【TechTarget中国原创】单虚拟化管理程序本身而言，就像一台没有方向盘的汽车，它是无法自动导航的。管理程序可以规划物理资源的分配，但也需要一些管理机制的配合。现在的虚拟化技术通过虚拟机分区来整合管理任务、提供辅助功能以及其它一些相关内容。对于虚拟机分区而言有两种不同的方式：操作系统的完整实例或是最小化模式。

　　操作系统的完整实例。微软的Hyper-V以及VMware的ESX（这中分法是存在争议的）使用了第一种实现方式，从本质上看它们都采用了一个完整的操作系统实例来执行管理任务。在Hyper-V中，这一分区是一个完整的Windows Server 2008系统。而在ESX下，管理分区是一个修改过的Red Hat Linux。

　　这些管理分区都受益于操作系统本身所集成的功能特性。在ESX中，您可以使用大多数Red Hat Linux系统中的常用命令来完成服务器的管理。而Hyper-V的管理也可以通过Windows服务器实现。

　　这些分区同时也为兼容一些附加功能提供了很好的扩展性。例如，您公司安全策略要求在每台服务器上都安装反恶意攻击软件，这时您就需要该服务器的分区作为软件的安装目标地点。这种情况也会出现在一些需要安装客户端代理的第三方虚拟化产品上。如果没有操作系统的存在，也就没有地方可以用来安装客户端代理程序。

　　最小化操作系统分区。对于第二种实现方式而言，虽然微软的Hyper-V Server（运行于Windows Server内核之上）也属于这一阵营，但最典型的例子还是VMware的ESXi。在这种架构下，管理分区仅仅是一个受到多种限制的专属操作界面。即使您从来没有运行过ESXi虚拟机，您也应该对它异常精简的界面感到很熟悉。借助VMware的ESXi管理分区，您可以更改密码和网络设定，如果想做更多其它操作就无法支持了。在Hyper-V Server模式下，您可以安装一些软件，但是这个精简版的操作系统内核本身,对于很多软件而言无法实现完全正确的安装。

　　第二种实现方式表面上看起来非常的简便，在只需完成少量的配置条件下，它是非常易于实现对管理程序的管理的。但是最小化操作系统分区也增加了虚拟机环境的风险，由于无法安装和运行其它的一些相关产品，因此无法实现管理的更加简单和有效。

　　这一行业的特点也进一步突出了这两种不同实现方式上本身的矛盾性。ESXi的这种仅支持几乎零管理状态的分区,事实上也避免了遭受多种外部攻击的可能性。如果在虚拟主机上没有传统操作系统的支持，也就不会导致遭受外部攻击。但同时，没有传统操作系统的环境，管理程序本身也就阻碍了外部的一些相关产品和它产生交互的可能性。

　　在另一方面，完整实例操作系统方式同时也开放了外部攻击的端口。ESX管理分区从技术上看就是一个经过修改的Red Hat Enterprise Linux Version 3，根据Secunia.org公司的报告显示，在2004到2009年期间，在这一操作系统平台上总计发现了1286个漏洞，平均每年有214个。同一时间内，从2008年开始上市的Microsoft Windows Server 2008操作系统，在2008年和2009年间总计发现了69个安全漏洞，大约平均到34个/每年。

　　事实上，在一个操作系统中的任何附件功能同时也增加了受攻击的可能性。这也就是为什么虚拟化供应商，如VMware和微软，都已经发布了大量的补丁产品用于他们自身的操作系统和相关服务的升级。

　　在大家争辩关于管理分区应该着重于增加其功能还是加强其安全性的时候，我们可以说这两种方式都是相同的。每种对管理分区的新功能特性的需求，都会引入一些新的特性，而这也同时是新风险的所在。关于这个问题的结论，应该由每个管理员来决定怎样才是管理这些风险的最佳方式。