Las máquinas virtuales son los contenedores lógicos donde se ejecutan aplicaciones y sistemas operativos invitados. Según su diseño, todas las máquinas virtuales VMware están aisladas entre sí. Este aislamiento permite la ejecución segura de varias máquinas virtuales, al tiempo que se comparte el hardware. Proporciona la capacidad para acceder al hardware y un rendimiento ininterrumpido.

Un usuario con privilegios de administrador del sistema en un sistema operativo invitado de una máquina virtual no podrá violar esta capa de aislamiento para acceder a otra máquina virtual si el administrador del sistema de ESXi no le otorga privilegios de manera explícita. Gracias al aislamiento de máquinas virtuales, si falla un sistema operativo invitado que se ejecuta en una máquina virtual, seguirán funcionando otras máquinas virtuales del mismo host. Los usuarios podrán seguir accediendo a las otras máquinas virtuales, y no se verá afectado el rendimiento de esas máquinas.

Cada máquina virtual queda aislada de las demás máquinas virtuales que se ejecutan en el mismo hardware. Aunque las máquinas virtuales comparten recursos físicos, como CPU, memoria y dispositivos de E/S, el sistema operativo invitado de una máquina virtual individual solo podrá detectar los dispositivos virtuales para los que tiene disponibilidad.

Figura 1. Aislamiento de máquinas virtuales
Aislamiento de máquinas virtuales

El VMkernel sirve de mediador con todos los recursos físicos. Todo el acceso del hardware físico se produce a través del VMkernel, y las máquinas virtuales no pueden evadir ese nivel de aislamiento.

Así como las máquinas físicas se comunican entre sí en una red a través de una tarjeta de red, las máquinas virtuales se comunican entre sí cuando se ejecutan en el mismo host, a través de un conmutador virtual. Además, una máquina virtual se comunica con la red física, incluidas las máquinas virtuales de otros hosts ESXi, a través de un adaptador de red física.

Figura 2. Redes virtuales a través de conmutadores virtuales
Redes virtuales a través de conmutadores virtuales para ESXi

Las redes virtuales también se ven afectadas por el aislamiento de máquinas virtuales.

  • Si una máquina virtual no comparte un conmutador físico con ninguna otra máquina virtual, quedará completamente aislada de las máquinas virtuales del mismo host.
  • Si no se configura ningún adaptador de red física para una máquina virtual, quedará completamente aislada. Se incluye el aislamiento de cualquier red física o virtual.
  • Las máquinas virtuales serán tan seguras como las máquinas físicas si las protege de la red con firewalls, software antivirus, etc.

Si desea aumentar la protección de las máquinas virtuales, puede configurar reservas y límites de recursos en el host. Por ejemplo, puede usar la asignación de recursos y configurar una máquina virtual para que siempre reciba al menos un 10 % de los recursos de CPU del host, pero jamás más del 20 %.

Las reservas y límites de recursos protegen a las máquinas virtuales de la degradación del rendimiento que podría originarse si otra máquina virtual consume en exceso recursos de hardware compartido. Por ejemplo, si una de las máquinas virtuales del host queda inhabilitada a causa de algún ataque por denegación de servicio (DoS), un límite de recursos en esa máquina podría evitar que el ataque consuma recursos de hardware de más como para que perjudique también a las demás máquinas virtuales. De manera similar, una reserva de recursos en cada máquina virtual asegura que todas las demás máquinas virtuales tendrán suficientes recursos para funcionar si la máquina virtual afectada por el ataque DoS requiere más recursos.

De manera predeterminada, ESXi impone cierta forma de reserva de recursos con la aplicación de un algoritmo de distribución que divide equitativamente los recursos disponibles del host entre las máquinas virtuales. Al mismo tiempo, mantiene un determinado porcentaje de recursos para que lo usen componentes de otros sistemas. Este comportamiento predeterminado proporciona cierto grado de protección natural contra los ataques DoS y DoS distribuidos. Las reservas y los límites de recursos específicos se definen de manera individual a fin de personalizar el comportamiento predeterminado y que la distribución no sea equitativa en todas las configuraciones de la máquina virtual.