VMware NSX için bir NSX Edge düğümünde genel IP adreslerini açma

  • Makale

Bu makalede, Azure VMware Çözümü örneğiniz için VMware NSX'i çalıştırmak üzere bir VMware NSX Edge düğümünde genel IP adreslerini açmayı öğrenin.

İpucu

Azure VMware Çözümü örneğine İnternet erişimini açmadan önce İnternet bağlantısı tasarımıyla ilgili dikkat edilmesi gerekenler sayfasını gözden geçirin.

NSX için bir NSX Edge düğümüne yönelik genel IP adresleri, Azure VMware Çözümü ortamınız için gelen ve giden İnternet erişimini açan bir Azure VMware Çözümü özelliğidir.

Önemli

IPv4 genel IP adresi kullanımı doğrudan Azure VMware Çözümü kullanılabilir ve Fiyatlandırma - Sanal makine IP adresleri bölümünde gösterilen IPv4 genel IP adresi ön eki temelinde ücretlendirilebilir. Bu hizmetle ilgili veri girişi veya çıkışı için ücret alınmaz.

Genel IP adresi aralığı, Azure portalı ve Azure VMware Çözümü özel bulutunuz içindeki NSX arabirimi aracılığıyla Azure VMware Çözümü yapılandırılır.

Bu özellik sayesinde aşağıdaki özelliklere sahipsiniz:

  • NSX Edge düğümüne genel IP adresi ayırmaya ve kullanmaya yönelik uyumlu ve basitleştirilmiş bir deneyim.
  • 1.000 veya daha fazla genel IP adresi alma olanağı. Büyük ölçekte İnternet erişimini açın.
  • İş yükü VM'leriniz için gelen ve giden İnternet erişimi.
  • İnternet'e gelen ve İnternet'ten gelen ağ trafiğine karşı dağıtılmış hizmet reddi (DDoS) güvenlik koruması.
  • Genel İnternet üzerinden VMware HCX geçiş desteği.

Önemli

Bu ağ blokları arasında en fazla 64 genel IP adresi ayarlayabilirsiniz. 64'ten fazla genel IP adresi yapılandırmak istiyorsanız, lütfen ihtiyacınız olan adres sayısını belirten bir destek bileti gönderin.

Önkoşullar

  • Azure VMware Çözümü özel bulut.
  • NSX örneğiniz için ayarlanmış bir DNS sunucusu.

Referans mimarisi

Aşağıdaki şekilde, bir genel IP adresi aracılığıyla Azure VMware Çözümü özel bulutunuza doğrudan NSX için NSX Edge düğümüne İnternet erişimi gösterilmektedir.

Azure VMware Çözümü özel buluta ve genel IP adresine doğrudan NSX Edge düğümüne İnternet erişimini gösteren diyagram.

Önemli

NSX için NSX Edge düğümünde genel IP adresi kullanmak ters DNS araması ile uyumlu değildir. Bu senaryoyı kullanırsanız, Azure VMware Çözümü'de bir posta sunucusu barındıramazsınız.

Genel IP adresi veya aralığı ayarlama

Genel IP adresi veya aralığı ayarlamak için Azure portalını kullanın:

  1. Azure portalında oturum açın ve ardından Azure VMware Çözümü özel bulutunuza gidin.

  2. İş yükü ağı altındaki kaynak menüsünde İnternet bağlantısı'nı seçin.

  3. NSX Edge'e kadar Genel IP kullanarak Bağlan seçin.

    Önemli

    Bir genel IP adresi seçmeden önce var olan ortamınızın etkilerini anladığınızdan emin olun. Daha fazla bilgi için bkz . İnternet bağlantısı tasarımında dikkat edilmesi gerekenler. Dikkat edilmesi gerekenler, ilgili ağ ve güvenlik idaresi ve uyumluluk ekiplerinizle risk azaltma gözden geçirmesini içermelidir.

  4. Genel IP'yi seçin.

    NSX Edge düğümü için genel IP adresinin nasıl seçildiğini gösteren diyagram.

  5. Genel IP adı için bir değer girin. Adres alanı açılan listesinde bir alt ağ boyutu seçin. Ardından Yapılandır'ı seçin.

    Bu genel IP adresi yaklaşık 20 dakika içinde kullanılabilir.

    Alt ağın listelenmiş olup olmadığını denetleyin. Alt ağı görmüyorsanız listeyi yenileyin. Yenileme alt ağı görüntüleyemezse yapılandırmayı yeniden deneyin.

    Azure VMware Çözümü'de İnternet bağlantısını gösteren diyagram.

  6. Genel IP adresini ayarladıktan sonra, diğer tüm internet seçeneklerini kapatmak için genel IP'yi kullanarak NSX Edge onay kutusunu Bağlan seçin.

  7. Kaydet'i seçin.

Azure VMware Çözümü özel bulutunuz için İnternet bağlantısını başarıyla açtınız ve Microsoft tarafından ayrılmış bir genel IP adresi ayırdınız. Artık bu genel IP adresini NSX'in iş yükleriniz için kullanması için NSX Edge düğümüne ayarlayabilirsiniz. NSX, tüm sanal makine (VM) iletişimi için kullanılır.

Ayrılmış genel IP adresinizi NSX için NXS Edge düğümüne yapılandırmak için üç seçeneğiniz vardır:

  • VM'ler için giden İnternet erişimi
  • VM'ler için gelen internet erişimi
  • T1 ağ geçitlerindeki VM'lere gelen trafiği filtrelemek için bir ağ geçidi güvenlik duvarı

VM'ler için giden İnternet erişimi

Birçok VM'nin bir SNAT hizmeti kullanmasına izin vermek için, Bağlantı Noktası Adresi Çevirisi (PAT) ile bir Kaynak Ağ Adresi Çevirisi (SNAT) hizmeti kullanılır. Bu tür bir bağlantı kullanmak, birçok VM için İnternet bağlantısı sağlayabildiğiniz anlamına gelir.

Önemli

Belirtilen adres aralıklarınız için SNAT'yi etkinleştirmek için, kullanmak istediğiniz belirli adres aralıkları için bir ağ geçidi güvenlik duvarı kuralı ve SNAT yapılandırmanız gerekir. Belirli adres aralıkları için SNAT'nin açık olmasını istemiyorsanız, adres aralıklarının Ağ Adresi Çevirisi'nden (NAT) dışlanması için nat yok kuralı oluşturmanız gerekir. SNAT hizmetinizin beklendiği gibi çalışması için NAT olmayan kuralı SNAT kuralından daha düşük öncelikli olmalıdır.

SNAT kuralı oluşturma

  1. Azure VMware Çözümü özel bulutunuzda VMware kimlik bilgileri'ne tıklayın.

  2. NSX Yöneticisi URL'nizi ve kimlik bilgilerinizi bulun.

  3. VMware NSX Yöneticisi'nde oturum açın.

  4. NAT Kuralları'na gidin.

  5. T1 yönlendiricisini seçin.

  6. NAT Kuralı Ekle'yi seçin.

  7. Kural için bir ad girin.

  8. SNAT'yi seçin.

    İsteğe bağlı olarak, SNAT'ye alt ağ veya hedef gibi bir kaynak girin.

  9. Çevrilmiş IP adresini girin. Bu IP adresi, Azure VMware Çözümü portalında ayırdığınız genel IP adresleri aralığındandır.

    İsteğe bağlı olarak, kurala daha yüksek öncelikli bir sayı verin. Bu öncelik belirleme, önce daha belirli kuralların eşleştiğinden emin olmak için kuralı kural listesinin daha aşağısına taşır.

  10. Kaydet'i seçin.

Günlüğe kaydetme kaydırıcısı aracılığıyla günlük açılır.

VMware NSX NAT yapılandırması ve seçenekleri hakkında daha fazla bilgi için bkz. NSX Veri Merkezi NAT Yönetici Istrasyon Kılavuzu.

NAT olmayan kural oluşturma

NSX Yöneticisi'nde NAT yok veya SNAT Yok kuralı oluşturarak bazı eşleşmelerin NAT gerçekleştirmesini engelleyebilirsiniz. Bu ilke, özel IP adresi trafiğinin mevcut ağ çevirisi kurallarını atlamasına izin vermek için kullanılabilir.

  1. Azure VMware Çözümü özel bulutunuzda VMware kimlik bilgileri'ne tıklayın.
  2. NSX Yöneticisi URL'nizi ve kimlik bilgilerinizi bulun.
  3. NSX Yöneticisi'nde oturum açın ve NAT Kuralları'nı seçin.
  4. T1 yönlendiricisini ve ardından NAT Kuralı Ekle'yi seçin.
  5. NAT kuralı türü olarak SNAT kuralı yok'a tıklayın.
  6. Çevrilmesini istemediğiniz adres aralığı olarak Kaynak IP değerini seçin. Hedef IP değeri, kaynak IP adresi aralıkları aralığından ulaştığınız tüm iç adresler olmalıdır.
  7. Kaydet'i seçin.

VM'ler için gelen internet erişimi

Hedef Ağ Çevirisi (DNAT) hizmeti, vm'yi belirli bir genel IP adresinde veya belirli bir bağlantı noktasında kullanıma açmak için kullanılır. Bu hizmet, iş yükü VM'lerinize gelen İnternet erişimi sağlar.

DNAT kuralı oluşturma

  1. Azure VMware Çözümü özel bulutunuzda VMware kimlik bilgileri'ne tıklayın.

  2. NSX Yöneticisi URL'nizi ve kimlik bilgilerinizi bulun.

  3. NSX Yöneticisi'nde oturum açın ve NAT Kuralları'nı seçin.

  4. T1 yönlendiricisini ve ardından DNAT Kuralı Ekle'yi seçin.

  5. Kural için bir ad girin.

  6. Eylem olarak DNAT'yi seçin.

  7. Hedef eşleşme için ayrılmış genel IP adresini girin. Bu IP adresi, Azure VMware Çözümü portalında ayrılmış genel IP adresleri aralığındandır.

  8. Çevrilen IP için VM özel IP adresini girin.

  9. Kaydet'i seçin.

    İsteğe bağlı olarak, daha belirli eşleşmeler için çevrilmiş bağlantı noktasını veya kaynak IP adresini yapılandırın.

SANAL makine artık belirli genel IP adresinde veya belirli bağlantı noktalarında İnternet'te kullanıma sunulur.

T1 ağ geçitlerindeki VM'lere gelen trafiği filtrelemek için ağ geçidi güvenlik duvarı ayarlama

Ağ geçidi güvenlik duvarınız aracılığıyla genel İnternet'e gelen ve giden ağ trafiğiniz için güvenlik koruması sağlayabilirsiniz.

  1. Azure VMware Çözümü özel bulutunuzda VMware kimlik bilgileri'ne tıklayın.

  2. NSX Yöneticisi URL'nizi ve kimlik bilgilerinizi bulun.

  3. NSX Yöneticisi'nde oturum açın.

  4. NSX'e genel bakış sayfasında Ağ Geçidi İlkeleri'ni seçin.

  5. Ağ Geçidine Özgü Kurallar'ı seçin, T1 ağ geçidini ve ardından İlke Ekle'yi seçin.

  6. Yeni İlke'yi seçin ve bir ilke adı girin.

  7. İlkeyi seçin ve Kural Ekle'yi seçin.

  8. Kuralı yapılandırın:

    1. Yeni Kural'ı seçin.
    2. Açıklayıcı bir ad girin.
    3. Kaynağı, hedefi, hizmetleri ve eylemi yapılandırın.

  9. Nat kuralının dış adresine güvenlik duvarı kuralları uygulamak için Dış Adresi Eşleştir'i seçin.

    Örneğin, aşağıdaki kural Dış Adresle Eşleştir olarak ayarlanır. Bu ayar, genel IP adresine gelen Secure Shell (SSH) trafiğine izin verir.

    Genel IP adresine gelen İnternet bağlantısını gösteren ekran görüntüsü.

İç Adresi Eşleştir belirtildiyse hedef, VM'nin iç veya özel IP adresidir.

NSX ağ geçidi güvenlik duvarı hakkında daha fazla bilgi için bkz. NSX Ağ Geçidi Güvenlik Duvarı Yönetici Dağıtım Kılavuzu. Dağıtılmış güvenlik duvarı, VM'lere yönelik trafiği filtrelemek için kullanılabilir. Daha fazla bilgi için bkz. NSX Dağıtılmış Güvenlik Duvarı Yönetici Dağıtım Kılavuzu.

İlgili içerik