多层面的安全隔离

资源域和在资源域之间实现某种形式的物理隔离和冗余

不同帐户的用户使用不同的

VLAN

，

VLAN

起到用户之间隔离的作用

基于用户的虚拟机隔离：

即管理员可以通过云平台将不同用户之间的虚拟机

配置为无法建立

2

层链接，实现基于用户的虚拟机隔离。

提供多种网络类型，一些是真实的，一些是虚拟的，虚拟网络通过

VLAN

隔

离，物理网络通过不同的硬件和设备隔离等，比如通过公网

IP

、私网

IP

通过不

同的网卡隔离流量

.

也通过不同的组网，如

3

个平面来隔离业务、管理、存储

直连网络可以通过给用户分配

VLAN

来隔离，直连无标记网络则采用了类似

于亚马逊的安全组概念对每位用户进行隔离，而不采用

VLAN

。

所有的安全域都通过防火墙接入到网络中，

各个安全域通过虚拟防火墙进行

逻辑隔离，

安全域之间不能直接访问，

在虚拟防火墙上通过访问控制策略，

对用

户进行文件和数据操作权限的限制，防范用户的越权访问。

6.2

全面的虚拟机安全机制

1)

同一物理服务器上的虚拟机隔离

同一物理机服务器上资源隔离，包括

CPU

、内存、内部网络隔离、磁盘

I/O

有效的隔离，

不会因为某一个虚拟机被攻击而导致其他同一物理服务器上的虚拟

机被影响。

2)

数据中心内部虚拟机访问隔离