如果你选择使用vShield Zones，那么你应该注意到了它的使用局限；例如，它没有产品VMware Data Recovery那样好，新接触vSphere的管理员将需要具备许多领域的技巧。在本文中，TechTarget中国的特约虚拟化专家Eric Siebert将列出目前为止所发现的技巧，以便你轻松使用目前版本的vSphere。

　　这是vShield Zones系列文章的最后一部分。如果你一路追随，应该知道我们第一部分概述了vShield Zones，第二部分讲安装和配置vShield Zones。

　　VMware Tools

　　vSphere Client将报告VMware Tools没有安装在vShield Manager和代理虚拟机上。不要尝试在这些虚拟机上安装VMware Tools，因为没有必要，并且VMware Tools提供的性能优化已经内置在vShield Zones虚拟机里。

　　内存与CPU预留

　　代理不是真正的有特权的虚拟机，但是应该看成是。虽然默认下它们有内存预留，但不是用于CPU。考虑使用共享或预留保证代理的CPU资源。

　　VMkernel与服务控制台

　　VShield Zones的建立用于保护虚拟机，不是VMkernel与服务控制台。不要在服务控制台或VMkernel vSwitch上安装代理。

　　预安装的网络接口卡

　　不要从vShield Manager或者代理虚拟机移除预安装的网络接口卡（NIC）。如果你要在vShield代理上移除并添加NIC，必须卸载vShield Zones代理并重新安装。如果你从vShield Manager移除NIC，可能必须重新安装整个vShield Zones以确保vShield代理和vShield Manager之间的通信。不要重新配置硬件或减少分配给vShield Zones Manager或代理虚拟机的资源，因为它们已经被vCenter Server优化。

　　VMotion

　　由vShield保护的虚拟机受VMotion的支持，不过你首先必须确保在主机上拥有代理移动虚拟机，并且你的端口组有相应的配置。默认下你不能VMotion一台连接到内部（不是NIC）vSwitch的虚拟机，因此你必须通过编辑vpxd.cfg文件并添加VMOnVirtualIntranet参数配置vCenter Server允许这样做（更多细节参见vShield Zones管理员指导附录）。

　　VMotion不支持vShield代理，但是支持vShield Manager。你不想vShield代理移到其他主机，因此确保禁用单个vShield代理虚拟机上的Distributed Resource Scheduler和High Availability (HA)功能。你不能在主机上使用运行vShield代理的Data Protection Manager（更多细节参见vShield使用注意事项）。

　　本地与共享磁盘

　　vShield Manager和代理虚拟机能安装到本地磁盘或者共享磁盘。尽可能安装在共享磁盘，这样能平衡VMotion和HA。由于代理不能从主机移动，最好安装到本地磁盘。

　　VSwitch

　　当部署vShield代理时，你的虚拟机不会崩溃，因为它们从一个vSwitch移动到了另一个。在我的测试环境中，当在代理部署操作期间持续在虚拟机上ping时，只看见一个没有响应。

　　DMZ

　　当在主机上设计DMZ环境时，VShield Zones提供了更多选项和保护。即将发布的VMware白皮书将包含架构选项，你可以在进行DMZ配置使用vShield Zones的时候用到。

　　更多技巧请点击下半部分。