На Вашем маршрутизаторе по умолчанию не установлены правила трансляции IP-адресов в сеть Интернет, а Firewall настроен на блокировку любого трафика. Поэтому, для того чтобы Ваши ВМ могли работать в сети Internet, необходимо на Edge Gateway (Виртуальный маршрутизатор) создать:
а) SNAT правило – для доступа ВМ в интернет.
б) DNAT правило – для доступа в ВМ из интернета по определенному порту и протоколу.
в) Правила Firewall для каждого правила SNAT/DNAT.Создание SNAT правила
Для этого зайдите в раздел «Administration», в боковом левом меню выберите «Virtual Datacenters», справа от меню отобразится список ваших виртуальных дата центров (VDC), щелкните левой кнопкой мыши на нужном VDC.
В открывшемся представлении, раскройте вкладку "Network" и выберите пункт меню "Edges".
Рисунок 1
На открывшейся странице необходимо выделить существующий Edge и нажать «Configure Services» (Рисунок 2).
Рисунок 2
Открывается страница управления Edge.
Рисунок 3
В окне «Edge Gateway» надо перейти на вкладку «NAT» и нажать на кнопку «Add SNAT»
Рисунок 4
Открывается окно под названием «Add SNAT Rule»
Рисунок 5
В этом окне необходимо заполнить следующие поля:
Applied on – Выбираем внешнюю сеть (название начинается с Internet-…).
Original Source IP/Range – Указываем внутреннюю сеть по маске или задаем диапазон внутренних адресов.
Translated Source IP/Range – Указываем внешний IP-адрес из выделенного Вам диапазона.
Рисунок 6
Далее нажать кнопку «KEEP», после этого данное окно закроется, правило SNAT появится в общем списке и можно будет: добавить еще одно правило либо, сохранить изменения, отменить изменения. Для применения настроек необходимо нажать кнопку “Save changes”.
Рисунок 7
Создание правила DNAT
В окне «Edge Gateway» надо перейти на вкладку «NAT» и нажать на кнопку «Add DNAT» .
Рисунок 8
Открывается окно под названием «Add DNAT Rule»
Рисунок 9
Applied on – Выбираем внешнюю сеть (название начинается с Internet-…).
Original Source IP/Range – – Указываем внешний IP-адрес из выделенного Вам диапазона.
Protocol – Выберите тип протокола который прослушивается на Translated Port.
Original Port – указываем номер порта, который будет прослушиваться на внешнем ip-адресе
Translated Source IP/Range - Указываем IP-адрес ВМ, доступ к которой нужен из сети интернет.
Translated Port – указываем номер порта, который прослушивается на нужной ВМ.
Далее нажать кнопку «KEEP».
Рисунок 10
Для применения настроек нажать кнопку “Save changes”.
Рисунок 11
Создать правило Firewall
В этом примере мы создадим правило Firewall, которое разрешает доступ из интернет к ВМ, для которой мы настроили правило DNAT.
Для этого в окне «Edge Gateway» надо перейти на вкладку «Firewall» и нажать кнопку «+» .
Рисунок 12
После нажатия данной кнопки, создается правило New Rule, которое разрешает весь пользовательский трафик. Далее необходимо заполнить следующие ячейки:
Name – имя правила, можно выбрать произвольное (например, SSH)
Source – IP адрес с которого будет осуществляться подключение к VM. Если доступ нужен из всего Интернета, то указываем Any.
Destination – указываем тот IP, который до этого указывали в правиле DNAT в поле «Original Source IP/Range».
Service – Выбираем порт назначения, а так же протокол для передачи данных. В нашем случае Source Port оставляем any, а в поля Protocol и Destination Port указываем протокол и номер порта, который будет прослушиваться на внешнем IP-адресе из правила DNAT в поле Original Port.
Action – Действие для выбранного типа трафика: Accept/Deny. В нашем случае Accept.
Далее нажимаем кнопку «Save changes».
Рисунок 13
Теперь трафик с машин должен транслироваться в сеть Интернет и обратно через NAT.
Примечание:
Выделенные Вам внешние IP-адреса можно узнать из письма от нашего менеджера при получении доступа к vCD, либо на вкладке Edge Gateway необходимо навести курсор на существующий Edge и нажать левой кнопкой мыши. Снизу появится поле под названием «Edge Gateway Services», далее необходимо найти таблицу «Sub-Allocated IP Pool», в одноименной колонке будет диапазон выделенных Вам внешних адресов.
Рисунок 14
