Попробовать

Настройка доступа в интернет (SNAT)

Примечание

Эта инструкция для NSX-T. Если вы работаете с NSX-V, перейдите в раздел Настройка доступа в интернет (SNAT).

Для связи VM из сети тенанта с интернетом, нужно настроить трансляцию сетевых адресов SNAT и DNAT.

SNAT — трансляция внутреннего приватного адреса/адресов в публичный для доступа из сети тенанта в интернет. Все VM могут выходить в интернет через один публичный адрес, который назначается тенанту автоматически.

У технологии трансляции сетевых адресов есть ограничение: до 64000 трансляций на один публичный адрес. Если количество сессий из сети тенанта в интернет больше, нужно расширить арендуемый пул публичных адресов.

Создание правила SNAT

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

    Примечание

    Публичный IP-адрес указан в разделе IP Management → IP Allocations → IPs used. PRIMARY_IP в формате x.x.x.x — внешний IP-адрес виртуального ЦОД.

    Скриншот

    ../../_images/s__ip-allocations-nsx-t1.png
  3. В разделе Services → NAT нажмите NEW.

  4. Заполните форму Add NAT Rule:

    • Name — название правила.

    • (Опционально) Description — описание.

    • Interface Type — тип правила — «SNAT».

    • External IP — публичный IP-адрес в формате «x.x.x.x».

    • Internal IP — приватные IP-адреса VM тенанта в формате «a.a.a.0/24».

    • Destination IP — если нужно, чтобы правило применялось только к трафику с определенным адресом назначения, укажите IP-адрес или диапазон адресов, в направлении которых необходимо применять правило.

      Если оставить поле пустым, правило будет применяться для любого адреса назначения.

    (Опционально) Откройте дополнительные настройки Advanced Settings:

    • State — оставьте правило активированным.

    • Logging — активируйте переключатель при необходимости регистрировать преобразование адресов, выполняемое этим правилом.

    • Priority — оставьте наивысший приоритет для правила — 0. При возникновении конфликтов в правилах NAT измените этот приоритет. Меньшее число означает более высокий приоритет.

    • Firewall Match — оставьте по умолчанию. Настройка определяет то, как применяется правило Firewall во время NAT-преобразования:

      • «Match Internal Address» — правило Firewall применяется к внутреннему адресу правила NAT. Для SNAT — это исходный адрес источника (original source address) до выполнения NAT. Т. е. правило Firewall применится к приватным IP-адресам VM «a.a.a.0/24».

      • «Match External Address» — правило Firewall применяется к внешнему адресу правила NAT. Для SNAT — это преобразованный адрес источника (translated source address) после выполнения NAT. Т. е. правило Firewall применится к публичному IP-адресу «x.x.x.x».

      • «Bypass» — этап обработки правилом Firewall пропускается.

  5. Нажмите SAVE.

Создание IP Set

Если IP Set с нужным внутренним IP-адресом или диапазоном IP-адресов отсутствует, создайте его.

  1. В разделе Security → IP Sets нажмите NEW.

  2. Заполните форму New IP Set:

    • Name — название группы IP-адресов.

    • (Опционально) Description — описание.

    • IP Addressess — внутренний IP-адрес или диапазон IP-адресов в формате IP-адрес/длина префикса, например «a.a.a.0/24».

  3. Нажмите ADD, затем SAVE.

Создание правила Firewall

  1. В разделе Services → Firewall нажмите EDIT RULES.

  2. В открывшемся окне нажмите NEW ON TOP.

  3. Появится строка нового правила, заполните ее поля:

    • Name — укажите название правила.

    • State — активируйте переключатель, чтобы включить правило.

    • Applications — оставьте без изменений.

    • Source — нажмите на Редактировать, выберите ранее созданный IP Set и нажмите SAVE.

    • Destination — нажмите на Редактировать, активируйте переключатель Any Destination и нажмите SAVE.

    • Action — из раскрывающегося списка выберите «Allow».

    • IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

    • Logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

  4. Нажмите SAVE.

Проверка подключения

В консоли VM командой ping проверьте доступ в интернет.

../../_images/s__snat-ping.png