Nyilvános IP-címek bekapcsolása NSX Edge-csomópontra a VMware NSX-hez
Ebből a cikkből megtudhatja, hogyan kapcsolhatja be a nyilvános IP-címeket egy VMware NSX Edge-csomóponton a VMware NSX futtatásához az Azure VMware Solution-példányhoz.
Tipp.
Mielőtt bekapcsolja az internetkapcsolatot az Azure VMware Solution-példányhoz, tekintse át az internetkapcsolat tervezésével kapcsolatos szempontokat.
Az NSX-hez tartozó NSX Edge-csomópont nyilvános IP-címei az Azure VMware Solution egyik funkciója, amely bekapcsolja az Azure VMware Solution-környezet bejövő és kimenő internet-hozzáférését.
Fontos
Az IPv4 nyilvános IP-címhasználat közvetlenül az Azure VMware Solutionben használható fel, és a díjszabás – Virtuális gép IP-címeinek díjszabásában látható IPv4 nyilvános IP-címelőtag alapján számítható fel. A szolgáltatáshoz nem tartoznak az adatforgalom és a kimenő adatok díjai.
A nyilvános IP-címtartomány az Azure VMware Solutionben az Azure Portalon és az Azure VMware Solution magánfelhő NSX-felületén keresztül van konfigurálva.
Ezzel a képességgel a következő funkciókkal rendelkezik:
- A nyilvános IP-címeknek az NSX Edge-csomópontra való lefoglalására és használatára szolgáló egységes és egyszerűsített felület.
- 1000 vagy több nyilvános IP-cím fogadásának lehetősége. Az internet-hozzáférés nagy léptékű bekapcsolása.
- Bejövő és kimenő internet-hozzáférés a számítási feladathoz tartozó virtuális gépekhez.
- Elosztott szolgáltatásmegtagadási (DDoS) biztonsági védelem az internetre és az internetről érkező hálózati forgalom ellen.
- A VMware HCX migrálási támogatása a nyilvános interneten keresztül.
Fontos
Ezeken a hálózati blokkokon legfeljebb 64 nyilvános IP-címet állíthat be. Ha 64-nél több nyilvános IP-címet szeretne konfigurálni, küldjön egy támogatási jegyet, amely jelzi a szükséges címek számát.
Előfeltételek
- Azure VMware Solution magánfelhő.
- Az NSX-példányhoz beállított DNS-kiszolgáló.
Referenciaarchitektúra
Az alábbi ábra az Azure VMware Solution magánfelhőjéhez való internetkapcsolatot mutatja be egy nyilvános IP-címen keresztül, közvetlenül az NSX-hez készült NSX Edge-csomóponthoz.
Fontos
Ha nyilvános IP-címet használ az NSX-en, a nyilvános IP-cím(ek) nem lesz meghirdetve a Magánfelhő ExpressRoute-on keresztül. Azon ügyfelek számára, akik nyilvános IP-helyet hirdetnek a helyszínen az Azure VMware Solution felé Express Route-on keresztül, ez aszimmetrikus útválasztást fog eredményezni, amikor egy NSX-ben hozzárendelt nyilvános IP-címhez a helyszíni szolgáltatásból meghirdetett tartomány(ok)on belül található IP-címről fér hozzá.
Emellett az NSX-hez készült NSX Edge-csomópont nyilvános IP-címének használata nem kompatibilis a fordított DNS-kereséssel. Ha ezt a forgatókönyvet használja, nem üzemeltethet levelezési kiszolgálót az Azure VMware-megoldásban.
Nyilvános IP-cím vagy -tartomány beállítása
Nyilvános IP-cím vagy -tartomány beállításához használja az Azure Portalt:
Jelentkezzen be az Azure Portalra, majd nyissa meg az Azure VMware Solution privát felhőt.
A számítási feladatok hálózatkezelése erőforrás menüjében válassza az Internetkapcsolat lehetőséget.
Jelölje be a Csatlakozás nyilvános IP-cím használatával jelölőnégyzetet az NSX Edge-be .
Fontos
Mielőtt kiválaszt egy nyilvános IP-címet, győződjön meg arról, hogy tisztában van a meglévő környezetre gyakorolt következményekkel. További információkért tekintse meg az internetkapcsolat tervezésének szempontjait. A megfontolandó szempontok közé tartozik egy kockázatcsökkentési felülvizsgálat a megfelelő hálózatkezelési és biztonsági irányítási és megfelelőségi csapatokkal.
Válassza a Nyilvános IP-címet.
Adjon meg egy értéket a nyilvános IP-névhez. A Címtér legördülő listában válassza ki az alhálózat méretét. Ezután válassza a Konfigurálás lehetőséget.
Ez a nyilvános IP-cím körülbelül 20 percen belül elérhető.
Ellenőrizze, hogy az alhálózat szerepel-e a listában. Ha nem látja az alhálózatot, frissítse a listát. Ha a frissítés nem jeleníti meg az alhálózatot, próbálkozzon újra a konfigurációval.
A nyilvános IP-cím beállítása után válassza a Csatlakozás a nyilvános IP-címmel lefelé az NSX Edge jelölőnégyzetre az összes többi internetes beállítás kikapcsolásához.
Válassza a Mentés lehetőséget.
Sikeresen bekapcsolta az internetkapcsolatot az Azure VMware Solution magánfelhőjéhez, és fenntartott egy Microsoft által lefoglalt nyilvános IP-címet. Most már beállíthatja ezt a nyilvános IP-címet az NSX-hez tartozó NSX Edge-csomópontra a számítási feladatokhoz való használatra. Az NSX minden virtuálisgép-kommunikációhoz használható.
A fenntartott nyilvános IP-cím az NSX-hez készült NXS Edge-csomópontra való konfigurálására három lehetőség közül választhat:
- Kimenő internet-hozzáférés virtuális gépekhez
- Bejövő internet-hozzáférés virtuális gépekhez
- Átjáró tűzfala a T1-átjárók virtuális gépei felé történő forgalom szűréséhez
Kimenő internet-hozzáférés virtuális gépekhez
A portcímfordítással (PAT) rendelkező forráshálózati címfordítási (SNAT) szolgáltatás lehetővé teszi, hogy sok virtuális gép használjon egy SNAT-szolgáltatást. Az ilyen típusú kapcsolat azt jelenti, hogy számos virtuális gép számára biztosíthatja az internetkapcsolatot.
Fontos
Ha engedélyezni szeretné az SNAT-t a megadott címtartományokhoz, konfigurálnia kell egy átjáró tűzfalszabályt és SNAT-t a használni kívánt adott címtartományokhoz. Ha nem szeretné, hogy az SNAT be legyen kapcsolva adott címtartományok esetében, létre kell hoznia egy NEM NAT-szabályt a címtartományok számára, hogy kizárják a hálózati címfordításból (NAT). Ahhoz, hogy az SNAT-szolgáltatás a várt módon működjön, a Nat-alapú szabálynak alacsonyabb prioritásúnak kell lennie, mint az SNAT-szabály.
SNAT-szabály létrehozása
Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.
Keresse meg az NSX Manager URL-címét és hitelesítő adatait.
Jelentkezzen be a VMware NSX Managerbe.
Nyissa meg a NAT-szabályokat.
Válassza ki a T1 útválasztót.
Válassza a NAT-szabály hozzáadása lehetőséget.
Adja meg a szabály nevét.
Válassza az SNAT lehetőséget.
Ha szeretné, adjon meg egy forrást, például egy SNAT-alhálózatot vagy egy célhelyet.
Adja meg a lefordított IP-címet. Ez az IP-cím az Azure VMware Solution portálon fenntartott nyilvános IP-címek tartományából származik.
Igény szerint adjon meg egy magasabb prioritású számot a szabálynak. Ez a rangsorolás tovább viszi a szabályt a szabálylistán, hogy a konkrétabb szabályok először egyezhessenek meg.
Válassza a Mentés lehetőséget.
A naplózás be van kapcsolva a naplózási csúszkával.
A VMware NSX NAT konfigurációjáról és beállításairól további információt az NSX Adatközpont NAT felügyeleti útmutatójában talál.
Nat-alapú szabály létrehozása
Az NSX Managerben létrehozhat egy No-NAT vagy No-SNAT szabályt, hogy bizonyos egyezéseket kizárjon a NAT végrehajtásából. Ez a szabályzat lehetővé teszi, hogy a magánhálózati IP-címforgalom megkerülje a meglévő hálózati fordítási szabályokat.
- Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.
- Keresse meg az NSX Manager URL-címét és hitelesítő adatait.
- Jelentkezzen be az NSX Managerbe, majd válassza a NAT-szabályok lehetőséget.
- Válassza ki a T1 útválasztót, majd válassza a NAT-szabály hozzáadása lehetőséget.
- A NAT-szabály típusaként válassza a Nincs SNAT-szabályt .
- Válassza ki a forrás IP-címét a lefordítani nem kívánt címtartományként. A cél IP-értékének minden olyan belső címnek kell lennie, amelyet a forrás IP-címtartományából ér el.
- Válassza a Mentés lehetőséget.
Bejövő internet-hozzáférés virtuális gépekhez
A célhálózati fordítási (DNAT) szolgáltatással virtuális gépet tehet közzé egy adott nyilvános IP-címen vagy egy adott porton. Ez a szolgáltatás bejövő internetkapcsolatot biztosít a számítási feladatok virtuális gépeihez.
DNST-szabály létrehozása
Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.
Keresse meg az NSX Manager URL-címét és hitelesítő adatait.
Jelentkezzen be az NSX Managerbe, majd válassza a NAT-szabályok lehetőséget.
Válassza ki a T1 útválasztót, majd válassza a DNST-szabály hozzáadása lehetőséget.
Adja meg a szabály nevét.
Válassza a DNAT műveletet.
A célegyezéshez adja meg a fenntartott nyilvános IP-címet. Ez az IP-cím az Azure VMware Solution portálon fenntartott nyilvános IP-címek tartományából származik.
A lefordított IP-címhez adja meg a virtuális gép privát IP-címét.
Válassza a Mentés lehetőséget.
Igény szerint konfigurálja a lefordított portot vagy a forrás IP-címét konkrétabb egyezésekhez.
A virtuális gép mostantól elérhető az interneten az adott nyilvános IP-címen vagy adott portokon.
Átjáró tűzfalának beállítása a T1-átjárók virtuális gépei felé történő forgalom szűréséhez
Az átjáró tűzfalán keresztül biztonsági védelmet biztosíthat a nyilvános internetkapcsolaton belüli és kimenő hálózati forgalom számára.
Az Azure VMware Solution magánfelhőjében válassza ki a VMware hitelesítő adatait.
Keresse meg az NSX Manager URL-címét és hitelesítő adatait.
Jelentkezzen be az NSX Managerbe.
Az NSX áttekintési oldalán válassza az Átjárószabályzatok lehetőséget.
Válassza az Átjáróspecifikus szabályok lehetőséget, válassza a T1 átjárót, majd válassza a Szabályzat hozzáadása lehetőséget.
Válassza az Új házirend lehetőséget, és adjon meg egy szabályzatnevet.
Válassza ki a szabályzatot, és válassza a Szabály hozzáadása lehetőséget.
A szabály konfigurálása:
- Válassza az Új szabály lehetőséget.
- Adjon meg egy leíró nevet.
- Konfigurálja a forrást, a célt, a szolgáltatásokat és a műveletet.
Válassza a Külső cím egyeztetése lehetőséget, ha tűzfalszabályokat szeretne alkalmazni egy NAT-szabály külső címére.
A következő szabály például a Külső címnek megfelelő értékre van állítva. A beállítás lehetővé teszi a Secure Shell (SSH) nyilvános IP-címre bejövő forgalmát.
Ha a belső cím egyeztetése meg van adva, a cél a virtuális gép belső vagy privát IP-címe.
Az NSX-átjáró tűzfalával kapcsolatos további információkért tekintse meg az NSX-átjáró tűzfalának felügyeleti útmutatójában. Az elosztott tűzfal a virtuális gépek felé történő forgalom szűrésére használható. További információt az NSX elosztott tűzfalfelügyeleti útmutatójában talál.