VMware Cloud Director の小規模なラボ環境を構築します。今回は、vApp の仮想マシンから VCD / NSX-T の外部のネットワークと通信するために SNAT を設定します。
VCD で組織 VDC の Edge Gateway に SNAT を設定することで、NSX-T の Tier-1 ゲートウェイに SNAT ルールが設定されます。SNAT では、vApp から外に向かう通信のソース IP アドレスを、外部ネットワーク(NSX Edge のアップリンク ネットワーク)のアドレスに変換します。
前回はこちら。
全体の流れはこちら。
今回の内容です。
下図の赤枠のあたりを構築します。
1. SNAT の設定
今回は、テナント ポータルに組織管理者ユーザ「org-01-admin」でログインして作業します。
設定対象の vApp として、前回作成した「vapp-04」を利用します。
テナント ポータルにログインして、「データセンター」→「org-vdc-01」を開きます。
組織 VDC で、「ネットワーク」→「エッジ」を開きます。そして、Edge Gateway の設定画面を開きます。
- Edge Gateway: org-01-edge-01
「サービス」→「NAT」を開き、「新規」をクリックします。
「NAT ルールの追加」画面で、ルールの設定を入力して「保存」をクリックします。ここでの外部 IP アドレスには、Edge Gateway の IP プールから、未使用のアドレスを指定します。
- 名前: snat-01
- インターフェイス タイプ: SNAT
- 外部 IP: 192.168.31.101
- 内部 IP: 10.0.0.0/16
これで、Edge Gateway に SNAT ルールが作成されました。
「IP アドレス管理」→「IP の割り当て」を開くと、「使用済み IP アドレス」に SNAT ルールで指定した IP アドレスが表示されるようになります。
2. Edge Gateway でのファイアウォール開放
デフォルトでは、Edge Gateway のファイアウォールですべての通信がドロップされます。そこで、SNAT による外部への通信を許可するルールを追加します。
2-1. IP セットの作成
Edge Gateway の「セキュリティ」→「IP セット」を開き、「新規」をクリックします。
「新規 IP セット」画面で、IP セットの名前と CIDR を入力して「保存」をクリックします。
- 名前: org-vdc-ipset
- IP アドレス: 10.0.0.0/16
これで、IP セットが作成されました。
2-2. ファイアウォール ルールの追加
Edge Gateway ファイアウォールにデフォルトで作成される「default_rule」ルールでは、すべての通信がドロップされます。そこで、通信元が vApp で使用している組織 VDC ネットワーク(10.0.0.0/16)の通信を許可するルールを追加します。
Edge Gateway の「サービス」→「ファイアウォール」を開き、「ルールの編集」をクリックします。
「ルールの編集」画面で、「最上部に新規作成」をクリックしてルールを追加します。ルールの名前を入力して、「ソース」にある編集ボタンをクリックします。
- 名前: rule-snat
「ソース ファイアウォール グループの選択」画面で、IP セットを選択して「保存」をクリックします。
- ソース ファイアウォール グループ: org-vdc-ipset(タイプ: IP セット)
「ターゲット」にある編集ボタンをクリックします。
「ターゲット ファイアウォール グループの選択」画面で、任意のターゲット(Any)を選択して「保存」をクリックします。
- 任意のターゲット: ON
ルールが下記の設定になっていることを確認して、「保存」をクリックします。
- 名前: rule-snat
- ソース: org-vdc-ipset
- ターゲット: Any
- アクション: 許可
Edge Gateway ファイアウォールのルールが追加されました。
3. vApp の仮想マシンからの通信確認
SNAT が設定されたことにより、10.0.0.0/16 の CIDR に含まれる「経路指定された組織 VDC ネットワーク」に接続されてる仮想マシンは、NSX-T より外部のネットワークと通信可能になっているはずです。
vapp-04 に含まれる vm01 の仮想マシン コンソールを開いて、適当な外部の IP アドレス宛に通信できることを確認しておきます。
4. NSX-T 側の確認
VCD 側で設定した NAT ルールやファイアウォール ルールは、NSX-T のオブジェクトとして作成されています。
SNAT は、NSX-T Manager の「ネットワーク」→「ネットワーク サービス」→「NAT」で確認できます。「ゲートウェイ」で組織 VDC の Edge Gateway に対応したものを選択すると、SNAT ルール「snat-01」が表示されます。
Edge Gateway ファイアウォール ルールは、NSX-T Manager の「セキュリティ」→「ポリシー管理」→「ゲートウェイ ファイアウォール」→「ゲートウェイ固有のルール」タブで確認できます。「ゲートウェイ」で組織 VDC の Edge Gateway に対応したものを選択すると、 「rule-snat」ルールが作成されています。
ファイアウォール ルールの送信元に設定されてる IP セットは、NSX-T では「グループ」として作成されています。
NSX-T Manager の「インベントリ」→「グループ」を開くと、「org-vdc-ipset」が作成されているので、「メンバーの表示」をクリックします。
「有効なメンバー」→「IP アドレス」を開くと、VCD 側で設定したアドレスが確認できます。
つづく。