在这种结构中，属于不同安全区的虚拟机被放置在不同的物理虚拟服务器上，非虚拟化资产都使用网络阻塞点进行了物理或者逻辑分割，例如边缘虚拟服务器的虚拟防火墙。

随着虚拟技术的不断发展，你可能发现客户端方面的虚拟化正在越来越流行。客户端虚拟化的途径之一就是创建一个“虚拟桌面基础设施”(VDI)，有很多方法可以实现这一点，其中有个方法就是在虚拟服务器上托管多个不同的虚拟客户端系统，然后用户就可以连接瘦客户端到这些专用客户端虚拟机。这种方法的优势在于“展现虚拟化技术”，这是一种终端服务客户端经验，用户实际连接到虚拟客户端的整个操作系统中，而不是通常所看到的淡化客户端终端服务。

在下图中可以看到，我们添加了第三台虚拟服务器负责托管VDI。安装在这台虚拟服务器的很多客户端系统和拥有瘦客户端系统的用户可以放置在任何地方，因为由于操作系统设在虚拟服务器(而不是在瘦客户端上)上瘦客户端几乎没有任何攻击面。在这个结构中，想象客户端虚拟机上的操作系统被“分流”至瘦客户端上。

为优化这种基础设施的安全性，我们仍然需要靠安全分区。为帮助确保对确定安全区的适当分割，你将需要部署第三台虚拟机来负责VDI并将来自其他安全区的虚拟服务器分离，正如下图所示。同样的，属于不同安全区的资源不能存放在相同虚拟服务器上，而托管属于不同安全区的虚拟机的虚拟服务器需要相互进行物理或者逻辑隔离。

结语

本文中我们审查了评估虚拟环境安全性的重要考虑问题：网络安全分区。在很多虚拟化项目中，管理员将更注重虚拟化架构的设计，而忘记虚拟化本身并不是安全技术，也就是说部署在物理网络的安全架构同样需要在虚拟网络部署。在本文中我们得出的结论是，要想解决虚拟化环境安全问题，首先需要鉴别网络中不同的安全区，然后重新定位位于相同虚拟服务器的相同安全区上的虚拟极其。此外，为避免属于相同虚拟服务器(或者虚拟群集)的不同安全区的虚拟机混淆，我们还指出在不同安全区间执行访问控制的网络安全设备需要防止在适当的位置，这样就不会互相造成影响。展望未来，我们需要认真考虑VDI和其他客户端虚拟化技术以及如何隔离属于高安全区的虚拟客户端资源等问题。