ESXi 시스템은 동일한 호스트에서 가상 시스템 중 일부 그룹은 내부 네트워크에 연결하고, 다른 일부 그룹은 외부 네트워크에 연결하며, 또 다른 그룹은 두 가지 네트워크에 모두 연결할 수 있도록 설계되었습니다. 이 기능은 기본적으로 가상 시스템을 분리하고 가상 네트워킹 기능을 효과적으로 활용함으로써 구현할 수 있습니다.
이 그림에서 시스템 관리자는 호스트를 FTP 서버, 내부 가상 시스템 및 DMZ라는 세 가지 개별 가상 시스템 영역으로 구성했습니다. 각 영역은 고유한 기능을 제공합니다.
- FTP 서버
- 가상 시스템 1은 FTP 소프트웨어를 사용하여 구성되었으며, 벤더가 지역화한 참고 자료 및 양식과 같이 외부 리소스와 주고 받는 데이터의 보관 영역 기능을 합니다.
- 내부 가상 시스템
- 가상 시스템 2부터 5까지는 내부 용도로 예약됩니다. 이러한 가상 시스템은 의료 기록, 법적 합의서 및 사기 조사와 같이 회사의 기밀 데이터를 처리하고 저장합니다. 따라서 시스템 관리자는 이러한 가상 시스템에 가장 강력한 수준의 보호 기능을 사용해야 합니다.
- DMZ
- 가상 시스템 6부터 8까지는 마케팅 그룹이 회사의 외부 웹 사이트를 게시하는 데 사용하는 DMZ로 구성됩니다.
시스템 관리자는 가상 시스템 분리 기능을 활용하고, 가상 스위치를 올바르게 구성하고, 분리된 네트워크를 유지 관리하여 세 가지 가상 시스템 영역 모두를 ESXi 호스트 하나에 구성하여 데이터나 리소스 위반을 확실하게 방지할 수 있습니다.
회사에서는 가상 시스템 그룹 간의 분리를 확실히 하기 위해 여러 개의 내부/외부 네트워크를 사용하고 각 그룹마다 서로 다른 가상 스위치와 물리적 네트워크 어댑터를 사용하도록 합니다.
모든 가상 스위치가 하나의 가상 시스템 영역에만 사용되기 때문에 시스템 관리자는 영역 사이에 패킷 누수 위험을 방지할 수 있습니다. 가상 스위치는 다른 가상 스위치에 직접 패킷을 전송하지 못하도록 설계되었습니다. 가상 스위치 간의 패킷 전송은 다음과 같은 경우에만 가능합니다.
- 가상 스위치가 동일한 물리적 LAN에 연결된 경우
- 가상 스위치가 패킷 전송에 사용될 수 있는 공통의 가상 시스템에 연결된 경우
위의 샘플 구성에서는 이와 같은 경우는 해당되지 않습니다. 시스템 관리자가 공통의 가상 스위치 경로가 없는지 확인하려는 경우, vSphere Client에서 네트워크 스위치 레이아웃을 검토하여 가능한 공유 연결 지점이 있는지 검사할 수 있습니다.
가상 시스템의 리소스를 보호하기 위해 시스템 관리자는 각 가상 시스템에 대해 리소스 예약 및 제한을 구성하여 DoS/DDos 공격의 위험을 줄입니다. 더 나아가 시스템 관리자는 DMZ의 프런트 엔드와 백 엔드에 소프트웨어 방화벽을 설치하여 호스트를 물리적 방화벽 안쪽에 배치하고 각각의 네트워킹 스토리지 리소스가 고유한 가상 스위치를 사용하도록 구성함으로써 ESXi 호스트와 가상 시스템을 보호합니다.