NSX-T 2.5 の Simplified UI で、NSX-T のラボ環境を作成します。
今回は、Tier-0 ゲートウェイに SNAT ルールを追加します。
一連の投稿の出だしはこちら。
自宅ラボで NSX-T 2.5 環境を構築する。Simplified UI 編。Part.1
前回の投稿はこちら。
自宅ラボで NSX-T 2.5 環境を構築する。Simplified UI 編。Part.5
今回の NSX-T ラボでの SNAT。
ラボ環境からラボの外部(別環境のネットワークやインターネットなど)に出る場合、
ラボ環境内のネットワークアドレスがプライベートなためルーティングできず、
対策として(外部に出た通信が戻れるように)ラボの出口になるルータで SNAT を利用することがあります。
この場合、ラボの出口になるルータには(ラボ内のプライベートではない)外部ネットワークのアドレスが付与されていています。
そしてラボ内からの通信については、SNAT ルールによって、通信元アドレス(Source アドレス)を
プライベートなアドレスからラボの出口になるルータのグローバル アドレスに変換します。
今回は、NSX-T のオーバーレイ セグメントに接続された VM が NSX-T より外部のネットワークにアクセスした際の「戻り」のために、
Tier-0 ゲートウェイで SNAT ルールを設定します。
これにより Tier-0 ゲートウェイ「t0-gw-01」の SNAT にて、オーバーレイ セグメントからの通信元アドレス「172.16.x.x」が、
「192.168.200.2」(t0-gw-01 のアップリンク インターフェースのアドレス)に変換されるようにします。
そして下図の(NSX-T のラボとは直接関係しない部分の)補足として・・・
- 「外部ルータ」は、本来は不要ですが、自宅ラボ環境と今回の SNAT とは関係ない検証の都合により配置されています。
- 記載が省略されていますが「外部ルータ」のデフォルト ゲートウェイは「ルータ(インターネットへ)」に向けてあります。
- 実際にこのラボ環境からインターネットなどにアクセスする場合は、図の最上部にある「ルータ」でも SNAT を利用します。
Tier-0 ゲートウェイ への SNAT ルール追加。
それでは、Tier-0 ゲートウェイに SNAT ルールを追加します。
NSX-T の Manager で、「ネットワーク」→「NAT」を開き、
Tier-0 ゲートウェイ(ここでは t0-gw-01)を選択して「NAT ルールの追加」をクリックします。
つぎのパラメータを入力して「保存」をクリックします。
- 名前: SNAT ルールにつける名前を入力する。ここでは「t0-snat-01」。
- アクション: 「SNAT」を選択する。
- 送信元 IP: SNAT の対象とするアドレスを入力する。
今回は オーバーレイ セグメントで利用するつもりのネットワークアドレス(172.16.0.0/16)を入力。 - 変換された IP: Tier-0 ゲートウェイの アップリンクにあたる インターフェースの IP アドレス(192.168.200.2)を入力。
これで SNAT ルールが作成されました。
状態が「不明」の場合は、となりの更新マークをクリックすると「稼働中」になるはずです。
これで、オーバーレイ セグメントに接続された VM(vm01)のゲスト OS でネットワーク設定されていれば
SNAT ルールが機能して NSX-T 外部の(Tier-0 ゲートウェイより外部の)ネットワークに出て、戻ってこれるようになるはずです。
今回の手順は、製品ドキュメントだと下記のあたりが参考になります。
Configure NAT on a Gateway
まだ続く。
自宅ラボで NSX-T 2.5 環境を構築する。Simplified UI 編。Part.7