Изоляция виртуального коммутатора VMWare
Представьте, что вам нужно несколько виртуальных машин на вашем сервере ESX. Виртуальные машины состоят из двух отдельных групп, и эти группы могут связываться друг с другом только через физический брандмауэр.
Итак, что имеет смысл с точки зрения изоляции сети? Все ли виртуальные машины работают в одном виртуальный движок Ethernet и просто разделены с использованием тегов VLAN за сценой, или это что-то еще, например, использование другого пространства памяти с виртуальный движок Ethernet для каждого vSwitch? Я не смог найти никакой информации о фактической силе изоляции vSwitch, кроме заявления Cisco, в котором говорилось, что только Nexus 1000v действительно разделяет.
Я хотел бы узнать ваши мысли о безопасности изоляции виртуальных коммутаторов и тегов VLAN в такой среде.
Спасибо,
В итоге, это действительно должно изменить способ построения LAN-соединения с виртуальными машинами. Если это сопоставимо с физическим разделением, эта диаграмма вполне логична: 
В противном случае, если он использует теги VLAN, мы должны быть последовательными и использовать теги VLAN на физическом коммутаторе (что не снизит безопасность этого решения). 
Имейте в виду, что я не представлял уровень избыточности на этих диаграммах.
Я не знаю, где возникло заблуждение или почему Cisco может утверждать, что только Nexus 1000V обеспечивает полную изоляцию, но основные факты виртуальной коммутации VMware ESX заключаются в том, что нет связи между vSwitches внутри хоста ESX. Они представляют собой чрезвычайно простые виртуальные устройства уровня 2 без возможности установки межкоммутаторных каналов.
Ваша первая диаграмма описывает поведение всех vSwitches. Распределенные vSwitches немного сложнее, так как они должны иметь внешние восходящие каналы, которые позволяют трафику перемещаться между хостами, но даже с ними нет возможности для трафика Ethernet перемещаться между vSwitches внутри гипервизора (ов), он должен перемещаться к внешнее устройство, а затем переключить или направить обратно.