让虚拟化承载安全的IT环境：隔离企业内外网

ZDNet桌面云与虚拟化频道 10月30日 北京报道 （文/李钧） 去年，英特尔和思杰联手推出了客户端虚拟容器这种新的桌面虚拟化模型，今年，双方都更新的对应的产品线，形成了Sandy Bridge与XenClient 2.0的组合。这个新的组合拥有很强的活力，用户可以利用它们创造出各种富有想象力的桌面虚拟化应用场景，下面我们就为网友朋友们介绍客户端虚拟容器的一个非常典型的应用。

英特尔在今年推出了第二代智能酷睿博锐平台，也就是大家俗称的Sandy Bridge，在其中，英特尔集成了很多与虚拟化有关的技术，比如VT-x和VT-d，硬件加速虚拟化的处理能力，并且一定程度上增强安全性，而思杰推出的XenClient 2.0最大程度的发掘了酷睿博锐平台的潜力，共同构建成为客户端虚拟容器的模型。

所谓客户端虚拟容器，实际上是一种Type 1形式的客户端虚拟化，传统模式下，物理硬件层上就是驱动和操作系统层，客户端虚拟容器是跳过操作系统层，在物理硬件层上部署一层虚拟化层，称之为Hypervisor，其作用类似于操作系统，Hypervisor将一个终端虚拟化成为一个容器池，用户可以根据需要从容器池中分配资源建立虚拟机，同时，由于终端被虚拟化成为容器池，物理硬件的差异被消除，企业可以在后端部署大量虚拟机，并且与终端上的虚拟机同步，实现统一的管理和部署分发。

这是一个服务器虚拟化的模型图，但如果我们将Server换成Client，这就是一个桌面虚拟化的模型，最左侧是一个标准的非虚拟化PC模型，中间是Type 1的虚拟化模型，而右侧是Type 2的模型，可以看到，Type 1跳过了OS，也就是操作系统层，让虚拟化的层级减少，提升了平台效率

比如，我们可以在一个终端上分配两个虚拟机，其中一个虚拟机是由终端用户自由支配的，而另外一个虚拟机是由企业服务器推送到终端上，由企业IT进行管理和控制。

当我们的企业有安全性方面的考虑时，我们可以利用这样的桌面虚拟化方案来保障企业数据的安全。

具体的实现逻辑是在终端上配置两个虚拟机，其中一个访问内网，而另外一个访问外网，外网的应用被虚拟化隔离呈现到内网系统上，即便是外网系统被攻陷，对于内网系统的安全也不会造成任何影响。

利用客户端虚拟容器，对于安全性有苛刻要求的企业用户能够很好的实现数据和应用的隔离，将敏感应用和非敏感应用隔离开来，保障整个IT系统的安全。