Page tree
Skip to end of metadata
Go to start of metadata

Сначала настройте доступ в интернет из сети VDC, которая будет подключена в рамках Connect to an Org VDC Network.

Как это сделать, описано в данной статье.

Создайте виртуальную сеть vApp, в котором расположена VM

В данном случае будет использоваться двойное NAT-ирование. Если такой вариант не приемлем, обратитесь к персональному менеджеру для покупки выделенной белой сети IP-адресов. Например, при покупке подсети /30 клиент получит 1 внешний IP-адрес, /29 – 4 адреса.

Как это сделать, описано в данной статье.

Чтобы назначить внешний IP-адрес на VM:

  • при создании сети vApp в поле Gateway введите IP-адрес шлюза, к которой относится внешний IP-адрес, выделенный вашей организации; чтобы узнать адрес шлюза:
  • в поле Gateway введите адрес шлюза; чтобы узнать адрес шлюза:
    • перейдите в раздел Data Сenters
    • выберите виртуальный дата-центр
    • в блоке Networking перейдите на вкладку Edges
    • нажмите на необходимый виртуальный шлюз
    • в поле Gateway Interfaces указан адрес
  • в поле Network mask введите адрес маски подсети; чтобы узнать маску подсети:
    • перейдите в раздел Data Сenters
    • выберите виртуальный дата-центр
    • в блоке Networking перейдите на вкладку Edges
    • нажмите на нужный виртуальный шлюз
    • на вкладке Configuration - IP Allocations в поле Subnet указана маска в коротком формате (/24); данную маску необходимо перевести в полный формат; в примере это 255.255.255.0

  • в поле Primary DNS введите первичный DNS-адрес: например, 8.8.8.8
  • в поле Secondary DNS введите вторичный DNS-адрес: например, 8.8.4.4
  • включите опцию "Connect to an OrgVdc network"
  • выберите виртуальную сеть организации, через которую VM организации Organization VDC Network, с помощью которой будет выдан внешний адрес виртуальной машине и  предоставлен доступ к сети Интернет
  • нажмите на кнопку [ADD]

Назначьте внешний IP-адрес на виртуальную машину

  • перейдите к настройкам VM
  • перейдите на вкладку Hardware
  • в разделе NICs:
    • выберите сетевой адаптер в поле Adapter Type
    • включите опцию "Connected"
    • в перечне Network выберите созданную сеть
    • в перечне IP Mode выберите Static - Manual
    • в поле IP Address введите свободный внешний IP-адрес из адресов, данных в IP Allocations; подробная информация о IP Allocations описана в данной статье
  • нажмите на кнопку [SAVE] - для данного адаптера будет назначен External IP Address, необходимый для настройки DNAT-трансляции на Edge Gateway

Отключите vApp Firewall в созданной сети и создайте DNAT-трансляцию для преобразования внутреннего IP-адреса виртуальной машины в назначенный внешний IP адрес

Чтобы узнать полученный External IP Address для создания DNAT-трансляции на Edge Gateway:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Compute перейдите в пункт vApps
  • выберите необходимый vApp
  • перейдите на вкладку Networks
  • выберите созданную ранее сеть vApp
  • перейдите на вкладку Services
  • нажмите на кнопку [Edit]
  • в окне «Edit Firewall And NAT rules» во втором правиле измените значение Action с «Deny» на «Allow» и нажмите на кнопку [Save]

  • в разделе NAT IP Translation Rules в поле External IP внесен необходимый адрес; сопоставить корректность данного адреса возможно с помощью названия VM и сетевого интерфейса в поле VM Interface

Создайте DNAT-трансляцию внешнего адреса, назначенного на VM, в полученный External IP Address

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите на вкладку Edges
  • нажмите на необходимый виртуальный шлюз
  • выберите Edge Gateway, к которому подключена нужная сеть дата-центра
  • нажмите на кнопку [SERVICES]
  • в окне "Edge Gateway - *название*" перейдите на вкладку NAT
  • нажмите на кнопку [+ DNAT RULE]
  • в окне "Add DNAT Rule":
    • в перечне Applied on выберите внешнюю сеть из перечня; как правило, имя этой сети заканчивается на ExternalNetwork
    • в поле Original IP/Range введите назначенный на VM внешний IP-адрес
    • в перечне Protocol укажите протокол сетевого взаимодействия any
    • в поле Translated IP/Range введите полученный External IP Address
    • в поле Description введите описание правила, если это необходимо
    • для сохранения настроек нажмите на кнопку [KEEP]
    • для сохранения изменений нажмите на кнопку [Save changes]

Добавьте правило Firewall перед запрещающим правилом Default action: Deny (имя default rule for ingress traffic, Action - значение Deny); правило Firewall разрешит удаленное подключение к внешнему адресу, назначенному на VM:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите на вкладку Edges
  • нажмите на необходимый виртуальный шлюз
  • выберите Edge Gateway, к которому подключена нужная сеть дата-центра
  • нажмите на кнопку [SERVICES]
  • в окне "Edge Gateway - *название*" перейдите на вкладку Firewall
  • нажмите на кнопку [+] – будет создано новое правило с именем New Rule в поле Name

В строке нового правила измените:

  • название правила в поле Name
  • укажите адреса источника в поле Source: any для любого источника
  • адрес назначения в поле Destination введите назначенный на VM внешний IP-адрес
  • поле Service оставьте без изменений (Any) (в данном примере Any означает любой порт и протокол сетевого взаимодействия)
  • в поле Action выберите Accept для разрешения прохождения сетевого трафика

Правило в примере читается так: необходимо для любого адреса разрешить подключение к внешнему адресу 89.22.187.56, который назначен на виртуальную машину.

  • для сохранения изменений нажмите на кнопку [Save changes]

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

  • No labels