Қысқа үзілістен кейін біз NSX-ке ораламыз. Бүгін мен NAT және Firewall қалай конфигурациялау керектігін көрсетемін.
Қойындыда басқарма виртуалды деректер орталығына өтіңіз - Бұлтты ресурстар – виртуалды деректер орталықтары.
Қойынды таңдаңыз Edge шлюздері және қажетті NSX жиегін тінтуірдің оң жақ түймешігімен басыңыз. Пайда болған мәзірде опцияны таңдаңыз Edge Gateway қызметтері. NSX Edge басқару тақтасы бөлек қойындыда ашылады.
Брандмауэр ережелерін орнату
Элементте әдепкі бойынша кіріс трафигі үшін әдепкі ереже «Бас тарту» опциясы таңдалды, яғни брандмауэр барлық трафикті блоктайды.
Жаңа ереже қосу үшін + түймесін басыңыз. аты бар жаңа жазба пайда болады Жаңа ереже. Оның өрістерін талаптарыңызға сәйкес өңдеңіз.
Алаңда Толық аты-жөніңіз ережеге атау беріңіз, мысалы, Интернет.
Алаңда қайнар көз Қажетті бастапқы мекенжайларды енгізіңіз. IP түймесін пайдаланып, бір IP мекенжайын, IP мекенжайларының ауқымын, CIDR орнатуға болады.
+ түймесін пайдаланып басқа нысандарды көрсетуге болады:
- Шлюз интерфейстері. Барлық ішкі желілер (ішкі), барлық сыртқы желілер (сыртқы) немесе кез келген.
- Виртуалды машиналар. Біз ережелерді белгілі бір виртуалды машинаға байланыстырамыз.
- OrgVdcNetworks. Ұйым деңгейіндегі желілер.
- IP жиындары. IP мекенжайларының алдын ала жасалған пайдаланушы тобы (Топтау нысанында жасалған).
Алаңда тағайындалған орын алушының мекенжайын көрсетіңіз. Мұндағы опциялар Source өрісіндегі сияқты.
Алаңда қызмет көрсету тағайындалған портты (Destination Port), қажетті протоколды (Protocol) және жіберуші портты (Source Port) таңдауға немесе қолмен көрсетуге болады. Сақтау түймесін басыңыз.
Алаңда Action қажетті әрекетті таңдаңыз: осы ережеге сәйкес келетін трафикке рұқсат беру немесе бас тарту.
Таңдау арқылы енгізілген конфигурацияны қолданыңыз Өзгерістерді сақтау.
Ереже мысалдары
Брандмауэр (Интернет) үшін 1-ереже IP 192.168.1.10 серверге кез келген протокол арқылы Интернетке кіруге мүмкіндік береді.
Брандмауэр (веб-сервер) үшін 2-ереже (TCP протоколы, порт 80) арқылы сіздің сыртқы мекенжайыңыз арқылы Интернеттен кіруге мүмкіндік береді. Бұл жағдайда – 185.148.83.16:80.
NAT орнату
NAT (желі адресін аудару) – жеке (сұр) IP мекенжайларын сыртқы (ақ) адрестерге аудару және керісінше. Бұл процесс арқылы виртуалды машина Интернетке қол жеткізе алады. Бұл механизмді конфигурациялау үшін SNAT және DNAT ережелерін конфигурациялау қажет.
Маңызды! NAT желіаралық қалқан қосылғанда және сәйкес рұқсат ету ережелері конфигурацияланғанда ғана жұмыс істейді.
SNAT ережесін жасаңыз. SNAT (Source Network Address Translation) - бұл пакетті жіберу кезінде бастапқы мекенжайды ауыстыру механизмі.
Алдымен біз сыртқы IP мекенжайын немесе бізге қолжетімді IP мекенжайларының ауқымын білуіміз керек. Мұны істеу үшін бөлімге өтіңіз басқарма және виртуалды деректер орталығын екі рет басыңыз. Пайда болған параметрлер мәзірінде қойындыға өтіңіз Edge Gatewayс. Қажетті NSX Edge таңдаңыз және оны тінтуірдің оң жақ түймешігімен басыңыз. Опцияны таңдаңыз Сипаттар.
Пайда болған терезеде қойындыда IP пулдарын қосалқы бөлу сыртқы IP мекенжайын немесе IP мекенжайларының ауқымын көруге болады. Жазыңыз немесе есте сақтаңыз.
Содан кейін NSX Edge түймесін тінтуірдің оң жақ түймешігімен басыңыз. Пайда болған мәзірде опцияны таңдаңыз Edge Gateway қызметтері. Біз NSX Edge басқару тақтасына қайта оралдық.
Пайда болған терезеде NAT қойындысын ашып, SNAT қосу түймесін басыңыз.
Жаңа терезеде біз көрсетеміз:
- Қолданбалы өрісте – сыртқы желі (ұйым деңгейіндегі желі емес!);
- Түпнұсқа бастапқы IP/ауқым – ішкі мекенжай ауқымы, мысалы, 192.168.1.0/24;
- Аударылған дереккөз IP/ауқымы – Интернетке кіруге болатын және IP пулдарын қосымша бөлу қойындысында қараған сыртқы мекенжай.
Сақтау түймесін басыңыз.
DNAT ережесін жасаңыз. DNAT – дестенің тағайындалған мекенжайын, сондай-ақ тағайындалған портты өзгертетін механизм. Кіріс пакеттерін сыртқы мекенжайдан/порттан жеке желідегі жеке IP мекенжайына/портқа қайта бағыттау үшін қолданылады.
NAT қойындысын таңдап, DNAT қосу түймесін басыңыз.
Пайда болған терезеде мынаны көрсетіңіз:
— Applied on өрісінде – сыртқы желі (ұйым деңгейіндегі желі емес!);
— Түпнұсқа IP/ауқым – сыртқы мекенжай (IP пулдарын қосымша бөлу қойындысындағы мекенжай);
— протокол – протокол;
— Original Port – сыртқы адреске арналған порт;
— Аударылған IP/ауқым – ішкі IP мекенжайы, мысалы, 192.168.1.10
— Translated Port – сыртқы мекенжай порты аударылатын ішкі мекенжайға арналған порт.
Сақтау түймесін басыңыз.
Таңдау арқылы енгізілген конфигурацияны қолданыңыз Өзгерістерді сақтау.
Аяқталды.
Келесі жолда DHCP байланыстары мен релесін орнатуды қоса, DHCP бойынша нұсқаулар бар.
Ақпарат көзі: www.habr.com