Private Cloud: BYOIP in NSX verwenden

NSX bietet drei primäre Objekte. Diese ermöglichen es Ihnen, Ihre eigenen öffentlichen IP-Adressen (BYOIP) innerhalb unserer NSX Private Cloud-Umgebung zu nutzen. Hierzu gehen Sie wie folgt vor:

• Notieren Sie sich den Benutzernamen und das Passwort, die im Bereich Private Cloud > Zugang > NSX Manager angezeigt werden.
• Stellen Sie eine VPN-Verbindung zu Ihrer Private Cloud  her.
• Um den NSX Manager zu öffnen, klicken Sie im Cloud Panel im Bereich Private Cloud > Zugang > vSphere > Admin Client: auf NSX Manager.
• Klicken Sie auf Erweitert… .
• Klicken Sie auf Risiko akzeptieren und fortfahren.
• Geben Sie den Benutzernamen und das Passwort ein.
• Klicken Sie auf ANMELDEN.

NSX-Segmente sind ein grundlegendes Tool für die Netzwerkvirtualisierung in Ihrer Private Cloud-Umgebung.

NSX-Segmente sind virtuelle Schicht-2-Domänen. Sie ermöglichen die Erstellung von isolierten, logischen Netzwerken. Diese Segmente können mit bestimmten IP-Adressbereichen verknüpft werden, was eine nahtlose Integration in Ihr bestehendes IP-Adressierungsschema ermöglicht. Dies beinhaltet auch BYOIP-Bereiche (Bring Your Own IP).

Wichtige Überlegungen:

Das Subnetz des Segments muss spezifischer sein als der BYOIP-Bereich. Beispielsweise kann ein /24 BYOIP-Subnetz in spezifischere Subnetze wie /25 oder /26 unterteilt werden. In diesem Beispiel wäre das größte mögliche Segment-Subnetz /25.

So erstellen Sie ein Segment in NSX:

• Klicken Sie in der Menüleiste oben auf Networking.
• Klicken Sie in der Navigationsleiste links auf Segments. Der Bereich Segments öffnet sich.

• Klicken Sie auf ADD SEGMENT.

• Geben Sie in der Spalte Name im Feld Segment Name einen Namen für das Segment ein.

• Wählen Sie in der Spalte Connected Gateway in der Liste None das entsprechende NSX-T Tier-1-Gateway aus.
• Definieren Sie in der Spalte Subnets das Subnetz innerhalb des zulässigen Bereichs (z. B. /25 oder kleiner, wenn Ihre BYOIP /24 ist).
• Um das Segment zu erstellen, klicken Sie auf SAVE.

Lokale Endpunkte ermöglichen VPN-Konnektivität über den BYOIP-Bereich. Um einen lokalen Endpunkt zu konfigurieren, gehen Sie wie folgt vor:

• Klicken Sie in der Menüleiste oben auf Networking.
• Wählen Sie in der Navigationsleiste links VPN. Der Bereich VPN öffnet sich.
• Klicken Sie auf den Reiter Local Endpoints.
• Klicken Sie auf ADD LOCAL ENDPOINT.

• Geben Sie in der Spalte Name im Feld Enter Name den gewünschten Namen ein.

• Wählen Sie in der Spalte VPN Service den gewünschten VPN Service aus.
• Geben Sie in der Spalte IP Address im Feld Enter IP Address die öffentliche IP-Adresse aus Ihrem BYOIP-Bereich ein.
• Um den lokalen Endpunkt zu speichern, klicken Sie auf SAVE.
• Verwenden Sie diesen lokalen Endpunkt in Ihren VPNs.

Network Address Translation (NAT) ermöglicht den externen Zugriff auf Ressourcen in Ihrer NSX-Umgebung. Sie können Source NAT (SNAT) oder Destination NAT (DNAT) Regeln erstellen, um Ihren BYOIP-Bereich zu nutzen.

Es gibt zwei Haupttypen von NAT-Regeln, die Sie konfigurieren können, um Ihren Bring-Your-Own-IP-Bereich (BYOIP-Bereich) zu nutzen:

• Quell-NAT (SNAT): SNAT wird normalerweise verwendet, wenn Datenverkehr aus Ihrem internen Netz auf externe Ressourcen zugreift. Dabei wird die Quell-IP-Adresse der internen Pakete durch eine öffentliche IP-Adresse aus Ihrem BYOIP-Pool ersetzt. Dadurch können externe Stellen mit Ihren internen Ressourcen kommunizieren, ohne ihre privaten IP-Adressen direkt preiszugeben.
• Ziel-NAT (DNAT): DNAT hingegen wird verwendet, um eine öffentliche IP-Adresse in eine
  private IP-Adresse zu übersetzen. Dies ist in der Regel erforderlich, um einen externen Zugriff auf Dienste zu ermöglichen, die in Ihrer NSX-Umgebung gehostet werden. Wenn externer Datenverkehr für eine öffentliche IP-Adresse in Ihrem BYOIP-Bereich ankommt, übersetzt DNAT die Ziel-IP. Dadurch wird sie in die private IP-Adresse des internen Servers geändert, der den Dienst hostet.

Um SNAT/DNAT zu konfigurieren, gehen Sie wie folgt vor:

• Klicken Sie in der Menüleiste oben auf Networking.
• Klicken Sie in der Navigationsleiste links auf NAT. Der Bereich NAT öffnet sich.

• Wählen Sie im Feld Gateway das entsprechende Tier-1-Gateway aus.
• Klicken Sie auf ADD NAT-RULE.

• Geben Sie in der Spalte Name im Feld Enter Name den gewünschten Namen ein.

• Wählen Sie in der Spalte Action je nach Ihrem SNAT oder DNAT.
• Geben Sie in der Spalte Source IP im Feld Enter Source IP die öffentliche IP-Adresse aus Ihrem BYOIP-Bereich ein.
• Geben Sie in der Spalte Destination IP | Port die interne IP-Adresse (für DNAT) oder das interne Netzwerk (für SNAT) an.
• Klicken Sie auf SAVE.