VMware vShield安全套件已经扩展到虚拟防火墙之外，涵盖了VMware安全的其他方面，共涉及以下五个VMware安全组件：

• vShield Manager，用于对vShield进行集中管理；
• vShield Zones，用做虚拟机的虚拟防火墙；
• vShield App，vShield Zones的升级版本，增加了额外的虚拟网络安全；
• vShield Edge，为孤立的虚拟机提供安全和网关服务；以及
• vShield Endpoint，为客户操作系统提供防病毒保护。

　　安装VMware vShield安全组件之前，您应该了解想要保护哪些虚拟基础设施，并且应该了解将如何保护这些虚拟机。您的分区策略应该基于以下三个因素：运行在虚拟机之上的应用程序类型、法规遵从以及打算如何划分虚拟网络、私有网络和公有网络。

　　对于网络来说，您要创建保护分区并把虚拟机放在VLAN中。大多数情况下，某些虚拟机应该彼此隔离。如果想控制虚拟机的通信并把它们和公有网络隔离，DMZ是一个范例。

　　绝不要把同一个虚拟交换机上的DMZ公用网络当作私有网络。一个主机上往往有多个虚拟交换机，可以配置多个VLAN。物理网卡专属于虚拟交换机，不能在两个虚拟机交换机之间共享。多个虚拟交换机能够避免不同类型的流量在同一个物理网卡上混合。

　　为遵从法规，支付卡行业（Payment Card Industry,PCI）检查的范围是所有相关的网络。更具体的说，如果支付卡流量经过一个网络，那么这个网络上的所有流量都将属于PCI检查的范围。把处理信用卡数据的虚拟机的流量划到单独的虚拟网络中可以减少PCI检查的范围。从根本上说，就是按流量分组并隔离不同的分组，如下所示：

• vSwitch1:管理控制台/ VMkernel
• vSwitch2:存储网络（iSCSI）
• vSwitch3:财务部门
• vSwitch4:常规流量
• vSwitch5: DMZ

　　详细阅读vShield security安全概述后，您应该能更好的理解这些要求和注意事项。

　　vShield安全概述：部署注意事项

　　vShield Manager虚拟机可以在主机间迁移，并且完全支持分布式资源调度（DRS）和高可用性（HA）。vShield Manager虚拟机不可用时，vShield代理不会受到影响。但是您应该确保vShield Manager的高可用性，并把它部署在共享存储上。推荐把vShield Manager作为一个厚盘部署，因为它只占用8GB存储空间。

　　计划在每个集群主机上部署vShield Zones/App代理——这确保了虚拟机迁移到新的主机上后仍然能够被保护。如果虚拟机迁移到没有安装代理的主机上，它将不再被保护。

　　vShield Zones/App代理需要停留在这个主机上，永远不要把它迁移到另一个主机上。为避免vShield Zones/App代理被意外迁移，在主机的本地磁盘上安装代理虚拟机，这样它们不能通过vMotion迁移。

　　最后，确保满足vShield Zones的相关要求。硬件要求相当简单：vShield Manager虚拟机需要3GB内存，8GB磁盘空间。

　　VShield Zones/App代理需要1GB内存，5GB磁盘空间。内存预定会自动创建以保证vShield Manager和代理虚拟机能够获得物理内存。

　　VMware vShield的五个安全组件需要VCenter Server 4.0 Update 1或更高版本，它们也支持ESX/ESXi主机4.0 Update 1或更高版本。您需要一个包含vShield授权的ESX版本。

　　要详细了解每个组件，请参看VMware vShield安全概述的其他章节。