ESXi 環境の保護には、ネットワーク トラフィックの隔離が不可欠です。それぞれのネットワークで、さまざまなアクセスおよび隔離レベルが必要です。
ESXi ホストは、複数のネットワークを使用します。各ネットワークに適切なセキュリティ対策を使用し、特定のアプリケーションと機能のトラフィックを隔離します。たとえば、仮想マシンが配置されたネットワーク上を VMware vSphere® vMotion® トラフィックが通過しないようにします。隔離するとスヌーピングされません。パフォーマンス上の理由から、別個のネットワークを使用することも推奨されます。
- vSphere vMotion、VMware vSphere Fault Tolerance、VMware vSAN、およびストレージなどの機能には、vSphere インフラストラクチャ ネットワークを使用します。それぞれの機能用にネットワークを分離します。多くの場合、単一の物理サーバ ラックの外部にこれらのネットワークをルーティングさせる必要はありません。
- 管理ネットワークは、クライアントのトラフィック、コマンドライン インターフェイス (CLI) または API トラフィック、およびサードパーティ製のソフトウェア トラフィックを他のトラフィックから隔離します。通常、管理ネットワークには、システム管理者、ネットワーク管理者およびセキュリティ管理者のみがアクセスできます。管理ネットワークへのアクセスを保護するには、Bastion ホストまたは仮想プライベート ネットワーク (VPN) を使用します。このネットワーク内のアクセスを厳密に管理します。
- 仮想マシンのトラフィックは、1 つ以上または多数のネットワークを通過できます。仮想ネットワーク コントローラでファイアウォール ルールを設定した仮想ファイアウォール ソリューションを使用すると、仮想マシンの隔離を強化できます。vSphere 環境内のホスト間で仮想マシンを移行すると、これらの設定も仮想マシンとともに移行されます。