第 6 章 强化基础架构和虚拟化

务必要识别 Linux 容器或裸机系统与使用 KVM 等虚拟机监控程序之间的差别。具体来说，此安全指南的重点主要是基于管理程序和虚拟化平台。但是，如果您的实施需要使用裸机或容器化环境，您必须注意部署该环境的具体区别。

对于裸机，请确保在重新置备和停用之前节点已被正确清理数据。另外，在重新使用节点前，您必须提供保证硬件没有被篡改或被破坏。如需更多信息，请参阅 https://docs.openstack.org/ironic/queens/admin/cleaning.html

某些虚拟机监控程序使用内存优化技术，可过量使用虚拟机的内存。这是一个实用的功能，允许您部署非常密度的计算集群。这种技术的一种方法是通过去除重复数据或内存页面共享：当两个虚拟机在内存中有相同的数据时，有好处是将它们引用同一内存。通常，这通过 Copy-On-Write (COW)机制执行，如内核相同的页面合并(KSM)。这些机制容易受到攻击：

如果部署器需要强大的项目分离（与公共云和一些私有云一样），则部署器应禁用 KSM：