База знаний
Подключиться Консультация
Получить консультацию Подключиться
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение и резервирование данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS
База знаний #CloudMTS / Virtual Infrastructure / Виртуальные сети / Как пробросить доступ из Интернет к внутреннему порту виртуальной машины

Как пробросить доступ из Интернет к внутреннему порту виртуальной машины

NSX-V

Для обеспечения подключения к серверу из сети Интернет, необходимо пробросить порты с использованием NAT. Например, возможно пробросить порты для доступа по RDP или SSH, открыть доступ к веб-сайту или приложению.

  1. Запрос на конкретный IP и порт (например, на который ссылается домен) из сети интернет. Запрос на внешний IP-адрес из сети Интернет преобразуется в соответствующий внутренний адрес с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 80 преобразуется в подключение по адресу 192.168.100.10 по порту 80.
  2. Преобразование IP-адреса и порта на соответствующий внутренний адрес и порт с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 8443 преобразуется в подключение по адресу 192.168.100.10 по порту 443.
img Увеличить
Добавьте правило проброса в NAT-трансляции

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите на вкладку Edges
  • нажмите на нужный виртуальный шлюз
  • нажмите на кнопку [SERVICES]
  • в окне "Edge Gateway - *название*" перейдите на вкладку NAT
  • нажмите на кнопку [+ DNAT RULE]
img Увеличить
  • в окне "Add DNAT Rule":

    • в перечне Applied on выберите внешнюю сеть; как правило, имя этой сети заканчивается ExternalNetwork
    • в поле Original IP/Range введите любой свободный внешний IP-адрес из адресов, данных в Sub-Allocated Pool; подробная информация о Sub-Allocated Pool описана в данной статье
    • в перечне Protocol укажите протокол сетевого взаимодействия: TCP/UDP/ICMP или для всех видов трафика any
    • в поле Original Port, введите порт, используемый для доступа из Интернет и который будет преобразован; например, 22228 для SSH или 53389 для RDP (В целях безопасности рекомендуется использовать для SSH и RDP внешние порты, отличные от 22 и 3389 и явно указывать их при подключении на стороне клиента.)
    • в поле Translated IP/Range укажите IP-адрес, полученный/назначенный VM во внутренней сети
    • в поле Translated Port укажите порт, на который будет отправлен запрос на VM; указывается порт сервиса для подключения
    • включите опцию Enabled
    • для сохранения правила нажмите на кнопку [KEEP]
img Увеличить
  • для сохранения изменений нажмите на кнопку [Save changes]
img Увеличить

Для разрешения доступа из Интернет к внутреннему порту виртуальной машины также требуется разрешение на firewall. Подробнее о дальнейших настройках написано в статье «Как разрешить доступ из Интернет к внутреннему порту виртуальной машины в межсетевом экране (firewall)».


Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

img
NSX-T

Для обеспечения подключения к серверу из сети Интернет, необходимо пробросить порты с использованием NAT. Например, возможно пробросить порты для доступа по RDP или SSH, открыть доступ к веб-сайту или приложению.

  1. Запрос на конкретный IP и порт (например, на который ссылается домен) из сети интернет. Запрос на внешний IP-адрес из сети Интернет преобразуется в соответствующий внутренний адрес с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 80 преобразуется в подключение по адресу 192.168.100.10 по порту 80.
  2. Преобразование IP-адреса и порта на соответствующий внутренний адрес и порт с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 8443 преобразуется в подключение по адресу 192.168.100.10 по порту 443.
img Увеличить
Добавьте правило проброса в NAT-трансляции

  • перейдите в раздел Data Centers нажмите на карточку виртуального дата-центра
  • перейдите на вкладку Edges
  • выберите Edge Gateway, нажмите на него
  • в блоке Services → NAT нажмите на кнопку [NEW]
  • заполните форму *Add NAT Rule*:

    • в поле Name введите название правила
    • в поле Description введите описание, если это необходимо
    • в поле Interface Type введите тип правила — DNAT
    • в поле External IP введите публичный IP-адрес Edge Gateway: 193.8.211.235
    • в поле External Port введите порт подключения по публичному адресу тенанта: 53389
    • в поле Internal IP введите приватный IP-адрес VM: 10.0.0.4
    • в поле Application введите порт назначения в VM:

      • нажмите на Редактировать
      • включите опцию "Choose a specific application"
      • выберите из списка RDP (TCP: 3389)
img Увеличить
  • нажмите на кнопку [SAVE]
img Увеличить

Кроме того, для разрешения доступа из Интернет к внутреннему порту виртуальной машины требуется разрешение на firewall. Подробнее о дальнейших настройках написано в данной статье.


Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки hub-support@cloud.mts.ru