
Выбираем Edge Gateway
В разделе Services выберите пункт NAT и нажмите NEW
В открывшемся окне заполняем поля:
Name: Имя правила
NAT Action: Выбираем SNAT.
External IP: Выбираем Ваш внешний IP
Internal IP: Выбираете внутренний IP адрес или подсеть, которые будут попадать под действие данного SNAT правила.
Нажимаем Save
Как настроить правила DNAT
-
DNAT — это механизм, который изменяет адрес и порт назначения сетевого пакета. Он используется для перенаправления входящего трафика с публичного IP-адреса и порта на внутренний приватный адрес и порт в локальной сети.
Важно! При открытии порта необходимо указать Application и External Port, так как эти параметры критичны для корректной работы:
-
Application определяет исходящий порт с виртуальной машины.
-
External Port — это порт, который будет доступен из интернета.
-
Для управления VM через панель управления VMware Cloud Director зайдите в вашу организацию по URL: https://vmw.a1.by/tenant/123456789/, где 123456789 - УНП вашей организации.
Заходим в раздел Networking
Выбираем Edge Gateways
Выбираем Edge Gateway
В разделе Services выберите пункт NAT и нажмите NEW
В открывшемся окне заполняем поля:
Name: Имя правила
NAT Action: Выбираем DNAT
External IP: Указываем Ваш внешний IP
Internal IP: Выбираем внутренний IP адрес или подсеть, которые будут попадать под действие данного DNAT правила.
Apply to Policy Based VPN:По умолчанию Bypass. Данный параметр не применяет NAT правило для трафика внутри VPN-туннелей.
Если необходима отработка NAT правила в том числе для трафика внутри VPN-туннеля, например, при маскарадинге или перенаправлении портов. - выберите Match.
Затем выбираем Application
В открывшемся окне включаем параметр Choose a specific application
Если нужного приложения нет в списке по умолчанию, его можно создать
Затем выбираем необходимое приложение, как пример SSH.
Нажимаем Save.
После возврата к предыдущему окну нажмите Advanced Settings
Firewall Match: Выбираем Match External Address. Это необходимо, чтобы Firewall в рамках данного DNAT правила применялся для внешнего IP адреса (до NAT).
Нажимаем Save.
Как настроить правила NO SNAT
При создании правил SNAT внутренний приватный адрес транслируется в публичный адрес для доступа из сети тенанта в интернет. Для доступа к локальной сети используется приватный IP-адрес без применений правил SNAT. Правило NO SNAT предотвращает трансляцию внутреннего приватного адреса в публичный адрес.
При использовании нескольких правил NAT указывается приоритет для определения порядка обработки правил. Создаваемое правило NO SNAT должно иметь более высокий приоритет, чем правило SNAT, которое используется для доступа в интернет. Например, если приоритет правила SNAT — 10, приоритет правила NO SNAT может быть 5. Правило NO SNAT обрабатывается первым и позволяет трафику маршрутизироваться в локальную сеть без трансляции.
-
Для управления VM через панель управления VMware Cloud Director зайдите в вашу организацию по URL: https://vmw.a1.by/tenant/123456789/, где 123456789 - УНП вашей организации.
-
Заходим в раздел Networking
Выбираем Edge Gateways
Выбираем Edge Gateway
В разделе Services выберите пункт NAT и нажмите NEW
В открывшемся окне заполняем поля:
Name: Имя правила
NAT Action: Выбираем NO SNAT.
Internal IP: Выбираете внутренний IP адрес или подсеть, которые будут попадать под действие данного NO SNAT правила.
Destination IP:(Опционально) введите IP-адрес назначения или диапазон IP-адресов, на который виртуальные машины отправляют трафика
В подменю Advanced Settings проверяем, чтобы правило было включено (кнопка State)
Priority: Выставляем приоритет. Меньшее число означает более высокий приоритет. Приоритет для правила NO SNAT должен быть выше, чем для общего правила SNAT
Нажимаем Save
Создание DNAT Application
Для этого перейдите в раздел Security → Application Port Profile, в поле Custom Applications нажмите NEW и настройте новое приложение.
Укажите имя в поле Name, в поле Protocol выберите необходимый Вам, в поле Ports укажите номер порта, можно указать несколько портов, через запятую. Нажмите кнопку Save
