Для доступа к VM из к VM из интернета используется трансляция сетевых адресов DNAT.
DNAT — трансляция внутреннего приватного адреса/адресов в публичный для доступа из интернета в сеть тенанта.
Публичный адрес можно назначить как одной VM и ее TCP/UDP портам, так и нескольким VM одновременно. Если адрес назначается нескольким VM, они должны предоставлять сервис в интернет через разные TCP/UDP порты.

Якорь
_Hlk87633505 _Hlk87633505

Пример настройки правила DNAT для доступа к VM по RDP NSX-V

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.
2. Выберите объект из списка, нажав на переключатель слева от названия.
3. Нажмите Services.
4. На вкладке NAT нажмите + DNAT RULE.
5. Заполните форму Add DNAT Rule:
   • Original Source IP/Range — публичный адрес Edge Gateway в адрес Edge Gateway в формате «x.x.x.x»;
   • Protocol — «TCP»;
   • Original port — «50001»;
   • Translated IP/Range — приватный IP-адрес виртуальной машины в формате «a.a.a.2»;
   • Translated Port — «3389».
6. Нажмите KEEP.
7. Нажмите Save changes.

...

1. Заполните поля разрешающего правила:
   • Name — укажите название правила;
   • Typе — оставьте значение «User»;
   • Source — оставьте значение «Any»;
   • Destination — укажите публичный адрес Edge Gateway в формате «x.x.x.x»;
   • Service — нажмите на + и заполните поля:
     • Protocol — «TCP»;
     • Destination Port — «50001»;
     • Source Port — «ANY».
   • Action — оставьте значение «Accept».
2. Нажмите Save changes.

Пример настройки правила DNAT для доступа к VM по SSH NSX-V

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.
2. Выберите объект из списка, нажав на переключатель слева от названия.
3. Нажмите Services.
4. На вкладке NAT нажмите + DNAT RULE.
5. Заполните форму Add DNAT Rule:
   • Original Source IP/Range — публичный адрес Edge Gateway в адрес Edge Gateway в формате «x.x.x.x»;
   • Protocol — «TCP»;
   • Original port — «22»;
   • Translated Source IP/Range — приватный IP-адрес VM в адрес VM в формате «a.a.a.2»;
   • Translated Port — «22».
6. Нажмите KEEP.
7. Нажмите Save changes.

...

1. Заполните поля разрешающего правила:
   • Name — укажите название правила;
   • Typе — оставьте значение «User»;
   • Source — оставьте значение «Any»;
   • Destination — укажите публичный адрес Edge Gateway в формате «x.x.x.x»;
   • Service — нажмите на + и заполните поля:
     • Protocol — «TCP»;
     • Destination Port — «22»;
     • Source Port — «ANY».
   • Action — оставьте значение «Accept».
2. Нажмите Save changes.

Пример настройки правила DNAT для доступа к VM по RDP NSX-T

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

2. Нажмите на название Edge Gateway.

3. В разделе Services => NAT нажмите NEW.

4. В поле Name введите название правила.

5. В поле Description введите описание правила.

6. В поле Interface Type выберите DNAT.

7. В поле External IP введите IP-адрес для преобразования или диапазон IP-адресов в формате CIDR.

8. В поле External Port введите порт для подключения к публичному IP-адресу.
   Рекомендуется выбрать порт, отличный от стандартного 3389. Например, вы можете указать 52326.

9. В поле Internal IP введите приватный IP-адрес VM.
   Например, вы можете указать 192.167.1.22. VM с указанным адресом сможет получать трафик из внешней сети.

10. В поле Application введите порт и протокол, которые использует входящий трафик для подключения к внутренней сети:

    • включите Choose a specific application

    • выберите RDP (TCP:3389)

    • нажмите SAVE

11. Чтобы увидеть расширенные настройки NAT, нажмите Advanced Settings.

12. Нажмите SAVE.

Для дальнейшей настройки нам понадобится создать IP set

1. В разделе Security => IP Sets нажмите NEW.

2. Заполните форму New IP Set:

   • Name — название группы IP-адресов.

   • IP Addresses — приватный IP-адрес VM. Например, 192.167.1.22.

3. Нажмите ADD, затем SAVE.

Для нового правила DNAT необходимо создать разрешающее правило Firewall:

1. В разделе Services => Firewall нажмите EDIT RULES.

2. В открывшемся окне нажмите NEW ON TOP.

3. Появится строка нового правила, заполните ее поля:

   1. Name — укажите название правила.

   2. State — активируйте переключатель, чтобы включить правило.

   3. Applications — выберите профиль, который определяет протокол и порт для подключения:

      • нажмите на 

      • активируйте переключатель Choose a specific application

      • выберите из списка RDP (TCP: 52326)

      • нажмите SAVE

   4. Source — ваш IP-адрес. Выберете Any Source и нажмите SAVE.

   5. Destination — укажите IP-адрес виртуальной машины, которая будет получать трафик. Выберите ранее созданный IP Set и нажмите SAVE.

   6. Action — из раскрывающегося списка выберите «Allow».

   7. IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

4. Нажмите SAVE.

Пример настройки правила DNAT для доступа к VM по SSH NSX-T

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

2. Нажмите на название Edge Gateway.

3. В разделе Services => NAT нажмите NEW.

4. В поле Name введите название правила.

5. В поле Description введите описание правила.

6. В поле Interface Type выберите DNAT.

7. В поле External IP введите IP-адрес для преобразования или диапазон IP-адресов в формате CIDR.

8. В поле External Port введите порт для подключения к публичному IP-адресу.
   Рекомендуется выбрать порт, отличный от стандартного 22. Например, вы можете указать 52327.

9. В поле Internal IP введите приватный IP-адрес VM.
   Например, вы можете указать 192.167.1.23. VM с указанным адресом сможет получать трафик из внешней сети.

10. В поле Application введите порт и протокол, которые использует входящий трафик для подключения к внутренней сети:

    • включите Choose a specific application

    • выберите SSH TCP:22

    • нажмите SAVE

11. Чтобы увидеть расширенные настройки NAT, нажмите Advanced Settings.

12. Нажмите SAVE.

Для дальнейшей настройки нам понадобится создать IP set

1. В разделе Security => IP Sets нажмите NEW.

2. Заполните форму New IP Set:

   • Name — название группы IP-адресов.

   • IP Addresses — приватный IP-адрес VM. Например, 192.167.1.23.

3. Нажмите ADD, затем SAVE.

Для нового правила DNAT необходимо создать разрешающее правило Firewall:

1. В разделе Services => Firewall нажмите EDIT RULES.

2. В открывшемся окне нажмите NEW ON TOP.

3. Появится строка нового правила, заполните ее поля:

   1. Name — укажите название правила.

   2. State — активируйте переключатель, чтобы включить правило.

   3. Applications — выберите профиль, который определяет протокол и порт для подключения:

      • нажмите на 

      • активируйте переключатель Choose a specific application

      • выберите из списка SSH (TCP: 52327)

      • нажмите SAVE

   4. Source — ваш IP-адрес. Выберете Any Source и нажмите SAVE.

   5. Destination — укажите IP-адрес виртуальной машины, которая будет получать трафик. Выберите ранее созданный IP Set и нажмите SAVE.

   6. Action — из раскрывающегося списка выберите «Allow».

   7. IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

4. Нажмите SAVE.