Attivare gli indirizzi IP pubblici in un nodo NSX Edge per VMware NSX
Questo articolo illustra come attivare gli indirizzi IP pubblici in un nodo VMware NSX Edge per eseguire VMware NSX NSX per l'istanza di soluzione Azure VMware.
Suggerimento
Prima di attivare l'accesso a Internet all'istanza di soluzione Azure VMware, vedere Considerazioni sulla progettazione della connettività Internet.
Gli indirizzi IP pubblici a un nodo NSX Edge per NSX sono una funzionalità di soluzione Azure VMware che attiva l'accesso Internet in ingresso e in uscita per l'ambiente soluzione Azure VMware.
Importante
L'utilizzo degli indirizzi IP pubblici IPv4 può essere usato direttamente in soluzione Azure VMware e addebitato in base al prefisso dell'indirizzo IP pubblico IPv4 visualizzato in Prezzi - Indirizzi IP della macchina virtuale. Nessun addebito per l'ingresso o l'uscita dei dati è correlato al servizio.
L'intervallo di indirizzi IP pubblici viene configurato in soluzione Azure VMware tramite il portale di Azure e l'interfaccia NSX all'interno del cloud privato soluzione Azure VMware.
Con questa funzionalità sono disponibili le funzionalità seguenti:
- Un'esperienza coerente e semplificata per la prenotazione e l'uso di un indirizzo IP pubblico per il nodo NSX Edge.
- Possibilità di ricevere 1.000 o più indirizzi IP pubblici. Attivare l'accesso a Internet su larga scala.
- Accesso Internet in ingresso e in uscita per le macchine virtuali del carico di lavoro.
- Protezione DDoS (Distributed Denial of Service) dal traffico di rete da e verso Internet.
- Supporto della migrazione di VMware HCX tramite Internet pubblico.
Importante
È possibile configurare un massimo di 64 indirizzi IP pubblici totali in questi blocchi di rete. Se si desidera configurare più di 64 indirizzi IP pubblici, inviare un ticket di supporto che indica il numero di indirizzi necessari.
Prerequisiti
- Un cloud privato soluzione Azure VMware.
- Un server DNS configurato per l'istanza di NSX.
Architettura di riferimento
La figura seguente illustra l'accesso a Internet da e verso il cloud privato soluzione Azure VMware tramite un indirizzo IP pubblico direttamente al nodo NSX Edge per NSX.
Importante
L'uso di un indirizzo IP pubblico nel nodo NSX Edge per NSX non è compatibile con la ricerca DNS inversa. Se si usa questo scenario, non è possibile ospitare un server di posta in soluzione Azure VMware.
Configurare un indirizzo IP pubblico o un intervallo
Per configurare un indirizzo IP pubblico o un intervallo, usare il portale di Azure:
Accedere al portale di Azure e quindi passare al cloud privato soluzione Azure VMware.
Nel menu delle risorse in Rete del carico di lavoro selezionare Connettività Internet.
Selezionare la Connessione usando l'indirizzo IP pubblico fino alla casella di controllo NSX Edge.
Importante
Prima di selezionare un indirizzo IP pubblico, assicurarsi di comprendere le implicazioni per l'ambiente esistente. Per altre informazioni, vedere Considerazioni sulla progettazione della connettività Internet. Le considerazioni devono includere una revisione della mitigazione dei rischi con i team di governance e conformità della rete e della sicurezza pertinenti.
Selezionare Ip pubblico.
Immettere un valore per Nome IP pubblico. Nell'elenco a discesa Spazio indirizzi selezionare una dimensione della subnet. Selezionare quindi Configura.
Questo indirizzo IP pubblico è disponibile entro circa 20 minuti.
Verificare che la subnet sia elencata. Se la subnet non viene visualizzata, aggiornare l'elenco. Se l'aggiornamento non visualizza la subnet, ritentare la configurazione.
Dopo aver impostato l'indirizzo IP pubblico, selezionare il Connessione usando l'indirizzo IP pubblico fino alla casella di controllo NSX Edge per disattivare tutte le altre opzioni Internet.
Seleziona Salva.
La connettività Internet è stata attivata correttamente per il cloud privato soluzione Azure VMware e è stato riservato un indirizzo IP pubblico allocato da Microsoft. È ora possibile impostare questo indirizzo IP pubblico sul nodo NSX Edge per NSX da usare per i carichi di lavoro. NSX viene usato per tutte le comunicazioni di macchine virtuali.NSX is used for all virtual machine (VM) communication.
Sono disponibili tre opzioni per configurare l'indirizzo IP pubblico riservato nel nodo NXS Edge per NSX:
- Accesso a Internet in uscita per le macchine virtuali
- Accesso a Internet in ingresso per le macchine virtuali
- Firewall del gateway per filtrare il traffico verso le macchine virtuali nei gateway T1
Accesso a Internet in uscita per le macchine virtuali
Un servizio SNAT (Source Network Address Translation) con PAT (Port Address Translation) viene usato per consentire a molte macchine virtuali di usare un unico servizio SNAT. L'uso di questo tipo di connessione significa che è possibile fornire connettività Internet per molte macchine virtuali.
Importante
Per abilitare SNAT per gli intervalli di indirizzi specificati, è necessario configurare una regola del firewall del gateway e SNAT per gli intervalli di indirizzi specifici da usare. Se non si vuole attivare SNAT per intervalli di indirizzi specifici, è necessario creare una regola No-NAT per gli intervalli di indirizzi da escludere da Network Address Translation (NAT). Affinché il servizio SNAT funzioni come previsto, la regola No-NAT deve essere una priorità inferiore rispetto alla regola SNAT.
Creare una regola SNAT
Nel cloud privato soluzione Azure VMware selezionare Credenziali VMware.
Individuare l'URL e le credenziali di NSX Manager.
Accedere a VMware NSX Manager.
Passare a Regole NAT.
Selezionare il router T1.
Selezionare Aggiungi regola NAT.
Immettere un nome per la regola.
Selezionare SNAT.
Facoltativamente, immettere un'origine, ad esempio una subnet per SNAT o una destinazione.
Immettere l'indirizzo IP tradotto. Questo indirizzo IP proviene dall'intervallo di indirizzi IP pubblici riservati nel portale di soluzione Azure VMware.
Facoltativamente, assegnare alla regola un numero di priorità superiore. Questa definizione di priorità sposta ulteriormente la regola verso il basso nell'elenco delle regole per assicurarsi che le regole più specifiche corrispondano per prime.
Seleziona Salva.
La registrazione è attivata tramite il dispositivo di scorrimento della registrazione.
Per altre informazioni sulla configurazione e sulle opzioni NAT di VMware NSX, vedere NSX Data Center NAT Amministrazione istration Guide (Guida alla Amministrazione istration di NSX).
Creare una regola No-NAT
È possibile creare una regola No-NAT o No-SNAT in NSX Manager per escludere determinate corrispondenze dall'esecuzione di NAT. Questo criterio può essere usato per consentire al traffico di indirizzi IP privati di ignorare le regole di conversione di rete esistenti.
- Nel cloud privato soluzione Azure VMware selezionare Credenziali VMware.
- Individuare l'URL e le credenziali di NSX Manager.
- Accedere a NSX Manager e quindi selezionare Regole NAT.
- Selezionare il router T1 e quindi selezionare Aggiungi regola NAT.
- Selezionare Nessuna regola SNAT come tipo di regola NAT.
- Selezionare il valore IP di origine come intervallo di indirizzi che non si desidera tradurre. Il valore IP di destinazione deve essere qualsiasi indirizzo interno che si sta raggiungendo dall'intervallo di intervalli di indirizzi IP di origine.
- Seleziona Salva.
Accesso a Internet in ingresso per le macchine virtuali
Un servizio DNAT (Destination Network Translation) viene usato per esporre una macchina virtuale in un indirizzo IP pubblico specifico o su una porta specifica. Questo servizio fornisce l'accesso a Internet in ingresso alle macchine virtuali del carico di lavoro.
Creare una regola DNAT
Nel cloud privato soluzione Azure VMware selezionare Credenziali VMware.
Individuare l'URL e le credenziali di NSX Manager.
Accedere a NSX Manager e quindi selezionare Regole NAT.
Selezionare il router T1 e quindi selezionare Aggiungi regola DNAT.
Immettere un nome per la regola.
Selezionare DNAT come azione.
Per la corrispondenza di destinazione immettere l'indirizzo IP pubblico riservato. Questo indirizzo IP proviene dall'intervallo di indirizzi IP pubblici riservati nel portale di soluzione Azure VMware.
Per l'INDIRIZZO IP convertito immettere l'indirizzo IP privato della macchina virtuale.
Seleziona Salva.
Facoltativamente, configurare la porta tradotta o l'indirizzo IP di origine per corrispondenze più specifiche.
La macchina virtuale è ora esposta a Internet sull'indirizzo IP pubblico specifico o su porte specifiche.
Configurare un firewall del gateway per filtrare il traffico verso le macchine virtuali nei gateway T1
È possibile garantire la protezione della sicurezza per il traffico di rete all'interno e all'esterno della rete Internet pubblica tramite il firewall del gateway.
Nel cloud privato soluzione Azure VMware selezionare Credenziali VMware.
Individuare l'URL e le credenziali di NSX Manager.
Accedere a NSX Manager.
Nella pagina panoramica di NSX selezionare Criteri gateway.
Selezionare Regole specifiche del gateway, scegliere il gateway T1 e quindi selezionare Aggiungi criterio.
Selezionare Nuovo criterio e immettere un nome per i criteri.
Selezionare il criterio e selezionare Aggiungi regola.
Configurare la regola:
- Selezionare Nuova regola.
- Immettere un nome descrittivo.
- Configurare l'origine, la destinazione, i servizi e l'azione.
Selezionare Corrispondenza indirizzo esterno per applicare le regole del firewall all'indirizzo esterno di una regola NAT.
Ad esempio, la regola seguente è impostata su Corrispondenza indirizzo esterno. L'impostazione consente il traffico SSH (Secure Shell) in ingresso verso l'indirizzo IP pubblico.
Se è stato specificato Corrispondenza indirizzo interno, la destinazione è l'indirizzo IP interno o privato della macchina virtuale.
Per altre informazioni sul firewall del gateway NSX, vedere NSX Gateway Firewall Amministrazione istration Guide (Guida all'Amministrazione istration del gateway NSX). Il firewall distribuito può essere usato per filtrare il traffico verso le macchine virtuali. Per altre informazioni, vedere NSX Distributed Firewall Amministrazione istration Guide(Guida alla distribuzione del firewall distribuito NSX).