L'isolation du trafic réseau est essentielle pour un environnement ESXi sécurisé. Des réseaux différents requièrent un accès et un niveau d'isolation distincts.
Votre hôte ESXi utilise plusieurs réseaux. Utilisez des mesures de sécurité appropriées à chaque réseau et isolez le trafic pour des applications et fonctions spécifiques. Par exemple, assurez-vous que le trafic VMware vSphere vMotion® n'est pas acheminé via des réseaux sur lesquels se trouvent les machines virtuelles. L'isolation empêche l'écoute. Il est également recommandé d'utiliser des réseaux séparés pour des raisons de performance.
- Les réseaux de l'infrastructure vSphere sont utilisés pour certaines fonctions comme vSphere vMotion, VMware vSphere Fault Tolerance et le stockage. Isolez ces réseaux pour leurs fonctions spécifiques. Il n'est souvent pas nécessaire de router ces réseaux à l'extérieur d'un rack de serveur physique spécifique.
- Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers de tout autre trafic. Ce réseau doit être accessible uniquement aux administrateurs système, réseau et sécurité. Utilisez les systèmes JumpBox ou le réseau privé virtuel (VPN) pour sécuriser l'accès au réseau de gestion. Contrôlez strictement l'accès à ce réseau.
- Le trafic des machines virtuelles peut traverser un ou plusieurs réseaux. Vous pouvez renforcer l'isolation des machines virtuelles en utilisant des solutions de pare-feu qui définissent des règles de pare-feu au niveau du contrôleur du réseau virtuel. Ces paramètres sont acheminés avec une machine virtuelle dès lors qu'elle migre d'un hôte à un autre dans votre environnement vSphere.