VMware Cấu hình lưu trữ vSphere

I. CÁC KHÁI NIỆM LƯU TRỮ (Storage Concepts)​

I.1. Datastore là gì?​

Datastore là một đơn vị lưu trữ logic (logical storage unit) sử dụng không gian từ một hoặc nhiều thiết bị lưu trữ vật lý. Nó đóng vai trò như một "container" chứa các file của máy ảo (VM), template và file ISO. Datastore giúp ẩn đi sự phức tạp của phần cứng lưu trữ bên dưới, mang lại một giao diện quản lý thống nhất.

vSphere hỗ trợ 4 loại datastore chính:

• VMFS (Virtual Machine File System): Hệ thống file hiệu suất cao dành riêng cho ảo hoá, truy cập theo dạng block (block-level). Cho phép nhiều máy chủ ESXi đọc/ghi đồng thời. Triển khai trên ổ cứng cục bộ (local storage), Fibre Channel SAN hoặc iSCSI SAN.
• NFS (Network File System): Truy cập theo dạng file (file-level) qua mạng TCP/IP. ESXi kết nối với máy chủ NFS (thiết bị NAS) qua cổng VMkernel. Hỗ trợ phiên bản NFS 3 và NFS 4.1.
• vSAN: Giải pháp lưu trữ định nghĩa bằng phần mềm (software-defined). Nó gom các ổ cứng (SSD/HDD) gắn trực tiếp trên các máy chủ thành một datastore dùng chung.
• vSphere Virtual Volumes (vVols): Phương thức quản lý lưu trữ không cần LUN truyền thống. Tự động hoá các chính sách lưu trữ cho từng máy ảo trực tiếp trên hệ thống SAN/NAS bên ngoài.

I.2. Phương thức truy cập lưu trữ​

• Block-backed storage (Truy cập theo Block): Dữ liệu lưu dưới dạng các chuỗi byte (block). Thường dùng trên Local storage, SAN (qua iSCSI hoặc Fibre Channel). Áp dụng cho VMFS, vSAN và vVols.
• File-backed storage (Truy cập theo File): Dữ liệu lưu theo cấu trúc cây thư mục và file. Dùng trên thiết bị NAS. Áp dụng cho NFS và vVols.

I.3. Cấu trúc file trong Datastore​

• Trên Datastore dạng File (VMFS, NFS): Mỗi VM nằm trong một thư mục riêng, bao gồm các file như: .vmx (cấu hình), .vswp (swap), .nvram (BIOS/EFI), .log (nhật ký) và .vmdk (ổ cứng ảo).
• Trên Datastore dạng Object (vSAN, vVols): VM được tạo thành từ các "object" (đối tượng) như: cấu hình, ổ đĩa ảo, không gian swap... Mỗi object có dữ liệu, metadata và ID riêng biệt.

I.4. Tổng quan các công nghệ lưu trữ​

ESXi hỗ trợ các công nghệ lưu trữ sau:

• Direct-attached Storage (DAS): Ổ đĩa hoặc mảng đĩa gắn trực tiếp vào host qua kết nối SAS, SATA hoặc NVMe. Không hỗ trợ HA, DRS (trừ khi kết hợp Storage vMotion).

• Fibre Channel (FC): Giao thức tốc độ cao (hỗ trợ 32 Gbps) cho SAN. Đóng gói lệnh SCSI truyền giữa các FC node. FC switch kết nối nhiều node tạo thành fabric.

• FCoE (Fibre Channel over Ethernet): Truyền tín hiệu Fibre Channel thông qua hạ tầng mạng cáp đồng Ethernet.

• iSCSI: Giao thức truyền tải SCSI qua mạng TCP/IP tiêu chuẩn. Tiết kiệm chi phí hơn so với FC SAN.

• NAS (NFS): Lưu trữ chia sẻ qua TCP/IP ở mức file system. Giao thức NFS không hỗ trợ lệnh SCSI.

iSCSI, NAS và FCoE có thể chạy trên mạng tốc độ cao, cung cấp hiệu suất lưu trữ tốt.

I.5. Bảng tổng hợp giao thức lưu trữ và tính năng vSphere​

(*) DAS hỗ trợ vMotion khi kết hợp Storage vMotion.

Shared storage (SAN, NAS) là nền tảng thiết yếu cho: vSphere vMotion, vSphere HA, vSphere DRS, kho lưu trữ tập trung cho file VM và template, clustering VM qua nhiều ESXi host, phân bổ dung lượng lớn (terabytes).

I.6. Quy ước đặt tên thiết bị lưu trữ​

Thiết bị lưu trữ được nhận dạng theo nhiều cách:
• Runtime name: Theo quy ước vmhbaN:C:T:L (ví dụ: vmhba2:0:3:0). Tên này không cố định và có thể đổi sau khi khởi động lại máy chủ. Không nên dùng làm định danh chính thức.
• Target: Nhận dạng địa chỉ và port đích. Sử dụng Worldwide Port Name (WWPN) – định danh duy nhất toàn cầu cho node. iSCSI sử dụng:
- IQN (iSCSI Qualified Name): Dạng iqn.yyyy-mm.naming-authority:unique-name
- EUI (Extended Unique Identifier): Tiền tố "eui." + 16 ký tự (24-bit mã công ty IEEE + 40-bit ID duy nhất)
• LUN (Logical Unit Number): Số định danh duy nhất gán cho từng thiết bị hoặc tập hợp thiết bị lưu trữ, được sử dụng bởi giao thức SCSI.

I.7. Raw Device Mapping (RDM)​

RDM cho phép VM truy cập trực tiếp LUN vật lý trên SAN. File mapping (-rdm.vmdk) phải được lưu trên VMFS datastore, đóng vai trò proxy cho thiết bị vật lý.
Hai chế độ RDM:
• Virtual compatibility mode: RDM hoạt động như đĩa ảo thông thường – hỗ trợ snapshot, clone. Phần mở rộng: -rdm.vmdk
• Physical compatibility mode: Guest OS truy cập phần cứng trực tiếp – dành cho ứng dụng nhận biết SAN. Phần mở rộng: -rdmp.vmdk

II. LƯU TRỮ FIBRE CHANNEL​

II.1. Tổng quan về Fibre Channel​

Fibre Channel (FC) là giao thức truy cập thiết bị lưu trữ qua mạng chuyên dụng tốc độ cao. ESXi hỗ trợ 32 Gbps FC và FCoE. Host cần FC HBA (Host Bus Adapter) để kết nối.

FC SAN là mạng chuyên biệt kết nối host với thiết bị lưu trữ hiệu suất cao. Hệ thống dùng các switch FC để định tuyến dữ liệu.

II.2. Các thành phần FC SAN​

• FC SAN switches: Kết nối các phần tử SAN, thiết lập đường dẫn dự phòng.

• Fabric: Phần mạng của SAN, được tạo khi các switch kết nối với nhau. Giao thức FC giao tiếp trên toàn bộ mạng. Có thể gồm nhiều fabric riêng biệt.

• Connections: Host kết nối qua HBA, storage kết nối qua storage processor.

II.3. Địa chỉ FC và kiểm soát truy cập​

Mỗi node FC có một hoặc nhiều port, được nhận dạng bởi Worldwide Port Name (WWPN) – định danh duy nhất toàn cầu. FC switch phát hiện WWPN và gán port address.

Hai cơ chế kiểm soát truy cập:
• Zoning: Phân tách hoạt động SAN, nhóm các port vào zone (ví dụ: zone test vs zone production)
• LUN Masking: Hạn chế quyền truy cập vào LUN cụ thể cho từng host

II.4. Multipathing với Fibre Channel​

Multipathing là khi có nhiều hơn một đường dẫn từ host đến LUN. Cung cấp:
• Tính sẵn sàng cao: Tiếp tục truy cập nếu phần cứng gặp sự cố (path failover)
• Cân bằng tải: Phân phối I/O qua nhiều đường dẫn

Một đường dẫn mô tả tuyến đường từ HBA port qua switch đến storage port. Mặc định, ESXi sử dụng một đường dẫn tại một thời điểm. Path failover tự động phát hiện đường dẫn lỗi và chuyển sang đường dẫn khác.

• Active-active: Máy chủ có thể đọc/ghi dữ liệu qua tất cả các đường dẫn cùng lúc.
• Active-passive: Chỉ một đường dẫn hoạt động, các đường dẫn khác ở trạng thái chờ (standby).

III. LƯU TRỮ iSCSI​

III.1. Các thành phần iSCSI​

iSCSI (Internet Small Computer Systems Interface) là giao thức truyền tải SCSI qua mạng TCP/IP tiêu chuẩn, cho phép truy cập SAN qua hạ tầng Ethernet sẵn có mà không cần đầu tư mạng FC chuyên dụng tốn kém.

• iSCSI Initiator: Thành phần phía ESXi host gửi lệnh SCSI. Có 3 loại:
- Software iSCSI Initiator: Dùng card mạng thường (NIC) và CPU của máy chủ để xử lý dữ liệu.
- Dependent Hardware iSCSI: Card mạng có chip hỗ trợ giảm tải (offload) cho CPU, nhưng vẫn phụ thuộc vào cấu hình mạng của ESXi.
- Independent Hardware iSCSI: Card iSCSI chuyên dụng (HBA), tự xử lý toàn bộ, không phụ thuộc vào mạng của ESXi.
• iSCSI Target: Thành phần phía hệ thống lưu trữ nhận lệnh SCSI và trình bày LUN.

III.2. Địa chỉ iSCSI (iSCSI Addressing)​

Mỗi node iSCSI (initiator hoặc target) có tên duy nhất theo hai định dạng:

• IQN (iSCSI Qualified Name): Tối đa 255 ký tự
Cấu trúc: iqn.yyyy-mm.reversed-domain-name:unique-string
Ví dụ: iqn.1998-01.com.vmware:sa-esxi-01-6a8b3c

• EUI (Extended Unique Identifier):
Cấu trúc: eui. + 16 ký tự hex (24-bit mã công ty IEEE + 40-bit ID duy nhất)

III.3. Cấu hình mạng ESXi cho Software iSCSI​

Phải tạo VMkernel port trước khi kích hoạt Software iSCSI Initiator.

Nguyên tắc quan trọng:
• Tách biệt mạng iSCSI với mạng NFS (tách vật lý là tốt nhất, dùng VLAN nếu không thể)
• Một NIC vật lý = một VMkernel port
• Hai hoặc nhiều NIC = multipathing dựa trên host
• Không nên route traffic iSCSI qua router vì gây tăng latency

III.4. Bảo mật iSCSI với CHAP​

CHAP (Challenge-Handshake Authentication Protocol) cung cấp xác thực cho kết nối iSCSI (không được cấu hình mặc định). Sử dụng thuật toán bắt tay 3 bước dựa trên shared secret (RFC 1994).

• Unidirectional CHAP: Target yêu cầu ESXi nhập mật khẩu (một chiều).

• Bidirectional (Mutual) CHAP: Target và ESXi yêu cầu mật khẩu của nhau (hai chiều - bảo mật cao nhất).

IV. VMFS DATASTORES​

IV.1. Đặc điểm VMFS​

VMFS là hệ thống file cluster hiệu suất cao, thiết kế đặc biệt cho ảo hoá:

• Clustered file system: Nhiều ESXi host đồng thời đọc/ghi – nền tảng cho vMotion, HA, DRS
• On-disk locking: Cơ chế khoá phân tán ở mức block, truy cập an toàn không xung đột
• Dynamic expansion: Mở rộng dung lượng mà không cần ngừng hoạt động
• Maximum volume size: 64 TB. Dung lượng tệp đĩa ảo tối đa: 62 TB

ESXi hỗ trợ VMFS5 và VMFS6:

VMFS có thể triển khai trên: direct-attached storage, Fibre Channel SAN, iSCSI SAN. Đĩa ảo luôn xuất hiện với VM dưới dạng thiết bị SCSI mounted.

IV.2. Tạo VMFS Datastore​

Có thể tạo VMFS datastore trên bất kỳ thiết bị lưu trữ SCSI-based nào mà host phát hiện: Fibre Channel, iSCSI và local storage.

Quy trình: New Datastore wizard > Chọn VMFS > Đặt tên > Chọn LUN (xác nhận NAA ID) > Chọn VMFS version (khuyến nghị VMFS 6) > Cấu hình partition > Finish.

IV.3. Quản lý Datastore​

• Mở rộng (Expand): Có thể thêm không gian vào datastore đang chạy mà không cần tắt máy ảo bằng cách nối thêm LUN (Add Extent) hoặc mở rộng trực tiếp LUN hiện tại.
• Maintenance Mode: Đưa datastore vào trạng thái bảo trì (tất cả máy ảo phải được dời đi chỗ khác) trước khi tháo gỡ.
• Unmount và Delete:

- Unmount: Ngắt kết nối datastore khỏi máy chủ (dữ liệu vẫn còn).

- Delete: Xóa sạch hoàn toàn datastore và mọi dữ liệu bên trong (không thể hoàn tác).

IV.4. Các chính sách chọn đường dẫn​

vSphere cung cấp native path selection, load-balancing và failover. Ba chính sách:

• Fixed: Luôn dùng đường dẫn chính (preferred path). Nếu đứt, đổi sang đường dự phòng. Khi đường chính có lại, tự động quay về.
• MRU (Most Recently Used): Dùng đường dẫn đầu tiên tìm thấy. Nếu đứt thì chuyển sang đường khác và KHÔNG tự động quay về đường cũ.
• Round Robin: Chia đều dữ liệu chạy qua tất cả các đường dẫn khả dụng để tăng băng thông.

V. NFS DATASTORES​

V.1. Các thành phần NFS​

NFS (Network File System) là giao thức chia sẻ file. NFS file system nằm trên thiết bị NAS (NFS server). Server chứa một hoặc nhiều thư mục chia sẻ với ESXi host qua TCP/IP.

NFS datastore được xử lý tương tự VMFS: lưu trữ file VM, template, ISO; hỗ trợ vMotion, HA, DRS.

V.2. So sánh NFS 3 và NFS 4.1​

Lưu ý: Không được mount cùng NFS datastore từ các host bằng version NFS khác nhau (host A dùng NFS 3, host B dùng NFS 4.1) – sẽ gây hư hỏng dữ liệu nghiêm trọng.

V.3. Cấu hình NFS Datastore​

Quy trình:
1. Tạo VMkernel port (tách biệt NFS với iSCSI)
2. New Datastore wizard > Chọn NFS > Cung cấp thông tin:
- NFS version (3 hoặc 4.1)
- Tên datastore
- NFS server (IP hoặc FQDN; NFS 4.1 cho phép nhiều IP cho native multipathing)
- Thư mục trên NFS server (ví dụ: /nfs_share)
- Read-only hay không
- Hosts sẽ mount datastore
- Tham số xác thực (nếu dùng Kerberos)

V.4. Xác thực Kerberos cho NFS 4.1​

Yêu cầu:
- Thêm mỗi ESXi host vào Active Directory domain
- Cấu hình NFS Kerberos credentials
- Đồng bộ thời gian (NTP) chính xác trên tất cả node

Chế độ bảo mật:
- Kerberos5 authentication (krb5): Chỉ xác thực
- Kerberos5i (krb5i): Xác thực + toàn vẹn dữ liệu (phát hiện tấn công man-in-the-middle)

Lưu ý: NFS 3 và NFS 4.1 sử dụng credentials khác nhau (UID/GID không tương thích). Nếu các host dùng user AD khác nhau truy cập cùng NFS share, vMotion có thể thất bại. Cấu hình Kerberos có thể tự động hoá bằng host profiles.