雖然VMware vSphere 4版本已經(jīng)集成了VMware VMsafe，但是對(duì)于多數(shù)人來(lái)說(shuō)，并不熟悉如何正確地部署VMsafe。VMsafe是一個(gè)應(yīng)用程序接口，保護(hù)運(yùn)行在虛擬機(jī)上的應(yīng)用。

盡管VMsafe（如思科的Nexus 1000V虛擬交換機(jī)）產(chǎn)品并不太多，但是為了能達(dá)到最佳的虛擬化安全、效率和性能，在您部署一款產(chǎn)品之前，需要了解清楚如何把這種虛擬機(jī)應(yīng)用保護(hù)程序整合到您的數(shù)據(jù)中心環(huán)境中。

本文討論在數(shù)據(jù)中心部署VMware VMsafe需要考慮的問(wèn)題：VMsafe-aware虛擬程序的位置、程序?qū)χ鳈C(jī)的影響以及交互性問(wèn)題。

Faster Path和Slow Path

VMsafe應(yīng)用有兩種實(shí)現(xiàn)方式：第一種被稱(chēng)為Faster Path，通過(guò)在VMware vSphere ESX 4主機(jī)系統(tǒng)上安裝一個(gè)vmkernel驅(qū)動(dòng)實(shí)現(xiàn)。Fast Path方式的優(yōu)點(diǎn)非常多。但它僅僅是一個(gè)驅(qū)動(dòng)，此外經(jīng)常被用來(lái)轉(zhuǎn)發(fā)必要的信息給虛擬程序；第二種是組合虛擬程序和vmkernel驅(qū)動(dòng)的方式，被稱(chēng)為Slow Path。

因?yàn)槎鄶?shù)VMsafe應(yīng)用程序會(huì)使用虛擬設(shè)備，所以把這些程序放置在數(shù)據(jù)中心的哪里就變得很重要。從安全的角度出發(fā)，充分考慮VMsafe程序的作用及其對(duì)虛擬化數(shù)據(jù)中心的影響成為關(guān)鍵因素。VMsafe虛擬程序具備直接訪問(wèn)處于虛擬化管理程序（hypervisor）中數(shù)據(jù)的能力,包括讀寫(xiě)內(nèi)存、存儲(chǔ)和訪問(wèn)網(wǎng)絡(luò)設(shè)備。在一些情況下，VMsafe虛擬程序甚至可以改變從內(nèi)存、存儲(chǔ)設(shè)備或網(wǎng)絡(luò)讀取的數(shù)據(jù)。

這種訪問(wèn)存在重大的安全隱患。如果虛擬設(shè)備處于危險(xiǎn)的環(huán)境中，如隔離區(qū)（DMZ）或可以直接訪問(wèn)Internet的環(huán)境，那么它就非常容易被攻擊。一次成功的侵入將會(huì)對(duì)您的虛擬化數(shù)據(jù)中心造成災(zāi)難性的破壞。

在使用VMsafe虛擬設(shè)備前首先要考慮的問(wèn)題是，VMware vSphere不會(huì)自動(dòng)保護(hù)虛擬設(shè)備，而是把這個(gè)任務(wù)留給用戶(hù)和供應(yīng)商，當(dāng)供應(yīng)商完善了自身的工作之后，VMsafe虛擬設(shè)備的安全就成為用戶(hù)的職責(zé)。

這里提供一些基本的準(zhǔn)則：

不要把VMsafe設(shè)備安裝在隔離區(qū)（DMZ）
不要賦予它們直接訪問(wèn)Internet的能力，設(shè)置成通過(guò)代理服務(wù)訪問(wèn)
不要安裝在虛擬機(jī)網(wǎng)絡(luò)層
不要安裝在服務(wù)管理層和IP存儲(chǔ)層
不要安裝在VMware VMtion或Fault Tolerance Logging網(wǎng)絡(luò)層
那么，在什么地方安裝虛擬設(shè)備呢？

安裝在防火墻保護(hù)的安全區(qū)域內(nèi)，安全區(qū)可以是虛擬管理網(wǎng)絡(luò)層的一部分，或者在一個(gè)單獨(dú)安全區(qū)域。
伴隨著VMsafe，VMware在虛擬網(wǎng)絡(luò)層中強(qiáng)化了另外一種有效的安全區(qū)域：相比早期的VM Infrastructure3（VI3）中的四個(gè)，在全功能的Enterprise或Enterprise Plus版本的 VMware vSphere ESX主機(jī)自帶有六個(gè)基本的安全區(qū)域。這樣就增加了更多讓人可以放心選擇的虛擬網(wǎng)絡(luò)。

在VI3中，通常認(rèn)為VMotion和服務(wù)器控制臺(tái)可以共享同一個(gè)uplink（上行鏈路），現(xiàn)在我們可以考慮是不是讓VMsafe也共享這塊區(qū)域。或者應(yīng)該把service Console跟VMsafe、VMotion以及Fault Tolerance Logging整合起來(lái)。答案是：這些都主要取決于用戶(hù)的應(yīng)用環(huán)境和性能方面要求。

VMsafe對(duì)虛擬機(jī)性能的影響

從功能方面分析，VMsafe設(shè)備能是資源密集型虛擬機(jī)。例如，如果你想做全面的深度包檢測(cè)或內(nèi)存分析時(shí)，VMsafe應(yīng)用性能開(kāi)銷(xiāo)是很大的。換句話(huà)說(shuō)，這個(gè)進(jìn)程將影響整個(gè)ESX4主系統(tǒng)上的所有的虛擬機(jī)性能。全面的深度包檢測(cè)和內(nèi)存分析對(duì)CPU的占用率也是很高的。

最后一點(diǎn)需要考慮的是不同廠商VMsafe Vmkerner驅(qū)動(dòng)之間的交互問(wèn)題。如果您計(jì)劃使用多種VMsafe產(chǎn)品，就需要驗(yàn)證和測(cè)試各種vmkernel驅(qū)動(dòng)間的互操作性問(wèn)題。VMware不會(huì)對(duì)這些交互的過(guò)程做測(cè)試，虛擬程序的供應(yīng)商可能也不會(huì)做。考慮到這是一種第三方的vmkernel驅(qū)動(dòng)，廠商會(huì)有一些兼容性方面的考量。

當(dāng)您開(kāi)始部署VMsafe設(shè)備的時(shí)候，就需要小心了（Cisco Nexus 1000V也是VMsafe應(yīng)用）。您需要：考慮在什么位置安裝VMsafe虛擬程序；考慮虛擬設(shè)備可能對(duì)您的ESX4主機(jī)造成的影響；最后，考慮互操作性問(wèn)題。在您的生產(chǎn)虛擬主機(jī)部署VMsafe之前，您還需要首先完成相應(yīng)的計(jì)劃、測(cè)試和評(píng)估工作。

關(guān)鍵字：數(shù)據(jù)中心、部署、VMsafe