【TechTarget中国原创】在虚拟化领域里，经常有关于如何跨主机平衡虚拟机工作负载的大量讨论。通常这需要在性能和政策方面改进而不是安全。不过，为了提升安全和性能，跨虚拟化主机平衡工作负载很重要。在本文中，TechTarget中国的特约虚拟化专家Edward L. Haletky将介绍在通用安全区域平衡工作负载的方法，以及这些方法如何提升虚拟机的安全和性能。

　　使用VLAN最大化主机利用率
　
　　虚拟化的目的是尽可能多的使用主机的功能。对于虚拟化主机，一些公司限定40%的使用率。但是通常，这个准则是使用到高达80%，包括磁盘、网络、CPU和内存。有许多方式可以达到这个数字。有一种是让来自开发、测试和生产的虚拟机运行在相同设置的虚拟化主机上。

　　不过当你平衡你的工作负荷时，需要关注另一个问题：在数据中心跨主机总线适配器或者跨基于IP网络，你有多少数据混合。当你使用虚拟局域网（VLAN）、N_Port ID Virtualization（NPIV）或者相同的HBA在两个或更多安全区访问数据时就会发生数据混合。

　　没有VLAN时平衡工作负荷

　　一些政府机构和公司不需要数据混合。这些组织不使用VLAN或NPIV，相反，他们在拥有独立物理网络接口卡（pNIC）、物理交换机和HBA的单个虚拟化主机里平衡工作负荷。这不是常见的方法，因为增加了成本，但是能用。

　　有时候不是用VLAN是有原因的。例如，如果物理交换机崩溃，从一个虚拟局域网来的流量出现在另一个里，允许数据跨过安全区。这不是理论上的问题，每次物理交换机出现问题时就会发生这样的情况。

　　随着VLAN或专有物理NIC的流行，可以处理不同的安全区，并且先前提到的物理交换机问题，可以有一台ESX主机从不同安全区服务虚拟机。尽管能增加服务器的总体利用率接近80%，需要购买额外的硬件，如物理交换机、物理NIC和HBA。由于组织通常需要额外的硬件，他们使用VLAN代替。

　　通过警戒阻止数据泄露

　　除了硬件，平衡虚拟机工作负荷需要增加的管理警戒，阻止数据从崩溃的物理交换机泄露，还可以阻止管理员将虚拟机放置在不合适的安全区。不过，目前市场上很少有工具能控制这些问题，Catbird的V-Security和Reflex Systems的Virtual Security Appliance通过拒绝访问出现在错误安全区的虚拟机，这有助于网络安全。这两个工具专用于VMware，其他在开发的工具可用于其他虚拟化主机。

　　总之，通过集合相同设置的虚拟化主机里的安全区，确保平衡你的工作负荷。同样，除非你准备增加你的管理警戒，否则不要混合安全区。