或許您已了解P2V和V2V轉(zhuǎn)化，但是把虛擬機(jī)遷移到云還依然是新領(lǐng)域——尤其是安全相關(guān)部分。通過(guò)獨(dú)立的DMZ設(shè)計(jì)，您可以實(shí)現(xiàn)云內(nèi)的虛擬機(jī)安全。

　　V2C的轉(zhuǎn)化把虛擬機(jī)轉(zhuǎn)化為可以在云內(nèi)進(jìn)行管理的模式。如果把虛擬機(jī)寄宿在獨(dú)立設(shè)計(jì)的DMZ(demilitarized zone)域中，可以極大提高云安全性。在我解釋DMZ如何影響虛擬機(jī)之前，先來(lái)討論一下DMZ的虛擬化起源。

　　DMZ的設(shè)計(jì)和V2C：創(chuàng)建邊界

　　DMZ存在于內(nèi)部局域網(wǎng)之外，把需要對(duì)外共享的資源跟內(nèi)網(wǎng)被保護(hù)數(shù)據(jù)隔離，實(shí)現(xiàn)對(duì)以太網(wǎng)不良信息的過(guò)濾。這種隔離使得數(shù)據(jù)進(jìn)出DMZ域變得困難，尤其是在創(chuàng)建和保護(hù)到內(nèi)部資源的連接方面。

　　同時(shí)，DMZ隔離的方式對(duì)于云內(nèi)的虛擬機(jī)提供了更易于保護(hù)的邊界，極大提高虛擬機(jī)安全性。獨(dú)立的DMZ域就像這些虛擬機(jī)之外的一個(gè)保護(hù)殼一樣。

　　通過(guò)DMZ設(shè)計(jì)改善虛擬機(jī)安全

　　有了隔離的DMZ設(shè)計(jì)，寄宿在云內(nèi)的虛擬機(jī)就和傳統(tǒng)的虛擬架構(gòu)下一樣安全。甚至當(dāng)虛擬機(jī)轉(zhuǎn)化為云模式后，DMZ內(nèi)的虛擬機(jī)所需要的網(wǎng)絡(luò)訪問(wèn)級(jí)別也和之前保持一致。云安全也需要HTTP和HTTPS連接，而且它們所需的保護(hù)方式也完全一致。

　　為保障虛擬機(jī)安全，那些外圍宿主機(jī)需要進(jìn)行額外的網(wǎng)絡(luò)配置。通過(guò)這些配置可以讓虛擬機(jī)連接到局域網(wǎng)內(nèi)部的資源，如數(shù)據(jù)庫(kù)或應(yīng)用服務(wù)器。

　　一些云供應(yīng)商提供了基于硬件或軟件的防火墻，可以嚴(yán)格管控云虛擬機(jī)和周邊IP終端設(shè)備之間的數(shù)據(jù)流。進(jìn)一步保護(hù)可以使用基于LAN的防火墻或反向代理服務(wù)器的方案。更高級(jí)的虛擬機(jī)安全，防火墻軟件可以內(nèi)置到虛擬機(jī)操作系統(tǒng)中，從而在云供應(yīng)商和虛擬化平臺(tái)之外提供額外的保護(hù)層。

　　如果性能需求允許，您還可以在采用虛擬主機(jī)的同時(shí)，把數(shù)據(jù)留在LAN之內(nèi)。經(jīng)過(guò)這樣的安全配置，攻擊者進(jìn)入Web服務(wù)器后獲得的信息很少，還需要進(jìn)一步破解才能訪問(wèn)到內(nèi)部數(shù)據(jù)。

　　把虛擬機(jī)放到云里是由這種業(yè)務(wù)模式的收益所推動(dòng)的，而不是技術(shù)本身。這些優(yōu)勢(shì)我們或許都曾經(jīng)聽(tīng)過(guò)：提高資源利用率、快速甚至是完全自動(dòng)化的服務(wù)器和服務(wù)擴(kuò)展、對(duì)基礎(chǔ)架構(gòu)實(shí)現(xiàn)商品化的定價(jià)提供規(guī)模經(jīng)濟(jì)效益。把虛擬機(jī)放到隔離的同時(shí)又可以聯(lián)網(wǎng)訪問(wèn)的DMZ域內(nèi)的設(shè)計(jì)方法，是在低風(fēng)險(xiǎn)的前提下實(shí)現(xiàn)虛擬主機(jī)收益的第一步，同時(shí)也推動(dòng)了云的虛擬機(jī)安全。