虚拟化为什么更安全？

新警察

现在虚拟化很火，但是我想知道虚拟化问什么安全，于是去google，但是得到的结果都是说虚拟化有多么重要的，没有一个是说明虚拟化为什么更安全的，我郁闷死了在下的疑问是，一个机器上运行着很多虚拟机，如果这台机器出了问题〔比如硬件问题或者因为软件漏洞被黑客攻陷了〕，那么虚拟机里运行的服务程序不就都挂了吗？这不就是把鸡蛋都放在一个篮子里吗？那么安全性究竟体现在哪里呢？在下很困惑，求高人解答

ruconse

不知道你是从哪里听说虚拟化会更安全呢？ 个人感觉虚拟化的优势并不是在安全上，而是在节约成本上。至于你考虑到的，物理服务器当机会影响到服务，其实虚拟化里面可以结合HA技术来解决这一潜在风险。主流的虚拟化管理平台都可以提供虚拟机HA技术，当一台虚拟机或者整个物理服务器当机之后，管理端将会自动在另外一台物理服务器上启动这一虚拟机，当然如果你只有一台物理服务器那就没办法了！

qwert3399

个人理解是，并不是一台物理机运行多个虚拟机，是多台机器组成的集群，不关心一台虚拟机具体运行在哪个物理机上，如果真的就那个物理机出现故障，虚拟机可以通过HA自动迁移到另外一台物理机上。如果只有一台物理机就不能叫集群了吧，汗。。。

emmoblin

虚拟化和集群是两个概念吧。
虚拟化好像就是虚拟机的意思。主要用于节约成本，没什么太大用处。

chenyx

虚拟化相对于现在的web虚拟网站的方式,安全性好点

accessory

我发现LZ挖坑的水平还是很高的，呵呵。我又跳了。

虚拟化的安全可以从下面一个角度来解释：
比如一个提供个人主页的网站，给每个用户一个帐户去建自己的主页。最简单的做法是在一台LINUX OR UNIX物理机器上给每一个交钱的用户普通用户权限。这样他就只可以改自己的主页，而没法改其他人的。
但是LINUX时不时有些漏洞，允许普通用户获得ROOT权限。上面的做法就不安全了。
更好一点的做法是用CHROOT. 但是CHROOT也有漏洞。
再高级一点的做法是用OPENVZ, VSERVER之类的 CONTAINER。这其实已经类似虚拟机了。但是OPENVZ之类的，所有的CONTAINER共享一个KERNEL。所以如果KERNEL出事，那么还是有问题。
再高级一点的做法就是每个用户一个XEN VM。这样，黑客就要攻破2个KERNEL才行，假设他是从VM里面开始干坏事。所以说黑客攻击起来更费事了，也就是更安去了。

最后，你说的那种如果VMM OR HYPERVISOR 被黑掉的情况是有可能的，这种情况下，如果只有一台机器，那么安全性可以说更差。

其实所有的安全方案都有一个THREAT MODEL。所谓的更加安全都是针对THREAT MDOEL来说的。而且都有一些假设。一般的假设是，VMM 或者 HYPERVISOR比OS安全。但是如果不是的话，那么把所有的虚拟机放在一个VMM上就是更不安全了。

至于为啥说一般VMM, HYPERVISOR 比OS安全，当作课后作业，大家来讨论下吧。呵呵

yuanhanglinux

如VMWARE ESX企业版是可以实现多机上虚拟机自动迁移，自动负载均衡的，当一台机器故障时，是可以自动迁移到另外一台机器的，当一台机器负载大了上面的虚拟机可以自动迁移到另外的机器上跑，并且业务不停止。这是基于共享存储的。

jordie

HA自动迁移

saiman

虚拟化本来优势就不是安全。

而且我个人认为，“虚拟化”从广义上来讲，还不光是一台硬件服务器虚拟出多台服务器操作系统环境，还应该包括类似于“云”这样的构架。总之“虚”是和“实”对应的，“实”一般是一台硬件做一个操作系统环境来使用，不“实”的，不管是一对多，还是多对一，就都是“虚”的了。

lang_net

虚拟化和安全好像没啥关系吧！

我认为虚拟化对这个社会最大的作用还是节省资源，现在流行低碳经济嘛！

而且虚拟化也有其适用范围。
如果一台机器能忙的过来，就可以让他一个人干两个或多个人的活，如果他忙不过来，你再给他加活
他会崩溃的。

至于安全，我认为就是忽悠。