Virtualization [Lý thuyết] Kiến trúc ESXi, cài đặt máy chủ, cấu hình mạng quản lý, đồng bộ hóa thời gian (NTP/PTP) và quản lý tài khoản

N

NMQui

Intern
1. Kiến trúc ESXi (ESXi Architecture)
ESXi là một bare-metal hypervisor được cấp phép như một phần của VMware vSphere, lớp phần mềm mỏng cài đặt trực tiếp trên phần cứng máy chủ vật lý để chạy các máy ảo.

1782118066584.png

ESXI có các tính năng nổi bậc sau:
  • Các thành phần cốt lỗi:
    • VMkernel: Lớp nhân điều phối quyền truy cập của máy ảo vào tài nguyên phần cứng (CPU, RAM, mạng, lưu trữ).
    • Tiến trinhf hostd: Chạy trực tiếp trên host để quản lý hầu hết các hoạt động như trạng thái máy ảo và các ổ đĩa lưu trữ.
    • Tác nhân vpxa: Được cài đặt khi host được thêm vào vCenter, đóng vai trò trung gian giữa dịch vụ vpxd của vCenter và hostd của ESXi.
  • Tính năng bảo mật nâng cao:
    • Host-based Firewall: Tường lửa tích hợp trên máy chủ giúp kiểm soát và bảo vệ lưu lượng mạng.
    • Memory Hardening: Tăng cường bảo vệ bộ nhớ bằng cách đặt các thành phần thực thi ở các vị trí ngẫu nhiên trong bộ nhớ, giúp giảm nguy cơ khai thác lỗ hổng.
    • Kernel Module Integrity: Đảm bảo tính toàn vẹn của các mô-đun nhân hệ điều hành thông qua cơ chế xác thực và chữ ký số.
    • Trusted Platform Module (TPM 2.0): Sử dụng mô-đun bảo mật phần cứng để xác thực và bảo vệ hệ thống.
    • UEFI Secure Boot: Đảm bảo chỉ các thành phần phần mềm đáng tin cậy mới được phép khởi động.
    • Encrypted Core Dumps: Mã hóa các tệp ghi lỗi hệ thống (core dump) nhằm bảo vệ dữ liệu nhạy cảm.
  • Dung lượng cài đặt nhỏ
    • ESXi có kích thước gọn nhẹ, chiếm ít không gian lưu trữ trên thiết bị cài đặt.
  • Khởi động nhanh:
    • Quick Boot cho phép ESXi khởi động lại mà không cần khởi tạo lại BIOS hoặc phần cứng, giúp giảm đáng kể thời gian vá lỗi và nâng cấp hệ thống.
  • Có thể được cài đặt trên nhiều loại thiết bị lưu trữ khác nhau:
    • Ổ cứng HDD
    • SAN LUN (Storage Area Network Logical Unit Number)
    • SSD
    • SATADOM (SATA Disk on Module)
    • Máy chủ không ổ đĩa (Diskless Hosts)
2. Cài đặt máy chủ ESXi (Installing ESXi)
  • Yêu cầu phần cứng tối thiểu:
    • CPU: Ít nhất 2 lõi.
    • RAM: Tối thiểu 8GB, khuyến nghị 12GB với môi trường sản xuất.
    • Mạng: Một hoặc nhiều bộ điều khiển Ethernet 1Gbps trở lên.
    • Ổ đĩa khởi động: Tối thiểu 32GB bộ nhớ lưu trữ bền vững.
  • Qui trình cài đặt:
    • Bắt đầu tại màn hình Welcome page.
    • Chấp nhận thỏa thuận cấp phép sử dụng (EULA).
    • Chọn ổ đĩa cài đặt.
    • Chọn kiểu bố trí bàn phím.
    • Nhập mật khẩu cho tài khoản quản trị viên (root).
    • Bắt đầu quá trình cài đặt.
3. Cấu hình mạng quản lý (Management Network)
Quản trị viên sử dụng giao diện DCUI (Direct Console User Interface) – giao diện văn bản trực tiếp trên màn hình máy chủ – để thiết lập các thông số ban đầu.
  • Các thiết lập chính: Lựa chọn card mạng vật lý (vmnic), đặt VLAN ID, cấu hình địa chỉ IPv4/IPv6 (tĩnh hoặc DHCP), tên máy chủ (Hostname) và máy chủ DNS.
  • Các tác vụ hỗ trợ: DCUI cho phép khởi động lại mạng quản trị (mà không cần khởi động lại cả hệ thống), kiểm tra kết nối bằng ping/DNS hoặc khôi phục cấu hình mạng mặc định.
4. Đồng bộ hóa thời gian (NTP/PTP)
Việc đồng bộ thời gian là bắt buộc để đảm bảo tính chính xác của dữ liệu hiệu suất, dấu thời gian trong nhật ký (logs) và các ứng dụng chạy trên máy ảo.
  • Các phương thức:
    • NTP (Network Time Protocol): Cung cấp độ chính xác ở mức mili giây, sử dụng giao thức UDP qua cổng 123.
    • PTP (Precision Time Protocol): Cung cấp độ chính xác cao hơn ở mức micro giây, sử dụng cổng UDP 319 và 320.
  • Lưu ý quan trọng: Hai dịch vụ NTP và PTP không thể chạy đồng thời trên một host. Bạn có thể cấu hình NTP làm phương án dự phòng (fallback) nếu dịch vụ PTP không hoạt động.
5. Quản lý tài khoản và truy cập
  • Tài khoản Root: Là tài khoản quyền năng nhất, có thể truy cập mọi tệp tin và lệnh trên ESXi. Bảo mật tài khoản này là bước quan trọng nhất để bảo vệ host.
  • Tích hợp miền (Directory Integration): Khuyến nghị kết nối host vào Active Directory/LDAP để quản lý tập trung. Những người dùng thuộc nhóm ESX Admins trong miền sẽ mặc định có quyền quản trị cao nhất trên host.
  • Chế độ Lockdown (Lockdown Mode): Khi được kích hoạt, nó ngăn chặn người dùng từ xa đăng nhập trực tiếp vào host, chỉ cho phép quản lý thông qua vCenter hoặc giao diện DCUI.
  • Kiểm soát dịch vụ từ xa: Các dịch vụ như SSHvSphere ESXi Shell mặc định bị tắt và chỉ nên được bật khi cần khắc phục sự cố bởi người quản trị có đặc quyền.
  • Tường lửa ESXi: Tường lửa dựa trên host được kích hoạt mặc định để chặn mọi lưu lượng vào/ra, ngoại trừ các dịch vụ đã được phê duyệt trong cấu hình.
 
Sửa lần cuối:
Bài viết liên quan
[Lý thuyết] Tìm hiểu các khái niệm cơ bản về ảo hóa, máy ảo (VM), ESXi, vCenter, vSphere+ và các giao diện người dùng bởi NMQui,
Được quan tâm
[Lý thuyết] Tìm hiểu các khái niệm cơ bản về ảo hóa, máy ảo (VM), ESXi, vCenter, vSphere+ và các giao diện người dùng bởi NMQui,
Bài viết mới
[Lý thuyết] Tìm hiểu các khái niệm cơ bản về ảo hóa, máy ảo (VM), ESXi, vCenter, vSphere+ và các giao diện người dùng bởi NMQui,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top