或許您已了解P2V和V2V轉(zhuǎn)化，但是把虛擬機遷移到云還依然是新領(lǐng)域——尤其是安全相關(guān)部分。通過獨立的DMZ設(shè)計，您可以實現(xiàn)云內(nèi)的虛擬機安全。

　　V2C的轉(zhuǎn)化把虛擬機轉(zhuǎn)化為可以在云內(nèi)進行管理的模式。如果把虛擬機寄宿在獨立設(shè)計的DMZ(demilitarized zone)域中，可以極大提高云安全性。在我解釋DMZ如何影響虛擬機之前，先來討論一下DMZ的虛擬化起源。

　　DMZ的設(shè)計和V2C：創(chuàng)建邊界

　　DMZ存在于內(nèi)部局域網(wǎng)之外，把需要對外共享的資源跟內(nèi)網(wǎng)被保護數(shù)據(jù)隔離，實現(xiàn)對以太網(wǎng)不良信息的過濾。這種隔離使得數(shù)據(jù)進出DMZ域變得困難，尤其是在創(chuàng)建和保護到內(nèi)部資源的連接方面。

　　同時，DMZ隔離的方式對于云內(nèi)的虛擬機提供了更易于保護的邊界，極大提高虛擬機安全性。獨立的DMZ域就像這些虛擬機之外的一個保護殼一樣。

　　通過DMZ設(shè)計改善虛擬機安全

　　有了隔離的DMZ設(shè)計，寄宿在云內(nèi)的虛擬機就和傳統(tǒng)的虛擬架構(gòu)下一樣安全。甚至當(dāng)虛擬機轉(zhuǎn)化為云模式后，DMZ內(nèi)的虛擬機所需要的網(wǎng)絡(luò)訪問級別也和之前保持一致。云安全也需要HTTP和HTTPS連接，而且它們所需的保護方式也完全一致。

　　為保障虛擬機安全，那些外圍宿主機需要進行額外的網(wǎng)絡(luò)配置。通過這些配置可以讓虛擬機連接到局域網(wǎng)內(nèi)部的資源，如數(shù)據(jù)庫或應(yīng)用服務(wù)器。

　　一些云供應(yīng)商提供了基于硬件或軟件的防火墻，可以嚴(yán)格管控云虛擬機和周邊IP終端設(shè)備之間的數(shù)據(jù)流。進一步保護可以使用基于LAN的防火墻或反向代理服務(wù)器的方案。更高級的虛擬機安全，防火墻軟件可以內(nèi)置到虛擬機操作系統(tǒng)中，從而在云供應(yīng)商和虛擬化平臺之外提供額外的保護層。

　　如果性能需求允許，您還可以在采用虛擬主機的同時，把數(shù)據(jù)留在LAN之內(nèi)。經(jīng)過這樣的安全配置，攻擊者進入Web服務(wù)器后獲得的信息很少，還需要進一步破解才能訪問到內(nèi)部數(shù)據(jù)。

　　把虛擬機放到云里是由這種業(yè)務(wù)模式的收益所推動的，而不是技術(shù)本身。這些優(yōu)勢我們或許都曾經(jīng)聽過：提高資源利用率、快速甚至是完全自動化的服務(wù)器和服務(wù)擴展、對基礎(chǔ)架構(gòu)實現(xiàn)商品化的定價提供規(guī)模經(jīng)濟效益。把虛擬機放到隔離的同時又可以聯(lián)網(wǎng)訪問的DMZ域內(nèi)的設(shè)計方法，是在低風(fēng)險的前提下實現(xiàn)虛擬主機收益的第一步，同時也推動了云的虛擬機安全。