Настройка доступа в интернет из сети VDC
Войти Оставить заявку
Войти Оставить заявку
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS
База знаний #CloudMTS / Virtual Infrastructure / Виртуальные сети / Настройка доступа в интернет из сети VDC

Настройка доступа в интернет из сети VDC

NSX-V

Для подключения VDC к интернету требуется маршрутизируемая сеть VDC; по умолчанию она уже создана: сеть *название вашей организации*-Org-Net01 с адресацией 192.168.100.0/24.

Чтобы подключить сеть VDC к к интернету, выполните следующие действия.

Подключите маршрутизируемую сеть дата-центра к vApp

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Compute перейдите в пункт vApps
  • на карте нужного vApp нажмите на кнопку [ACTIONS]
  • выберите Add - Add Network
  • в окне "Add Network to vApp" в поле Type выберите "Routed"

Подключить сети к vApp и VM в мастере создания vApp нельзя. Поэтому нужно сначала создавать vApp с VM, далее подключать сеть к vApp и VM по очереди.


  • в поле Org VDC Network Connection выберите сеть организации
  • в поле Name введите имя сети
  • в поле Gateway CIDR введите адрес шлюза (пример: необходимо создать сеть vApp 192.168.2.0/24 с выделением части клиентских адресов в IP Pool (адреса с 100 до 199); в данном случае Gateway будет адрес 192.168.2.1)

Если необходимо, введите следующие данные:

  • в поле Description введите описание сети
  • в поле Primary DNS введите первичный DNS-адрес: например, 8.8.8.8
  • в поле Secondary DNS введите вторичный DNS-адрес: например, 8.8.4.4
  • в поле DNS suffix введите DNS-суффикс
  • в поле Static IP pool введите диапазон адресов, которые будут автоматически присваиваться VM при выставлении данной опции в свойствах сетевого интерфейса, и нажмите на кнопку [ADD]; например, 192.168.2.100 - 192.168.2.199
  • нажмите на кнопку [ADD]
img Увеличить img Увеличить
Подключите VM к сети дата-центра

  • откройте характеристики необходимой VM
  • перейдите на вкладку Hardware
  • в пункте NICs нажмите на кнопку [EDIT]
  • в окне "Edit NICs for *название*" нажмите на кнопку [NEW]
  • включите опцию "Connected", выберите тип адаптера, сеть, к которой будет подключена данная VM, и IP mode, в рамках которого будет назначаться IP адрес
  • нажмите на кнопку [SAVE]

Если после сохранения сетевых настроек в свойстве VM не настроился сетевой адрес в гостевой ОС, убедитесь, что на VM установлена Панель управления Tools и включена опция "Enable guest customization".

Если данные настройки не выполнены, выключите VM, включите опцию и запустите VM через пункт Power On and Force Recustomization.


img Увеличить

Настройки правил NAT и Firewall для доступа сети в интернет производятся на виртуальном шлюзе Edge Gateway.

Сначала необходимо определить, какие внешние IP-адреса можно использовать для настройки. Для этого:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите на вкладку Edges
  • нажмите на нужный виртуальный шлюз
  • в пункте IP Allocations блока Configuration указаны адреса, доступные для назначения

Запишите и сохраните адреса IP Allocations. Они потребуются для дальнейшей настройки.

В рамках ФЗ-152 будут указаны «серые» IP-адреса в поле IP Allocations. Соответствия адресов высланы в приветственном письме. Если в письме нет данной информации, пожалуйста, заведите заявку или позвоните на горячую линию.



  • нажмите на кнопку [SERVICES]
img92.png Увеличить
  • в окне "Edge Gateway - *название*" перейдите на вкладку NAT
  • нажмите на кнопку [+ SNAT RULE], чтобы создать правило SNAT, которое позволит преобразовывать запросы из локальной сети через публичный IP-адрес в сеть интернет (пример: есть Organization VDC Network с адресацией 192.168.100.0/24 и один адрес в Sub-allocated IP Pool - 193.8.210.221; необходимо выдать доступ в интернет для всей локальной сети.)
img Увеличить
  • в окне "Add SNAT Rule":

    • в перечне Applied on выберите внешнюю сеть; как правило, имя этой сети заканчивается ExternalNetwork
    • укажите адресацию сети Organization VDC Network / диапазон из сети / единичный IP адрес, подключенные к VM (Original source IP/Range) и которые необходимо вывести в интернет (в примере это будет сеть 192.168.100.0/24)
    • укажите любой внешний свободный IP-адрес (Translated source IP/Range) из IP Allocations: в примере это адрес 193.8.210.221
    • введите описание в поле Description, если это необходимо; это рационально при большом количестве правил
    • включите опцию "Enabled"
    • нажмите на кнопку [KEEP]
img Увеличить img Увеличить

для сохранения изменений нажмите на кнопку [Save changes]

img Увеличить

По умолчанию созданное правило размещается в нижней строке таблицы. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

img
Разрешите доступ к внешней сети в межсетевом экране

Чтобы разрешить в межсетевом экране доступ из внутренней сети Organization VDC Network в Интернет:

  • в окне "Edge Gateway - *название*" перейдите на вкладку Firewall
  • нажмите на кнопку [+] - будет создано новое правило с именем New Rule в поле Name

В строке нового правила измените следующие параметры (пример: необходимо предоставить доступ в интернет для сети Organization VDC Network с адресацией 192.168.100.0/24):

  • название правила в поле Name
  • укажите адреса источника в поле Source: единичный IP-адрес, диапазон IP-адресов, CIDR или any; в примере: 192.168.100.0/24
  • адрес назначения в поле Destination оставьте без изменений - Any; формат, как и для поля Source; в данном примере Any означает любой адрес
  • значение поля Service оставьте без изменений – Any; в данном примере Any означает любой порт и протокол сетевого взаимодействия)

    • Protocol: из выпадающего списка выберите протокол сетевого взаимодействия (TCP/UDP/ICMP либо any для всех видов трафика)
    • Source Port: укажите Any (для любого порта)
    • Destination Port: укажите порт, к которому открываем доступ
  • в поле Action - выберите Accept для разрешения прохождения сетевого трафика
img Увеличить
  • для сохранения изменений нажмите на кнопку [Save changes]
img Увеличить

По умолчанию созданное правило размещается в нижней строке таблицы. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

img
NSX-T

Для подключения VDC к интернету требуется маршрутизируемая сеть VDC; по умолчанию она уже создана: сеть *название вашей организации*-Org-Net01 с адресацией 192.168.100.0/24.

Чтобы подключить сеть VDC к к интернету:

Подключите маршрутизируемую сеть дата-центра к vApp

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Compute перейдите в пункт vApps
  • на карте нужного vApp нажмите на кнопку [ACTIONS]
  • выберите Add - Add network
img Увеличить
  • выберите сеть VDC, к которой будет подключен vApp
  • нажмите на кнопку [ADD]
Подключите VM к сети дата-центра

  • на карте этого же vApp нажмите на кнопку [DETAILS]
  • нажмите на название нужной VM
  • перейдите на вкладку Hardware
  • в пункте NICs нажмите [EDIT]
img Увеличить
  • отметьте галочку "Connected"
  • в поле Network выберите маршрутизируемую сеть дата-центра из перечня
  • в поле IP Mode выберите "Static - IP Pool"; VM автоматически будет присвоен IP-адрес
  • нажмите на кнопку [SAVE]
img Увеличить

Значение IP-адреса будет видно только при повторном входе в эту форму.

Если после сохранения сетевых настроек в свойстве VM не настроился сетевой адрес в гостевой ОС, убедитесь, что на VM установлена Панель управления Tools и включена опция Enable guest customization.

Если данные настройки не выполнены, выключите VM, включите опцию и запустите VM через пункт Power On and Force Recustomization.


Настройки правил NAT и Firewall для доступа сети в интернет производятся на виртуальном шлюзе Edge Gateway.

В первую очередь необходимо определить, какие внешние IP-адреса возможно использовать для настройки. Для этого:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите на вкладку Edges
  • нажмите на нужный виртуальный шлюз
img105.png Увеличить

публичные IP-адреса указаны в блоке IP Management → IP Allocations

img106.png Увеличить

Запишите адреса Allocated IPs. Они потребуются для дальнейшей настройки.

В рамках ФЗ-152 будут указаны «серые» IP-адреса. Соответствия адресов высланы в приветственном письме. Если в письме нет данной информации, пожалуйста, заведите заявку или позвоните на горячую линию.


  • в разделе Data Centers нажмите на карточку виртуального дата-центра и в меню слева выберите Edges
  • нажмите на название Edge Gateway
  • в блоке Services → NAT нажмите на кнопку [NEW]
img107.png Увеличить
  • заполните форму "Add NAT Rule", чтобы создать правило SNAT, позволяющее преобразовывать запросы из локальной сети через публичный IP-адрес в сеть интернет
  • пример: есть Organization VDC Network с адресацией 10.0.0.0/24 и один адрес в Allocated IPs - 193.8.211.235; необходимо выдать доступ в интернет для всей локальной сети

    • в поле Name введите название правила
    • в поле Description введите описание, если это необходимо
    • в поле Interface Type введите тип правила — SNAT
    • в поле External IP введите публичный IP-адрес 193.8.211.235
    • в поле Internal IP введите приватные IP-адреса VM тенанта 10.0.0.0/24
    • заполните поле Destination IP, если требуется, чтобы правило применялось только к трафику с определенным адресом назначения, - укажите IP-адрес или диапазон адресов, в направлении которых необходимо применять правило; если оставить поле пустым, правило будет применяться для любого адреса назначения
    • нажмите на кнопку [SAVE]
img Увеличить
Разрешите доступ к внешней сети в межсетевом экране

Создайте IP Set

  • в блоке Security → IP Sets нажмите на кнопку [NEW]
  • заполните форму *New IP Set*:

    • в поле Name введите название группы IP-адресов
    • в поле Description введите описание, если это необходимо
    • в поле IP Addressess введите внутренний IP-адрес или диапазон IP-адресов; в примере: 10.0.0.0/24
    • нажмите на кнопку [ADD]
    • нажмите на кнопку [SAVE]
img Увеличить

Создайте правило Firewall

  • в блоке Services → Firewall нажмите на кнопку [EDIT RULES]
  • в открывшемся окне нажмите на кнопку [NEW ON TOP]
  • появится строка нового правила, заполните ее поля:

    • в поле Name укажите название правила
    • в поле State активируйте переключатель, чтобы включить правило
    • поле Applications оставьте без изменений
    • в поле Source нажмите на Редактировать, выберите ранее созданный IP Set и нажмите на кнопку [SAVE]
    • в поле Destination нажмите на Редактировать, активируйте переключатель "Any Destination" и нажмите [SAVE]
    • в поле Action из раскрывающегося списка выберите Allow
    • в поле IP Protocol из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6
    • в поле Logging — активируйте переключатель, если необходимо регистрировать фильтрацию, выполняемую этим правилом
    • нажмите на кнопку [SAVE]
img Увеличить

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки support@cloud.mts.ru