Настройка Edge Gateway (AZ1/AZ2) для подключения ВМ к Интернет

По умолчанию на маршрутизаторе не установлены правила трансляции IP‑адресов в сеть Интернет, а Firewall настроен на блокировку любого трафика. 

Чтобы виртуальные машины могли работать в сети Интернет, создайте на Edge Gateway (виртуальном маршрутизаторе):

• правило SNAT для доступа виртуальной машины в сеть Интернет;

• правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу;

• правило Firewall для входящего и исходящего трафика.

Создание правила SNAT

Чтобы создать правило SNAT для доступа виртуальной машины в сеть Интернет:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно настроить правило SNAT.
2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking → Edge Gateways.
3. Выберите Edge Gateway, в котором нужно создать правило для доступа в сеть Интернет.
4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку NEW.
5. Заполните поля:
   • Name * — название правила;
   • Description — описание правила, заполняется при необходимости;
   • Interface Type * — тип интерфейса. Выберите SNAT;
   • External IP * — публичный IP-адрес. Чтобы выбрать публичный IP-адрес из доступных, нажмите на кнопку , скопируйте адрес из подсказки и вставьте в поле External IP *;
   • Internal IP * — внутренний IP-адрес;
   • Destination IP — IP-адрес назначения или диапазон IP-адресов, на который отправляется трафик. Заполняется при необходимости.
     Чтобы заполнить расширенные настройки правила SNAT, нажмите на кнопку :
     • деактивируйте переключатель State, чтобы после создания правило не включилось;
     • активируйте переключатель Logging, чтобы преобразование IP-адресов регистрировалось в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако;

     • Priority — число, обозначающее приоритет правила. Если для одного IP-адреса существует несколько правил SNAT, к IP-адресу применяется правило с наивысшим приоритетом. Меньшее значение означает более высокий приоритет правила;

     • Firewall Match — выбор режима применения правил межсетевого экрана к трафику, проходящему через NAT:

       • Match Internal Address — брандмауэр для внутреннего IP-адреса;
       • Match External Address — брандмауэр для публичного IP-адреса;
       • Bypass — без использования брандмауэра;
     • Applied To — сеть организации, к которой нужно применить правило SNAT. Можно использовать только сети с отключенной распределённой маршрутизацией.
6. Нажмите на кнопку SAVE.

Созданное правило SNAT отобразится на платформе VMware Cloud Director:

Создание правила DNAT

Чтобы создать правило DNAT для доступа в виртуальную машину из сети Интернет по определённому порту и протоколу:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно настроить правило DNAT.
2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking → Edge Gateways.
3. Выберите Edge Gateway, в котором нужно создать правило для доступа из сети Интернет.
4. В разделе Services перейдите на вкладку NAT и нажмите на кнопку NEW.
5. Заполните поля:
   • Name * — название правила;
   • Description — описание правила, заполняется при необходимости;
   • Interface Type * — тип интерфейса. Выберите DNAT;
   • External IP * — публичный IP-адрес. Чтобы выбрать публичный IP-адрес из доступных, нажмите на кнопку , скопируйте адрес из подсказки и вставьте в поле External IP *;
   • External Port — внешний порт для подключения из сети Интернет;
   • Internal IP * — внутренний IP-адрес;
   • Application — порт и протокол, которые публикуемый сервис использует во внутренней сети:
     1. Нажмите на кнопку.
     2. Активируйте переключатель Choose a specific application.
     3. Выберите нужный порт.
     4. Нажмите на кнопку SAVE.

     Чтобы заполнить расширенные настройки правила DNAT, нажмите на кнопку :

     • деактивируйте переключатель State, чтобы после создания правило не включилось;
     • активируйте переключатель Logging, чтобы преобразование IP-адресов регистрировалось в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако;
     • Priority — число, обозначающее приоритет правила. Если для одного IP-адреса существует несколько правил DNAT, к IP-адресу применяется правило с наивысшим приоритетом. Меньшее значение означает более высокий приоритет правила;
     • Firewall Match — выбор режима применения правил межсетевого экрана к трафику, проходящему через NAT:
       • Match Internal Address — брандмауэр для внутреннего IP-адреса;
       • Match External Address — брандмауэр для публичного IP-адреса;
       • Bypass — без использования брандмауэра;
     • Applied To — сеть организации, к которой нужно применить правило DNAT. Можно использовать только сети с отключенной распределённой маршрутизацией.
6. Нажмите на кнопку SAVE.

Созданное правило DNAT отобразится на платформе VMware Cloud Director:

Создание правила Firewall

Чтобы создать правило Firewall для входящего и исходящего трафика:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно настроить правило Firewall.
2. На главной странице платформы VMware Cloud Director перейдите в раздел Networking → Edge Gateways.
3. Выберите Edge Gateway, в котором нужно создать правило для входящего и исходящего трафика.
4. В разделе Services перейдите на вкладку Firewall и нажмите на кнопку EDIT RULES.
5. В открывшемся окне нажмите на кнопку NEW ON TOP.
6. В таблице появится новое правило. Заполните ячейку Name — название правила:
7. При необходимости выберите протокол и порт для подключения:
   1. В столбце Applications нажмите на кнопку .

   2. Активируйте переключатель Choose a specific application.

   3. Выберите нужный профиль приложения.

   4. Нажмите на кнопку SAVE.

8. В столбце Source (источник трафика) нажмите на кнопку и активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика. Или выберите группу IP-адресов, установив флажок в строке с нужной группой. Если группы IP-адресов нет, создайте её:

    Чтобы создать группу IP-адресов:

   1. На главной странице платформы перейдите в раздел Networking → Edge Gateways.
   2. Выберите Edge Gateway, в котором нужно создать группу IP-адресов.
   3. В разделе Security перейдите на вкладку IP Sets и нажмите на кнопку NEW.
   4. Заполните поля:
      • Name * — название группы IP-адресов;
      • Description — описание группы IP-адресов, заполняется при необходимости;
      • IP Addresses — IP-адреса в формате IPv4 или IPv6 или диапазон в формате CIDR.
   5. Нажмите на кнопку ADD.
   6. Нажмите на кнопку SAVE.
9. Нажмите на кнопку KEEP.
10. В столбце Destination (IP-адреса назначения, которые будут получать трафик) нажмите на кнопку и активируйте переключатель Any Destination, чтобы выбрать все доступные адреса назначения. Или выберите группу IP-адресов, установив флажок в строке с нужной группой.
11. Нажмите на кнопку KEEP.
12. В столбце Action выберите действие с трафиком:

    • Allow — разрешить входящий и исходящий трафик для виртуальных машин;

    • Drop — блокировать входящий и исходящий трафик и не отправлять уведомления об этом стороне, инициирующей соединение;

    • Reject — блокировать входящий и исходящий трафик и отправлять уведомления об этом стороне, инициирующей соединение.

13. В столбце IP Protocol выберите протокол, к которому нужно применить правило.

14. При необходимости активируйте переключатель Logging, чтобы регистрировать трансляцию IP-адресов, выполняемую этим правилом, в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако.

15. Нажмите на кнопку SAVE.

В результате создастся новое правило Firewall для входящего и исходящего трафика.