VMware安全产品vShield共包括vShield Zones、vShield App、vShield Edge、vShield Endpoint以及VShield Manager共五个套件，为虚拟数据中心安全架构提供了端到端的私有云安全保护。

　　vShield Zones本质上是一个设计来保护虚拟机和分析虚拟网络流量的虚拟防火墙，它作为一个可加载的内核模块和虚拟设备部署在主机上。

使用升级许可密钥后，可以将vShield Zones升级为vShield App，vShield App在vShield Zones的基础上增加了额外的虚拟网络安全。

vShield Edge对虚拟数据中心的边缘提供安全服务，通过安全和网关服务实现对虚拟机的隔离，提供控制区、外网VPN和参数保护等功能实现对多租户云应用环境的支持。

vShield Endpoint去除了每个虚拟机中的反病毒代理，将反病毒的功能交给由反病毒厂商提供的安全VM处理。但目前仅支持Windows操作系统。

　　vShield Manager用于管理vCenter Server整个基础架构及vShield组件；

　　vShield虚拟数据中心安全架构

　　在基于VMware vSphere构建的虚拟数据中心部署vShield安全产品共包括以下四个步骤：

　　下载vShield评估版本

　　在VMware官方网站注册并登录后，可下载vShield 60天的评估版本。如下图所示，文件格式为OVA，包括了vShield Manager、vShield Edge、vShield App 以及 vShield Endpoint，其中vShield Manager 用于管理vShield App、Endpoint以及Edge。

　　登录vSphere Client安装vShield Manager

　　登录vSphere Client后，选择文件—>部署OVF模板，定位到下载到的文件VMware-vShield-Manager-4.1.0-310451.ova—>接受许可协议—>保持vShield Manager默认名称，接着选择vShield Manager虚拟机所在的物理主机、数据存储、管理网络。vShield Manager支持高可用性以及分布式资源调度，为确保vShield Manager的高可用性，需要将其部署在共享数据存储上；为保证安全，建议将vShield Manager放在单独的管理网络中，最后选择完成开始安装部署。

　　配置vShield Manager

　　部署完成后，将创建一个名为vShield Manager的虚拟机，启动该虚拟机。整个配置过程如下图所示：输入用户名、密码（admin/default）登录。输入enable进入使能模式，默认密码也是default。输入setup命令，然后输入必需的网络信息，然后退出并重新登录使更改生效。通过ping默认网关测试网络连通性。

　　打开IE浏览器，输入vShield Manager虚拟机的IP地址，如下图所示，在登录界面输入用户名、密码（admin/default），进入vShield Manager管理界面。

　　在配置选项卡上输入vCenter服务器信息，进行vShield Manager和vCenter服务器的信息同步。这个过程可能会持续几分钟。同步完成后可以在页面左侧看到数据中心的拓扑情况。
将vShield Manager注册为vSphere Plug-in，这样直接在vSphere Client中集成配置vShield Manager。点击“Register”按钮，完成插件注册。配置过程如下图所示。

　　重新启动vSphere Client，选择主页，单击“解决方案和应用程序”下面的vShield图标，可以集成登录到vShield Manager Web管理界面。数据中心的每个主机也都增加了vShield标签，接下来开始安装并配置vShield的其他组件。

　　关于作者：张冀川，TechTarget中国特邀技术编辑。任职于某国企信息中心，主要负责数据中心系统、数据库运维管理工作，对存储虚拟化、服务器虚拟化、技术有浓厚兴趣，并在工作中积极应用。