ESXi 環境の保護には、ネットワーク トラフィックの隔離が不可欠です。それぞれのネットワークで、さまざまなアクセスおよび隔離レベルが必要です。
ESXi ホストは、複数のネットワークを使用します。各ネットワークに適切なセキュリティ対策を使用し、特定のアプリケーションと機能のトラフィックを隔離します。たとえば、仮想マシンが配置されたネットワーク上を VMware vSphere® vMotion® トラフィックが通過しないようにします。隔離するとスヌーピングされません。パフォーマンス上の理由から、別個のネットワークを使用することも推奨されます。
- vSphere vMotion、VMware vSphere Fault Tolerance、VMware vSAN、およびストレージなどの機能には、vSphere インフラストラクチャ ネットワークを使用します。それぞれの機能用にネットワークを分離します。多くの場合、単一の物理サーバ ラックの外部にこれらのネットワークをルーティングさせる必要はありません。
- 管理ネットワークは、クライアントのトラフィック、コマンドライン インターフェイス (CLI) または API トラフィック、およびサードパーティ製のソフトウェア トラフィックを他のトラフィックから隔離します。このネットワークは、システム管理者、ネットワーク管理者、およびセキュリティ管理者のみがアクセスできるようにする必要があります。ジャンプ ボックスまたは仮想プライベート ネットワーク (VPN) を使用して管理ネットワークへのアクセスを保護します。このネットワーク内のアクセスを厳密に管理します。
- 仮想マシンのトラフィックは、1 つ以上または多数のネットワークを通過できます。仮想ネットワーク コントローラでファイアウォール ルールを設定した仮想ファイアウォール ソリューションを使用すると、仮想マシンの隔離を強化できます。vSphere 環境内のホスト間で仮想マシンを移行すると、これらの設定も仮想マシンとともに移行されます。