Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się, jak włączyć publiczne adresy IP na węźle VMware NSX Edge, aby uruchomić VMware NSX dla Twojego wdrożenia Azure VMware Solution.
Wskazówka
Przed włączeniem dostępu do Internetu do wystąpienia usługi Azure VMware Solution zapoznaj się z zagadnieniami dotyczącymi projektowania łączności internetowej.
Publiczne adresy IP dla węzła NSX Edge w rozwiązaniu NSX to funkcja w rozwiązaniu Azure VMware Solution, która włącza przychodzący oraz wychodzący dostęp do Internetu dla środowiska usługi Azure VMware Solution.
Ważne
Użycie publicznego adresu IP IPv4 można stosować bezpośrednio w rozwiązaniu Azure VMware Solution i jest rozliczane na podstawie prefiksu publicznego adresu IP IPv4 pokazanego w Cenniku — adresy IP maszyny wirtualnej. W ramach tej usługi nie są naliczane opłaty za przesył danych.
Zakres publicznych adresów IP jest konfigurowany w rozwiązaniu Azure VMware Solution za pośrednictwem witryny Azure Portal i interfejsu NSX w chmurze prywatnej usługi Azure VMware Solution.
Dzięki tej możliwości masz następujące funkcje:
- Spójna i uproszczona obsługa rezerwowania i używania publicznego adresu IP do węzła usługi NSX Edge.
- Możliwość odbierania 1000 lub więcej publicznych adresów IP. Włącz dostęp do Internetu na dużą skalę.
- Przychodzący i wychodzący dostęp do Internetu dla maszyn wirtualnych do obsługi obciążenia.
- Ochrona przed rozproszonymi atakami odmowy usługi (DDoS) zabezpieczająca ruch sieciowy do i z Internetu.
- Obsługa migracji oprogramowania VMware HCX za pośrednictwem publicznego Internetu.
Ważne
W tych blokach sieciowych można skonfigurować maksymalnie 64 całkowite publiczne adresy IP. Jeśli chcesz skonfigurować więcej niż 64 publiczne adresy IP, prześlij bilet pomocy technicznej wskazujący wymaganą liczbę adresów.
Wymagania wstępne
- Prywatna chmura Azure VMware Solution.
- Serwer DNS skonfigurowany dla wystąpienia NSX.
Architektura odwołań
Na poniższej ilustracji przedstawiono dostęp do Internetu do i z Twojej prywatnej chmury Azure VMware Solution za pośrednictwem publicznego adresu IP bezpośrednio do węzła brzegowego NSX dla NSX.
Ważne
W przypadku korzystania z publicznego adresu IP w sieci NSX adresy publiczne IP nie będą anonsowane za pośrednictwem usługi ExpressRoute dla chmury prywatnej. W przypadku klientów anonsujących publiczną przestrzeń IP z lokalnego środowiska do rozwiązania Azure VMware za pośrednictwem usługi ExpressRoute spowoduje to asymetryczny routing podczas uzyskiwania dostępu do publicznego adresu IP przypisanego w środowisku NSX z adresu IP, który znajduje się w zakresach anonsowanych ze środowiska lokalnego.
Ponadto używanie publicznego adresu IP w węźle NSX Edge dla NSX nie jest zgodne z wyszukiwaniem wstecznym DNS. Jeśli używasz tego scenariusza, nie możesz hostować serwera poczty w rozwiązaniu Azure VMware Solution.
Konfigurowanie publicznego adresu IP lub zakresu
Aby skonfigurować publiczny adres IP lub zakres, użyj witryny Azure Portal:
Zaloguj się do witryny Azure Portal, a następnie przejdź do chmury prywatnej usługi Azure VMware Solution.
W menu zasobów w obszarze Sieć obciążeń wybierz pozycję Łączność z Internetem.
Zaznacz pole wyboru Połącz przy użyciu publicznego adresu IP do przeglądarki NSX Edge .
Ważne
Przed wybraniem publicznego adresu IP upewnij się, że rozumiesz implikacje istniejącego środowiska. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące projektowania łączności internetowej. Zagadnienia powinny obejmować przegląd ograniczania ryzyka w odpowiednich zespołach ds. sieci i zapewniania ładu i zgodności zabezpieczeń.
Wybierz pozycję Publiczny adres IP.
Wprowadź wartość w polu Nazwa publicznego adresu IP. Z listy rozwijanej Przestrzeń adresowa wybierz rozmiar podsieci. Następnie wybierz pozycję Konfiguruj.
Ten publiczny adres IP jest dostępny w ciągu około 20 minut.
Sprawdź, czy podsieć jest wymieniona. Jeśli nie widzisz podsieci, odśwież listę. Jeśli odświeżanie nie wyświetli podsieci, spróbuj ponownie wykonać konfigurację.
Po ustawieniu publicznego adresu IP zaznacz pole wyboru Połącz przy użyciu publicznego adresu IP do przeglądarki NSX Edge , aby wyłączyć wszystkie inne opcje internetowe.
Wybierz Zapisz.
Pomyślnie włączono łączność internetową dla chmury prywatnej usługi Azure VMware Solution i zarezerwowano publiczny adres IP przydzielony przez firmę Microsoft. Teraz możesz przypisać ten publiczny adres IP do węzła NSX Edge, aby NSX mogło go używać do twoich obciążeń. NSX jest używany do całej komunikacji maszyny wirtualnej.
Dostępne są trzy opcje konfigurowania zarezerwowanego publicznego adresu IP w węźle NXS Edge dla serwera NSX:
- Wychodzący dostęp do Internetu dla maszyn wirtualnych
- Przychodzący dostęp do Internetu dla maszyn wirtualnych
- Zapora sieciowa na bramie do filtrowania ruchu do maszyn wirtualnych w bramach T1
Wychodzący dostęp do Internetu dla maszyn wirtualnych
Usługa translacji adresów sieciowych (SNAT) ze źródłowym translatorem adresów sieciowych (PAT) służy do zezwalania wielu maszynom wirtualnym na korzystanie z jednej usługi SNAT. Użycie tego typu połączenia oznacza, że można zapewnić łączność z Internetem dla wielu maszyn wirtualnych.
Ważne
Aby włączyć funkcję SNAT dla określonych zakresów adresów, należy skonfigurować regułę zapory bramy i włączyć SNAT dla określonych zakresów adresów, których chcesz użyć. Jeśli nie chcesz włączyć protokołu SNAT dla określonych zakresów adresów, musisz utworzyć regułęNo-NAT dla zakresów adresów do wykluczenia z translatora adresów sieciowych (NAT). Aby usługa SNAT działała zgodnie z oczekiwaniami, reguła No-NAT powinna mieć mniejsze znaczenie niż reguła SNAT.
Tworzenie reguły SNAT
W prywatnej chmurze Azure VMware Solution wybierz poświadczenia VMware.
Znajdź adres URL i poświadczenia menedżera NSX.
Zaloguj się do programu VMware NSX Manager.
Przejdź do Reguły NAT.
Wybierz router T1.
Wybierz Dodaj regułę NAT.
Wprowadź nazwę reguły.
Wybierz SNAT
Opcjonalnie wprowadź źródło, takie jak podsieć do SNAT lub miejsce docelowe.
Wprowadź przetłumaczony adres IP. Ten adres IP pochodzi z zakresu publicznych adresów IP zarezerwowanych w portalu usługi Azure VMware Solution.
Opcjonalnie nadaj regule numer o wyższym priorytcie. Ta priorytetyzacja przenosi regułę dalej w dół listy reguł, aby upewnić się, że bardziej szczegółowe reguły są najpierw dopasowane.
Wybierz Zapisz.
Rejestrowanie jest włączone za pomocą suwaka rejestrowania.
Aby uzyskać więcej informacji na temat konfiguracji i opcji NAT VMware NSX, zobacz Przewodnik administracji NAT dla NSX Data Center.
Utwórz regułę No-NAT
Możesz utworzyć regułę No-NAT lub No-SNAT w Menedżerze NSX, aby wykluczyć niektóre dopasowania z przeprowadzania translacji adresów sieciowych (NAT). Te zasady mogą służyć do zezwalania na ruch prywatnych adresów IP w celu obejścia istniejących reguł tłumaczenia sieciowego.
- W prywatnej chmurze Azure VMware Solution wybierz poświadczenia VMware.
- Znajdź adres URL i poświadczenia menedżera NSX.
- Zaloguj się do menedżera NSX, a następnie wybierz pozycję Reguły NAT.
- Wybierz router T1, a następnie wybierz Dodaj regułę NAT.
- Wybierz No SNAT jako typ reguły translatora adresów sieciowych.
- Wybierz wartość Source IP (Źródłowy adres IP ) jako zakres adresów, których nie chcesz tłumaczyć. Wartość docelowego adresu IP powinna obejmować dowolne adresy wewnętrzne, do których docierasz z zakresu źródłowych adresów IP.
- Wybierz Zapisz.
Przychodzący dostęp do Internetu dla maszyn wirtualnych
Usługa docelowego tłumaczenia sieciowego (DNAT) służy do uwidaczniania maszyny wirtualnej na określonym publicznym adresie IP lub na określonym porcie. Ta usługa zapewnia przychodzący dostęp do Internetu do maszyn wirtualnych obciążeń.
Utwórz regułę DNAT
W prywatnej chmurze Azure VMware Solution wybierz poświadczenia VMware.
Znajdź adres URL i poświadczenia menedżera NSX.
Zaloguj się do menedżera NSX, a następnie wybierz pozycję Reguły NAT.
Wybierz router T1, a następnie wybierz pozycję Dodaj regułę DNAT.
Wprowadź nazwę reguły.
Wybierz akcję DNAT .
W przypadku dopasowania miejsca docelowego wprowadź zastrzeżony publiczny adres IP. Ten adres IP pochodzi z zakresu publicznych adresów IP zarezerwowanych w portalu usługi Azure VMware Solution.
W przypadku przetłumaczonego adresu IP wprowadź prywatny adres IP maszyny wirtualnej.
Wybierz Zapisz.
Opcjonalnie skonfiguruj przetłumaczony port lub źródłowy adres IP, aby uzyskać bardziej szczegółowe dopasowania.
Maszyna wirtualna jest teraz uwidoczniona w Internecie na określonym publicznym adresie IP lub na określonych portach.
Konfigurowanie zapory bramy w celu filtrowania ruchu do maszyn wirtualnych w bramach T1
Przez zaporę bramy można zapewnić ochronę ruchu sieciowego wchodzącego i wychodzącego z Internetu.
W prywatnej chmurze Azure VMware Solution wybierz poświadczenia VMware.
Znajdź adres URL i poświadczenia menedżera NSX.
Zaloguj się do menedżera NSX.
Na stronie przeglądu NSX wybierz pozycję Zasady bramy.
Wybierz pozycję Reguły specyficzne dla bramy, wybierz bramę T1, a następnie wybierz pozycję Dodaj zasady.
Wybierz pozycję Nowe zasady i wprowadź nazwę zasad.
Wybierz zasady i wybierz pozycję Dodaj regułę.
Skonfiguruj regułę:
- Wybierz pozycję Nowa reguła.
- Wprowadź opisową nazwę.
- Skonfiguruj źródło, miejsce docelowe, usługi i akcję.
Wybierz Dopasuj adres zewnętrzny, aby zastosować reguły zapory do zewnętrznego adresu reguły NAT.
Na przykład następująca reguła jest ustawiona jako Dopasuj adres zewnętrzny. Ustawienie zezwala na ruch protokołu Secure Shell (SSH) przychodzący do publicznego adresu IP.
Jeśli określono dopasowanie adresu wewnętrznego , miejscem docelowym jest wewnętrzny lub prywatny adres IP maszyny wirtualnej.
Aby uzyskać więcej informacji na temat zapory sieciowej NSX, zobacz Przewodnik administrowania zaporą sieciową NSX. Zapora rozproszona może służyć do filtrowania ruchu do maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Przewodnik administrowania rozproszoną zaporą NSX.