Chương 3: Quảntrị VMware vSphere nâng cao
3.1 Bảo vệ dữ liệu
3.1.1 Tạo datacenter
Sau khi đăng nhập vào vCenter.Click chuột phải vào vCenter.testlab.vn chọn New Datacenter
Hình 3.1- Tạo Datacenter.
Đặt tên cho Datacenter.
Hình 3.2- Tạo Datacenter.
3.1.2 Tạo Cluster
Mục đích của việc tạo cluster là để thực hiện các chức năng: vmotion,drs,VMHA,vSmotion….
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.3- Tạo Cluster.
Hộp thoại Cluster Features xuất hiện. Name: gõ tên cluster (Cluster HCM)
Hình 3.4- Tạo Cluster.
Hộp thoại VMware EVC xuất hiện.để mặc định và nhấn Next. Hộp thoại VMware Simple Location xuất hiện bấm Next.
Hộp thoại xuất hiện,nhấn Finish để hoàn tất việc tạo mới một cluster.
3.1.3 Add Host vào Cluster :
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.5- Add Host vào Cluster.
Hộp thoại Specify Connection Settings xuất hiện.
Host: ESX.TestLab.vn (gõ tên hoặc IP của ESX server muốn thêm vào). Username: root (gõ Username của ESX server muốn thêm vào).
Password: 123456 (gõ Password của ESX server muốn thêm vào).
Hình 3.6- Add Host vào Cluster .
Hộp thoại cảnh báo xuất hiện, chọn YES.
Hộp thoại Host Information xuất hiện, bấm Next. Hộp thoại License key xuất hiện bấm Next. Và nhấn Finish để hoàn tất
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.7- Kết quả sau khi add Host vào Cluster. 3.2 Quản lý quyền hạn và truy xuất hệ thống
3.2.1 Giới thiệu sơ lược:
Phân quyền trên vCenter và các trường hợp xung đột (conflict) khi phân quyền, các công việc phải thực hiện:
- Join domain vCenter
- Phân quyền user admin1 tạo máy ảo
Để phân quyền thì tạo các role theo nhu cầu của mình (theo các quy tắc có sẵn).
Cấp quyền trên SSO
Nếu log = root của appliance sẽ thiếu chức năng SSO (đã nói - chỉ có administrator@vSphere.local thì log trên client hay web đều ok)
Vào Web: SSO → user and group → tab user: bài trước đã tạo user trên vSphere.local.
Tab group:
- Group administrator là group có quyền cao nhất trên SSO - Trong đây cũng liệt kê nhiều group, đã được phân quyền sẵn. - Muốn user có quyền admin của SSO thì đưa vào group admin
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.8- Quản trị user/group.
Chọn vào group Administrator → Add member - Chọn domain: localos
- Chọn root → Add
Hình 3.9- Root add vào Group Administrator.
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.10- Xem Group Administrator chứa các user.
Test: log bằng root/VMware trên vSphere Web Client Thấy root có Single Sign On.
3.2.2 Phân quyền vCenter
Phân quyền trên vCenter là 1 quy trình gồm 3 đối tượng ghép lại với nhau. - Role, object, quyền trên object
- Role → assign role và user cho object → Các quyền trên object
- Tạo role → chọn quyền trên object → assign role cho object (tab permission)và chỉ định user.
Sau khi phân quyền thì nó tác dụng lên vSphere Client và vSphere Web Client.
Các Trường hợp đụng độ (conflict) khi phân quyền trên vCenter
Khi phân quyền, ta sẽ 1 số conflict (trùng lặp), ta sẽ giải quyết các trường hợp sau.
Phân quyền thì có thưa kế. Default là có thừa kế (nó check sẵn Propagete Child object), ta có thể bỏ check để hết thừa kế.
Hoặc muốn muốn bỏ thì làm như sau:
- Vào Tab permission của các Inventory (host, vm hoặc network hoặc datastore)
- Chọn Role đã assign → phải chuột Properties → bỏ check Propagate. - Các trường hợp Conflict
3.2.2.1 Invenroty: Network ở localhost
Chương 3: Quảntrị VMware vSphere nâng cao Role 2 (ở Datacenter HCM): không cho phép assign network Vậy nó sẽ apply Role 2
Quy tắc: Quyền của con overwrite quyền của cha nếu có conflict (Con ưu tiên hơn cha)
3.2.2.2 User nằm ở 2 group, 2 group có 2 quyền khác nhau trên cùng 1 object
Quyền của user là quyền tổng
Quy tắc: User sẽ được tổng quyền khi nằm ở nhiều group.
3.2.2.3 User nằm ở 2 group- có quyền A+B. User có quyền C (Chỉ add user chứ
không add group)
Quyền của user là quyền C
Quy tắc: Quyền của user thay thế cho quyền Group (Overwrite quyền group) Lưu ý: Một user chỉ add được 1 role. Nếu cố tình add user vào role khác nữa thì sẽ mất cái quyền ta đã add trước, chỉ còn quyền ta add sau cùng cho user đó.
3.3 Giám sát và quản trị tài nguyên
Với các máy chủ vật lý, lỗi hoặc hiệu suất hoạt động kém của hệ thống ảnh hưởng đến các ứng dụng chạy trên nó. Với nền tảng ảo hóa, nhiều máy ảo (VM) chạy trên cùng một máy chủ vật lý và sự chậm chạp của máy chủ sẽ ảnh hưởng đến các ứng dụng chạy trên tất cả các VM. Do đó, việc giám sát hiệu suất thậm chí còn quan trọng hơn bên trong cơ sở hạ tầng ảo hóa so với các loại hạ tầng vật lý.
Hiệu năng của các ứng dụng chạy trên máy ảo phụ thuộc vào nhiều yếu tố: - Tài nguyên vật lý từ các máy chủ vật lý bên dưới được chia sẻ bởi các máy
ảo (VM). Nếu một số VM tiêu thụ quá nhiều tài nguyên (CPU, bộ nhớ, đĩa), các VM khác có thể không còn truy cập được vào tài nguyên khi chúng cần. Điều này làm ảnh hưởng đến hiệu suất chạy ứng dụng trên các VM khác.
- Quản trị viên có thể giới hạn các tài nguyên có sẵn cho VM. Nếu các giới hạn không được đặt chính xác, điều này có thể làm giảm hiệu suất của các ứng dụng trên các VM này.
- Quản trị viên thường cấp phép vượt lố (over-commit) mức tài nguyên trên các máy chủ vật lý, vì tất cả các VM chạy trên máy chủ này rất hiếm khi dùng hết tài nguyên cùng lúc. Mặc dù việc over-commit đảm bảo sử dụng
Chương 3: Quảntrị VMware vSphere nâng cao
trong đó máy chủ vật lý bị thiếu tài nguyên và do đó, hiệu suất của VM chạy trên nó bịảnh hưởng.
Phân bổ quá mức (over-allocate) tài nguyên cho VM cũng không phải là giải pháp tốt. Thứ nhất, phân bổ quá mức dẫn đến việc sử dụng kém phần cứng bên dưới, do đó mang lại lợi tức đầu tư kém. Thứ hai, việc phân bổ quá nhiều CPU cho máy ảo có thể khiến nó bị đình trệ chờ đợi đủ tài nguyên CPU có sẵn, do đó ảnh hưởng đến hiệu suất.
Vậy, làm thế nào để xác định đâu là lượng tài nguyên phù hợp để phân bổ cho VM? Câu trả lời cho câu hỏi đó nằm ở việc theo dõi việc sử dụng tài nguyên của máy ảo theo thời gian, xác định định mức sử dụng và sau đó sizing hợp lý cho VM.
Nhưng làm thế nào để theo dõi các số liệu sử dụng tài nguyên cho VM và cái nào là quan trọng? VMware vSphere bao gồm nhiều thành phần tài nguyên khác nhau. Biết các thành phần này là gì và mỗi thành phần ảnh hưởng đến các quyết định quản lý tài nguyên là chìa khóa để quản lý VM hiệu quả. Trong bài này, chúng tôi sẽ thảo luận về 10 thông số hàng đầu mà mọi quản trị viên VMware phải liên tục theo dõi.
Top 10 chỉ số hiệu năng cho quản trị viên VMware - Memory Ballooning
- Memory Swapping
- VM CPU Wait and VM CPU Ready - Large and Old VM Snapshots
- Idle/Orphaned VMs
- VM Disk Read/Write IOPS and Throughput - Datastore Capacity Usage and Availability - VM Network Connectivity
- Hardware Health
- VM Resource Usage (Inside and Outside View)
3.4 Cấu hình đặc tính sẵn sàng và khảnăng chịu lỗi cao
High Availability giúp máy ảo nhanh chóng trở lại làm việc trong trường hợp một máy ESX bị lỗi góp phần làm giảm thời gian chết và tăng tính sẵn sàng của hệ thống Khi một máy ESX bị lỗi phần cứng hoặc bị mất kết nối ... thì VMware HA sẽ khởi động lại tất cả các máy ảo đang chạy trên máy ESX đó trên các máy
Chương 3: Quảntrị VMware vSphere nâng cao
ESXi khác trog cùng một cluster. HA còn có chức năng khởi động lại máy ảo khi máy ảo bị lỗi. HA hỗ trợđến 32 máy ESX trong một cluster và tất cả các máy ảo bất kể hệđiều hành HA có thểđược sử dụng kết hợp với DRS đểđạt hiệu quả cao nhất.
Các yêu cầu khi sử dụng HA:
- Hỗ trợ cho các phiên bản vSphere ngoại trừ Essentials
- Các máy ảo đang chạy trên HA cluster được lưu trên kho dữ liệu chung - Cluster phải được kích hoạt chức năng HA
Để thực hiện HA, ta tiến hành các bước sau:
B1. Ta nhấp phải chuột vào Cluster và chọn Edit Settings. B2. Ta click chọn chức năng HA trên cluster
B3. Chọn một số tính năng của HA trên Cluster
- EnableHost Monitoring: bật chức năng theo dõi máy chủ
- Admission Control: là một chính sách được sử dụng bởi VMware HA. Khi được kích hoạt thì nó sẽ không khởi động các máy ảo có xảy ra lỗi, xung đột tài nguyên
- Admission Control Policy: cho phép thay đổi các thông số như số lần bị lỗi, lượng tài nguyên dự phòng …
B4. Chọn thiết lập cho các máy ảo như độ ưu tiên và hoạt động của máy ảo khi máy chủ bị cô lập
B5. Chọn mức độ theo dõi máy chủ khi máy chủ bị sự cố . B6. Ta chọn OK để kích hoạt chức năng HA.
B7. Sau khi cấu hình HA xong ta sẽ tiền hành tắt máy ESXi01 192.168.1.100 chứa máy ảo may1 đang chạy và VMWare HA sẽ khởi động lại máy ảo may1 trên máy ESXi 192.168.1.102
Chương 3: Quảntrị VMware vSphere nâng cao
Hình 3.11- Tinh năng HA khởi động lại may1. 3.5 Cấu hình đặc tính mở rộng cao
3.5.1 “Cắm nóng” các thiết bị
Cắm nóng (Hot-pluggable) có nghĩa là khi máy tính đang chạy ta có thể cắm thêm các thiết bị phần cứng cho phép mà không ảnh hưởng đến hoạt động, ví dụ ổ CD/DVD, ổ cứng. Với phiên bản vSphere cho phép chúng ta cắm thêm hoặc tháo các ổ cứng SSD ra khỏi host (máy chủ cài đặt vSphere ) kể cả khi host này đang hoạt động. Tính năng này cho phép chúng ta thêm bớt các ổ SSD mà không làm downtime (giảm thời gian chết) hệ thống, đảm bảo hệ thống được hoạt động liên tục, ngoài ra còn nâng cao khả năng phục hồi của host.
3.5.2 Nâng cao việc quản lý nguồn điện
ESXi cung cấp thêm cơ chế tiết kiệm điện năng bằng việc tận dụng trạng thái “deep process power” của CPU hay còn gọi là C-states (có thể liên tưởng đến hình ảnh con gấu đi ngủ đông để tiết kiệm tối đa việc tiêu thụ năng lượng). Bằng cách tận dụng trạng thái “ngủ đông” của CPU, ESXi có thể giảm xuống tối thiểu nhu cầu tiêu thụ điện năng trong suốt thời gian mà CPU nhàn dỗi hoặc không phải xử lý yêu cầu nào. Từ việc tiết kiệm điện năng cho đến việc tăng thêm hiệu suất trên Chipset của Intel như là đẩy mạnh tần xuất thì có thể đạt đến đích nhanh hơn khi mà các core trong CPU đang trong chế độ C-States.
Chương 3: Quảntrị VMware vSphere nâng cao
3.5.3 Khảnăng tương thích của máy ảo trong ESXi
ESXi đápứng khảnăngtương thích mới hơn dành cho các ảo, ví dụnhư: hỗ trợ thêm công nghệ virtual-SATA (một chuẩn đối với ổ cứng hay gặp trên laptop), hỗ trợ tôi đa 120 virtual disk và CD/DVD trên mỗi máy ảo. Khảnăng mới này có ích khi bạn cài đặt một máy ảo chạy MAC OS X.
3.5.4 VM Latency Sensitivity (Độ nhạytrễ trong mảyảo)
Được bao gồm trong các máy ảo mới, với thiết lập “Độ nhạy cho vấn đề trễ” trong máy ảo sẽ làm giảm thời gian trễ cho máy ảo. Khi máy ảo được thiết lập Độ nhạy cho vấn đề trễ trong máy ảo ở mức cao, thì máy ảo này sẽđược ưu tiên bằng cách dành riêng các tài nguyên như là RAM, CPU đồng thời vô hiệu hóa các đặc tính về network, cái mà gây ra độ trễ cao.
3.5.5 Mởrộnghỗtrợ vGPU:
VMware đã mở rộng sự hỗ trợ đểtăng tốc phần cứng ảo đối với đồ họa 3D trong GPU của AMD. Hướng đi của các hãng là cung cấp nhiều hơn nữa sự linh hoạt cho khả năng làm việc trong trung tâm dữ liệu của Horizon View virtual desktop. Thêm vào đó ESXi tăng cường khả năng tự động hóa bằng cách cho phép di chuyển các máy ảo có đồ họa 3D từ host này sang host khác kể cả khi các có phần cứng khác nhau. Thậm chí ESXi còn hỗ trợ các máy ảo có thể chạy được đồ họa 3D trên các host bị hạn chế về phần mềm (tạm hiểu là các host không hỗ trợ đồ họa 3D).
3.5.6 vCenter Single Sign-On (SSO):
Single Sign-On (SSO): đóng vai trò chứng thực. Như đã biết, thao tác chứng thực gồm 2 phần: Authentication - xác định user đó là ai. Hai là Authorization: Quyền của user vừa chứng thực là gi?
vCenter cần nhiều user để quản lý, do đó cần chứng thực và phân quyền cho đầy đủ. VCenter Server database: để chứng thực thì và đâu để kiểm tra. Đó là vai trò của database. Ta có 2 nguồn
- Localhost: chứng thực từ nơi cài VCenter. Nếu cài trên Windows thì dựa vào user trên máy đó để chứng thực. Linux cũng vậy. Khi đăng nhập lên vCenter thì lấy user local đăng nhập.
- Default Domain: Hệ thống tạo ra 1 domain database gọi là vSphere.local kèm theo đó là 1 accountadministrator@vSphere.local. VCenter sẽ dùng user trong default domain để chứng thực.
Chương 3: Quảntrị VMware vSphere nâng cao
Hoặc ta cũng có thể add thêm vùng chứng thực: ví dụ Active directory trên Windows server 2003 trở lên (bằng cách lấy Vconsole join domain).
Open Ldap 2.4 trở lên nếu hệ thống dùng linux.
Inventory Role cài trên con server thứ 2: dùng để chứa dữ liệu cấu trúc. Ví dụ ta muốn cấu hình failver, load balancing thì các cấu hình liên quan sẽ lưu trên Inventory. Hoặc ta có thể gom các máy ảo thành các nhóm trong Inventory để dễ quản lý.
vCenter Roles (hay vCenter service hay vCenter Server): là thành phần chính, vận hành các ứng dụng quản lý. Là thành phần mà ta giao tiếp khi làm việc trên vCenter.
Như vậy nếu chia các Roles thành các Server thì ta có 3 Server. - Server SSO, Server Inventory và Server vCenter.
Khi đăng nhập vào Server vCenter, nó sẽ gửi về Vconsole để chứng thực. Sauk hi chứng thực thì bắt đầu kiểm tra quyền hạn trên vCenter.
vCenter cũng cần lưu trữ các thông tin khác như log v.v. Nó cần 1 database đi kèm (ta có thể xem database là 1 role riêng cũng được).
- Ta có thể cài database trước hoặc sau khi cài vCenter.
Có thể cài bản database miễn phí của Microsoft : Microsoft SQL Server Express. Nhưng do Express nên database không lớn (bị giới han), vCenter chỉ cho ta quản lý 50 máy ảo và 5 con ESXi.
vSphere Web Client: thay vì ngồi trực tiếp lên vCenter thì dùng trình duyệt web truy cập vào vCenter. vSphere Web Client thực chất là 1 web server (gọi là client vì nó là client của vCenter).
vCenter và Vconsole mỗi role có một bộ quyền riêng. Nếu muốn join domain Vconsole thì phải có quyền. Và user administrator của default domain có toàn quyền trên Vconsole. .
3.5.7 vSphere Web Client
Công cụ quản lý các host và máy ảo trên web trong ESXi cũng có thêm một số cải tiến đáng chú ý. vSphere Web Client đã hỗ trợ MAC OS X, bao gồm khả năng truy cập để điều khiển các máy ảo, đính kèm các file “mẫu” OVF để triển khai các máy ảo. Ngoài ra trong vSphere Web Client đã cả tiến các khả năng để hỗ trợ việc kéo thả, cải thiện bộ lọc và chức năng tìm kếm nhằm tìm ra đối tượng một cách dễ dàng hơn. Việc giới thiệu thêm một biểu tượng có tên là “Recent
Chương 3: Quảntrị VMware vSphere nâng cao
Items” giúp cho người quản trị có thể truy cập nhan chóng đến các tiện ích hay dùng.
3.5.8 vCenter Server Appliance
VMware vCenter là một phần mềm quản lý cho hạ tầng ảo hoá vSphere của bạn. Nó cho phép bạn quản lý tất cả thông qua một giao diện website đối với cơ sở hạ tầng ảo VMware của bạn. VMware đã phát hành phiên bản vSphere 6.5 bao gồm cả vCenter. vCenter có hai phiên bản: