VMware Kiến trúc vCenter, triển khai vCenter Server Appliance, quản lý license, tổ chức Inventory, phân quyền và theo dõi Events

Tổng quan​

Trong môi trường vSphere, vCenter Server là trung tâm điều phối và quản trị tập trung. Nếu ESXi là lớp hypervisor trực tiếp chạy máy ảo, thì vCenter là lớp quản lý phía trên, giúp gom nhiều host, nhiều VM, nhiều datastore và nhiều mạng ảo về một giao diện thống nhất. Nhờ đó, quản trị viên không còn phải thao tác rời rạc trên từng host, mà có thể quản lý toàn bộ hạ tầng theo mô hình tập trung, có tổ chức, có phân quyền và có khả năng giám sát đầy đủ.

Bài viết này tập trung vào các nội dung cốt lõi của Module 4: kiến trúc vCenter, cách triển khai vCenter Server Appliance (VCSA), quản lý license, tổ chức inventory, mô hình Roles/Permissions và cách theo dõi Events. Đây đều là những phần nền tảng để xây dựng một môi trường vSphere bài bản và có khả năng vận hành lâu dài.

Nội dung chính​

1. Kiến trúc vCenter​

vCenter hiện nay được triển khai chủ yếu dưới dạng vCenter Server Appliance, tức một máy ảo được đóng gói sẵn và tối ưu riêng cho việc chạy vCenter. Appliance này chạy trên nền Linux, đi kèm sẵn cơ sở dữ liệu PostgreSQL và các dịch vụ cần thiết để vận hành hệ thống quản trị.

Về mặt kiến trúc, có thể hình dung vCenter theo mô hình sau:


Điểm quan trọng trong kiến trúc này là:

• vSphere Client là giao diện chính để quản trị.
• vCenter Server xử lý logic quản lý tập trung.
• VCDB lưu inventory, quyền hạn, license, cấu hình và dữ liệu vận hành quan trọng.
• vpxd là dịch vụ điều phối chính của vCenter.
• vpxa là agent phía host để vCenter giao tiếp với ESXi.
• hostd là dịch vụ quản trị cục bộ trên ESXi.

Nếu vCenter không sẵn sàng, quản trị viên vẫn có thể truy cập trực tiếp vào từng host bằng VMware Host Client, nhưng lúc đó chỉ quản lý ở mức từng host riêng lẻ, không còn lợi thế quản trị tập trung.

Một điểm rất đáng lưu ý là vCenter Single Sign-On (SSO) đóng vai trò xác thực tập trung. Đây là nền tảng để người dùng đăng nhập một lần, được cấp token xác thực và sau đó truy cập vào các dịch vụ trong hệ sinh thái vSphere theo quyền đã được gán. Trong môi trường lớn, Enhanced Linked Mode còn cho phép quản trị nhiều vCenter trong cùng một miền SSO từ một phiên đăng nhập thống nhất.

2. Triển khai vCenter Server Appliance​

VCSA là dạng triển khai chuẩn và hiện đại nhất của vCenter. Đây không chỉ là một VM chạy dịch vụ vCenter, mà là một appliance đã được tối ưu sẵn về hệ điều hành, database và các service quản trị.

Trước khi triển khai, cần chuẩn bị đầy đủ:

• Host đích là standalone ESXi hoặc host đang được quản lý bởi một vCenter khác.
• FQDN, địa chỉ IP tĩnh, subnet, gateway, DNS.
• Đồng bộ thời gian chính xác trong toàn bộ môi trường.
• Tên appliance, mật khẩu root.
• Quyết định trước về kích thước triển khai như Tiny/Small/Medium/... tùy theo quy mô inventory.

Quá trình triển khai VCSA được chia thành 2 giai đoạn:

Stage 1: Deploy

• Chọn nơi triển khai appliance.
• Chọn compute size, storage size và datastore.
• Đặt tên VM, mật khẩu root.
• Cấu hình mạng quản lý cho appliance.
• Hoàn tất việc deploy OVF lên host đích.

Stage 2: Configure

• Cấu hình đồng bộ thời gian.
• Bật hoặc tắt SSH.
• Tạo mới hoặc join vào SSO domain.
• Cấu hình các thông số khởi tạo ban đầu của vCenter.

Sau khi hoàn tất:

• Truy cập vSphere Client qua https://<vcenter>/ui
• Truy cập VAMI qua https://<vcenter>:5480

VAMI là giao diện rất quan trọng nhưng thường bị bỏ qua. Đây là nơi theo dõi CPU, RAM, đĩa, service, backup, patching, network adapters và sức khỏe tổng thể của appliance. Nói cách khác, vSphere Client dùng để quản trị hạ tầng ảo hóa, còn VAMI dùng để quản trị chính bản thân vCenter Appliance.

3. Quản lý giấy phép (License)​

Một trong những điểm mạnh của vCenter là việc quản lý license được tập trung hóa. Thay vì đi gán và kiểm tra giấy phép rời rạc trên từng host, quản trị viên có thể quản lý license từ một nơi duy nhất.

Trong vSphere, license thường được nhìn theo ba góc:

• Product: loại sản phẩm hoặc tính năng được cấp phép.
• License Key: chuỗi key 25 ký tự.
• Asset: đối tượng đang sử dụng license, ví dụ vCenter, ESXi host hoặc cluster có vSAN.

vCenter có License Service để quản lý và phân phối việc gán license cho các thành phần như:

• vCenter Server
• ESXi Hosts
• vSAN-enabled clusters

Điều quan trọng cần lưu ý đó là: Hệ thống có thể chạy evaluation mode trong 60 ngày sau khi cài đặt. Sau thời gian này, nếu chưa gán license hợp lệ, nhiều thao tác quản trị sẽ bị giới hạn. Vì vậy, license nên được add vào vCenter trước, sau đó mới gán xuống đúng asset tương ứng.
Về mặt vận hành, quản trị viên nên kiểm tra định kỳ:

• License còn hợp lệ hay không
• Có asset nào đang ở evaluation mode hay không
• Có tình trạng overuse hoặc non-compliance hay không

Nếu License Service có vấn đề, inventory license trong vCenter có thể hiển thị rỗng hoặc sai trạng thái, nên đây là một phần không nên bỏ qua trong kiểm tra sức khỏe hệ thống.

4. Tổ chức Inventory trong vCenter​

Inventory là cách vCenter biểu diễn toàn bộ hạ tầng dưới dạng cây đối tượng. Nếu tổ chức inventory kém, môi trường sẽ rất nhanh rơi vào tình trạng khó tìm kiếm, khó phân quyền và khó vận hành.

Mô hình đơn giản có thể vẽ như sau (Nguồn: InventoryHierarchy):


Một Datacenter trong vCenter không chỉ là khái niệm vật lý, mà là đối tượng logic để gom các thành phần hạ tầng. Bên dưới datacenter luôn có 4 nhánh logic quan trọng:

• host
• vm
• datastore
• network

Đây là nền tảng để quản trị viên:

• Thêm host vào đúng khu vực
• Gom VM theo môi trường Prod / Dev / Test
• Tách nhóm template riêng
• Tổ chức network và storage theo chuẩn đặt tên thống nhất

Ngoài folder, vCenter còn hỗ trợ tags để phân loại đối tượng theo chiều ngang, ví dụ:

• Business Unit
• Owner
• Environment
• Backup Policy
• Application Tier

Folder giúp tổ chức theo cấu trúc cây. Tag giúp phân loại linh hoạt theo thuộc tính nghiệp vụ. Trong môi trường lớn, nên dùng kết hợp cả hai thay vì chỉ phụ thuộc vào một cách duy nhất.

5. Roles và Permissions​

Đây là phần quan trọng nhất nếu muốn vCenter vận hành đúng chuẩn doanh nghiệp.

Cần tách rõ 3 khái niệm:

• Privilege: quyền rất nhỏ, ví dụ power on VM, create snapshot, browse datastore.
• Role: tập hợp nhiều privilege.
• Permission: gán một role cho một user hoặc group trên một object cụ thể.

Nói ngắn gọn:

• Role là “được làm gì”
• Permission là “ai được làm gì trên đối tượng nào”

Mô hình nên hiểu như sau:

User/Group + Role + Object + Propagate to children = Permission

Một số nguyên tắc rất quan trọng:

• Permission có thể gán ở nhiều cấp: vCenter, Datacenter, Cluster, Folder, Host, VM, Datastore...
• Nếu bật Propagate to children, quyền sẽ lan xuống các đối tượng con.
• Permission ở object con có thể ghi đè quyền được kế thừa từ object cha.
• Global Permissions áp dụng ở phạm vi rộng hơn object-level permissions.
• Quyền hiệu lực cuối cùng phụ thuộc vào nơi gán quyền, cách kế thừa và các group membership liên quan.

Đây cũng là lý do vì sao nhiều môi trường đã gán Administrator mà vẫn không thao tác được. Nguyên nhân thường không nằm ở bản thân role, mà nằm ở quyền bị ghi đè hoặc có một permission khác mang tính hạn chế hơn ở cấp thấp hơn.

Cách tối ưu là:

• Phân quyền theo group, không phân quyền trực tiếp cho từng user nếu không cần thiết.
• Gán quyền ở cấp logic cao nhất hợp lý, ví dụ Datacenter, Cluster, Folder.
• Chỉ override ở object con khi có ngoại lệ thật sự.
• Hạn chế lạm dụng Administrator.
• Dùng Read-only, custom role hoặc role theo chức năng để giảm rủi ro.

6. Theo dõi sự kiện (Events)​

Events là nhật ký hoạt động ở cấp quản trị mà vCenter ghi nhận cho các thay đổi và hành động xảy ra trong hệ thống. Đây là nơi rất quan trọng để audit, điều tra sự cố và theo dõi hành vi vận hành.

Ví dụ event có thể phát sinh khi:

• VM bị power off hoặc migrate
• Host bị disconnect
• License sắp hết hạn hoặc không compliant
• User thay đổi cấu hình
• Service hoặc object chuyển trạng thái

Cần phân biệt:

• Events là bản ghi hành động và trạng thái nhìn thấy trong UI
• Logs là file log mức hệ thống và dịch vụ của appliance

Trong vCenter, việc theo dõi events nên đi cùng với:

• Chọn đúng object cần theo dõi
• Lọc theo thời gian, mức độ nghiêm trọng hoặc loại sự kiện
• Kết hợp với tab Tasks để hiểu chuỗi thao tác
• Đối chiếu thêm service health và appliance health nếu nghi ngờ lỗi nền

Cũng cần quan tâm đến phần log levels. Đây là điểm quan trọng trong vận hành:

• Khi cần điều tra sâu, có thể nâng mức log
• Khi chỉ cần vận hành bình thường, nên giữ mức hợp lý để tránh log quá nhiều
• Có thể forward log tới remote syslog để lưu trữ tập trung và phân tích lâu dài

Ngoài phần events trong vSphere Client, quản trị viên cũng nên theo dõi tình trạng của appliance qua VAMI:

• CPU / Memory
• Disk usage
• Database health
• Service status

Một môi trường vCenter tốt không chỉ là đăng nhập được, mà phải là môi trường có thể quan sát, truy vết và phát hiện sớm vấn đề.

Kết luận​

vCenter không chỉ là giao diện để bấm chuột quản lý VM, mà là lớp điều phối trung tâm của toàn bộ môi trường vSphere. Muốn vận hành vCenter hiệu quả, cần hiểu kiến trúc bên trong, triển khai appliance đúng chuẩn, quản lý license tập trung, tổ chức inventory hợp lý, phân quyền chính xác và theo dõi sự kiện một cách có hệ thống.

Nếu ESXi là nền móng của lớp ảo hóa, thì vCenter chính là bộ não quản trị. Làm tốt từ phần này sẽ giúp toàn bộ hệ thống dễ mở rộng hơn, an toàn hơn và chuyên nghiệp hơn trong vận hành thực tế.