Документация

Настройка Edge Gateway для подключения VM к Интернет

По умолчанию на маршрутизаторе не установлены правила трансляции IP‑адресов в сеть Интернет, а Firewall настроен на блокировку любого трафика. 

Чтобы виртуальные машины могли работать в сети Интернет, создайте на Edge Gateway (виртуальном маршрутизаторе):

  • правило SNAT для доступа виртуальной машины в сеть Интернет;

  • правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу;

  • правило Firewall для входящего и исходящего трафика.

Создание правила SNAT

Чтобы создать правило SNAT для доступа виртуальной машины в сеть Интернет:

  1. Войдите в VMware-организацию, в которой нужно настроить правило SNAT.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking Edge Gateways.
  3. Нажмите на название Edge Gateway, в котором нужно создать правило для доступа в сеть Интернет.
  4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку NEW.
  5. Заполните поля:
    • Name * — название правила;
    • Description — описание правила, заполняется при необходимости;
    • NAT Action * — тип интерфейса. Выберите SNAT;
    • External IP * — публичный IP-адрес виртуальной машины. Чтобы выбрать публичный IP-адрес из доступных, нажмите на кнопку , скопируйте адрес из подсказки и вставьте в поле External IP *;
    • Internal IP * — внутренний IP-адрес виртуальной машины;
    • Destination IP — IP-адрес назначения или диапазон IP-адресов, на который отправляется трафик. Заполняется при необходимости.
      Чтобы заполнить расширенные настройки правила SNAT, нажмите на кнопку :
      • деактивируйте переключатель State, чтобы после создания правило не включилось;
      • активируйте переключатель Logging, чтобы преобразование IP-адресов регистрировалось в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако;

      • Priority — число, обозначающее приоритет правила. Если для одного IP-адреса существует несколько правил SNAT, к IP-адресу применяется правило с наивысшим приоритетом. Меньшее значение означает более высокий приоритет правила;

      • Firewall Matchрежим применения правил межсетевого экрана к трафику, проходящему через NAT:

        • Match Internal Address — брандмауэр для внутреннего IP-адреса;
        • Match External Address — брандмауэр для публичного IP-адреса;
        • Bypass — без использования брандмауэра;
      • Applied Toсеть организации, к которой нужно применить правило SNAT. Можно использовать только сети с отключенной распределённой маршрутизацией.
  6. Нажмите на кнопку SAVE.

Созданное правило SNAT отобразится на платформе VMware Cloud Director:

Создание правила DNAT

Чтобы создать правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу:

  1. Войдите в VMware-организацию, в которой нужно настроить правило DNAT.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking Edge Gateways.
  3. Нажмите на название Edge Gateway, в котором нужно создать правило для доступа из сети Интернет.
  4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку NEW.
  5. Заполните поля:
    • Name * — название правила;
    • Description — описание правила, заполняется при необходимости;
    • NAT Action * — тип интерфейса. Выберите DNAT;
    • External IP * — публичный IP-адрес виртуальной машины. Чтобы выбрать публичный IP-адрес из доступных, нажмите на кнопку , скопируйте адрес из подсказки и вставьте в поле External IP *;
    • External Port — внешний порт для подключения к виртуальной машине из сети Интернет;
    • Internal IP * — внутренний IP-адрес виртуальной машины;
    • Application — порт и протокол, которые публикуемый сервис использует во внутренней сети:
      1. Нажмите на кнопку.
      2. Активируйте переключатель Choose a specific application.
      3. Выберите нужный порт.
      4. Нажмите на кнопку SAVE.

      Чтобы заполнить расширенные настройки правила DNAT, нажмите на кнопку :

      • деактивируйте переключатель State, чтобы после создания правило не включилось;
      • активируйте переключатель Logging, чтобы преобразование IP-адресов регистрировалось в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако;
      • Priority — число, обозначающее приоритет правила. Если для одного IP-адреса существует несколько правил DNAT, к IP-адресу применяется правило с наивысшим приоритетом. Меньшее значение означает более высокий приоритет правила;
      • Firewall Matchрежим применения правил межсетевого экрана к трафику, проходящему через NAT:
        • Match Internal Address — брандмауэр для внутреннего IP-адреса;
        • Match External Address — брандмауэр для публичного IP-адреса;
        • Bypass — без использования брандмауэра;
      • Applied Toсеть организации, к которой нужно применить правило DNAT. Можно использовать только сети с отключенной распределённой маршрутизацией.
  6. Нажмите на кнопку SAVE.

Созданное правило DNAT отобразится на платформе VMware Cloud Director:

Создание правила Firewall

Чтобы создать правило Firewall для входящего и исходящего трафика:

  1. Войдите в VMware-организацию, в которой нужно настроить правило Firewall.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking Edge Gateways.
  3. Нажмите на название Edge Gateway, в котором нужно создать правило для входящего и исходящего трафика.
  4. В разделе Services перейдите на вкладку Firewall и нажмите на кнопку NEW.
  5. Заполните поля:
    • Name — название правила;
    • State — активируйте переключатель, чтобы правило включилось сразу после создания;
    • Applications протокол и порт для подключения:
      1. Нажмите на кнопку .

      2. Активируйте переключатель Choose a specific application.

      3. Выберите приложения с нужными протоколами и портами для подключения.

      4. Нажмите на кнопку SAVE;

    • Context контекстный профиль ЦОД NSX-T:
      1. Нажмите на кнопку .

      2. Активируйте переключатель Choose a specific profile.

      3. Выберите нужные профили.

      4. Нажмите на кнопку SAVE;

    • Source источник трафика:

      1. Нажмите на кнопку .

      2. Выберите источник трафика:

        • все источники трафика — активируйте переключатель Any Source;

        • группа IP-адресов — на вкладке Firewall Groups выберите группы IP-адресов. Если нужной группы нет, создайте её.
          1. На главной странице платформы перейдите в раздел Networking Edge Gateways.
          2. Нажмите на название Edge Gateway, в котором нужно создать группу IP-адресов.
          3. В разделе Security перейдите на вкладку IP Sets и нажмите на кнопку NEW.
          4. Заполните поля:
            • Name * — название группы IP-адресов;
            • Description — описание группы IP-адресов, заполняется при необходимости;
            • IP AddressesIP-адрес в формате IPv4 или IPv6, IP-адрес и префикс сети в формате CIDR (например, 10.0.0.1/24) или диапазон IP-адресов.
          5. Нажмите на кнопку ADD.
          6. Нажмите на кнопку SAVE.

        • определённые IP-адреса — на вкладке Firewall IP Addresses нажмите на кнопку ADD и введите IP-адрес, IP-адрес и префикс сети в формате CIDR (например, 10.0.0.1/24) или диапазон IP-адресов. Если нужно добавить ещё один источник трафика, нажмите на кнопку ADD и введите его.
      3. Нажмите на кнопку KEEP;
    • Destination — IP-адреса назначения, которые будут получать трафик:
      1. Нажмите на кнопку .
      2. Выберите получателей трафика:
        • все IP-адреса назначения — активируйте переключатель Any Destination
        • группа IP-адресов — на вкладке Firewall Groups выберите группы IP-адресов. Если нужной группы нет, создайте её;
        • определённые IP-адреса — на вкладке Firewall IP Addresses нажмите на кнопку ADD и введите IP-адрес, IP-адрес и префикс сети в формате CIDR (например, 10.0.0.1/24) или диапазон IP-адресов. Если нужно добавить ещё один получатель трафика, нажмите на кнопку ADD и введите его.
      3. Нажмите на кнопку KEEP;
    • Actionдействие с трафиком:

      • Allow — разрешить входящий и исходящий трафик для виртуальных машин;

      • Drop — блокировать входящий и исходящий трафик и не отправлять уведомления об этом стороне, инициирующей соединение;

      • Reject — блокировать входящий и исходящий трафик и отправлять уведомления об этом стороне, инициирующей соединение;

    • IP Protocol — протокол, к которому нужно применить правило;
    • Applied To — объект применения правила. Например, конкретная виртуальная машина;
    • Logging — при необходимости активируйте переключатель, чтобы регистрировать трансляцию IP-адресов, выполняемую этим правилом, в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако;
    • Comments — описание правила, заполняется при необходимости:
      1. Нажмите на кнопку .
      2. В поле Comments Area заполните описание правила.
      3. Нажмите на кнопку SAVE.
  6. Нажмите на кнопку SAVE.

В результате создастся новое правило Firewall для входящего и исходящего трафика.

В этой статье

Мы ответили на ваш вопрос?