Delen via

Openbare IP-adressen inschakelen naar een NSX Edge-knooppunt voor VMware NSX

  • Artikel

In dit artikel leert u hoe u openbare IP-adressen inschakelt op een VMware NSX Edge-knooppunt om VMware NSX uit te voeren voor uw exemplaar van Azure VMware Solution.

Tip

Voordat u internettoegang inschakelt voor uw exemplaar van Azure VMware Solution, controleert u de ontwerpoverwegingen voor internetconnectiviteit.

Openbare IP-adressen naar een NSX Edge-knooppunt voor NSX is een functie in Azure VMware Solution waarmee binnenkomende en uitgaande internettoegang wordt ingeschakeld voor uw Azure VMware Solution-omgeving.

Belangrijk

Het gebruik van openbare IPv4-IP-adressen kan rechtstreeks in Azure VMware Solution worden gebruikt en wordt in rekening gebracht op basis van het openbare IP-adresvoorvoegsel IPv4 dat wordt weergegeven in Prijzen - IP-adressen van virtuele machines. Er worden geen kosten in rekening gebracht voor inkomend of uitgaand gegevensverkeer zijn gerelateerd aan deze service.

Het openbare IP-adresbereik wordt geconfigureerd in Azure VMware Solution via Azure Portal en de NSX-interface in uw Azure VMware Solution-privécloud.

Met deze mogelijkheid hebt u de volgende functies:

  • Een samenhangende en vereenvoudigde ervaring voor het reserveren en gebruiken van een openbaar IP-adres naar het NSX Edge-knooppunt.
  • De mogelijkheid om 1000 of meer openbare IP-adressen te ontvangen. Schakel internettoegang op schaal in.
  • Inkomende en uitgaande internettoegang voor uw workload-VM's.
  • DDoS-beveiliging (Distributed Denial of Service) tegen netwerkverkeer van en naar internet.
  • VMware HCX-migratieondersteuning via het openbare internet.

Belangrijk

U kunt maximaal 64 openbare IP-adressen instellen voor deze netwerkblokken. Als u meer dan 64 openbare IP-adressen wilt configureren, dient u een ondersteuningsticket in dat het aantal adressen aangeeft dat u nodig hebt.

Vereisten

  • Een Azure VMware Solution-privécloud.
  • Een DNS-server die is ingesteld voor uw exemplaar van NSX.

Referentiearchitectuur

In de volgende afbeelding ziet u internettoegang tot en vanuit uw Azure VMware Solution-privécloud via een openbaar IP-adres rechtstreeks naar het NSX Edge-knooppunt voor NSX.

Diagram met internettoegang van en naar een azure VMware Solution-privécloud en een openbaar IP-adres rechtstreeks naar het NSX Edge-knooppunt.

Belangrijk

Het gebruik van een openbaar IP-adres op het NSX Edge-knooppunt voor NSX is niet compatibel met omgekeerde DNS-zoekacties. Als u dit scenario gebruikt, kunt u geen e-mailserver hosten in Azure VMware Solution.

Een openbaar IP-adres of -bereik instellen

Als u een openbaar IP-adres of -bereik wilt instellen, gebruikt u Azure Portal:

  1. Meld u aan bij Azure Portal en ga vervolgens naar uw Azure VMware Solution-privécloud.

  2. Selecteer in het resourcemenu onder Workloadnetwerken de optie Internetconnectiviteit.

  3. Schakel het selectievakje Verbinding maken met openbaar IP-adres in op het selectievakje NSX Edge.

    Belangrijk

    Voordat u een openbaar IP-adres selecteert, moet u ervoor zorgen dat u de gevolgen voor uw bestaande omgeving begrijpt. Zie ontwerpoverwegingen voor internetconnectiviteit voor meer informatie. Overwegingen moeten een risicobeperkingsbeoordeling omvatten met uw relevante netwerk- en beveiligingsgovernance- en nalevingsteams.

  4. Selecteer openbaar IP-adres.

    Diagram waarin wordt getoond hoe u een openbaar IP-adres selecteert naar het NSX Edge-knooppunt.

  5. Voer een waarde in voor de naam van het openbare IP-adres. Selecteer een subnetgrootte in de vervolgkeuzelijst Adresruimte . Selecteer vervolgens Configureren.

    Dit openbare IP-adres is binnen ongeveer 20 minuten beschikbaar.

    Controleer of het subnet wordt weergegeven. Als u het subnet niet ziet, vernieuwt u de lijst. Als het subnet niet kan worden weergegeven tijdens het vernieuwen, probeert u de configuratie opnieuw.

    Diagram met internetconnectiviteit in Azure VMware Solution.

  6. Nadat u het openbare IP-adres hebt ingesteld, schakelt u het Verbinding maken met behulp van het openbare IP-adres in op het selectievakje NSX Edge om alle andere internetopties uit te schakelen.

  7. Selecteer Opslaan.

U hebt de internetverbinding voor uw Azure VMware Solution-privécloud ingeschakeld en een openbaar IP-adres gereserveerd dat door Microsoft is toegewezen. U kunt dit openbare IP-adres nu instellen op het NSX Edge-knooppunt dat NSX moet gebruiken voor uw workloads. NSX wordt gebruikt voor alle communicatie tussen virtuele machines (VM's).

U hebt drie opties voor het configureren van uw gereserveerde openbare IP-adres naar het NXS Edge-knooppunt voor NSX:

  • Uitgaande internettoegang voor VM's
  • Inkomende internettoegang voor VM's
  • Een gatewayfirewall om verkeer naar VM's op T1-gateways te filteren

Uitgaande internettoegang voor VM's

Een SNAT-service (Source Network Address Translation) met PAT (Port Address Translation) wordt gebruikt om veel VM's toe te staan één SNAT-service te gebruiken. Als u dit type verbinding gebruikt, kunt u internetverbinding bieden voor veel VM's.

Belangrijk

Als u SNAT wilt inschakelen voor de opgegeven adresbereiken, moet u een gatewayfirewallregel en SNAT configureren voor de specifieke adresbereiken die u wilt gebruiken. Als u niet wilt dat SNAT is ingeschakeld voor specifieke adresbereiken, moet u een No-NAT-regel maken voor adresbereiken die moeten worden uitgesloten van NAT (Network Address Translation). De no-NAT-regel moet een lagere prioriteit hebben dan de SNAT-regel, zodat uw SNAT-service werkt zoals verwacht.

Een SNAT-regel maken

  1. Selecteer in uw Azure VMware Solution-privécloud VMware-referenties.

  2. Zoek de URL en referenties van NSX Manager.

  3. Meld u aan bij VMware NSX Manager.

  4. Ga naar NAT-regels.

  5. Selecteer de T1-router.

  6. Selecteer NAT-regel toevoegen.

  7. Voer een naam in voor de regel.

  8. Selecteer SNAT.

    Voer desgewenst een bron in, zoals een subnet naar SNAT of een bestemming.

  9. Voer het vertaalde IP-adres in. Dit IP-adres komt uit het bereik van openbare IP-adressen die u hebt gereserveerd in de Azure VMware Solution-portal.

    Geef de regel desgewenst een nummer met een hogere prioriteit. Deze prioriteitsaanduiding verplaatst de regel verder naar beneden in de lijst met regels om ervoor te zorgen dat er eerst meer specifieke regels overeenkomen.

  10. Selecteer Opslaan.

Logboekregistratie is ingeschakeld via de schuifregelaar voor logboekregistratie.

Zie de NSX Data Center NAT-handleiding voor Beheer istration voor meer informatie over VMware NSX NAT-configuratie en -opties.

Een no-NAT-regel maken

U kunt een No-NAT- of No-SNAT-regel maken in NSX Manager om bepaalde overeenkomsten uit te sluiten van het uitvoeren van NAT. Dit beleid kan worden gebruikt om privé-IP-adresverkeer toe te staan om bestaande regels voor netwerkomzetting te omzeilen.

  1. Selecteer in uw Azure VMware Solution-privécloud VMware-referenties.
  2. Zoek de URL en referenties van NSX Manager.
  3. Meld u aan bij NSX Manager en selecteer vervolgens NAT-regels.
  4. Selecteer de T1-router en selecteer vervolgens NAT-regel toevoegen.
  5. Selecteer Geen SNAT-regel als het type NAT-regel.
  6. Selecteer de bron-IP-waarde als het bereik van adressen dat u niet wilt vertalen. De doel-IP-waarde moet alle interne adressen zijn die u bereikt vanuit het bereik van bron-IP-adresbereiken.
  7. Selecteer Opslaan.

Inkomende internettoegang voor VM's

Een DNAT-service (Destination Network Translation) wordt gebruikt om een VIRTUELE machine beschikbaar te maken op een specifiek openbaar IP-adres of op een specifieke poort. Deze service biedt inkomende internettoegang tot uw workload-VM's.

Een DNAT-regel maken

  1. Selecteer in uw Azure VMware Solution-privécloud VMware-referenties.

  2. Zoek de URL en referenties van NSX Manager.

  3. Meld u aan bij NSX Manager en selecteer vervolgens NAT-regels.

  4. Selecteer de T1-router en selecteer vervolgens DNAT-regel toevoegen.

  5. Voer een naam in voor de regel.

  6. Selecteer DNAT als actie.

  7. Voer voor de doelovereenkomst het gereserveerde openbare IP-adres in. Dit IP-adres komt uit het bereik van openbare IP-adressen die zijn gereserveerd in de Azure VMware Solution-portal.

  8. Voer voor het vertaalde IP-adres het privé-IP-adres van de VIRTUELE machine in.

  9. Selecteer Opslaan.

    Configureer desgewenst de vertaalde poort of het bron-IP-adres voor specifiekere overeenkomsten.

De VIRTUELE machine wordt nu blootgesteld aan internet op het specifieke openbare IP-adres of op specifieke poorten.

Een gatewayfirewall instellen om verkeer naar VM's op T1-gateways te filteren

U kunt beveiliging bieden voor uw netwerkverkeer in en uit het openbare internet via uw gatewayfirewall.

  1. Selecteer in uw Azure VMware Solution-privécloud VMware-referenties.

  2. Zoek de URL en referenties van NSX Manager.

  3. Meld u aan bij NSX Manager.

  4. Selecteer Gatewaybeleid op de overzichtspagina van NSX.

  5. Selecteer Gatewayspecifieke regels, kies de T1-gateway en selecteer vervolgens Beleid toevoegen.

  6. Selecteer Nieuw beleid en voer een beleidsnaam in.

  7. Selecteer het beleid en selecteer Regel toevoegen.

  8. Configureer de regel:

    1. Selecteer Nieuwe regel.
    2. Voer een beschrijvende naam in.
    3. Configureer de bron, bestemming, services en actie.

  9. Selecteer Extern adres koppelen om firewallregels toe te passen op het externe adres van een NAT-regel.

    De volgende regel is bijvoorbeeld ingesteld op Overeenkomend extern adres. Met de instelling kan verkeer van Secure Shell (SSH) binnenkomend naar het openbare IP-adres.

    Schermopname van inkomende internetverbinding met het openbare IP-adres.

Als Overeenkomend intern adres is opgegeven, is de bestemming het interne of privé-IP-adres van de virtuele machine.

Zie de handleiding voor NSX Gateway Firewall Beheer istration voor meer informatie over de NSX-gatewayfirewall. De gedistribueerde firewall kan worden gebruikt om verkeer naar VM's te filteren. Zie NSX Distributed Firewall Beheer istration Guide voor meer informatie.

Gerelateerde inhoud