Кыска тыныгуудан кийин биз NSXке кайтып келебиз. Бүгүн мен сизге NAT жана Firewallды кантип конфигурациялоону көрсөтөм.
Өтмөктө башкаруу виртуалдык маалымат борборуна барыңыз - Булут ресурстары – Виртуалдык маалымат борборлору.
Өтмөктү тандаңыз Четинен шлюз жана каалаган NSX Edgeди оң баскыч менен чыкылдатыңыз. Пайда болгон менюдан параметрди тандаңыз Edge Gateway кызматтары. NSX Edge Башкаруу панели өзүнчө өтмөктө ачылат.
Firewall эрежелерин орнотуу
Демейки боюнча нерседе кириш трафик үчүн демейки эреже Токко чыгаруу опциясы тандалды, б.а. Firewall бардык трафикти бөгөттөйт.
Жаңы эреже кошуу үчүн + чыкылдатыңыз. аты менен жаңы жазуу пайда болот Жаңы эреже. Талаптарыңызга жараша анын талааларын түзөтүңүз.
Талаада ысым эрежеге ат бериңиз, мисалы Интернет.
Талаада булак Керектүү булак даректерин киргизиңиз. IP баскычын колдонуу менен сиз бир IP даректи, бир катар IP даректерди, CIDR орното аласыз.
+ баскычын колдонуу менен сиз башка объекттерди белгилей аласыз:
- Шлюз интерфейстери. Бардык ички тармактар (ички), бардык тышкы тармактар (тышкы) же каалаган.
- Виртуалдык машиналар. Биз эрежелерди белгилүү бир виртуалдык машинага байлайбыз.
- OrgVdcNetworks. Уюм деңгээлиндеги тармактар.
- IP топтомдору. IP даректеринин алдын ала түзүлгөн колдонуучу тобу (Группалоо объектинде түзүлгөн).
Талаада Дайындалган алуучунун дарегин көрсөтүү. Бул жердеги параметрлер Булак талаасындагыдай эле.
Талаада кызмат сиз көздөгөн портту (Destination Port), талап кылынган протоколду (Протокол) жана жөнөтүүчү портту (Source Port) тандап же кол менен көрсөтө аласыз. Сактоо баскычын басыңыз.
Талаада иш-аракеттер талап кылынган аракетти тандаңыз: бул эрежеге дал келген трафикке уруксат берүү же баш тартуу.
Тандоо менен киргизилген конфигурацияны колдонуңуз Өзгөрүүлөрдү сактоо.
Эреже мисалдары
Firewall (Интернет) үчүн 1-эреже IP 192.168.1.10 менен серверге каалаган протокол аркылуу интернетке кирүүгө мүмкүндүк берет.
Firewall үчүн 2-эреже (Веб-сервер) тышкы дарегиңиз аркылуу (TCP протоколу, порт 80) аркылуу Интернеттен кирүүгө мүмкүндүк берет. Бул учурда - 185.148.83.16:80.
NAT орнотуу
NAT (тармак дарегин которуу) – жеке (боз) IP даректерди тышкы (ак) даректерге которуу жана тескерисинче. Бул процесс аркылуу виртуалдык машина интернетке кирүү мүмкүнчүлүгүнө ээ болот. Бул механизмди конфигурациялоо үчүн SNAT жана DNAT эрежелерин конфигурациялашыңыз керек.
Маанилүү! NAT Firewall иштетилгенде жана тиешелүү уруксат берүүчү эрежелер конфигурацияланганда гана иштейт.
SNAT эрежесин түзүү. SNAT (Source Network Address Translation) – бул пакетти жөнөтүүдө баштапкы даректи алмаштыруу механизми.
Биринчиден, биз тышкы IP дарегин же бизге жеткиликтүү IP даректеринин диапазонун табышыбыз керек. Бул үчүн, бөлүмгө өтүңүз башкаруу жана виртуалдык маалымат борборун эки жолу чыкылдатыңыз. Пайда болгон орнотуулар менюсунда өтмөккө өтүңүз Edge Gatewayс. Керектүү NSX Edgeди тандап, аны оң баскыч менен чыкылдатыңыз. Опцияны тандаңыз касиеттери.
Пайда болгон терезеде, өтмөктө Суб-бөлүштүрүү IP бассейндер тышкы IP дарегин же IP даректеринин диапазонун көрө аласыз. Жазыңыз же эстеп алыңыз.
Андан кийин, NSX Edgeди оң баскыч менен чыкылдатыңыз. Пайда болгон менюдан параметрди тандаңыз Edge Gateway кызматтары. Жана биз NSX Edge башкаруу панелине кайтып келдик.
Пайда болгон терезеде NAT өтмөгүн ачып, SNAT кошуу баскычын чыкылдатыңыз.
Жаңы терезеде биз көрсөтөбүз:
- Колдонмо талаасында – тышкы тармак (уюм деңгээлиндеги тармак эмес!);
- Original Source IP/аралыгы – ички дарек диапазону, мисалы, 192.168.1.0/24;
- Которулган булак IP/аралыгы – Интернетке кире турган тышкы дарек жана сиз IP бассейндерин кошумча бөлүштүрүү өтмөгүндө караңыз.
Сактоо баскычын басыңыз.
DNAT эрежесин түзүңүз. DNAT – бул пакеттин көздөгөн дарегин, ошондой эле көздөгөн портту өзгөртүүчү механизм. Кирүүчү пакеттерди тышкы даректен/порттон жеке тармактын ичиндеги жеке IP дарекке/портко багыттоо үчүн колдонулат.
NAT өтмөгүн тандап, DNAT кошуу чыкылдатыңыз.
Пайда болгон терезеде көрсөтүңүз:
— Колдонмо талаасында – тышкы тармак (уюм деңгээлиндеги тармак эмес!);
— Түпнуска IP/диапазон – тышкы дарек (IP-бөлүштүрүүчү бассейндер кошумча барагынан дарек);
— протокол – протокол;
— Түпнуска порт – тышкы дарек үчүн порт;
— Которулган IP/диапазон – ички IP дареги, мисалы, 192.168.1.10
— Translated Port – тышкы даректин порту которула турган ички даректин порту.
Сактоо баскычын басыңыз.
Тандоо менен киргизилген конфигурацияны колдонуңуз Өзгөрүүлөрдү сактоо.
Кереги жок.
Кийинки сапта DHCP боюнча нускамалар, анын ичинде DHCP байланыштарын жана релейди орнотуу.
Source: www.habr.com