配置业务虚拟机访问互联网(SNAT)

本文档描述如何配置业务虚拟机访问互联网(SNAT)。

前提条件

  • 完成公网NAT网关的创建和配置,详细过程请参见准备工作

  • 完成专属VMware环境业务网段的创建,详细过程请参见创建业务网段

任务

  • 公网NAT网关准备

  • 开启专属VMware环境公网访问(SNAT)

  • 添加NSX-T防火墙规则

  • 专有网络VPC默认路由发布

公网NAT网关准备

操作步骤

  1. 在启用专属VMware环境访问互联网之前,需要在专属VMware环境关联的专有网络VPC上创建公网NAT网关。在VMware服务控制台的服务信息上可以查看VPC ID信息

  2. 公网NAT网关控制台,查看创建的公网NAT网关是否已经关联到正确的VPC

    警告

    如果公网NAT网关没有正确关联到VPC,不能成功配置专属VMware环境访问公网

  3. 检查公网NAT网关是否已经绑定弹性公网IP,如果没有,需要提前绑定弹性公网IP

  4. 检查公网NAT网关的SNAT条目例表,便于和专属VMware环境启用公网访问后的SNAT条目信息比对。

开启专属VMware环境互联网访问(SNAT)

操作步骤

  1. 登录VMware服务控制台,在专属VMware环境实例的公网访问操作界面下,选择允许公网访问出方向,弹出访问设置对话框

  2. 访问设置对话框里,选择已关联到VPC公网NAT网关,选择弹性公网IP,然后选择确定

  3. 完成公网访问出方向的配置,在公网访问配置界面显示用于SNAT的弹性公网IP

  4. 返回公网NAT网关控制台,在SNAT管理管理界面下多了二条SNAT记录,用户不能删除这二条SNAT记录。

添加NSX防火墙规则

操作步骤

  1. VMware服务控制台启用公网访问后,还需要配置NSX-T的网关防火墙,不然业务虚拟机仍旧无法访问公网。打开NSX-T控制台,选择安全->网关防火墙->计算网关,选择添加规则

  2. 用户根据业务实际需求设置防火墙规则。本次创建的规则用于允许业务虚拟机访问公网。

  3. 点击新规则的名字,修规则的名字为CGW To Internet

  4. 编辑

  5. 选择添加组

  6. 输入组的名称,选择设置成员,为该组添加成员

  7. 选择成员对话框里选择IP地址,输入192.168.1.0/24网段地址,最后选择应用

    说明

    192.168.1.0/24网段为用户在VMware服务控制台上创建的NSX-T分段的网络地址。

  8. 选择保存

  9. 勾选刚创建的组,即表示该组对应的网段的虚拟机都可能访问互联网了。最后选择应用

  10. 完成源设置后,编辑应用对象

  11. 移除All Uplinks,选择Internet interface

    说明

    应用对象共有4个对象,内容分别如下:

    1. All Uplinks:包含Internet Interface、Intranet Interface和Services Interface三个上行链路接口

    2. Internet Interface:用于访问公网的上行链路接口

    3. Intranet Interface:用于访问VPC和云下环境的上行链路接口

    4. Services Interface:用于访问阿里云公网服务

  12. 选择发布,完成对新创建规则地应用

  13. 完成NSX-T的网关防火墙的配置

专有网络VPC默认路由发布

操作步骤

说明

用户创建完公网NAT网关后,会在专有网络VPC的路由表上添加一条默认路由(0.0.0.0/0),但默认路由没有发布到CEN(云企业网),需要用户手工发布默认路由到CEN(云企业网)

  1. 专有网络VPC下选择路由表,确认选择的路由表专属VMware环境关联的专有网络VPC,然后选择该路由表路由表

  1. 路由条目例表下选择自定义路由条目,检查default-routerCEN中状态是否为已发布状态,如果是未发布状态,则选择发布路由表-2

  2. 发布路由对话框中选择确定路由表-3

  3. 等待一段时间后,CEN中状态更新为已发布路由表-4

    警告

    一定要完成以上所有任务操作后,业务虚拟机才可以正常访问公网(互联网)

阿里云首页 VMware服务 相关技术圈