正在阅读：虚拟化:管理你看不见的钱虚拟化:管理你看不见的钱

　　安全性的技术把握

　　讨论虚拟化的安全性，要把虚拟层（Hypervisor），或称为虚拟化层的安全性与虚拟机的安全性区分开来。HA也好，VMotion也好，都是用来保护虚拟机的安全性，并不针对虚拟化层。

　　对于虚拟层的安全性，梁岩指出，虚拟化层，更准确的说是Hypervisor，作为CPU与OS之间的一层平台，其功能其实比较简单，基本就是一个“翻译”的工作，它不像OS那样复杂，因此出错的可能性非常低，Hypervisor的可靠性不用过多担心。

　　据张振伦介绍， VMware的ESXi Server，其大小仅为32M，它剥离了Services Console，也就是涉及管理和控制一些功能，ESXi将这些管理和控制的功能剥离出来。张振伦表示，之所以剥离这些功能，最主要的原因是因为VMware发现，Services Console比较复杂，经常会涉及补丁和更新，由此导致一些不安全的因素。通过Services Console，ESXi Server的功能更加简单。VMware公司首席渠道系统顾问石峰对此有一个比喻：剥离了Services Console之后，虚拟层就从一架波音777飞机隐身为一架隐形战机，遭受攻击的可能性大大降低，可靠性大为提高。

　　张振伦表示，Services Console剥离之后，作为一个单独的虚拟机，专门用来做管理工作，例如虚拟机安装、参数的配置等等。如此，Services Console就变成了一个类似传统DOS窗口一样的东西，可以开放给第三方，对于要添加一些新功能进行很好的整合。通过剥离Services Console，ESXi的可靠性大大提高。“这是针对VMware的ESXi Server而言，对于其他虚拟化软件方案，用户还需要认真地分析和比较。”张振伦说。

　　VMotion仅仅适于在线维护

　　总有人把VMotion的功能与虚拟机的可靠性联系起来，认为通过VMotion可以提升虚拟机的可靠性，因此也就有了虚拟机较之物理服务器可以提供更高可靠性的结论。

　　这一结论并不准确。Novell高级系统工程师杨英宏指出，VMotion最主要的问题是触发，往往需要人工来触发，这就使得VMotion更大价值体现在在线维护，通过VMotion，用户不需要中断服务，将应用迁移到另外一台虚拟机服务器，然后对需要升级或者打补丁的服务器进行维护，完成之后，在把应用迁移回来。

　　对于虚拟机的可靠性，是通过HA软件或者集群软件来保证的，这一点与物理服务器没有什么区别，也就是我们最为熟悉的服务器双机方案。这一点并不应为虚拟化而有所改变。与物理机方案相比，虚拟化最大的价值在于充分发挥CPU的计算资源。据张振伦介绍，虚拟化具有精确的资源调度模式，对CPU资源的划分，它基于三个关键参数：Reservation(保留值)、Limit(最大值)、Share(权重)。其中，保留值是某个虚拟机获得的最小CPU资源，也是维持该虚拟机正常启动的最小资源单位；最大值是虚拟机能够获得的最大CPU资源；而权重是发生CPU资源竞争时该虚拟机争夺资源时的优先级。

　　通常只需要为每个虚拟机分配合理的最小资源保留值，其余的资源基于权重进行竞争，如此就可以确保资源的有效利用。通过这样的一种设计，虚拟化分配给虚拟机的是保留值的资源，只有位于保留值的CPU资源才是该虚拟机真正独占的，其余的资源都是共享的，某个虚拟机根据需要进行申请使用，不用时还到资源池中。