第 8 章 强化基础架构和虚拟化

与使用 KVM 等管理程序相比，务必要识别使用 Linux 容器或裸机系统之间的区别。具体来说，本指南的重点主要基于具有虚拟机监控程序和虚拟化平台。但是，如果您的实施需要使用裸机或容器化环境，您必须注意部署该环境的特定区别。

对于裸机，请确保在重新置备和停用之前节点已正确清理了数据。另外，在重新使用节点前，您必须提供保证硬件没有被篡改或被入侵。如需更多信息，请参阅 https://docs.openstack.org/ironic/queens/admin/cleaning.html

某些管理程序使用内存优化技术，将内存过量使用到客户虚拟机。这是一个非常有用的功能，允许您部署非常高的计算集群。这种技术的一种方法是通过重复数据删除或内存页面共享：当两个虚拟机在内存中具有相同的数据时，它们有优势可以引用同一内存。通常，这通过 Copy-On-Write (COW)机制执行，如内核相同的页面合并(KSM)。这些机制容易受到攻击：

如果部署者需要强大的项目分离（与公有云和一些私有云一样），则应该禁用 KSM：