Ativar endereços IP públicos em um nó NSX Edge para VMware NSX
Neste artigo, saiba como ativar endereços IP públicos em um nó VMware NSX Edge para executar o VMware NSX para sua instância do Azure VMware Solution.
Gorjeta
Antes de ativar o acesso à Internet para sua instância da Solução VMware do Azure, revise as considerações de design de conectividade com a Internet.
Os endereços IP públicos para um nó de Borda NSX para NSX são um recurso da Solução VMware do Azure que ativa o acesso à Internet de entrada e saída para seu ambiente da Solução VMware do Azure.
Importante
O uso do endereço IP público IPv4 pode ser consumido diretamente na Solução VMware do Azure e cobrado com base no prefixo de endereço IP público IPv4 mostrado em Preços - Endereços IP da máquina virtual. Não há cobranças pela entrada ou saída de dados relacionadas a este serviço.
O intervalo de endereços IP públicos é configurado na Solução VMware do Azure através do portal do Azure e da interface NSX na nuvem privada da Solução VMware do Azure.
Com esse recurso, você tem os seguintes recursos:
- Uma experiência coesa e simplificada para reservar e usar um endereço IP público para o nó NSX Edge.
- A capacidade de receber 1.000 ou mais endereços IP públicos. Ative o acesso à Internet em escala.
- Acesso à Internet de entrada e saída para suas VMs de carga de trabalho.
- Proteção de segurança distribuída de negação de serviço (DDoS) contra tráfego de rede de e para a Internet.
- Suporte à migração do VMware HCX pela Internet pública.
Importante
Você pode configurar um máximo de 64 endereços IP públicos totais nesses blocos de rede. Se você quiser configurar mais de 64 endereços IP públicos, envie um tíquete de suporte que indique o número de endereços que você precisa.
Pré-requisitos
- Uma nuvem privada da Solução VMware do Azure.
- Um servidor DNS configurado para sua instância do NSX.
Arquitetura de referência
A figura a seguir mostra o acesso à Internet de e para a nuvem privada da Solução VMware do Azure por meio de um endereço IP público diretamente para o nó NSX Edge para NSX.
Importante
O uso de um endereço IP público no nó NSX Edge para NSX não é compatível com a pesquisa reversa de DNS. Se você usar esse cenário, não poderá hospedar um servidor de email na Solução VMware do Azure.
Configurar um endereço IP público ou intervalo
Para configurar um endereço IP público ou intervalo, use o portal do Azure:
Entre no portal do Azure e vá para a nuvem privada da Solução VMware do Azure.
No menu de recursos em Rede de carga de trabalho, selecione Conectividade com a Internet.
Marque a caixa de seleção Conectar usando IP público até o NSX Edge .
Importante
Antes de selecionar um endereço IP público, certifique-se de entender as implicações para seu ambiente existente. Para obter mais informações, consulte Considerações sobre design de conectividade com a Internet. As considerações devem incluir uma revisão de mitigação de riscos com suas equipes relevantes de governança e conformidade de rede e segurança.
Selecione IP público.
Insira um valor para Nome IP público. Na lista suspensa Espaço de endereço, selecione um tamanho de sub-rede. Em seguida, selecione Configurar.
Este endereço IP público está disponível em aproximadamente 20 minutos.
Verifique se a sub-rede está listada. Se não vir a sub-rede, atualize a lista. Se a atualização não conseguir exibir a sub-rede, tente a configuração novamente.
Depois de definir o endereço IP público, marque a caixa de seleção Conectar usando o IP público até o NSX Edge para desativar todas as outras opções da Internet.
Selecione Guardar.
Você ativou com êxito a conectividade com a Internet para sua nuvem privada da Solução VMware do Azure e reservou um endereço IP público alocado pela Microsoft. Agora você pode definir esse endereço IP público para o nó NSX Edge para NSX usar em suas cargas de trabalho. O NSX é usado para toda a comunicação de máquina virtual (VM).
Você tem três opções para configurar seu endereço IP público reservado para o nó NXS Edge para NSX:
- Acesso de saída à Internet para VMs
- Acesso à Internet de entrada para VMs
- Um firewall de gateway para filtrar o tráfego para VMs em gateways T1
Acesso de saída à Internet para VMs
Um serviço SNAT (Source Network Address Translation) com PAT (Port Address Translation) é usado para permitir que muitas VMs usem um serviço SNAT. Usar esse tipo de conexão significa que você pode fornecer conectividade com a Internet para muitas VMs.
Importante
Para habilitar o SNAT para seus intervalos de endereços especificados, você deve configurar uma regra de firewall de gateway e SNAT para os intervalos de endereços específicos que deseja usar. Se você não quiser que o SNAT seja ativado para intervalos de endereços específicos, crie uma regra No-NAT para intervalos de endereços a serem excluídos da NAT (Network Address Translation). Para que seu serviço SNAT funcione conforme o esperado, a regra No-NAT deve ser uma prioridade menor do que a regra SNAT.
Criar uma regra SNAT
Na nuvem privada da Solução VMware do Azure, selecione as credenciais VMware.
Localize o URL e as credenciais do NSX Manager.
Faça login no VMware NSX Manager.
Vá para Regras NAT.
Selecione o roteador T1.
Selecione Adicionar regra NAT.
Insira um nome para a regra.
Selecione SNAT.
Opcionalmente, insira uma fonte, como uma sub-rede para SNAT ou um destino.
Insira o endereço IP traduzido. Esse endereço IP é do intervalo de endereços IP públicos que você reservou no portal da Solução VMware do Azure.
Opcionalmente, dê à regra um número de prioridade mais alta. Essa priorização move a regra mais para baixo na lista de regras para garantir que regras mais específicas sejam correspondidas primeiro.
Selecione Guardar.
O registro em log é ativado por meio do controle deslizante de log.
Para obter mais informações sobre a configuração e as opções do NAT do VMware NSX, consulte o NSX Data Center NAT Administration Guide.
Criar uma regra No-NAT
Você pode criar uma regra No-NAT ou No-SNAT no NSX Manager para excluir determinadas correspondências da execução de NAT. Esta política pode ser usada para permitir que o tráfego de endereço IP privado ignore as regras de conversão de rede existentes.
- Na nuvem privada da Solução VMware do Azure, selecione as credenciais VMware.
- Localize o URL e as credenciais do NSX Manager.
- Entre no NSX Manager e selecione Regras NAT.
- Selecione o roteador T1 e, em seguida, selecione Adicionar regra NAT.
- Selecione Sem regra SNAT como o tipo de regra NAT.
- Selecione o valor IP de origem como o intervalo de endereços que você não deseja traduzir. O valor de IP de destino deve ser qualquer endereço interno que você esteja alcançando a partir do intervalo de intervalos de endereços IP de origem.
- Selecione Guardar.
Acesso à Internet de entrada para VMs
Um serviço de tradução de rede de destino (DNAT) é usado para expor uma VM em um endereço IP público específico ou em uma porta específica. Este serviço fornece acesso à Internet de entrada para suas VMs de carga de trabalho.
Criar uma regra DNAT
Na nuvem privada da Solução VMware do Azure, selecione as credenciais VMware.
Localize o URL e as credenciais do NSX Manager.
Entre no NSX Manager e selecione Regras NAT.
Selecione o roteador T1 e, em seguida, selecione Adicionar regra DNAT.
Insira um nome para a regra.
Selecione DNAT como a ação.
Para a correspondência de destino, insira o endereço IP público reservado. Este endereço IP provém do intervalo de endereços IP públicos reservados no portal da Solução VMware do Azure.
Para o IP traduzido, insira o endereço IP privado da VM.
Selecione Guardar.
Opcionalmente, configure a porta traduzida ou o endereço IP de origem para correspondências mais específicas.
A VM agora está exposta à Internet no endereço IP público específico ou em portas específicas.
Configurar um firewall de gateway para filtrar o tráfego para VMs em gateways T1
Você pode fornecer proteção de segurança para o tráfego de rede dentro e fora da Internet pública através do firewall do gateway.
Na nuvem privada da Solução VMware do Azure, selecione as credenciais VMware.
Localize o URL e as credenciais do NSX Manager.
Faça login no NSX Manager.
Na página de visão geral do NSX, selecione Políticas de gateway.
Selecione Regras Específicas do Gateway, escolha o gateway T1 e selecione Adicionar Política.
Selecione Nova Política e insira um nome de política.
Selecione a política e selecione Adicionar regra.
Configure a regra:
- Selecione Nova regra.
- Insira um nome descritivo.
- Configure a origem, o destino, os serviços e a ação.
Selecione Corresponder Endereço Externo para aplicar regras de firewall ao endereço externo de uma regra NAT.
Por exemplo, a regra a seguir é definida como Corresponder Endereço Externo. A configuração permite a entrada de tráfego SSH (Secure Shell) para o endereço IP público.
Se Corresponder Endereço Interno foi especificado, o destino é o endereço IP interno ou privado da VM.
Para obter mais informações sobre o firewall do gateway NSX, consulte o NSX Gateway Firewall Administration Guide. O firewall distribuído pode ser usado para filtrar o tráfego para VMs. Para obter mais informações, consulte NSX Distributed Firewall Administration Guide.