Sau khi cài đặt SCVMM xong, khởi động lần đầu tiên để vào giao diện VMM, sẽ yêu cầu nhập vào thông tin của máy chủ VMM Server để kết nối và port chính xác để thực hiện việc liên lạc với VMM Server.
Trên VMM Management Console cho phép thực hiện nhiều tác vụ để tùy chỉnh các máy ảo trên các máy Hyper-V.
Hình 3.35 Giao diện quản lý máy ảo bằng Management Console 3.7.5.2 Chuyển đổi từ máy thật sang máy ảo (P2V)
Virtual Machine Manager (VMM) 2008 R2 bản thân được tích hợp sẵn một tính năng cho phép chuyển đổi một hệ điều hành đang hoạt động trên máy vật lý sang hệ điều hành hoạt động trên máy ảo. Đây là tính năng thường được biết đến với tên “Physical to Virtual” (P2V).
P2V Online sẽ sử dụng Volumn Shadow Copy Service để thực hiện quá trình chuyển đổi trong khi hệ thống máy nguồn vẫn trong trạng thái hoạt động, không ảnh hưởng và gián đoạn đến dịch vụ trên hệ thống.
P2V Offline được thực hiện bằng hành động khởi động lại hệ thống nguồn dùng môi trường Windows Preinstallation Enviroment (PE), thực hiện theo cơ chế này thì máy nguồn sẽ phải tạm thời ngưng hoạt trong quá trình chuyển đổi.
Hình 3.36 Giao diện tùy chỉnh khi convert
Có thể tùy chỉnh hai chế độ thực hiện việc chuyển đổi từ máy vật lý sang máy ảo, trong bảng thông báo sẽ xuất hiện tất cả thông tin ổ đĩa và đã sử dụng bao nhiêu và thực hiện việc chuyển đổi ở ổ đĩa nào.
Hình 3.37 Tùy chỉnh ổ đĩa để convert
Các máy được thực hiện việc chuyển đổi nhằm giảm bớt các chi phi, giảm thiểu điện năng…. Các máy đó phải đảm bảo được hệ điều hành đang chạy được hỗ trợ việc chuyển đổi, không nằm trong vùng DMZ.
3.7.5.3 Chuyển đổi máy VMware sang máy Hyper-V (V2V)
Trong VMM Library là một thư mục chia sẻ trong hệ thống trong đó lưu trữ các tập tin hệ thống, Template…đường dẫn mặc định cho VMM library được chia sẽ trên một VMM library Server là MSSCVMMLibrary.
Để thêm các tập tin cấu hình VMware .vmdk và .vmx vào Library đơn giản là thực hiện việc sao chép tất cả chúng vào trong thư mục chia sẽ của Library Server.
Việc chuyển đổi được thực hiện bằng ba phương pháp sau: Thực hiện chuyển đổi trực tiếp từ ESX server.
Thực hiện trên thư viện VMM Library
CHƯƠNG 4:TRIỂN KHAI HỆ THỐNG ẢO HÓA VÀ BẢO MẬT
4.1 Mục tiêu giải pháp
Yêu cầu của doanh nghiệp:
Đáp ứng nhu cầu khai thác dữ liệu, các dịch vụ cơ sở dữ liệu và cứng ụng để cung cấp trong hệ thống mạng được liên tục trong mạng nội bộ và bất cứ ở đâu có thể truy cập được internet.
Đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa để nâng cao tính an toàn dữ liệu, đảm bảo được hiệu suất hoạt động cao giảm thiểu được nhiều vấn đề.
Các phòng ban sử dụng giao diện làm việc thân thiện, nhằm đẩy mạnh hiệu quả trong công việc.
Khi nhân viên công tác ở ngoài thì có dễ dùng mạng nội bộ để làm việc bằng VPN.
Xây dựng hệ thống ảo hóa nhằm:
Giảm chi phí đầu tư nhiều server cùng lúc, tối ưu hóa hệ thống. Tiết kiệm không gian, tiết kiệm điện năng, hệ thống làm mát. Quản lý đơn giản và tập trung trên một server vật lý duy nhất. Dễ triển khai, nâng cấp mở rộng hệ thống và backup hệ thống.
Tăng cường tính liên tục trong hoạt động và bảo mật của hệ thống các ứng dụng.
Khả năng lưu trữ và sao lưu dữ liệu được an toàn.Truy xuất nhanh. Hạn chế được thời gian trễ trong công việc khi hệ thống mạng có sự cố. Trong hệ thống ảo hóa, VPN sẽ không cần thiết lập vì tất các nhân viên sẽ
được sử dụng Remote Desktop làm việc. Đối với các nhân viên đi công tác ở xa thì có thể Remote Desktop về công ty để lấy các ứng dụng để làm việc. Tất cả dữ liệu được mã hóa bằng SSL trong giao thứ RDP.
4.2 Mô hình triển khai
Sơ đồ tổng quan về hệ thống của doanh nghiệp.
Hình 4.1 Mô hình tổng quan hệ thống mạng
Công ty gồm 2 chi nhánh, chính nhánh chính ở Thành Phố Hồ Chí Minh,chi nhánh 2 ở Bình Dương. Chính nhánh gồm 3 tầng lầu, mỗi tầng khoảng 20 PC. Do việc triển khai ảo hóa nên các PC này có cấu hình rất thấp, không yêu cầu đòi hỏi về phần cứng nhiều. (adsbygoogle = window.adsbygoogle || []).push({});
Vấn đề bảo mật thì được triển khai bằng hệ thống tường lửa mềm, sử dụng phần mềm Microsoft ISA Server 2006 nhằm ngăn chặn việc tấn công của kẻ xấu vào hệ thống mạng, thực hiện việc cân bằng tải, tránh tình trạng nghẽn mạng khi số lượng truy cập vào hệ thống nhiều.
Hệ thống mạng để triển khai hệ thống ảo hóa phải luôn hoạt động ổn định, đủ mạnh để đáp ứng việc truyền tải các ứng dụng từ Server đến các Client.
Sơ đồ ảo hóa hệ thống ở chi nhánh chính:
Hình 4.2 Mô hình ảo hóa hệ thống mạng
Chi nhánh 2 thì chỉ cần triển khai một máy Sequencer Server phân phối các ứng dụng ảo.
Yêu cầu về hệ thống đáp ứng nhu cầu ảo hóa:
Tất cả các máy Server trong hệ thống ảo hóa được cài hệ điều hành Windows Server 2k8 R2 64 bit, tùy theo doanh nghiệp lớn hay nhỏ để chọn các phiên bản phù hợp nhu cầu ảo hóa của công ty. Trong mô hình này, do nhu cầu hoạt
động ảo hóa nhiều nên sẽ chọn phiên bản Enterprise để cài cho các Server. Riêng chỉ có máy chủ Sequencer Server thì được cài đặt Windows 7 Pro 32 bit.
Chức năng và nhiệm vụ của từng máy:
NK Server : cài đặt Acitve Directory Domain Services (AD DS) NK.local, phân giải tên miền DNS, cài đặt CA chứng thực User khi sử dụng web để kết nối đến RemoteApp và các thành phần khác.
Hyper-V : máy cài đặt Hyper-V phải được hỗ trợ ảo hợ, có tính năng Data Execution Prevention phải được ký hoạt. Trên đây, cài đặt thêm thành phần RD Virtualization Host.
VDI Server : gồm có các thành phần được cài đặt như RD Web Access, RD Connection Broker, RD Session Host (redirect mode) nhằm cung cấp việc chuyển hướng đến máy ảo.
RemoteAppServer : cần phải cài RD Session Host (RemoteApp mode) cung cấp phần mềm ứng dụng đến Client.
GateWay : cấp quyền truy cập cho người dùng truy cập từ xa vào hệ thống mạng để sử dụng các máy ảo hoặc các chương trình RemoteApp. Trên Server này cài đặt RD GateWay.
App-V Server: cần những thành phần không thể thiếu như Web Server (IIS7), Microsoft SQL Server 2008 R2 Express Edition và App-V Management Server nhằm quản lý việc triển khai ứng dụng đên các client. Sequence Server : cài đặt App-V Sequencer để ảo hóa và đóng gói các ứng
dụng .
Hệ thống các máy Client sử dụng VDI, App-V được cài đặt Win 7 Profesional 32 bit, và được cài App-V Client để cập nhật các phần mềm được cài đặt trên App-V Server. Đây là các máy ảo được tạo ra để cung cấp cho Client sử dụng thông qua Hyper-V Management.
Cài đặt máy chủ quản lý máy ảo tập trung sử dụng công cụ System Center Virtual Machine Management.Sẽ quản lý tất cả các máy ảo được chạy trên Hyper-V. Công cụ này giúp việc quản lý máy ảo được dễ dàng hơn thông qua giao diện Console hoặc Web Service.
4.3 Triển khai hệ thống4.3.1 NK Server 4.3.1 NK Server
Máy này đảm nhiệm chức năng phân giải tên miền, quản lý hệ thống người dùng trong mạng, tạo các group để cấu hình cho người dùng sử dụng các ứng dụng ảo, cũng như chứng thực người dùng.
Các thành phần được cài trên máy gồm: DC, DNS, Trust CA để chứng thực người dùng.
4.3.2 Máy triển khai hệ thống Hyper-V
Đây là máy chủ vật lý giữ vai trò quan trọng nhất trong hệ thống mạng khi triển khai ảo hóa, đảm nhận việc tao ra môi trường ảo hóa, tạo và chứa các máy chủ ảo…Việc xảy ra sự cố đối với máy chủ vật lý này sẽ ảnh hưởng trực tiếp đến hệ thống ảo hóa chứa bên trong nó nên vấn đề an toàn và bảo mật luôn đặt lên hàng đầu.
Yêu cầu về hệ thống cho Hyper-V:
Phần cứng phải được hỗ trợ ảo hóa, bao gồm vi xứ lý Intel-VT hoặc AMD-V.
Hỗ trợ phòng chống thực thi dữ liệu (DEP) dựa trên phần cứng.
RAM phải đủ để đáp ứng các khối lượng công việc ảo hóa khi triển khai hệ thống.Trong phiên bản Standard của Windows Server 2008 R2 hỗ trợ đến 32Gb RAM và bố khe cắm bộ xử lý x64. Enterprise hỗ trợ 2TB RAM và tám khe cắm. Datacenter thì tối đa 2TB RAM và số khe cắm bộ xử lý x64 lên tới 64 khe. Do trong hệ thống của doanh nghiệp thì chỉ cần sử dụng bản Enterprise.
Sau khi cài đặt xong hệ điều hành Windows Server 2008 R2, tiếp theo sẽ cài Role Service Hyper-V. Việc cài đặt được thực hiện trên giao diện đồ họa hoặc nếu cài đặt bản Server Core thì dùng dòng lệnh : ocsetup Microsoft-Hyper-V.
Hình 4.3 Cài đặt Hyper-V role service
Khi quá trình cài đặt Hyper-V hoàn thành thì khởi động lại máy để kết thúc việc cài đặt Hyper-V Server. (adsbygoogle = window.adsbygoogle || []).push({});
Tiếp đến, cài đặt Role service RD virtualization Host trên máy Hyper-V đây là thành phần quan trọng trong giải pháp VDI, giải pháp cung cấp máy ảo cho người dùng.
Hình 4.4 Cài đặt RD Virtualization Host
Việc cài đặt hoàn chỉnh các dịch vụ chính như trên, lúc này nền tảng ảo hóa đã được tạo ra trên máy chủ vật lý. Là bước khởi đầu quan trong việc triển khai hệ thống ảo hóa.
4.3.3 RemoteApp Server
Thành phần này nhằm đáp ứng dịch vụ RemoteApp cho hệ thống. RemoteApp là những chương trình thực thi ngay trên Remote Desktop Server (RD Session Host). Khi người dùng muốn sử dụng bất kỳ một ứng dụng nào mà trên máy Client đó không đáp ứng được tài nguyên cần thiết để cài đặt thì có thể sử dụng các tài nguyên có sẵn có trên RemoteApp Server.
Để thực hiện được việc truyền các ứng dụng đên các Client thì cần phải cài đặt :
RD Session Host : Cho phép một máy chủ cài đặt những chương trình và người dùng kết nối vào máy chủ RD Session Host này để chạy các ứng dụng, lưu tập tin và sử dụng tài nguyên trên máy chủ đó.
Hình 4.5 Cài đặt RD Session Host
Các chương trình cài đặt để sử dụng cung cấp người dùng như : Microsoft Office, Adobe Reader, Winrar….
4.3.4 GateWay
Một thành phần của giải pháp VDI và RemoteApp, cấp quyền truy cập cho người dùng truy cập từ xa kết nối vào hệ thống ảo hóa để sử dụng các máy ảo hoặc các ứng dụng ảo.
RD GateWay: chứng thực người dùng trước khi sử dụng các tài nguyên trong hệ thống.
Hình 4.7 RD GateWay
Cung cấp một cơ chế lọc ra các yêu cầu Remote Desktop Serviec từ ngoài vào hệ thống mạng bằng Network Policy Server (NPS), với việc chứng thực máy chủ đảm bảo khả năng an toàn cao khi truy cập hệ thống. Có các chính sách bằng NPS liên quan đến RD Gateway.
Connection Authorization Policy (CAP) : cung cấp chính sách khi người truy cập đến RD Gateway.
Resuorce Authorization Policy (RAP): cung cấp danh sách các tài nguyên được quy định cụ thể mà người dùng có thể kết nối đến RD Gateway. Network Access Protection (NAP): cung cấp việc truy cập vào tài nguyên
4.3.5 VDI Server
Cung cấp giải pháp VDI cho hệ thống, giải pháp này cung cấp máy ảo cho người dùng thông qua giao thức Remote Desktop. Người dùng có thể dùng giao diện Web để lấy giao diện làm việc hoặc trực tiếp trong Start Menu dưa trên RemoteApp và Desktop Connection được tích hợp sẵn trên Windows 7.
Các thành phần được cài đặt trên VDI:
RD Web Access : cung cấp giao diện Web cho người sử dụng truy cập đến hệ thống máy ảo và các phần mềm ứng dụng.
RD Connection broker : hỗ trợ cân bằng tải và tái kết nối với hệ thống cần tải máy chủ RD Session Host. RD Connection Broker còn cung cấp cho người dùng kết nối vào các chương trình RemoteApp.
RD Session Host : cho phép một máy chủ cài đặt những chương trình và người dùng kết nối vào máy chủ RD Session Host để chạy những chương trình, lưu tập tin và sử dụng tài nguyên mạng của máy chủ đó. Tuy nhiên, trong VDI thì RD Session Host được cấu hình ở chế độ chuyển hướng các máy ảo khi kết nối.
Hình 4.8 Cài đặt RD Session Host, RD Web Acess 4.3.6 App-V Server
Cung cấp giải pháp App-V cho hệ thống. Các ứng dụng sau khi được ảo hóa sẽ được triển khai đến các Client thông qua máy chủ ảo App-V Server.
Việc cung cấp App-V cho phép người quản trị cài đặt, cập nhật, theo dõi và gỡ bỏ các ứng dụng một cách tập trung. Với App-V, người quản trị cũng có khả năng phân quyền sử dụng đối với một ứng dụng nào đó cụ thể. Đồng thời tránh được việc xung đột các ứng dụng với nhau hơn khi cài đặt trực tiếp trên máy Client.
App-V Server yêu cầu cần phải những thành phần sau:
IIS Web Service : Giao tiếp giữa Data Store ( SQL Server ) và Management Console.
Hình 4.9 Cài đặt Web Server
MS SQL 2008 Express Edition: Dùng cho việc lưu trữ các thông tin liên quan đến Management Server và các ứng dụng.
Hình 4.10 Cài đặt MS SQL Server (adsbygoogle = window.adsbygoogle || []).push({});
App-V Management Server: Dùng để publish ứng dụng và Streaming các gói ứng dụng đến người dùng.
Hình 4.11 Cài đặt App-V Management 4.3.7 Sequencer Server
Máy này thì sử dụng nền tảng Windows 7 32 bit. Sequencer làm nhiệm vụ theo dõi và ghi lại quá trình cài đặt của các ứng dụng, sau đó đóng gói các ứng dụng này thành các tập tin có thể thực thi trên môi trường ảo. Các ứng dụng khi đã đóng gói xong sẽ được publish và streaming tại App-V Management Server.
Sequencer phải là một bản hệ điều hành được cài đặt không bị lỗi. Hệ điều hành 32 bit để ảo hóa ứng dụng 32 bit và hệ điều hành 64 bit cho ứng dụng 64 bit.
Hình 4.12 Cài đặt Sequencer Server 4.3.8 Cài đặt hệ thống Firewall cho hệ thống ảo
Trên Windows Server 2008 R2 đã tích hợp sẵn một công cụ để cho phép người dùng truy cập từ xa bằng RD Gateway nhưng không đủ mạnh để bảo mật cho toàn hệ thống ảo.Vì thế việc bảo mật là vấn đề quan trọng cho một hệ thống mạng.
Do hệ thống mạng ảo thì người dùng giao thức Remote Desktop Protocol (RDP) hoặc thông qua giao diện web được dùng giao thức HTTPS mã hóa tất các gói dữ liệu trong phiên làm việc kết nối từ xa.
Trên Microsoft ISA Server 2006 trong hệ thống sẽ được thiết lập các Role để cho phép mã hóa việc kết nối từ xa.
Web Publishing
Enable or Disable HTTP-HTTPS
Cấu hình cho hệ thống mạng ra được internet, phân giải DNS server.
Hình 4.13 Mô hình FireWall cho hệ thống Ảo 4.3.9 Kết quả đạt được sau triển khai hệ thống ảo hóa
Các bộ phận trong công ty sẽ được cung cấp theo nhu cầu làm việc, do đó các Group trong Active Directory tương ứng với các bộ phận để việc quản lý dễ dàng hơn và sử dụng được tối đa hệ thống.
Các bộ phận Nhân sự, Kế toán, Hành chính…sẽ được sử dụng các tài nguyên ảo hóa khác nhau.
Hệ thống App-V sẽ được truyền tải đến bộ phận nhân sự, bộ phận này chỉ yêu cầu các ứng dụng văn phòng. Tại các Client này sẽ được cài đặt App-V Client để có thể kết nối tới Publishing Server.Việc kết nối tới App-V Management được thực hiện
Hình 4.14 Cấu hình Publishing Server tại máy Client
Hệ thống VDI và RemoteApp được sử dụng cho các bộ phận còn lại. Các