雖然VMware vSphere 4版本已經(jīng)集成了VMware VMsafe，但是對于多數(shù)人來說，并不熟悉如何正確地部署VMsafe。VMsafe是一個應(yīng)用程序接口，保護運行在虛擬機上的應(yīng)用。

盡管VMsafe(如思科的Nexus 1000V虛擬交換機)產(chǎn)品并不太多，但是為了能達到最佳的虛擬化安全、效率和性能，在您部署一款產(chǎn)品之前，需要了解清楚如何把這種虛擬機應(yīng)用保護程序整合到您的數(shù)據(jù)中心環(huán)境中。

本文討論在數(shù)據(jù)中心部署VMware VMsafe需要考慮的問題：VMsafe-aware虛擬程序的位置、程序?qū)χ鳈C的影響以及交互性問題。

Faster Path和Slow Path

VMsafe應(yīng)用有兩種實現(xiàn)方式：第一種被稱為Faster Path，通過在VMware vSphere ESX 4主機系統(tǒng)上安裝一個vmkernel驅(qū)動實現(xiàn)。Fast Path方式的優(yōu)點非常多。但它僅僅是一個驅(qū)動，此外經(jīng)常被用來轉(zhuǎn)發(fā)必要的信息給虛擬程序;第二種是組合虛擬程序和vmkernel驅(qū)動的方式，被稱為Slow Path。

因為多數(shù)VMsafe應(yīng)用程序會使用虛擬設(shè)備，所以把這些程序放置在數(shù)據(jù)中心的哪里就變得很重要。從安全的角度出發(fā)，充分考慮VMsafe程序的作用及其對虛擬化數(shù)據(jù)中心的影響成為關(guān)鍵因素。VMsafe虛擬程序具備直接訪問處于虛擬化管理程序(hypervisor)中數(shù)據(jù)的能力,包括讀寫內(nèi)存、存儲和訪問網(wǎng)絡(luò)設(shè)備。在一些情況下，VMsafe虛擬程序甚至可以改變從內(nèi)存、存儲設(shè)備或網(wǎng)絡(luò)讀取的數(shù)據(jù)。

這種訪問存在重大的安全隱患。如果虛擬設(shè)備處于危險的環(huán)境中，如隔離區(qū)(DMZ)或可以直接訪問Internet的環(huán)境，那么它就非常容易被攻擊。一次成功的侵入將會對您的虛擬化數(shù)據(jù)中心造成災(zāi)難性的破壞。

在使用VMsafe虛擬設(shè)備前首先要考慮的問題是，VMware vSphere不會自動保護虛擬設(shè)備，而是把這個任務(wù)留給用戶和供應(yīng)商，當供應(yīng)商完善了自身的工作之后，VMsafe虛擬設(shè)備的安全就成為用戶的職責。

這里提供一些基本的準則：

不要把VMsafe設(shè)備安裝在隔離區(qū)(DMZ)

不要賦予它們直接訪問Internet的能力，設(shè)置成通過代理服務(wù)訪問

不要安裝在虛擬機網(wǎng)絡(luò)層

不要安裝在服務(wù)管理層和IP存儲層

不要安裝在VMware VMtion或Fault Tolerance Logging網(wǎng)絡(luò)層

那么，在什么地方安裝虛擬設(shè)備呢?

安裝在防火墻保護的安全區(qū)域內(nèi)，安全區(qū)可以是虛擬管理網(wǎng)絡(luò)層的一部分，或者在一個單獨安全區(qū)域。

伴隨著VMsafe，VMware在虛擬網(wǎng)絡(luò)層中強化了另外一種有效的安全區(qū)域：相比早期的VM Infrastructure3(VI3)中的四個，在全功能的Enterprise或Enterprise Plus版本的 VMware vSphere ESX主機自帶有六個基本的安全區(qū)域。這樣就增加了更多讓人可以放心選擇的虛擬網(wǎng)絡(luò)。

在VI3中，通常認為VMotion和服務(wù)器控制臺可以共享同一個uplink(上行鏈路)，現(xiàn)在我們可以考慮是不是讓VMsafe也共享這塊區(qū)域。或者應(yīng)該把service Console跟VMsafe、VMotion以及Fault Tolerance Logging整合起來。答案是：這些都主要取決于用戶的應(yīng)用環(huán)境和性能方面要求。

VMsafe對虛擬機性能的影響

從功能方面分析，VMsafe設(shè)備能是資源密集型虛擬機。例如，如果你想做全面的深度包檢測或內(nèi)存分析時，VMsafe應(yīng)用性能開銷是很大的。換句話說，這個進程將影響整個ESX4主系統(tǒng)上的所有的虛擬機性能。全面的深度包檢測和內(nèi)存分析對CPU的占用率也是很高的。

最后一點需要考慮的是不同廠商VMsafe Vmkerner驅(qū)動之間的交互問題。如果您計劃使用多種VMsafe產(chǎn)品，就需要驗證和測試各種vmkernel驅(qū)動間的互操作性問題。VMware不會對這些交互的過程做測試，虛擬程序的供應(yīng)商可能也不會做。考慮到這是一種第三方的vmkernel驅(qū)動，廠商會有一些兼容性方面的考量。

當您開始部署VMsafe設(shè)備的時候，就需要小心了(Cisco Nexus 1000V也是VMsafe應(yīng)用)。您需要：考慮在什么位置安裝VMsafe虛擬程序;考慮虛擬設(shè)備可能對您的ESX4主機造成的影響;最后，考慮互操作性問題。在您的生產(chǎn)虛擬主機部署VMsafe之前，您還需要首先完成相應(yīng)的計劃、測試和評估工作。