应用虚拟机是一种特别的虚拟机，运行着定制的Linux操作系统

应用虚拟机（Appliance VMs）是一种特别的虚拟机，运行着定制的Linux操作系统，以及特别的帮助管理云的agents。虚拟路由虚拟机是应用虚拟机概念的第一个实现。这个想法，简单的说，在用户虚拟机第一次被创建的时候，去创建一个为某个L3网络提供全部网络服务的虚拟路由虚拟机，只要这个L3网络上开启了虚拟路由提供的网络服务。每个虚拟路由虚拟机包含一个Python agent，它通过HTTP协议接收来自ZStack管理节点的命令，并在同一L3网络给用户虚拟机提供包括DHCP、DNS、NAT、EIP和端口转发的网络服务。

上图，显示了在客户L3网络上启用了所有网络服务的网络拓扑结构。一个虚拟路由通常有三种L3网络：

1.一个L3管理网络指的是ZStack管理节点和在虚拟路由虚拟机内的Python agent通过HTTP协议进行通信的网络，是一个必须的网络，每个虚拟路由都有。

2.一个公有L3网络是一个可以连接互联网的可选网络，它在虚拟路由虚拟机内提供了默认的路由。如果省略，L3管理网络将同时被作为管理网络和公有网络使用。

公有网络不需要允许公开访问：把用户虚拟机和外部世界（数据中心的其他网络或互联网）相连的公有网络不需要允许公开访问。例如，当桥接被VLAN和数据中心的其他网络(10.x.x.x/x)隔离的客户L3网络（192.168.1.0 / 24）时，网络10.0.1.0/24可以是一个公有网络，即使它不能被互联网访问。

3.一个客户L3网络是用户虚拟机连接的网络；和网络服务相关的流量在用户虚拟机和虚拟路由虚拟机内流动。

对不同的网络服务组合，L3网络数量是可变的。例如，如果DHCP和DNS被启用，网络的拓扑结构变为：

因为没有NAT相关的服务（例如SNAT，EIP），用户的虚拟机不需要一个单独的、隔离的客户L3网络，但可以直接连接到公共网络。

注意：当然，你可以创建一个只有DHCP和DNS服务的、隔离的客户L3网络，该网络上的虚拟机可以获得IP，但不能访问外部网络，因为缺失了SNAT服务。