Настройка Edge Gateway (AZ0) для подключения ВМ к Интернет

Примечание

VMware-организация, в которой нужно настроить Edge Gateway для подключения ВМ к Интернет, должна быть создана в зоне доступности AZ0-DC1-DataPro-Moscow1.

По умолчанию на маршрутизаторе не установлены правила трансляции IP‑адресов в сеть Интернет, а Firewall настроен на блокировку любого трафика. 

Чтобы виртуальные машины могли работать в сети Интернет, создайте на Edge Gateway (виртуальном маршрутизаторе):

  • правило SNAT для доступа виртуальной машины в сеть Интернет;
  • правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу;
  • правило Firewall для входящего и исходящего трафика.

Создание правила SNAT

Чтобы создать правило SNAT для доступа виртуальной машины в сеть Интернет:

  1. Войдите в VMware-организацию (в зоне доступности AZ0-DC1-DataPro-Moscow1), в которой нужно настроить правило SNAT.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking  Edge Gateways.
  3. Выберите Edge Gateway, в котором нужно создать правило для доступа ВМ в сеть Интернет.
  4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку SNAT RULE.
  5. Заполните поля:
    • Applied On — сеть организации, к которой нужно применить правило SNAT. Можно использовать только сети с отключенной распределённой маршрутизацией;
    • Original Source IP/Range * — IP-адрес виртуальной машины или вся внутренняя сеть, которой необходимо предоставить доступ в сеть Интернет;
    • Protocol — протокол, к которому нужно применить правило;
    • Original Portпорт для передачи трафика в сеть Интернет. Применимо для протоколов TCP и UDP;
    • Translated Source IP/Range * публичный IP-адрес Edge Gateway:
      1. Нажмите на кнопку SELECT.
      2. В поле выберите сеть, указанную в поле Applied On.
      3. В поле выберите публичный IP-адрес Edge Gateway.
      4. Нажмите на кнопку KEEP;
    • Destination IP AddressIP-адрес сервера-назначения, который будет получать трафик;
    • Destination Portпорт сервера, который будет получать трафик. Применимо для протоколов TCP и UDP;
    • Description — описание правила, заполняется при необходимости;
    • Enabledесли переключатель активирован, то правило включится после создания;
    • если переключатель активирован, то преобразование IP-адресов будет регистрироваться в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако.
  6. Нажмите на кнопку KEEP.
  7. Нажмите на кнопку Save changes, чтобы сохранить созданное правило SNAT:

Созданное правило SNAT отобразится на платформе VMware Cloud Director:

Создание правила DNAT

Чтобы создать правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу:

  1. Войдите в VMware-организацию (в зоне доступности AZ0-DC1-DataPro-Moscow1), в которой нужно настроить правило DNAT.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking  Edge Gateways.
  3. Выберите Edge Gateway, в котором нужно создать правило для доступа из сети Интернет.
  4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку DNAT RULE.
  5. Заполните поля:
    • Applied Onсеть организации, к которой нужно применить правило DNAT. Можно использовать только сети с отключенной распределённой маршрутизацией;
    • Original IP/Range *публичный IP-адрес Edge Gateway:
      1. Нажмите на кнопку SELECT.
      2. В поле выберите сеть, указанную в поле Applied On.
      3. В поле выберите публичный IP-адрес Edge Gateway.
      4. Нажмите на кнопку KEEP;
    • Protocol — выберите протокол, к которому нужно применить правило;
    • Original Port — порт для приёма трафика из сети Интернет. Применимо для протоколов TCP и UDP;
    • ICMP Type
    • Translated IP/Range * внутренний IP-адрес виртуальной машины, доступ к которой нужен из сети Интернет;
    • Translated Port — порт виртуальной машины, которая будет принимать запросы из сети Интернет. Применимо для протоколов TCP и UDP;
    • Source IP AddressIP-адрес сервера-источника, который будет передавать трафик;
    • Source Port — порт сервера-источника, который будет передавать трафик. Применимо для протоколов TCP и UDP;
    • Description — описание правила, заполняется при необходимости;
    • Enabledесли переключатель активирован, то правило включится после создания;
    • Enable logging — если переключатель активирован, то преобразование IP-адресов будет регистрироваться в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако.
  6. Нажмите на кнопку KEEP.
  7. Нажмите на кнопку Save changes, чтобы сохранить созданное правило DNAT:

Созданное правило DNAT отобразится на платформе VMware Cloud Director:

Создание правила Firewall

Чтобы создать правило Firewall для входящего и исходящего трафика:

  1. Войдите в VMware-организацию (в зоне доступности AZ0-DC1-DataPro-Moscow1), в которой нужно настроить правило Firewall.
  2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking  Edge Gateways.
  3. Выберите Edge Gateway, в котором нужно создать правило для входящего и исходящего трафика.
  4. Перейдите в раздел Services и на вкладке Firewall нажмите на кнопку . В таблице появится новое правило. 
  5. При необходимости деактивируйте переключатель Enabled, чтобы после создания правило не включилось.
  6. Заполните ячейку Name — название правила:
  7. В столбце Source (источник трафика) оставьте значение Any, если нужен доступ из всех источников.
    Если доступ нужен из определённых источников, нажмите на кнопку , в поле Value укажите IP-адрес, CIDR или диапазон IP-адресов, с которых будет осуществляться подключение, и нажмите на кнопку KEEP
    .
    Чтобы указать объекты подключения, для которых будет применено правило, нажмите на кнопку , в поле Browse objects of type выберите тип объектов, добавьте нужные объекты и нажмите на кнопку KEEP. Доступные типы объектов:
    • Gateway Interfaces — определённые IP-адреса, все внутренние IP-адреса (Internal), все внешние IP-адреса (External) или все внешние и внутренние IP-адреса (ALL);

    • Virtual Machines — виртуальные машины;

    • Org Vdc Networks — сети VMware-организации;

    • IP Sets — группы IP-адресов;

    • Security Groups — группы безопасности. 

      Если группы IP-адресов нет, создайте её:

      1. На главной странице платформы перейдите в раздел Networking → Edge Gateways.
      2. Выберите Edge Gateway, в котором нужно создать группу IP-адресов.
      3. В разделе Services перейдите на вкладку Grouping Objects и нажмите на кнопку .
      4. Заполните поля:
        • Name * — название группы IP-адресов;
        • Description — описание группы IP-адресов, заполняется при необходимости;
        • IP Addresses * — IP-адреса в формате IPv4 или IPv6 или диапазон в формате CIDR.
      5. Нажмите на кнопку KEEP.
  8. В столбце Destination (IP-адреса назначения, которые будут получать трафик) оставьте значение Any, если доступ нужен во все IP-адреса назначения.
    Если доступ нужен в определённые IP-адреса назначения, нажмите на кнопку , в поле Value укажите IP-адрес, CIDR или диапазон IP-адресов, в которые будет осуществляться подключение, и нажмите на кнопку KEEP
    .
    Чтобы указать объекты подключения, для которых будет применено правило, нажмите на кнопку , в поле Browse objects of type выберите тип объектов, добавьте нужные объекты по кнопке и нажмите на кнопку KEEP. Доступные типы объектов:
    • Gateway Interfaces — определённые IP-адреса, все внутренние IP-адреса (Internal), все внешние IP-адреса (External) или все внешние и внутренние IP-адреса (ALL);

    • Virtual Machines — виртуальные машины;

    • Org Vdc Networks — сети VMware-организации;

    • IP Sets — группы IP-адресов;

    • Security Groups — группы безопасности. 

  9. В столбце Service оставьте значение Any, если правило применимо для всех портов и протоколов.
    Если правило нужно применить для определённых портов серверов-источников трафика и серверов-назначения трафика, нажмите на кнопку и заполните поля:
    • Protocol — протокол, к которому нужно применить правило;
    • Source Port — порт сервера-источника трафика. Если оставить это поле пустым, правило будет применяться к любому порту протоколов TCP и UDP;
    • Destination Portпорт сервера-назначения трафика. Если оставить это поле пустым, правило будет применяться к любому порту протоколов TCP и UDP.

      Нажмите на кнопку KEEP.

  10. В столбце Action выберите действие с трафиком:
    • Accept — разрешить прохождение трафика от сервера-источника до сервера-назначения;
    • Deny — запретить прохождение трафика от сервера-источника до сервера-назначения.
  11. При необходимости установите флажок Enable logging, чтобы регистрировать трансляцию IP-адресов, выполняемую этим правилом, в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако.
  12. После заполнения столбцов нажмите на кнопку Save changes, чтобы сохранить созданное правило Firewall:

В результате создастся новое правило Firewall для входящего и исходящего трафика.

Мы ответили на ваш вопрос?