Поделиться через

Включение общедоступных IP-адресов на узел NSX Edge для VMware NSX

  • Статья

В этой статье описано, как включить общедоступные IP-адреса на узле VMware NSX Edge для запуска VMware NSX для вашего экземпляра Решение Azure VMware.

Совет

Прежде чем включить доступ к Интернету к экземпляру Решение Azure VMware, ознакомьтесь с рекомендациями по проектированию подключения к Интернету.

Общедоступные IP-адреса для узла NSX Edge для NSX — это функция в Решение Azure VMware, которая включает входящий и исходящий доступ к Интернету для вашей среды Решение Azure VMware.

Внимание

Использование общедоступных IP-адресов IPv4 можно использовать непосредственно в Решение Azure VMware и взимать плату на основе префикса общедоступного IP-адреса IPv4, отображаемого в ценах — IP-адреса виртуальных машин. Плата за входящий трафик данных или исходящий трафик не взимается с этой службой.

Диапазон общедоступных IP-адресов настраивается в Решение Azure VMware через портал Azure и интерфейс NSX в Решение Azure VMware частном облаке.

С помощью этой возможности у вас есть следующие функции:

  • Единый и упрощенный интерфейс для резервирования и использования общедоступного IP-адреса на узле NSX Edge.
  • Возможность получения 1000 или более общедоступных IP-адресов. Включите доступ к Интернету в большом масштабе.
  • Входящий и исходящий доступ к Интернету для виртуальных машин рабочей нагрузки.
  • Защита от атак типа "отказ в обслуживании" (DDoS) от сетевого трафика в Интернет и из Интернета.
  • Поддержка миграции VMware HCX через общедоступный Интернет.

Внимание

Вы можете настроить не более 64 общедоступных IP-адресов в этих сетевых блоках. Если вы хотите настроить более 64 общедоступных IP-адресов, отправьте запрос в службу поддержки, указывающий количество необходимых адресов.

Необходимые компоненты

  • Частное облако Решение Azure VMware.
  • DNS-сервер, настроенный для экземпляра NSX.

Эталонная архитектура

На следующем рисунке показан доступ к Интернету и из частного облака Решение Azure VMware через общедоступный IP-адрес непосредственно к узлу NSX Edge для NSX.

Схема, показывая доступ к Интернету и из частного облака Решение Azure VMware и общедоступный IP-адрес непосредственно к узлу NSX Edge.

Внимание

При использовании общедоступного IP-адреса в NSX общедоступный IP-адрес (es) не будет объявлен через Частное облако ExpressRoute. Для клиентов, рекламирующих общедоступное IP-пространство из локальной среды в Решение Azure VMware через Express Route, это приведет к асимметричной маршрутизации при доступе к общедоступному IP-адресу, назначенному в NSX, из IP-адреса, объявленного из локальной среды.

Кроме того, использование общедоступного IP-адреса на узле NSX Edge для NSX несовместимо с обратным поиском DNS. Если вы используете этот сценарий, вы не можете разместить почтовый сервер в Решение Azure VMware.

Настройка общедоступного IP-адреса или диапазона

Чтобы настроить общедоступный IP-адрес или диапазон, используйте портал Azure:

  1. Войдите в портал Azure, а затем перейдите в Решение Azure VMware частное облако.

  2. В меню ресурсов в разделе Сеть для рабочих нагрузок выберите Подключение к Интернету.

  3. Установите флажок "Подключиться с помощью общедоступного IP-адреса" до флажка NSX Edge.

    Внимание

    Прежде чем выбрать общедоступный IP-адрес, убедитесь, что вы понимаете последствия для существующей среды. Дополнительные сведения см . в рекомендациях по проектированию подключения к Интернету. Рекомендации должны включать проверку рисков по устранению рисков с соответствующими группами управления сетями и безопасностью и соответствием требованиям.

  4. Выберите общедоступный IP-адрес.

    Схема, показывающая, как выбрать общедоступный IP-адрес для узла NSX Edge.

  5. Введите значение общедоступного IP-имени. В раскрывающемся списке адресного пространства выберите размер подсети. Затем выберите Настроить.

    Этот общедоступный IP-адрес доступен примерно в течение 20 минут.

    Убедитесь, что подсеть указана. Если подсеть не отображается, обновите список. Если обновление не удается отобразить подсеть, повторите попытку настройки.

    Схема с подключением к Интернету в Решение Azure VMware.

  6. После установки общедоступного IP-адреса установите флажок "Подключиться" с помощью общедоступного IP-адреса до флажка NSX Edge , чтобы отключить все остальные параметры интернета.

  7. Выберите Сохранить.

Вы успешно включили подключение к Интернету для вашего Решение Azure VMware частного облака и зарезервировали выделенный корпорацией Майкрософт общедоступный IP-адрес. Теперь этот общедоступный IP-адрес можно задать для узла NSX Edge для NSX, который будет использоваться для рабочих нагрузок. NSX используется для всех обмена данными между виртуальными машинами.

У вас есть три варианта настройки зарезервированного общедоступного IP-адреса на узел NXS Edge для NSX:

  • Исходящий доступ к Интернету для виртуальных машин
  • Входящий доступ к Интернету для виртуальных машин
  • Брандмауэр шлюза для фильтрации трафика на виртуальные машины в шлюзах T1

Исходящий доступ к Интернету для виртуальных машин

Служба преобразования сетевых адресов источника (SNAT) с преобразованием адресов портов (PAT) используется для разрешения нескольких виртуальных машин использовать одну службу SNAT. Использование этого типа подключения означает, что вы можете обеспечить подключение к Интернету для многих виртуальных машин.

Внимание

Чтобы включить SNAT для указанных диапазонов адресов, необходимо настроить правило брандмауэра шлюза и SNAT для определенных диапазонов адресов, которые требуется использовать. Если вы не хотите включить SNAT для определенных диапазонов адресов, необходимо создать правило No-NAT для диапазонов адресов, чтобы исключить из преобразования сетевых адресов (NAT). Чтобы служба SNAT работала должным образом, правило No-NAT должно быть более низким приоритетом, чем правило SNAT.

Создание правила SNAT

  1. В Решение Azure VMware частном облаке выберите учетные данные VMware.

  2. Найдите URL-адрес и учетные данные диспетчера NSX.

  3. Войдите в VMware NSX Manager.

  4. Перейдите к правилам NAT.

  5. Выберите маршрутизатор T1.

  6. Выберите " Добавить правило NAT".

  7. Введите имя правила.

  8. Выберите SNAT.

    При необходимости введите источник, например подсеть для SNAT или назначения.

  9. Введите преобразованный IP-адрес. Этот IP-адрес находится в диапазоне общедоступных IP-адресов, зарезервированных на портале Решение Azure VMware.

    При необходимости присвойте правилу более высокий приоритет. Эта приоритизация перемещает правило дальше вниз по списку правил, чтобы убедиться, что сначала сопоставляются более конкретные правила.

  10. Выберите Сохранить.

Ведение журнала включается с помощью ползунка ведения журнала.

Дополнительные сведения о конфигурации и параметрах NAT VMware NSX см. в руководстве по администрирования NAT центра обработки данных NSX.

Создание правила No-NAT

Вы можете создать правило No-NAT или No-SNAT в диспетчере NSX, чтобы исключить определенные совпадения из выполнения NAT. Эту политику можно использовать для разрешения трафика частного IP-адреса обхода существующих правил преобразования сети.

  1. В Решение Azure VMware частном облаке выберите учетные данные VMware.
  2. Найдите URL-адрес и учетные данные диспетчера NSX.
  3. Войдите в диспетчер NSX и выберите правила NAT.
  4. Выберите маршрутизатор T1 и нажмите кнопку "Добавить правило NAT".
  5. Выберите правило SNAT в качестве типа правила NAT .
  6. Выберите значение исходного IP-адреса в качестве диапазона адресов, которые вы не хотите преобразовать. Значение IP-адреса назначения должно быть любыми внутренними адресами, которые вы достигаете из диапазона диапазонов исходных IP-адресов.
  7. Выберите Сохранить.

Входящий доступ к Интернету для виртуальных машин

Служба преобразования сети назначения (DNAT) используется для предоставления виртуальной машины на определенном общедоступном IP-адресе или на определенном порту. Эта служба предоставляет входящий интернет-доступ к виртуальным машинам рабочей нагрузки.

Создание правила DNAT

  1. В Решение Azure VMware частном облаке выберите учетные данные VMware.

  2. Найдите URL-адрес и учетные данные диспетчера NSX.

  3. Войдите в диспетчер NSX и выберите правила NAT.

  4. Выберите маршрутизатор T1 и нажмите кнопку "Добавить правило DNAT".

  5. Введите имя правила.

  6. Выберите DNAT в качестве действия.

  7. В поле назначения введите зарезервированный общедоступный IP-адрес. Этот IP-адрес находится в диапазоне общедоступных IP-адресов, зарезервированных на портале Решение Azure VMware.

  8. Для переведенного IP-адреса введите частный IP-адрес виртуальной машины.

  9. Выберите Сохранить.

    При необходимости настройте переведенный порт или исходный IP-адрес для более конкретных совпадений.

Виртуальная машина теперь предоставляется в Интернете на определенном общедоступном IP-адресе или на определенных портах.

Настройка брандмауэра шлюза для фильтрации трафика на виртуальные машины в шлюзах T1

Вы можете обеспечить защиту сетевого трафика в общедоступном Интернете и из него через брандмауэр шлюза.

  1. В Решение Azure VMware частном облаке выберите учетные данные VMware.

  2. Найдите URL-адрес и учетные данные диспетчера NSX.

  3. Войдите в NSX Manager.

  4. На странице обзора NSX выберите политики шлюза.

  5. Выберите правила конкретного шлюза, выберите шлюз T1 и нажмите кнопку "Добавить политику".

  6. Выберите "Новая политика" и введите имя политики.

  7. Выберите политику и нажмите кнопку "Добавить правило".

  8. Настройте правило:

    1. Выберите Создать правило.
    2. Введите описательное имя.
    3. Настройте источник, назначение, службы и действие.

  9. Выберите "Сопоставить внешний адрес" , чтобы применить правила брандмауэра к внешнему адресу правила NAT.

    Например, для следующего правила задано значение Match External Address. Параметр разрешает входящий трафик Secure Shell (SSH) к общедоступному IP-адресу.

    Снимок экрана: подключение к Интернету, входящий в общедоступный IP-адрес.

Если указан внутренний адрес соответствия, назначение — это внутренний или частный IP-адрес виртуальной машины.

Дополнительные сведения о брандмауэре шлюза NSX см. в руководстве по администрирование брандмауэра шлюза NSX. Распределенный брандмауэр можно использовать для фильтрации трафика на виртуальные машины. Дополнительные сведения см . в руководстве по администрирование распределенного брандмауэра NSX.

Связанный контент