配置业务虚拟机访问互联网（SNAT）

前提条件

• 完成公网NAT网关的创建和配置，详细过程请参见准备工作。

• 完成专属VMware环境业务网段的创建，详细过程请参见创建业务网段。

任务

• 公网NAT网关准备

• 开启专属VMware环境公网访问（SNAT）

• 添加NSX-T防火墙规则

• 专有网络VPC默认路由发布

公网NAT网关准备

操作步骤

1. 在启用专属VMware环境访问互联网之前，需要在专属VMware环境关联的专有网络VPC上创建公网NAT网关。在VMware服务控制台的服务信息上可以查看VPC ID信息。

2. 在公网NAT网关控制台，查看创建的公网NAT网关是否已经关联到正确的VPC。

   警告

   如果公网NAT网关没有关联到正确的VPC，不能成功配置专属VMware环境访问公网。

3. 检查公网NAT网关是否已经绑定弹性公网IP，如果没有，需要提前绑定弹性公网IP。

4. 检查公网NAT网关的SNAT条目列表，便于和专属VMware环境启用公网访问后的SNAT条目信息比对。

开启专属VMware环境互联网访问（SNAT）

操作步骤

1. 登录VMware服务控制台，在专属VMware环境实例的公网访问操作界面下，选择允许公网访问出方向，弹出访问设置对话框。

2. 在访问设置对话框里，选择已关联到VPC的公网NAT网关，选择弹性公网IP，然后选择确定。

3. 完成公网访问出方向的配置，在公网访问配置界面显示用于SNAT的弹性公网IP。

4. 返回公网NAT网关控制台，在SNAT管理界面下多了两条SNAT记录，用户不能删除这两条SNAT记录。

添加NSX防火墙规则

操作步骤

1. 在VMware服务控制台启用公网访问后，还需要配置NSX-T的网关防火墙，不然业务虚拟机仍旧无法访问公网。打开NSX-T控制台，选择安全->网关防火墙->计算网关，选择添加规则。

2. 用户根据业务实际需求设置防火墙规则。本次创建的规则用于允许业务虚拟机访问公网。

3. 点击新规则的名字，修改规则的名字为CGW To Internet。

4. 编辑源。

5. 选择添加组。

6. 输入组的名称，选择设置成员，为该组添加成员。

7. 在选择成员对话框里选择IP地址，输入192.168.1.0/24网段地址，最后选择应用。

   说明

   192.168.1.0/24网段为用户在VMware服务控制台上创建的NSX-T分段的网络地址。

8. 选择保存。

9. 勾选刚创建的组，即表示该组对应的网段的虚拟机都可以访问互联网了。最后选择应用。

10. 完成源设置后，编辑应用对象。

11. 移除All Uplinks，选择Internet interface。

    说明

    应用对象共有4个对象，内容分别如下：

    1. All Uplinks：包含Internet Interface、Intranet Interface和Services Interface三个上行链路接口

    2. Internet Interface：用于访问公网的上行链路接口

    3. Intranet Interface：用于访问VPC和云下环境的上行链路接口

    4. Services Interface：用于访问阿里云公网服务

12. 选择发布，完成对新创建规则地应用。

13. 完成NSX-T的网关防火墙的配置。

专有网络VPC默认路由发布

操作步骤

1. 在专有网络VPC下选择路由表，确认选择的路由表为专属VMware环境关联的专有网络VPC，然后选择该路由表。

1. 在路由条目列表下选择自定义路由条目，检查default-router的CEN中状态是否为已发布状态，如果是未发布状态，则选择发布。

2. 在发布路由对话框中选择确定。

3. 等待一段时间后，CEN中状态更新为已发布。

   警告

   一定要完成以上所有任务操作后，业务虚拟机才可以正常访问公网（互联网）。