Zapnutí veřejných IP adres k uzlu NSX Edge pro VMware NSX NSX

V tomto článku se dozvíte, jak zapnout veřejné IP adresy na uzlu VMware NSX Edge pro spuštění VMware NSX pro vaši instanci azure VMware Solution.

Tip

Než zapnete přístup k internetu ke své instanci řešení Azure VMware Solution, projděte si aspekty návrhu připojení k internetu.

Veřejné IP adresy uzlu NSX Edge pro NSX je funkce ve službě Azure VMware Solution, která pro vaše prostředí Azure VMware Solution zapne příchozí a odchozí internetový přístup.

Důležité

Využití veřejných IP adres IPv4 je možné využívat přímo ve službě Azure VMware Solution a účtovat se na základě předpony veřejné IP adresy IPv4, která se zobrazuje v části Ceny – IP adresy virtuálních počítačů. S touto službou se neúčtují žádné poplatky za příchozí nebo výchozí přenos dat.

Rozsah veřejných IP adres se konfiguruje v Řešení Azure VMware prostřednictvím webu Azure Portal a rozhraní NSX v privátním cloudu Azure VMware Solution.

S touto funkcí máte následující funkce:

• Soudržné a zjednodušené prostředí pro rezervaci a použití veřejné IP adresy k uzlu NSX Edge.
• Možnost přijímat 1 000 nebo více veřejných IP adres. Zapněte přístup k internetu ve velkém měřítku.
• Příchozí a odchozí přístup k internetu pro virtuální počítače úloh
• Distribuovaná ochrana zabezpečení DDoS (Denial of Service) před síťovým provozem do a z internetu.
• Podpora migrace VMware HCX přes veřejný internet

Důležité

V těchto síťových blocích můžete nastavit maximálně 64 veřejných IP adres. Pokud chcete nakonfigurovat více než 64 veřejných IP adres, odešlete lístek podpory, který označuje požadovaný počet adres.

Požadavky

• Privátní cloud Azure VMware Solution.
• Server DNS nastavený pro vaši instanci serveru NSX.

Referenční architektura

Následující obrázek znázorňuje přístup k internetu z privátního cloudu Azure VMware Solution přes veřejnou IP adresu přímo do uzlu NSX Edge pro NSX pro NSX.

Důležité

Použití veřejné IP adresy na uzlu NSX Edge pro NSX není kompatibilní s reverzním vyhledáváním DNS. Pokud použijete tento scénář, nemůžete v Azure VMware Solution hostovat poštovní server.

Nastavení veřejné IP adresy nebo rozsahu

Pokud chcete nastavit veřejnou IP adresu nebo rozsah, použijte Azure Portal:

1. Přihlaste se k webu Azure Portal a přejděte do privátního cloudu Azure VMware Solution.

2. V nabídce prostředků v části Sítě úloh vyberte Připojení k internetu.

3. Zaškrtněte Připojení pomocí veřejné IP adresy na zaškrtávací políčko NSX Edge.

   Důležité

   Než vyberete veřejnou IP adresu, ujistěte se, že rozumíte dopadům na vaše stávající prostředí. Další informace najdete v tématu Aspekty návrhu připojení k internetu. Důležité informace by měly zahrnovat kontrolu zmírnění rizik u příslušných týmů pro zásady správného řízení a zabezpečení a dodržování předpisů.

4. Vyberte veřejnou IP adresu.

   

5. Zadejte hodnotu pro název veřejné IP adresy. V rozevíracím seznamu Adresní prostor vyberte velikost podsítě. Pak vyberte Konfigurovat.

   Tato veřejná IP adresa je dostupná přibližně do 20 minut.

   Zkontrolujte, jestli je podsíť uvedená. Pokud podsíť nevidíte, aktualizujte seznam. Pokud se aktualizaci nepodaří zobrazit podsíť, zkuste konfiguraci zopakovat.

   

6. Po nastavení veřejné IP adresy zaškrtněte Připojení pomocí veřejné IP adresy zaškrtněte políčko NSX Edge a vypněte všechny ostatní možnosti internetu.

7. Zvolte Uložit.

Úspěšně jste zapnuli připojení k internetu pro privátní cloud Azure VMware Solution a rezervili jste veřejnou IP adresu přidělenou Microsoftem. Tuto veřejnou IP adresu teď můžete nastavit na hraniční uzel NSX pro NSX, který se má použít pro vaše úlohy. NSX se používá pro veškerou komunikaci virtuálních počítačů.

Pro NSX máte tři možnosti konfigurace rezervované veřejné IP adresy na hraniční uzel NXS:

• Odchozí přístup k internetu pro virtuální počítače
• Příchozí přístup k internetu pro virtuální počítače
• Brána firewall pro filtrování provozu do virtuálních počítačů na bránách T1

Odchozí přístup k internetu pro virtuální počítače

Služba překladu zdrojových adres (SNAT) s překladem adres (PAT) se používá k tomu, aby mnoho virtuálních počítačů používalo jednu službu SNAT. Použití tohoto typu připojení znamená, že můžete poskytnout připojení k internetu pro mnoho virtuálních počítačů.

Důležité

Pokud chcete povolit SNAT pro zadané rozsahy adres, musíte nakonfigurovat pravidlo brány firewall a SNAT pro konkrétní rozsahy adres, které chcete použít. Pokud nechcete, aby byl pro konkrétní rozsahy adres zapnutý SNAT, musíte vytvořit pravidlo bez překladu adres pro rozsahy adres, které se mají vyloučit z překladu adres (NAT). Aby služba SNAT fungovala podle očekávání, pravidlo No-NAT by mělo mít nižší prioritu než pravidlo SNAT.

Vytvoření pravidla SNAT

1. V privátním cloudu Azure VMware Solution vyberte přihlašovací údaje VMware.

2. Vyhledejte adresu URL a přihlašovací údaje správce NSX.

3. Přihlaste se ke Správci VMware NSX.

4. Přejděte na pravidla překladu adres (NAT).

5. Vyberte směrovač T1.

6. Vyberte Přidat pravidlo překladu adres (NAT).

7. Zadejte název pravidla.

8. Vyberte SNAT.

   Volitelně můžete zadat zdroj, například podsíť pro SNAT nebo cíl.

9. Zadejte přeloženou IP adresu. Tato IP adresa pochází z rozsahu veřejných IP adres, které jste si rezervovat na portálu Azure VMware Solution.

   Volitelně můžete pravidlu dát číslo s vyšší prioritou. Toto stanovení priority přesune pravidlo dále dolů do seznamu pravidel, aby se zajistilo, že se nejprve shodují konkrétnější pravidla.

10. Zvolte Uložit.

Protokolování je zapnuté pomocí posuvníku protokolování.

Další informace o konfiguraci a možnostech překladu adres (NAT) VMware NSX najdete v průvodci překladem adres (NAT) datového centra NSX Správa istrace.

Vytvoření pravidla bez překladu adres (NAT)

Ve Správci NSX můžete vytvořit pravidlo No-NAT nebo No-SNAT, které vyloučí určité shody z provádění překladu adres (NAT). Tato zásada se dá použít k povolení provozu privátníCH IP adres, aby se vynechala stávající pravidla překladu sítě.

1. V privátním cloudu Azure VMware Solution vyberte přihlašovací údaje VMware.
2. Vyhledejte adresu URL a přihlašovací údaje správce NSX.
3. Přihlaste se ke Správci NSX a pak vyberte Pravidla překladu adres (NAT).
4. Vyberte směrovač T1 a pak vyberte Přidat pravidlo překladu adres (NAT).
5. Jako typ pravidla překladu adres (NAT) vyberte žádné pravidlo SNAT .
6. Jako rozsah adres, které nechcete překládat, vyberte hodnotu Zdrojová IP adresa. Hodnota cílové IP adresy by měla být všechny interní adresy, které se blížíte z rozsahu zdrojových IP adres.
7. Zvolte Uložit.

Příchozí přístup k internetu pro virtuální počítače

Služba překladu cílové sítě (DNAT) slouží k zveřejnění virtuálního počítače na konkrétní veřejné IP adrese nebo na konkrétním portu. Tato služba poskytuje příchozí internetový přístup k vašim virtuálním počítačům úloh.

Vytvoření pravidla DNAT

1. V privátním cloudu Azure VMware Solution vyberte přihlašovací údaje VMware.

2. Vyhledejte adresu URL a přihlašovací údaje správce NSX.

3. Přihlaste se ke Správci NSX a pak vyberte Pravidla překladu adres (NAT).

4. Vyberte směrovač T1 a pak vyberte Přidat pravidlo DNAT.

5. Zadejte název pravidla.

6. Jako akci vyberte DNAT .

7. Jako shodu cíle zadejte vyhrazenou veřejnou IP adresu. Tato IP adresa pochází z rozsahu veřejných IP adres, které jsou rezervované na portálu Azure VMware Solution.

8. Pro přeloženou IP adresu zadejte privátní IP adresu virtuálního počítače.

9. Zvolte Uložit.

   Volitelně můžete nakonfigurovat přeložený port nebo zdrojovou IP adresu pro konkrétnější shody.

Virtuální počítač je teď vystavený internetu na konkrétní veřejné IP adrese nebo na konkrétních portech.

Nastavení brány firewall pro filtrování provozu do virtuálních počítačů na bránách T1

Prostřednictvím brány firewall brány můžete zajistit ochranu zabezpečení síťového provozu ve veřejném internetu i mimo veřejný internet.

1. V privátním cloudu Azure VMware Solution vyberte přihlašovací údaje VMware.

2. Vyhledejte adresu URL a přihlašovací údaje správce NSX.

3. Přihlaste se ke Správci NSX.

4. Na stránce přehledu NSX vyberte Zásady brány.

5. Vyberte pravidla specifická pro bránu, zvolte bránu T1 a pak vyberte Přidat zásadu.

6. Vyberte Možnost Nová zásada a zadejte název zásady.

7. Vyberte zásadu a vyberte Přidat pravidlo.

8. Nakonfigurujte pravidlo:

   1. Vyberte Nové pravidlo.
   2. Zadejte popisný název.
   3. Nakonfigurujte zdroj, cíl, služby a akci.

9. Chcete-li použít pravidla brány firewall na externí adresu pravidla překladu adres (NAT), vyberte Možnost Přizpůsobit externí adrese .

   Například následující pravidlo je nastaveno tak, aby odpovídalo externí adrese. Nastavení umožňuje příchozí provoz SSH (Secure Shell) na veřejnou IP adresu.

   

Pokud byla zadána shoda s interní adresou , cílem je interní nebo privátní IP adresa virtuálního počítače.

Další informace o bráně firewall brány NSX najdete v průvodci Správa istrace brány NSX. Distribuovanou bránu firewall je možné použít k filtrování provozu do virtuálních počítačů. Další informace naleznete v tématu NSX Distributed Firewall Správa istration Guide.

Související obsah

• Aspekty návrhu připojení k internetu
• Zapnutí spravovaného SNAT pro úlohy Azure VMware Solution
• Nastavení výchozí internetové trasy nebo vypnutí přístupu k internetu
• Zapnutí přístupu K VMware HCX přes internet