有多种创建仿真的虚拟化环境的方式，包括应用虚拟化，如Java虚拟机环境提供的方式。这种方式允许针对某种环境编写的程序可以在其他环境中运行，也包括全虚拟化，即多个完整的操作系统实例并行运行。每一个客户操作系统（以下简称客户OS）及其上的应用都运行在它自己的虚拟机中。这些客户OS由监管程序（Hypervisor）或虚拟机监视器（VMM）管理着。监管程序负责协调各个客户机对真实硬件资源的访问，如CPU、内存、硬盘、网络和其他附属设备。监管程序为客户OS提供了与直接运行在真实硬件上的操作系统相似的硬件接口。这使得对于客户OS及其应用，不需要修改或仅做极少修改，就可以在虚拟机上运行。最近几代的CPU提供了增强监管程序运行效率的特殊指令。

全虚拟化系统可以进一步分为本地虚拟化系统和主机虚拟化系统。前者的监管程序直接运行在底层硬件之上，如图6-2所示。后者的监管程序作为一个应用程序，在运行在底层硬件的主机操作系统（以下简称主机OS）上运行，如图6-3所示。本地虚拟化系统通常在服务器中采用，以提高硬件的使用效率。本地虚拟化系统也被认为比主机虚拟化系统安全，因为它需要较少的额外层。主机虚拟化系统在客户端系统中更为常见，它们可以与其他应用程序一起运行在主机OS上，可以用于支持其他版本或类型的操作系统上的应用程序。因为主机虚拟化方案增加了额外的层—— 位于底部的主机OS、主机的其他应用程序，以及监管程序—— 所以可能会增加安全威胁。

图6-2　本地虚拟化的安全分层(www.daowen.com)

图6-3　主机虚拟化的安全分层

在虚拟化系统中，可用的硬件资源必须被多个客户OS所共享。这些资源包括CPU、内存、硬盘、网络及其他附属设备。CPU和内存通常在这些客户OS中分配，按需调度。硬盘也被分配到每个客户OS，每个客户OS都有独自使用的存储空间。作为选择，也可以为每个客户OS创建一个虚拟硬盘。从客户OS的角度来看，虚拟硬盘就像一个物理硬盘，有完整的文件系统；但是在客户OS之外，虚拟硬盘却是底层文件系统上的一个硬盘映像文件。光盘或者USB这些附属设备通常一次只能供一个客户OS使用。对于网络访问则有几种可选方案：客户OS直接访问系统的网卡；监管程序协调访问共享网卡；监管程序为每个客户OS实现虚拟网卡，根据需要在不同的客户OS之间进行路由。最后一种方案相当常见，也被认为是最高效的，因为不同客户OS之间的网络流量不必经由外部网络连接来转发。由于这种网络流量并不会被附在网络上的探测器监视到，所以最后一种方案存在着安全问题。如果需要监视这种网络流量，可以在这样的系统上使用基于主机的网络流量探测器。