NSXではT1-DRに接続されたセグメントのIPアドレスを使用したNAT(DNATまたはSNAT)の設定は許可されていません
search cancel

NSXではT1-DRに接続されたセグメントのIPアドレスを使用したNAT(DNATまたはSNAT)の設定は許可されていません

book

Article ID: 437155

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

免責事項:これは英文の記事「NSX does not allow the configuration of NAT (DNAT or SNAT) with an IP address from a Segment connected to a T1-DR」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

 

  • ユーザがTier-1ゲートウェイに対してDNATルールの設定を試行しました。

  • DNATルールにおいて、宛先IP(Destination IP)およびポートが当該Tier-1ゲートウェイ配下のセグメント範囲内のIPアドレスに設定されています。

  • 保存ボタンをクリックすると、UI上に以下のエラーが表示されDNATルールの作成に失敗します。
    Error: Address <DestinationIP> overlaps with Segment <SegmentName> that has subnet <Tier1GatewayCIDR>. (Error code: 500105)
  • NSX Managerの /var/log/proton/nsxapi.log に以下のログが出力されます。
    YYYY-MM-DDTHH:MM:SS.NNNZ ERROR http-nio-127.0.0.1-7440-exec-## IpAddressConstraintChecker #### POLICY [nsx@#### comp="nsx-manager" errorCode="PM500105" level="ERROR" reqId="<UUID>" subcomp="manager" username="admin"] IP address <DestinationIP> overlaps with entity Segment (/infra/segments/<SegmentName>) that has subnet <Tier1GatewayCIDR>.

    YYYY-MM-DDTHH:MM:SS.NNNZ  INFO http-nio-127.0.0.1-7440-exec-## NsxBaseRestController #### SYSTEM [nsx@#### comp="nsx-manager" level="INFO" subcomp="manager"] Error in API /nsxapi/api/v1/infra/tier-1s/<Tier1GatewayName>/nat/USER/nat-rules/DNAT caused by exception com.vmware.nsx.management.common.exceptions.InvalidArgumentException:  {"moduleName":"Policy","errorCode":500105,"errorMessage":"Address <DestinationIP> overlaps with Segment path=[/infra/segments/<SegmentName>] that has subnet <Tier1GatewayCIDR>."}

    YYYY-MM-DDTHH:MM:SS.NNNZ  INFO http-nio-127.0.0.1-7440-exec-## NsxBaseRestController #### SYSTEM [nsx@#### audit="true" comp="nsx-manager" level="INFO" subcomp="manager"] UserName:'admin' ModuleName:'Policy' Operation:'PUT@/api/v1/infra/tier-1s/<Tier1GatewayName>/nat/USER/nat-rules/DNAT' Operation status: 'failure' Error: Address <DestinationIP> overlaps with Segment path=[/infra/segments/<SegmentName>] that has subnet <Tier1GatewayCIDR>.

Environment

VMware NSX

Resolution

これは想定された動作です。
NSXでは、T1-DRに接続されているセグメントに属するIPアドレスを使用して、NAT(DNATまたはSNAT)を構成することはできません。

Note:
回避策として、該当するサブネット(オーバーレイまたはVLAN)をT1サービスインターフェイスに接続する方法があります。

Powered by Wolken Software