針對 VMware NSX 開啟 NSX Edge 節點的公用 IP 位址
在本文中,瞭解如何開啟 VMware NSX Edge 節點上的公用 IP 位址,以針對 Azure VMware 解決方案 實例執行 VMware NSX。
提示
在為 Azure VMware 解決方案的執行個體開啟網際網路存取之前,請先檢閱網際網路連線能力設計考量。
NSX 的 NSX Edge 節點公用 IP 位址是 Azure VMware 解決方案 中開啟 Azure VMware 解決方案 環境的輸入和輸出因特網存取功能。
重要
您可以在 Azure VMware 解決方案中直接取用 IPv4 公用 IP 位址,費用則會根據定價 - 虛擬機器 IP 位址所示的 IPv4 公用 IP 位址前置詞來計算。 與此服務相關的資料輸入或輸出不收取任何費用。
公用IP位址範圍會透過 Azure 入口網站和私人雲端內的NSX介面,在 Azure VMware 解決方案 Azure VMware 解決方案 中設定。
透過此能力,您會獲得下列功能:
- 保留和使用 NSX Edge 節點公用 IP 位址的一致且簡化的體驗。
- 能夠接收 1,000 個以上的公用 IP 位址。 大規模開啟網際網路存取。
- 讓工作負載 VM 獲得輸入和輸出的網際網路存取。
- 針對進出網際網路的網路流量執行分散式阻斷服務攻擊 (DDoS) 安全性保護。
- 透過公用網際網路支援 VMware HCX 移轉。
重要
您可以在這些網路區塊中設定最多 64 個公用 IP 位址。 若要設定超過 64 個公用 IP 位址,請提交支援票證以指出所需的位址數目。
必要條件
- Azure VMware 解決方案私人雲端。
- 為您的 NSX 實例設定的 DNS 伺服器。
參考架構
下圖顯示透過公用IP位址直接存取NSX Edge節點,從您的 Azure VMware 解決方案 私人雲端存取因特網。
重要
在 NSX Edge 節點的 NSX Edge 節點上使用公用 IP 位址與反向 DNS 查閱不相容。 若使用此案例,則無法在 Azure VMware 解決方案中裝載郵件伺服器。
設定公用 IP 位址或範圍
若要設定公用 IP 位址或範圍,請使用 Azure 入口網站:
登入 Azure 入口網站,然後移至您的 Azure VMware 解決方案私人雲端。
在 [工作負載網路] 下方的資源功能表上,選取 [網際網路連線能力]。
選取 [ 使用公用IP連線到 NSX Edge] 複選框。
重要
在選取公用 IP 位址之前,請先確定您了解其會對現有環境造成什麼影響。 如需詳細資訊,請參閱網際網路連線能力設計考量。 這些考量應包括與相關的網路和安全性治理與合規性小組一起檢閱該如何降低風險。
選取 [公用 IP]。
針對 [公用 IP 名稱] 輸入值。 在 [位址空間] 下拉式清單中,選取子網路大小。 然後,選取 [設定]。
此公用 IP 位址的有效時間大約是 20 分鐘。
檢查是否已列出子網路。 如果您沒有看到子網路,請重新整理清單。 如果重新整理無法顯示子網路,請再次嘗試設定。
設定公用IP位址之後,選取 [使用公用IP連線到NSX Edge ] 複選框,以關閉所有其他因特網選項。
選取儲存。
您已成功為 Azure VMware 解決方案私人雲端開啟網際網路連線能力,並已保留 Microsoft 配置的公用 IP 位址。 您現在可以將此公用IP位址設定為NSX Edge節點,讓 NSX 用於工作負載。 NSX 會用於所有虛擬機 (VM) 通訊。
您有三個選項可將保留的公用 IP 位址設定為 NSX 的 NXS Edge 節點:
- VM 的輸出網際網路存取
- VM 的輸入網際網路存取
- 用來在 T1 閘道上篩選 VM 流量的閘道防火牆
VM 的輸出網際網路存取
搭配使用來源網路位址轉譯 (SNAT) 服務與連接埠位址轉譯 (PAT),可讓許多 VM 使用一個 SNAT 服務。 使用這種類型的連線表示您可以為許多 VM 提供網際網路連線能力。
重要
若要為指定的位址範圍啟用 SNAT,您必須為所要使用的特定位址範圍設定閘道防火牆規則和 SNAT。 若不想要為特定位址範圍開啟 SNAT,則必須為要從網路位址轉譯 (NAT) 中排除的位址範圍建立無 NAT 規則。 若要讓 SNAT 服務能夠正常運作,無 NAT 規則的優先順序應低於 SNAT 規則。
建立 SNAT 規則
在您的 Azure VMware 解決方案私人雲端中,選取 [VMware 認證]。
找到您的 NSX Manager URL 和認證。
登入 VMware NSX Manager。
移至 [NAT 規則]。
選取 T1 路由器。
選取 [新增 NAT 規則]。
輸入規則的名稱。
選取 [SNAT]。
(選擇性) 輸入來源 (例如 SNAT 的子網路) 或目的地。
輸入轉譯後的 IP 位址。 此 IP 位址來自您在 Azure VMware 解決方案入口網站中保留的公用 IP 位址範圍。
(選擇性) 為規則提供較高的優先順序數字。 此優先順序會讓規則在規則清單中再往下移,以確保系統會優先比對更特定的規則。
選取 [儲存]。
記錄可透過記錄滑桿開啟。
如需 VMware NSX NAT 設定和選項的詳細資訊,請參閱 NSX 資料中心 NAT 系統管理指南。
建立無 NAT 規則
您可以在 NSX Manager 中建立無 NAT 或無 SNAT 規則,以便排除某些相符項目使其略過執行 NAT。 此原則可用來允許私人 IP 位址流量略過現有的網路轉譯規則。
- 在您的 Azure VMware 解決方案私人雲端中,選取 [VMware 認證]。
- 找到您的 NSX Manager URL 和認證。
- 登入 NSX Manager,然後選取 [NAT 規則]。
- 選取 T1 路由器,然後選取 [新增 NAT 規則]。
- 選取 [無 SNAT] 規則作為 NAT 規則的類型。
- 選取 [來源 IP] 值作為不想轉譯的位址範圍。 [目的地 IP] 值則應該是您要從來源 IP 位址範圍連線到的任何內部位址。
- 選取 [儲存]。
VM 的輸入網際網路存取
目的地網路轉譯 (DNAT) 服務可用來在特定公用 IP 位址或特定連接埠上公開 VM。 此服務會為工作負載 VM 提供輸入網際網路存取。
建立 DNAT 規則
在您的 Azure VMware 解決方案私人雲端中,選取 [VMware 認證]。
找到您的 NSX Manager URL 和認證。
登入 NSX Manager,然後選取 [NAT 規則]。
選取 T1 路由器,然後選取 [新增 DNAT 規則]。
輸入規則的名稱。
選取 [DNAT] 作為動作。
對於目的地比對,輸入保留的公用 IP 位址。 此 IP 位址來自 Azure VMware 解決方案入口網站中保留的公用 IP 位址範圍。
對於轉譯後的 IP,輸入 VM 私人 IP 位址。
選取 [儲存]。
(選擇性) 設定轉譯後的連接埠或來源 IP 位址,以進行更具體的比對。
VM 現在會在特定公用 IP 位址或特定連接埠上對網際網路公開。
設定用來在 T1 閘道上篩選 VM 流量的閘道防火牆
您可以透過閘道防火牆,為您的網路進出公用網際網路的流量提供安全性保護。
在您的 Azure VMware 解決方案私人雲端中,選取 [VMware 認證]。
找到您的 NSX Manager URL 和認證。
登入 NSX Manager。
在 [NSX 概觀] 頁面上,選取 [網關原則]。
選取 [閘道特定規則]、選擇 T1 閘道,然後選取 [新增原則]。
選取 [新增原則],然後輸入原則名稱。
選取原則,然後選取 [新增規則]。
設定規則:
- 選取 [新增規則] 後,
- 輸入描述性名稱。
- 設定來源、目的地、服務和動作。
選取 [比對外部位址],將防火牆規則套用至 NAT 規則的外部位址。
例如,下列規則會設定為 [符合外部位址]。 此設定允許安全殼層 (SSH) 流量輸入公用 IP 位址。
如果指定了 [符合內部位址],則目的地會是 VM 的內部或私人 IP 位址。
如需 NSX 閘道防火牆的詳細資訊,請參閱 NSX 閘道防火牆管理指南。 分散式防火牆可用來篩選 VM 的流量。 如需詳細資訊,請參閱 NSX 分散式防火牆管理指南。