vm.gowatana.jp

NEOにほんごVMware(仮)

小規模 VMware Cloud Director 10.4 ラボ構築。Part-12 vApp から外部への通信(SNAT)

VMware Cloud Director の小規模なラボ環境を構築します。今回は、vApp の仮想マシンから VCD / NSX-T の外部のネットワークと通信するために SNAT を設定します。

VCD で組織 VDC の Edge Gateway に SNAT を設定することで、NSX-T の Tier-1 ゲートウェイに SNAT ルールが設定されます。SNAT では、vApp から外に向かう通信のソース IP アドレスを、外部ネットワーク(NSX Edge のアップリンク ネットワーク)のアドレスに変換します。

 

前回はこちら。

 

全体の流れはこちら。

 

今回の内容です。

 

下図の赤枠のあたりを構築します。

 

1. SNAT の設定

今回は、テナント ポータルに組織管理者ユーザ「org-01-admin」でログインして作業します。

設定対象の vApp として、前回作成した「vapp-04」を利用します。

 

テナント ポータルにログインして、「データセンター」→「org-vdc-01」を開きます。

 

組織 VDC で、「ネットワーク」→「エッジ」を開きます。そして、Edge Gateway の設定画面を開きます。

  • Edge Gateway: org-01-edge-01

 

「サービス」→「NAT」を開き、「新規」をクリックします。

 

「NAT ルールの追加」画面で、ルールの設定を入力して「保存」をクリックします。ここでの外部 IP アドレスには、Edge Gateway の IP プールから、未使用のアドレスを指定します。

  • 名前: snat-01
  • インターフェイス タイプ: SNAT
  • 外部 IP: 192.168.31.101
  • 内部 IP: 10.0.0.0/16

 

これで、Edge Gateway に SNAT ルールが作成されました。

 

「IP アドレス管理」→「IP の割り当て」を開くと、「使用済み IP アドレス」に SNAT ルールで指定した IP アドレスが表示されるようになります。

 

2. Edge Gateway でのファイアウォール開放

デフォルトでは、Edge Gateway のファイアウォールですべての通信がドロップされます。そこで、SNAT による外部への通信を許可するルールを追加します。

 

2-1. IP セットの作成

Edge Gateway の「セキュリティ」→「IP セット」を開き、「新規」をクリックします。

 

「新規 IP セット」画面で、IP セットの名前と CIDR を入力して「保存」をクリックします。

  • 名前: org-vdc-ipset
  • IP アドレス: 10.0.0.0/16

 

これで、IP セットが作成されました。

 

2-2. ファイアウォール ルールの追加

Edge Gateway ファイアウォールにデフォルトで作成される「default_rule」ルールでは、すべての通信がドロップされます。そこで、通信元が vApp で使用している組織 VDC ネットワーク(10.0.0.0/16)の通信を許可するルールを追加します。

Edge Gateway の「サービス」→「ファイアウォール」を開き、「ルールの編集」をクリックします。

 

「ルールの編集」画面で、「最上部に新規作成」をクリックしてルールを追加します。ルールの名前を入力して、「ソース」にある編集ボタンをクリックします。

  • 名前: rule-snat

 

「ソース ファイアウォール グループの選択」画面で、IP セットを選択して「保存」をクリックします。

  • ソース ファイアウォール グループ: org-vdc-ipset(タイプ: IP セット)

 

「ターゲット」にある編集ボタンをクリックします。

 

「ターゲット ファイアウォール グループの選択」画面で、任意のターゲット(Any)を選択して「保存」をクリックします。

  • 任意のターゲット: ON

 

ルールが下記の設定になっていることを確認して、「保存」をクリックします。

  • 名前: rule-snat
  • ソース: org-vdc-ipset
  • ターゲット: Any
  • アクション: 許可


Edge Gateway ファイアウォールのルールが追加されました。

 

3. vApp の仮想マシンからの通信確認

SNAT が設定されたことにより、10.0.0.0/16 の CIDR に含まれる「経路指定された組織 VDC ネットワーク」に接続されてる仮想マシンは、NSX-T より外部のネットワークと通信可能になっているはずです。

vapp-04 に含まれる vm01 の仮想マシン コンソールを開いて、適当な外部の IP アドレス宛に通信できることを確認しておきます。

 

4. NSX-T 側の確認

VCD 側で設定した NAT ルールやファイアウォール ルールは、NSX-T のオブジェクトとして作成されています。

 

SNAT は、NSX-T Manager の「ネットワーク」→「ネットワーク サービス」→「NAT」で確認できます。「ゲートウェイ」で組織 VDC の Edge Gateway に対応したものを選択すると、SNAT ルール「snat-01」が表示されます。

 

Edge Gateway ファイアウォール ルールは、NSX-T Manager の「セキュリティ」→「ポリシー管理」→「ゲートウェイ ファイアウォール」→「ゲートウェイ固有のルール」タブで確認できます。「ゲートウェイ」で組織 VDC の Edge Gateway に対応したものを選択すると、 「rule-snat」ルールが作成されています。

 

ファイアウォール ルールの送信元に設定されてる IP セットは、NSX-T では「グループ」として作成されています。

NSX-T Manager の「インベントリ」→「グループ」を開くと、「org-vdc-ipset」が作成されているので、「メンバーの表示」をクリックします。

 

「有効なメンバー」→「IP アドレス」を開くと、VCD 側で設定したアドレスが確認できます。

 

つづく。