مشاركة عبر

تشغيل عناوين IP العامة إلى عقدة NSX Edge ل VMware NSX

  • مقالة

في هذه المقالة، تعرف على كيفية تشغيل عناوين IP العامة على عقدة VMware NSX Edge لتشغيل VMware NSX لمثيل Azure VMware Solution.

تلميح

قبل تشغيل الوصول إلى الإنترنت إلى مثيل Azure VMware Solution، راجع اعتبارات تصميم الاتصال بالإنترنت.

عناوين IP العامة لعقدة NSX Edge ل NSX هي ميزة في Azure VMware Solution تقوم بتشغيل الوصول إلى الإنترنت الوارد والصادر لبيئة Azure VMware Solution.

هام

يمكن استهلاك استخدام عنوان IP العام IPv4 مباشرة في Azure VMware Solution ويتم تحصيل رسومه استنادا إلى بادئة عنوان IP العام IPv4 الموضحة في التسعير - عناوين IP للجهاز الظاهري. لا توجد رسوم على دخول البيانات أو خروجها مرتبطة بهذه الخدمة.

يتم تكوين نطاق عنوان IP العام في Azure VMware Solution من خلال مدخل Microsoft Azure وواجهة NSX داخل سحابة Azure VMware Solution الخاصة بك.

باستخدام هذه الإمكانية، لديك الميزات التالية:

  • تجربة متماسكة ومبسطة لحجز واستخدام عنوان IP عام لعقدة NSX Edge.
  • القدرة على تلقي 1000 عنوان IP عام أو أكثر. قم بتشغيل الوصول إلى الإنترنت على نطاق واسع.
  • الوصول إلى الإنترنت الوارد والصادر للأجهزة الظاهرية لحمل العمل.
  • حماية أمان رفض الخدمة الموزعة (DDoS) ضد حركة مرور الشبكة من وإلى الإنترنت.
  • دعم ترحيل VMware HCX عبر الإنترنت العام.

هام

يمكنك إعداد 64 عنوان IP عام كحد أقصى عبر كتل الشبكة هذه. إذا كنت ترغب في تكوين أكثر من 64 عنوان IP عاما، فيرجى إرسال تذكرة دعم تشير إلى عدد العناوين التي تحتاج إليها.

المتطلبات الأساسية

  • سحابة خاصة ل Azure VMware Solution.
  • تم إعداد خادم DNS لمثيل NSX الخاص بك.

التصميمات المرجعية

يوضح الشكل التالي الوصول إلى الإنترنت من وإلى سحابة Azure VMware Solution الخاصة عبر عنوان IP عام مباشرة إلى عقدة NSX Edge ل NSX.

رسم تخطيطي يوضح الوصول إلى الإنترنت من وإلى سحابة Azure VMware Solution الخاصة وعنوان IP عام مباشرة إلى عقدة NSX Edge.

هام

عند استخدام IP عام على NSX، لن يتم الإعلان عن عنوان (عناوين) IP العام عبر Private Cloud ExpressRoute. بالنسبة للعملاء الذين يعلنون عن مساحة IP عامة من أماكن العمل إلى Azure VMware Solution عبر Express Route، سيؤدي ذلك إلى توجيه غير متماثل عند الوصول إلى عنوان IP عام معين في NSX من عنوان IP يقع ضمن النطاق (النطاقات) المعلن عنها محليا.

أيضا، استخدام عنوان IP عام في عقدة NSX Edge ل NSX غير متوافق مع بحث DNS العكسي. إذا كنت تستخدم هذا السيناريو، فلا يمكنك استضافة خادم بريد في Azure VMware Solution.

إعداد عنوان IP عام أو نطاق

لإعداد عنوان IP عام أو نطاق، استخدم مدخل Microsoft Azure:

  1. سجل الدخول إلى مدخل Microsoft Azure، ثم انتقل إلى سحابة Azure VMware Solution الخاصة بك.

  2. في قائمة الموارد ضمن Workload networking، حدد Internet connectivity.

  3. حدد خانة الاختيار الاتصال باستخدام IP العام وصولا إلى خانة الاختيار NSX Edge .

    هام

    قبل تحديد عنوان IP عام، تأكد من فهم الآثار المترتبة على بيئتك الحالية. لمزيد من المعلومات، راجع اعتبارات تصميم الاتصال بالإنترنت. يجب أن تتضمن الاعتبارات مراجعة تخفيف المخاطر مع فرق الشبكات وحوكمة الأمان والامتثال ذات الصلة.

  4. حدد IP العام.

    رسم تخطيطي يوضح كيفية تحديد عنوان IP عام لعقدة NSX Edge.

  5. أدخل قيمة لاسم IP العام. في القائمة المنسدلة مساحة العنوان، حدد حجم شبكة فرعية. ثم حدد تكوين.

    يتوفر عنوان IP العام هذا في غضون 20 دقيقة تقريبا.

    تحقق من إدراج الشبكة الفرعية. إذا لم تتمكن من رؤية الشبكة الفرعية، فقم بتحديث القائمة. إذا فشل التحديث في عرض الشبكة الفرعية، فجرب التكوين مرة أخرى.

    رسم تخطيطي يوضح اتصال الإنترنت في Azure VMware Solution.

  6. بعد تعيين عنوان IP العام، حدد خانة الاختيار الاتصال باستخدام IP العام وصولا إلى خانة الاختيار NSX Edge لإيقاف تشغيل جميع خيارات الإنترنت الأخرى.

  7. حدد حفظ.

لقد نجحت في تشغيل الاتصال بالإنترنت للسحابة الخاصة ل Azure VMware Solution وحجزت عنوان IP عاما مخصصا من قبل Microsoft. يمكنك الآن تعيين عنوان IP العام هذا إلى عقدة NSX Edge ل NSX لاستخدامها لأحمال العمل الخاصة بك. يتم استخدام NSX لجميع اتصالات الجهاز الظاهري (VM).

لديك ثلاثة خيارات لتكوين عنوان IP العام المحجوز لعقدة NXS Edge ل NSX:

  • الوصول إلى الإنترنت الصادر للأجهزة الظاهرية
  • الوصول إلى الإنترنت الوارد للأجهزة الظاهرية
  • جدار حماية البوابة لتصفية نسبة استخدام الشبكة إلى الأجهزة الظاهرية في بوابات T1

الوصول إلى الإنترنت الصادر للأجهزة الظاهرية

يتم استخدام خدمة ترجمة عناوين الشبكة المصدر (SNAT) مع ترجمة عنوان المنفذ (PAT) للسماح للعديد من الأجهزة الظاهرية باستخدام خدمة SNAT واحدة. يعني استخدام هذا النوع من الاتصال أنه يمكنك توفير اتصال بالإنترنت للعديد من الأجهزة الظاهرية.

هام

لتمكين SNAT لنطاقات العناوين المحددة، يجب تكوين قاعدة جدار حماية البوابة وSNAT لنطاقات العناوين المحددة التي تريد استخدامها. إذا كنت لا تريد تشغيل SNAT لنطاقات عناوين معينة، فيجب عليك إنشاء قاعدة No-NAT لنطاقات العناوين لاستبعادها من ترجمة عناوين الشبكة (NAT). لكي تعمل خدمة SNAT كما هو متوقع، يجب أن تكون قاعدة No-NAT أولوية أقل من قاعدة SNAT.

إنشاء قاعدة SNAT

  1. في سحابة Azure VMware Solution الخاصة بك، حدد بيانات اعتماد VMware.

  2. حدد موقع عنوان URL وبيانات اعتماد NSX Manager.

  3. سجل الدخول إلى VMware NSX Manager.

  4. انتقل إلى قواعد NAT.

  5. حدد موجه T1.

  6. حدد إضافة قاعدة NAT.

  7. أدخل اسمًا للقاعدة.

  8. حدد SNAT.

    اختياريا، أدخل مصدرا، مثل شبكة فرعية إلى SNAT أو وجهة.

  9. أدخل عنوان IP المترجم. عنوان IP هذا من نطاق عناوين IP العامة التي قمت بحجزها في مدخل Azure VMware Solution.

    اختياريا، امنح القاعدة رقما ذا أولوية أعلى. يؤدي ترتيب الأولويات هذا إلى نقل القاعدة إلى أسفل قائمة القواعد لضمان مطابقة قواعد أكثر تحديدا أولا.

  10. حدد حفظ.

يتم تشغيل التسجيل عبر شريط تمرير التسجيل.

لمزيد من المعلومات حول تكوين VMware NSX NAT وخياراته، راجع دليل إدارة NAT لمركز بيانات NSX.

إنشاء قاعدة No-NAT

يمكنك إنشاء قاعدة No-NAT أو No-SNAT في NSX Manager لاستبعاد بعض التطابقات من تنفيذ NAT. يمكن استخدام هذا النهج للسماح لنسبة استخدام عنوان IP الخاص بتجاوز قواعد ترجمة الشبكة الموجودة.

  1. في سحابة Azure VMware Solution الخاصة بك، حدد بيانات اعتماد VMware.
  2. حدد موقع عنوان URL وبيانات اعتماد NSX Manager.
  3. سجل الدخول إلى NSX Manager، ثم حدد NAT Rules.
  4. حدد جهاز التوجيه T1، ثم حدد إضافة قاعدة NAT.
  5. حدد No SNAT rule كنوع من قاعدة NAT.
  6. حدد قيمة IP المصدر كنطاق من العناوين التي لا تريد ترجمتها. يجب أن تكون قيمة عنوان IP الوجهة أي عناوين داخلية تصل إليها من نطاق نطاقات عناوين IP المصدر.
  7. حدد حفظ.

الوصول إلى الإنترنت الوارد للأجهزة الظاهرية

يتم استخدام خدمة ترجمة شبكة الوجهة (DNAT) لعرض جهاز ظاهري على عنوان IP عام محدد أو على منفذ معين. توفر هذه الخدمة الوصول إلى الإنترنت الوارد إلى الأجهزة الظاهرية لحمل العمل.

إنشاء قاعدة DNAT

  1. في سحابة Azure VMware Solution الخاصة بك، حدد بيانات اعتماد VMware.

  2. حدد موقع عنوان URL وبيانات اعتماد NSX Manager.

  3. سجل الدخول إلى NSX Manager، ثم حدد NAT Rules.

  4. حدد جهاز التوجيه T1، ثم حدد إضافة قاعدة DNAT.

  5. أدخل اسمًا للقاعدة.

  6. حدد DNAT كإجراء.

  7. لمطابقة الوجهة، أدخل عنوان IP العام المحجوز. عنوان IP هذا من نطاق عناوين IP العامة المحجوزة في مدخل Azure VMware Solution.

  8. بالنسبة لعنوان IP المترجم، أدخل عنوان IP الخاص للجهاز الظاهري.

  9. حدد حفظ.

    اختياريا، قم بتكوين المنفذ المترجم أو عنوان IP المصدر لمطابقات أكثر تحديدا.

يتعرض الجهاز الظاهري الآن للإنترنت على عنوان IP العام المحدد أو على منافذ محددة.

إعداد جدار حماية بوابة لتصفية نسبة استخدام الشبكة إلى الأجهزة الظاهرية في بوابات T1

يمكنك توفير حماية أمان لنسبة استخدام الشبكة داخل وخارج الإنترنت العام من خلال جدار حماية البوابة.

  1. في سحابة Azure VMware Solution الخاصة بك، حدد بيانات اعتماد VMware.

  2. حدد موقع عنوان URL وبيانات اعتماد NSX Manager.

  3. سجل الدخول إلى NSX Manager.

  4. في صفحة نظرة عامة على NSX، حدد نهج البوابة.

  5. حدد قواعد محددة للبوابة، واختر بوابة T1، ثم حدد إضافة نهج.

  6. حدد نهج جديد وأدخل اسم نهج.

  7. حدد النهج وحدد إضافة قاعدة.

  8. تكوين القاعدة:

    1. حدد قاعدة جديدة.
    2. أدخل اسما وصفيا.
    3. تكوين المصدر والوجهة والخدمات والإجراء.

  9. حدد مطابقة العنوان الخارجي لتطبيق قواعد جدار الحماية على العنوان الخارجي لقاعدة NAT.

    على سبيل المثال، يتم تعيين القاعدة التالية إلى مطابقة العنوان الخارجي. يسمح الإعداد لحركة مرور Secure Shell (SSH) الواردة إلى عنوان IP العام.

    لقطة شاشة تعرض اتصال الإنترنت الوارد إلى عنوان IP العام.

إذا تم تحديد مطابقة العنوان الداخلي، فإن الوجهة هي عنوان IP الداخلي أو الخاص للجهاز الظاهري.

لمزيد من المعلومات حول جدار حماية بوابة NSX، راجع دليل إدارة جدار حماية بوابة NSX. يمكن استخدام جدار الحماية الموزع لتصفية نسبة استخدام الشبكة إلى الأجهزة الظاهرية. لمزيد من المعلومات، راجع دليل إدارة جدار الحماية الموزع NSX.

المحتوى ذو الصلة