Вернуться наверх
На этой странице:

Настройка доступа в интернет из сети VDC

NSX-V

Для подключения VDC к интернету требуется маршрутизируемая сеть VDC. По умолчанию она уже создана: сеть "<название вашей организации>-Org-Net01" с адресацией 192.168.100.0/24.

Чтобы подключить сеть VDC к к интернету, выполните следующие действия.

Подключение маршрутизируемой сети дата-центра к vApp

  1. Перейдите в раздел Data Centers.

  2. Выберите виртуальный дата-центр.

  3. В блоке Compute перейдите в пункт vApps.

  4. На карте нужного vApp нажмите на кнопку ACTIONS.

  5. Выберите Add > Add Network.

  6. В окне Add Network to vApp в поле Type выберите "Routed".

    Важно

    Подключить сети к vApp и VM в мастере создания vApp нельзя. Поэтому необходимо сначала создавать vApp с VM, далее подключать сеть к vApp и VM по очереди.

  7. В поле Org VDC Network Connection выберите сеть организации.

  8. В поле Name введите имя сети.

  9. В поле Gateway CIDR введите адрес шлюза. Пример: необходимо создать сеть vApp 192.168.2.0/24 с выделением части клиентских адресов в IP Pool (адреса с 100 до 199). В данном случае Gateway будет адрес 192.168.2.1).

  10. В поле Description введите описание сети, если это необходимо.

  11. В поле Primary DNS введите первичный DNS-адрес: например, 8.8.8.8, если это необходимо.

  12. В поле Secondary DNS введите вторичный DNS-адрес: например, 8.8.4.4, если это необходимо.

  13. В поле DNS suffix введите DNS-суффикс, если это необходимо.

  14. В поле Static IP pool введите диапазон адресов, которые будут автоматически присваиваться VM при выставлении данной опции в свойствах сетевого интерфейса, если это необходимо. Нажмите на кнопку ADD. Например, 192.168.2.100 – 192.168.2.199.

  15. Нажмите на кнопку ADD.

Подключение VM к сети дата-центра

  1. Откройте характеристики необходимой VM.
  2. Перейдите на вкладку Hardware.
  3. В пункте NICs нажмите на кнопку EDIT.
  4. В окне Edit NICs for "название" нажмите на кнопку NEW.
  5. Включите опцию Connected, выберите тип адаптера, сеть, к которой будет подключена данная VM, и IP mode, в рамках которого будет назначаться IP адрес.
  6. Нажмите на кнопку SAVE.

Важно

Если после сохранения сетевых настроек в свойстве VM не настроился сетевой адрес в гостевой ОС, убедитесь, что на VM установлена Панель управления Tools и включена опция Enable guest customization.

Если данные настройки не выполнены, выключите VM, включите опцию и запустите VM через пункт Power On and Force Recustomization.

Настройки правил NAT и Firewall для доступа сети в интернет производятся на виртуальном шлюзе Edge Gateway.

Сначала необходимо определить, какие внешние IP-адреса можно использовать для настройки. Для этого:

  1. Перейдите в раздел Data Centers.

  2. Выберите виртуальный дата-центр.

  3. В блоке Networking перейдите на вкладку Edges.

  4. Нажмите на нужный виртуальный шлюз.

  5. В пункте IP Allocations блока Configuration указаны адреса, доступные для назначения.

    Важно

    Запишите и сохраните адреса IP Allocations. Они потребуются для дальнейшей настройки.

    В рамках ФЗ-152 будут указаны «серые» IP-адреса в поле IP Allocations. Соответствия адресов высланы в приветственном письме. Если в письме нет данной информации, пожалуйста, заведите заявку или позвоните на горячую линию.

  6. Нажмите на кнопку SERVICES.

  7. В окне Edge Gateway – "название" перейдите на вкладку NAT.

  8. Нажмите на кнопку + SNAT RULE, чтобы создать правило SNAT, которое позволит преобразовывать запросы из локальной сети через публичный IP-адрес в сеть интернет.

    Пример: есть Organization VDC Network с адресацией 192.168.100.0/24 и один адрес в Sub-allocated IP Pool – 193.8.210.221. Необходимо выдать доступ в интернет для всей локальной сети.

  9. В окне Add SNAT Rule:

    • В перечне Applied on выберите внешнюю сеть. Как правило, имя этой сети оканчивается "ExternalNetwork".
    • Укажите адресацию сети Organization VDC Network / диапазон из сети / единичный IP адрес, подключенные к VM (Original source IP/Range) и которые необходимо вывести в интернет. В примере это будет сеть 192.168.100.0/24.
    • Укажите любой внешний свободный IP-адрес (Translated source IP/Range) из IP Allocations. В примере это адрес 193.8.210.221.
    • Введите описание в поле Description, если это необходимо. Создавать описания рационально при большом количестве правил.
    • Включите опцию Enabled.
    • Нажмите на кнопку KEEP.

  10. Для сохранения изменений нажмите на кнопку Save changes.

По умолчанию созданное правило размещается в нижней строке таблицы.

Совет

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

Разрешение доступа к внешней сети в межсетевом экране

Чтобы разрешить в межсетевом экране доступ из внутренней сети Organization VDC Network в Интернет:

  1. В окне Edge Gateway – "название" перейдите на вкладку Firewall.

  2. Нажмите на кнопку "+" – будет создано новое правило с именем New Rule в поле Name.

  3. В строке нового правила измените следующие параметры (пример: необходимо предоставить доступ в интернет для сети Organization VDC Network с адресацией 192.168.100.0/24):

    • Введите название правила в поле Name.

    • Укажите адреса источника в поле Source: единичный IP-адрес, диапазон IP-адресов, CIDR или "Any". В примере: 192.168.100.0/24.

    • Адрес назначения в поле Destination оставьте без изменений – "Any". Формат, как и для поля Source. В данном примере Any означает любой адрес.

    • Значение поля Service оставьте без изменений – "Any". В данном примере "Any" означает любой порт и протокол сетевого взаимодействия).

      • Protocol: из выпадающего списка выберите протокол сетевого взаимодействия (TCP/UDP/ICMP либо "Any" для всех видов трафика);
      • Source Port: укажите "Any" (для любого порта);
      • Destination Port: укажите порт, к которому открываем доступ.

    • В поле Action выберите Accept для разрешения прохождения сетевого трафика.

  4. Для сохранения изменений нажмите на кнопку Save changes.

По умолчанию созданное правило размещается в нижней строке таблицы.

Совет

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова "Internal" в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

NSX-T

Для подключения VDC к интернету требуется маршрутизируемая сеть VDC; по умолчанию она уже создана: сеть "<название вашей организации>-Org-Net01" с адресацией 192.168.100.0/24.

Подключение маршрутизируемой сети дата-центра к vApp

  1. Перейдите в раздел Data Centers.

  2. Выберите виртуальный дата-центр.

  3. В блоке Compute перейдите в пункт vApps.

  4. На карте нужного vApp нажмите на кнопку ACTIONS.

  5. Выберите AddAdd Network.

  6. Выберите сеть VDC, к которой будет подключен vApp.

  7. Нажмите на кнопку ADD.

Подключение VM к сети дата-центра

  1. На карте этого же vApp нажмите на кнопку DETAILS.

  2. Нажмите на название нужной VM.

  3. Перейдите на вкладку Hardware.

  4. В пункте NICs нажмите EDIT.

  5. Включите опцию Connected.

  6. В поле Network выберите маршрутизируемую сеть дата-центра из перечня.

  7. В поле IP Mode выберите Static – IP Pool. VM автоматически будет присвоен IP-адрес.

  8. Нажмите на кнопку SAVE.

Важно

Значение IP-адреса будет видно только при повторном входе в эту форму.

Если после сохранения сетевых настроек в свойстве VM не настроился сетевой адрес в гостевой ОС, убедитесь, что на VM установлена Панель управления Tools и включена опция Enable guest customization.

Если данные настройки не выполнены, выключите VM, включите опцию и запустите VM через пункт Power On and Force Recustomization.

Настройки правил NAT и Firewall для доступа сети в интернет производятся на виртуальном шлюзе Edge Gateway.

В первую очередь необходимо определить, какие внешние IP-адреса возможно использовать для настройки. Для этого:

  1. Перейдите в раздел Data Centers.

  2. Выберите виртуальный дата-центр.

  3. В блоке Networking перейдите на вкладку Edges.

  4. Нажмите на нужный виртуальный шлюз.

  5. Публичные IP-адреса указаны в блоке IP Management > IP Allocations.

    Важно

    Запишите адреса Allocated IPs. Они потребуются для дальнейшей настройки.

    В рамках ФЗ-152 будут указаны «серые» IP-адреса. Соответствия адресов высланы в приветственном письме. Если в письме нет данной информации, пожалуйста, заведите заявку или позвоните на горячую линию.

  6. В разделе Data Centers нажмите на карточку виртуального дата-центра и в меню слева выберите Edges.

  7. Нажмите на название Edge Gateway.

  8. В блоке Services > NAT нажмите на кнопку NEW.

  9. Заполните форму Add NAT Rule, чтобы создать правило SNAT, позволяющее преобразовывать запросы из локальной сети через публичный IP-адрес в сеть интернет.

    Пример: есть Organization VDC Network с адресацией 10.0.0.0/24 и один адрес в Allocated IPs – 193.8.211.235. Необходимо выдать доступ в интернет для всей локальной сети.

    • В поле Name введите название правила.
    • В поле Description введите описание, если это необходимо.
    • В поле Interface Type введите тип правила — "SNAT".
    • В поле External IP введите публичный IP-адрес 193.8.211.235.
    • В поле Internal IP введите приватные IP-адреса VM тенанта 10.0.0.0/24.
    • Заполните поле Destination IP, если требуется, чтобы правило применялось только к трафику с определенным адресом назначения. Укажите IP-адрес или диапазон адресов, в направлении которых необходимо применять правило. Если оставить поле пустым, правило будет применяться для любого адреса назначения.
    • Нажмите на кнопку SAVE.

Разрешение доступа к внешней сети в межсетевом экране

Создание IP Set

  1. В блоке Security > IP Sets нажмите на кнопку NEW.

  2. Заполните форму New IP Set.

  3. В поле Name введите название группы IP-адресов.

  4. В поле Description введите описание, если это необходимо.

  5. В поле IP Addresses введите внутренний IP-адрес или диапазон IP-адресов. В примере: 10.0.0.0/24.

  6. Нажмите на кнопку ADD.

  7. Нажмите на кнопку SAVE.

Создание правила Firewall

  1. В блоке Services > Firewall нажмите на кнопку EDIT RULES.

  2. В открывшемся окне нажмите на кнопку NEW ON TOP.

  3. Появится строка нового правила, заполните ее поля.

  4. В поле Name укажите название правила.

  5. В поле State активируйте переключатель, чтобы включить правило.

  6. Поле Applications оставьте без изменений.

  7. В поле Source нажмите на Редактировать, выберите ранее созданный IP Set и нажмите на кнопку SAVE.

  8. В поле Destination нажмите на Редактировать, активируйте переключатель Any Destination и нажмите SAVE.

  9. В поле Action из раскрывающегося списка выберите Allow.

  10. В поле IP Protocol из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

  11. В поле Logging активируйте переключатель, если необходимо регистрировать фильтрацию, выполняемую этим правилом.

  12. Нажмите на кнопку SAVE.