虚拟化和云核算都是时下最抢手的论题，后者需求依赖于前者。咱们能够运用客户端和服务器虚拟化技能来建立虚拟化环境，以此减小数据中心和客户端规划，也能够整合客户端和服务器来下降能耗需求，还能够从多个物理机器将服务器移至虚拟化环境上以处理机架空间问题。虚拟化是成功的，由于虚拟化协助咱们处理了许多问题。

但是，还有一个方面是虚拟化没有处理的，那便是安全问题。虚拟化技能自身并不是安全技能。事实上，虚拟化的安全问题能够反映出物理环境的安全问题。安全问题在虚拟化环境中变得越来越重要，由于安全问题将对虚拟化环境形成很严重影响。

正因如此，咱们需求仔细考虑虚拟化环境中心安全概念以及相关布置问题。在一切网络(尤其是虚拟客户端和服务器网络)中都适用的一个重要概念便是：安全分区。安全区调集了承担着一起安全危险或许安全要挟的资源，有几种办法能够概括安全区的特色：

相同安全区的一切成员都承担着一起的安全危险

相同安全区的一切成员关于企业有着类似的价值，高价值财物不行能与低价值财物坐落同一安全区

面向互联网的主机一般与面向非互联网的主机坐落不同安全区

一个安全区遭到损坏并不会影响其他安全区，受损坏的安全区应该是阻隔的，不会对其他区形成任何影响

安全区有必要经过物理或许逻辑方法进行切割，有必要运用拜访操控设备或许软件来操控用户对不同安全区的拜访权。能够运用防火墙来创立物理切割，或许运用先进软件方法(如Ipsec)来创立虚拟网络切割。

在虚拟化环境和物理环境中都应该进行安全分区和安全切割，例如能够将安全区依照以下三种简略分区进行切割：

互联网边际安全区

客户端体系安全区

网络服务安全区

下图显现的是一个简略的服务器整合，首要侧重于虚拟化项目。这个结构中有一个虚拟服务器，该虚拟服务器操控着防火墙、域操控器、邮件服务器以及文件服务器。这些虚拟机都连接到相同的物理网络中(就像客户端体系相同)。

这其实是一个很糟糕的安全形式，原因如下：

面向互联网的虚拟机与网络服务虚拟机坐落同一个虚拟服务器上，互联网防火墙虚拟机出现问题时，将会对网络服务机器形成负面影响，而网络服务器归于不同安全区。

客户端体系与网络服务虚拟机坐落相同的物理网络，客户端体系出现问题时，将会对虚拟化环境形成不良影响。客户端体系应该与网络服务虚拟机进行切割，放置在不同的安全区。

这是一个简略服务器整合项目的常见规划，从安全观念来看，这是个很糟糕的规划。让咱们看看能够怎样改进这种情况：

下图展现的是比图1更好的虚拟化环境安全装备，在这个规划中，添加了第二台虚拟服务器。***台虚拟服务器只操控边际安全设备，这能有用切割面向互联网的防火墙与面向非互联网的主机，然后成功地将防火墙安全区从网络服务安全区中切割出来。不论虚拟防火墙仍是在虚拟服务器上运转的防火墙遭到损坏，坐落第二台虚拟服务器上的虚拟机器都不会遭到太大负面影响。

第二台虚拟机仅操控着归于网络服务安全区的虚拟机，不过，客户端体系依然与网络服务虚拟机坐落相同物理网络中。这不是一个***装备方法，由于假如客户端体系安全区产生毛病，这些安全区之间没有拜访操控或许安全设备能够约束毛病形成的潜在影响。

尽管这种虚拟化环境的安全规划优于***种规划，不过仍是有许多当地能够进行改进的，以发明更安全的装备。

【修改引荐】

1. HP-UX 六大虚拟化技能之“分区”
2. 教程：虚拟化与分区的本质区别是什么
3. 处理无法装置VMWARE Tools的问题