Eu também vi o documento vinculado na sua pergunta. Infelizmente, ele se decompõe quando o VMware começa a empurrar seus módulos de design e segurança do vCloud.
Você pode nos falar sobre o seu ambiente do vSphere? Especificamente, gostaria de entender o nível de licenciamento e o design de alto nível da sua infraestrutura do vSphere (por exemplo, o cluster de três hosts que executa o vSphere Essentials Plus e um SAN iSCSI). Essas informações ajudarão a orientar a solução correta .
Geralmente, posso dizer:
- VLANs não são suficientes para segmentação de rede. Se você estiver truncando as portas de volta para um switch, você realmente deseja fazer o trunk para um firewall com reconhecimento de VLAN. Você precisará de um firewall entre os portgroups / VLANs do vSphere.
- Isso pode ser obtido com o produto de firewall do vSphere, dependendo de sua licença.
- Os uplinks do vSwitch podem ser vinculados a zonas de rede distintas ou controlados com um firewall como acima.
- Os datastores podem ser separados, mas não necessariamente precisam de hardware separado. Várias montagens de LUNs ou NFS foram satisfatórias em minha experiência.
- Como você está lidando com segurança física?
- Seu vCenter está vinculado ao Active Directory? Você pode aplicar a autenticação de dois fatores aos seus logons do AD?
- O hipervisor do ESXi não foi um problema nas auditorias. Certifique-se de ter o vSphere Update Manager e um cronograma de patches estabelecido para lidar com as correções das vulnerabilidades do CVE.
- Se você precisa garantir um determinado tipo de desempenho ou determinadas alocações de RAM / CPU, é possível estabelecer pools de recursos do vSphere.
- Outras separações podem aproveitar o vSphere DRS e as regras de afinidade / antiafinidade, se a sua licença oferecer suporte a ele (por exemplo, certifique-se de que o DB de produção esteja sempre em um host diferente do DB de desenvolvimento ou sempre) esses componentes da pilha de aplicativos juntos ).