如果你选择使用vShield Zones，那么你应该注意到了它的使用局限；例如，它没有产品VMware Data Recovery那样好，新接触vSphere的管理员将需要具备许多领域的技巧。在本文中，TechTarget中国的特约虚拟化专家Eric Siebert将列出目前为止所发现的技巧，以便你轻松使用目前版本的vSphere。

　　这是vShield Zones系列文章的最后一部分。如果你一路追随，应该知道我们第一部分概述了vShield Zones，第二部分讲安装和配置vShield Zones。 　　VMware Tools 　　vSphere Client将报告VMware Tools没有安装在vShield Manager和代理虚拟机上。不要尝试在这些虚拟机上安装VMware Tools，因为没有必要，并且VMware Tools提供的性能优化已经内置在vShield Zones虚拟机里。 　　内存与CPU预留 　　代理不是真正的有特权的虚拟机，但是应该看成是。虽然默认下它们有内存预留，但不是用于CPU。考虑使用共享或预留保证代理的CPU资源。 　　VMkernel与服务控制台 　　VShield Zones的建立用于保护虚拟机，不是VMkernel与服务控制台。不要在服务控制台或VMkernel vSwitch上安装代理。 　　预安装的网络接口卡 　　不要从vShield Manager或者代理虚拟机移除预安装的网络接口卡（NIC）。如果你要在vShield代理上移除并添加NIC，必须卸载vShield Zones代理并重新安装。如果你从vShield Manager移除NIC，可能必须重新安装整个vShield Zones以确保vShield代理和vShield Manager之间的通信。不要重新配置硬件或减少分配给vShield Zones Manager或代理虚拟机的资源，因为它们已经被vCenter Server优化。 　　VMotion 　　由vShield保护的虚拟机受VMotion的支持，不过你首先必须确保在主机上拥有代理移动虚拟机，并且你的端口组有相应的配置。默认下你不能VMotion一台连接到内部（不是NIC）vSwitch的虚拟机，因此你必须通过编辑vpxd.cfg文件并添加VMOnVirtualIntranet参数配置vCenter Server允许这样做（更多细节参见vShield Zones管理员指导附录）。 　　VMotion不支持vShield代理，但是支持vShield Manager。你不想vShield代理移到其他主机，因此确保禁用单个vShield代理虚拟机上的Distributed Resource Scheduler和High Availability (HA)功能。你不能在主机上使用运行vShield代理的Data Protection Manager（更多细节参见vShield使用注意事项）。 　　本地与共享磁盘 　　vShield Manager和代理虚拟机能安装到本地磁盘或者共享磁盘。尽可能安装在共享磁盘，这样能平衡VMotion和HA。由于代理不能从主机移动，最好安装到本地磁盘。 　　VSwitch 　　当部署vShield代理时，你的虚拟机不会崩溃，因为它们从一个vSwitch移动到了另一个。在我的测试环境中，当在代理部署操作期间持续在虚拟机上ping时，只看见一个没有响应。 　　DMZ 　　当在主机上设计DMZ环境时，VShield Zones提供了更多选项和保护。即将发布的VMware白皮书将包含架构选项，你可以在进行DMZ配置使用vShield Zones的时候用到。

　如果vSheild管理或代理被关掉……

　　如果vShield Manager断电，它不会影响vShield代理运营或受保护的虚拟机。如果vShield Manager某些时候不可用，每个vShield能排列数据并在vShield Manager能用的时候发送到vShield Manager。不过如果vShield代理断电，在安全区域的所有虚拟机将丢失网络连接。最好限制在vCenter Server里谁能访问和控制代理虚拟机，并且设置当主机重启或启动时虚拟机自动启动。 　　VSphere Client插件 　　有个用于vShield Zones的VSphere Client插件，不过它的功用就只是启动Web界面。 　　虚拟交换机与分布式虚拟交换机 　　VShield Zones支持标准的虚拟交换机（也叫做vSwitches）和分布式vSwitches。代理安装将自动配置标准的vSwitches，不过你必须手动配置Distributed vSwitches。 　　更改默认密码 　　你应该尽快更改manager和代理的默认密码，这不会影响manager与vCenter或manager与代理之间的通信。注意，在Web用户界面的管理用户账户与命令行用户界面的用户账户是不同的。即使它们使用默认下的管理员用户名和密码，它们是独立的账户，以不同方式管理。 　　你能使用Web用户界面更改管理密码。详细信息参见“保护vShield Zones CLI用户账户和特权模式”手册。你也能使用Web用户界面添加用户到manager。 　　备份 　　你能备份和恢复vShield Manager数据，这包括系统配置、时间和审计日志表。备份保存到vShield Manager能访问的远程地点。能在vShield Manager UI的Configuration表上配置备份。 　　时间集成 　　安装并初始化vShield Manager后，能配置成指向内部网络时间协议（NTP）服务器用于时间集成服务。默认下，vShield Manager配置每个安装的vShield代理使用vShield Manager的IP地址实现NTP服务。你不能更改vShield代理的NTP服务器分配。 　　日志文件 　　为了检修问题，如果你需要访问日志文件，vShield Manager和代理的日志文件可以使用vShield Manager用户界面下载，只需要选择Configuration表然后点击Support选项。当你点击启动按钮下载日志文件，这个日志是打包好的并下载在你的工作站。日志是压缩的，有专门的文件扩展.blsl（Blue Lane Support Log），能使用像WinZip这样的解压工具打开。 　　VShield Zones版本更新 　　VShield Zones版本更新是周期分布的。可以在Update表上使用vShield Manager用户界面使用。有了更新就可以下载到PC，然后使用vShield Manager用户界面上传。首先应该更新vShield Manager，然后是vShield代理。你将看见更新状态界面在安装更新后是否是manager还是 代理的重启。在重启任何代理之前确保首先重启vShield Manager。 　　总结 　　vShield Zones未来的版本将提供更好的集成和可用性，增加的功能能更好保护你的虚拟环境。将来的一些功能包括为vShield代理启用高可用性（HA）的能力，因此，如果代理崩溃，可以在相同主机上自动重启。此外，VMsafe集成在vSphere里，你不再需要在vSwitch层使用在线代理，因此代理集成在每台虚拟机的虚拟NIC里。 本文摘自: 虚拟人工作室() 详细出处请参考：