Nyilvános IP-címek bekapcsolása NSX Edge-csomópontra a VMware NSX-hez

Ebből a cikkből megtudhatja, hogyan kapcsolhatja be a nyilvános IP-címeket egy VMware NSX Edge-csomóponton a VMware NSX futtatásához az Azure VMware Solution-példányhoz.

Tipp.

Mielőtt bekapcsolja az internetkapcsolatot az Azure VMware Solution-példányhoz, tekintse át az internetkapcsolat tervezésével kapcsolatos szempontokat.

Az NSX-hez tartozó NSX Edge-csomópont nyilvános IP-címei az Azure VMware Solution egyik funkciója, amely bekapcsolja az Azure VMware Solution-környezet bejövő és kimenő internet-hozzáférését.

Fontos

Az IPv4 nyilvános IP-címhasználat közvetlenül az Azure VMware Solutionben használható fel, és a díjszabás – Virtuális gép IP-címeinek díjszabásában látható IPv4 nyilvános IP-címelőtag alapján számítható fel. A szolgáltatáshoz nem tartoznak az adatforgalom és a kimenő adatok díjai.

A nyilvános IP-címtartomány az Azure VMware Solutionben az Azure Portalon és az Azure VMware Solution magánfelhő NSX-felületén keresztül van konfigurálva.

Ezzel a képességgel a következő funkciókkal rendelkezik:

• A nyilvános IP-címeknek az NSX Edge-csomópontra való lefoglalására és használatára szolgáló egységes és egyszerűsített felület.
• 1000 vagy több nyilvános IP-cím fogadásának lehetősége. Az internet-hozzáférés nagy léptékű bekapcsolása.
• Bejövő és kimenő internet-hozzáférés a számítási feladathoz tartozó virtuális gépekhez.
• Elosztott szolgáltatásmegtagadási (DDoS) biztonsági védelem az internetre és az internetről érkező hálózati forgalom ellen.
• A VMware HCX migrálási támogatása a nyilvános interneten keresztül.

Fontos

Ezeken a hálózati blokkokon legfeljebb 64 nyilvános IP-címet állíthat be. Ha 64-nél több nyilvános IP-címet szeretne konfigurálni, küldjön egy támogatási jegyet, amely jelzi a szükséges címek számát.

Előfeltételek

• Azure VMware Solution magánfelhő.
• Az NSX-példányhoz beállított DNS-kiszolgáló.

Referenciaarchitektúra

Az alábbi ábra az Azure VMware Solution magánfelhőjéhez való internetkapcsolatot mutatja be egy nyilvános IP-címen keresztül, közvetlenül az NSX-hez készült NSX Edge-csomóponthoz.

Fontos

Ha nyilvános IP-címet használ az NSX Edge NSX-csomópontján, az nem kompatibilis a fordított DNS-kereséssel. Ha ezt a forgatókönyvet használja, nem üzemeltethet levelezési kiszolgálót az Azure VMware Solutionben.

Nyilvános IP-cím vagy -tartomány beállítása

Nyilvános IP-cím vagy -tartomány beállításához használja az Azure Portalt:

1. Jelentkezzen be az Azure Portalra, majd nyissa meg az Azure VMware Solution privát felhőt.

2. A Számítási feladatok hálózatkezelése erőforrás menüjében válassza az Internetkapcsolat lehetőséget.

3. Jelölje be a Csatlakozás a Nyilvános IP-cím használatával az NSX Edge-be jelölőnégyzetbe.

   Fontos

   Mielőtt kiválaszt egy nyilvános IP-címet, győződjön meg arról, hogy tisztában van a meglévő környezetre gyakorolt következményekkel. További információkért tekintse meg az internetkapcsolat tervezésének szempontjait. A megfontolandó szempontok közé tartozik egy kockázatcsökkentési felülvizsgálat a megfelelő hálózatkezelési és biztonsági irányítási és megfelelőségi csapatokkal.

4. Válassza a Nyilvános IP-címet.

   

5. Adjon meg egy értéket a nyilvános IP-névhez. A Címtér legördülő listában válassza ki az alhálózat méretét. Ezután válassza a Konfigurálás lehetőséget.

   Ez a nyilvános IP-cím körülbelül 20 percen belül elérhető.

   Ellenőrizze, hogy az alhálózat szerepel-e a listában. Ha nem látja az alhálózatot, frissítse a listát. Ha a frissítés nem jeleníti meg az alhálózatot, próbálkozzon újra a konfigurációval.

   

6. A nyilvános IP-cím beállítása után válassza ki a nyilvános IP-címet használó Csatlakozás az NSX Edge jelölőnégyzetre az összes többi internetes beállítás kikapcsolásához.

7. Válassza a Mentés lehetőséget.

Sikeresen bekapcsolta az internetkapcsolatot az Azure VMware Solution magánfelhőjéhez, és fenntartott egy Microsoft által lefoglalt nyilvános IP-címet. Most már beállíthatja ezt a nyilvános IP-címet az NSX-hez tartozó NSX Edge-csomópontra a számítási feladatokhoz való használatra. Az NSX minden virtuálisgép-kommunikációhoz használható.

A fenntartott nyilvános IP-cím az NSX-hez készült NXS Edge-csomópontra való konfigurálására három lehetőség közül választhat:

• Kimenő internet-hozzáférés virtuális gépekhez
• Bejövő internet-hozzáférés virtuális gépekhez
• Átjáró tűzfala a T1-átjárók virtuális gépei felé történő forgalom szűréséhez

Kimenő internet-hozzáférés virtuális gépekhez

A portcímfordítással (PAT) rendelkező forráshálózati címfordítási (SNAT) szolgáltatás lehetővé teszi, hogy sok virtuális gép használjon egy SNAT-szolgáltatást. Az ilyen típusú kapcsolat azt jelenti, hogy számos virtuális gép számára biztosíthatja az internetkapcsolatot.

Fontos

Ha engedélyezni szeretné az SNAT-t a megadott címtartományokhoz, konfigurálnia kell egy átjáró tűzfalszabályt és SNAT-t a használni kívánt adott címtartományokhoz. Ha nem szeretné, hogy az SNAT be legyen kapcsolva adott címtartományok esetében, létre kell hoznia egy NEM NAT-szabályt a címtartományok számára, hogy kizárják a hálózati címfordításból (NAT). Ahhoz, hogy az SNAT-szolgáltatás a várt módon működjön, a Nat-alapú szabálynak alacsonyabb prioritásúnak kell lennie, mint az SNAT-szabály.

SNAT-szabály létrehozása

1. Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.

2. Keresse meg az NSX Manager URL-címét és hitelesítő adatait.

3. Jelentkezzen be a VMware NSX Managerbe.

4. Nyissa meg a NAT-szabályokat.

5. Válassza ki a T1 útválasztót.

6. Válassza a NAT-szabály hozzáadása lehetőséget.

7. Adja meg a szabály nevét.

8. Válassza az SNAT lehetőséget.

   Ha szeretné, adjon meg egy forrást, például egy SNAT-alhálózatot vagy egy célhelyet.

9. Adja meg a lefordított IP-címet. Ez az IP-cím az Azure VMware Solution portálon fenntartott nyilvános IP-címek tartományából származik.

   Igény szerint adjon meg egy magasabb prioritású számot a szabálynak. Ez a rangsorolás tovább viszi a szabályt a szabálylistán, hogy a konkrétabb szabályok először egyezhessenek meg.

10. Válassza a Mentés lehetőséget.

A naplózás be van kapcsolva a naplózási csúszkával.

A VMware NSX NAT konfigurációjáról és beállításairól további információt az NSX Adatközpont NAT Rendszergazda istration útmutatójában talál.

Nat-alapú szabály létrehozása

Az NSX Managerben létrehozhat egy No-NAT vagy No-SNAT szabályt, hogy bizonyos egyezéseket kizárjon a NAT végrehajtásából. Ez a szabályzat lehetővé teszi, hogy a magánhálózati IP-címforgalom megkerülje a meglévő hálózati fordítási szabályokat.

1. Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.
2. Keresse meg az NSX Manager URL-címét és hitelesítő adatait.
3. Jelentkezzen be az NSX Managerbe, majd válassza a NAT-szabályok lehetőséget.
4. Válassza ki a T1 útválasztót, majd válassza a NAT-szabály hozzáadása lehetőséget.
5. A NAT-szabály típusaként válassza a Nincs SNAT-szabályt .
6. Válassza ki a forrás IP-címét a lefordítani nem kívánt címtartományként. A cél IP-értékének minden olyan belső címnek kell lennie, amelyet a forrás IP-címtartományából ér el.
7. Válassza a Mentés lehetőséget.

Bejövő internet-hozzáférés virtuális gépekhez

A célhálózati fordítási (DNAT) szolgáltatással virtuális gépet tehet közzé egy adott nyilvános IP-címen vagy egy adott porton. Ez a szolgáltatás bejövő internetkapcsolatot biztosít a számítási feladatok virtuális gépeihez.

DNST-szabály létrehozása

1. Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.

2. Keresse meg az NSX Manager URL-címét és hitelesítő adatait.

3. Jelentkezzen be az NSX Managerbe, majd válassza a NAT-szabályok lehetőséget.

4. Válassza ki a T1 útválasztót, majd válassza a DNST-szabály hozzáadása lehetőséget.

5. Adja meg a szabály nevét.

6. Válassza a DNAT műveletet.

7. A célegyezéshez adja meg a fenntartott nyilvános IP-címet. Ez az IP-cím az Azure VMware Solution portálon fenntartott nyilvános IP-címek tartományából származik.

8. A lefordított IP-címhez adja meg a virtuális gép privát IP-címét.

9. Válassza a Mentés lehetőséget.

   Igény szerint konfigurálja a lefordított portot vagy a forrás IP-címét konkrétabb egyezésekhez.

A virtuális gép mostantól elérhető az interneten az adott nyilvános IP-címen vagy adott portokon.

Átjáró tűzfalának beállítása a T1-átjárók virtuális gépei felé történő forgalom szűréséhez

Az átjáró tűzfalán keresztül biztonsági védelmet biztosíthat a nyilvános internetkapcsolaton belüli és kimenő hálózati forgalom számára.

1. Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.

2. Keresse meg az NSX Manager URL-címét és hitelesítő adatait.

3. Jelentkezzen be az NSX Managerbe.

4. Az NSX áttekintési oldalán válassza az Átjárószabályzatok lehetőséget.

5. Válassza az Átjáróspecifikus szabályok lehetőséget, válassza a T1 átjárót, majd válassza a Szabályzat hozzáadása lehetőséget.

6. Válassza az Új házirend lehetőséget, és adjon meg egy szabályzatnevet.

7. Válassza ki a szabályzatot, és válassza a Szabály hozzáadása lehetőséget.

8. A szabály konfigurálása:

   1. Válassza az Új szabály lehetőséget.
   2. Adjon meg egy leíró nevet.
   3. Konfigurálja a forrást, a célt, a szolgáltatásokat és a műveletet.

9. Válassza a Külső cím egyeztetése lehetőséget, ha tűzfalszabályokat szeretne alkalmazni egy NAT-szabály külső címére.

   A következő szabály például a Külső címnek megfelelő értékre van állítva. A beállítás lehetővé teszi a Secure Shell (SSH) nyilvános IP-címre bejövő forgalmát.

   

Ha a belső cím egyeztetése meg van adva, a cél a virtuális gép belső vagy privát IP-címe.

Az NSX-átjáró tűzfalával kapcsolatos további információkért tekintse meg az NSX-átjáró tűzfalának Rendszergazda istration útmutatót. Az elosztott tűzfal a virtuális gépek felé történő forgalom szűrésére használható. További információ: NSX Elosztott tűzfal Rendszergazda istration Guide.

Kapcsolódó tartalom

• Az internetkapcsolat tervezésének szempontjai
• Felügyelt SNAT bekapcsolása azure-beli VMware-megoldás számítási feladataihoz
• Alapértelmezett internetes útvonal beállítása vagy az internet-hozzáférés kikapcsolása
• VMware HCX-hozzáférés bekapcsolása az interneten keresztül