VMware [Lý thuyết] Kiến trúc vCenter, triển khai vCenter Server Appliance, quản lý giấy phép (license), tổ chức Inventory, phân quyền (Roles/Permissions)

Giới thiệu

Trong môi trường vSphere, vCenter Server đóng vai trò là "bộ não" điều phối và là điểm quản trị tập trung. Nếu ESXi là lớp hypervisor trực tiếp vận hành máy ảo, thì vCenter là lớp quản lý phía trên, cho phép quản trị viên kết nối và điều khiển nhiều máy chủ ESXi, máy ảo, tài nguyên lưu trữ và mạng chỉ qua một giao diện duy nhất là vSphere Client. Nhờ vCenter, các tính năng nâng cao như vMotion, High Availability (HA), và Distributed Resource Scheduler (DRS) mới có thể hoạt động để đảm bảo tính sẵn sàng và tối ưu hóa tài nguyên.

Giải thích chi tiết các thành phần cốt lõi

1. Kiến trúc vCenter Server
vCenter Server 8 được triển khai chủ yếu dưới dạng vCenter Server Appliance (VCSA), một máy ảo được đóng gói sẵn chạy trên hệ điều hành Photon OS của VMware.

• Các thành phần chính: Bao gồm cơ sở dữ liệu tích hợp vPostgres (PostgreSQL) để lưu trữ kho lưu trữ (inventory), dữ liệu hiệu suất và phân quyền; dịch vụ xác thực trung tâm vCenter Single Sign-On (SSO); cùng các dịch vụ tích hợp như vSphere Client, License service, và vSphere Lifecycle Manager (vLCM).
• Cơ chế giao tiếp: vCenter (dịch vụ vpxd) tương tác với các máy chủ ESXi thông qua một tác nhân trung gian gọi là vpxa. Tác nhân này sẽ nhận lệnh, chuyển tiếp từ vCenter đến tiến trình hostd chạy trực tiếp trên ESXi để thực thi các tác vụ hạ tầng (như bật/tắt máy ảo, di trú tài nguyên hoặc cấu hình mạng).
• Khả năng mở rộng: Một thực thể vCenter 8.0 có thể quản trị tối đa 2.500 host ESXi và 40.000 máy ảo đang hoạt động.

Các thành phần:

• Managed ESXi Host and Virtual Machines: Máy chủ ESXi chạy và quản lý các máy ảo (VM), nơi các hệ điều hành và ứng dụng hoạt động.
• VMware ESXi Hypervisor: Lớp ảo hóa cài trực tiếp trên phần cứng, chịu trách nhiệm phân bổ tài nguyên cho các máy ảo.
• ESXi Host Running vCenter Server Appliance Instance: Máy chủ ESXi lưu trữ và vận hành máy ảo vCenter Server Appliance.
• vCenter Server Appliance (VCSA): Trung tâm quản lý tập trung toàn bộ các ESXi Host, máy ảo và tài nguyên trong môi trường vSphere.
• Photon OS: Hệ điều hành Linux do VMware phát triển, dùng để chạy các dịch vụ của vCenter Server Appliance.
• vCenter Application (APP): Ứng dụng cung cấp các chức năng quản trị như quản lý host, máy ảo, mạng, lưu trữ và người dùng.
• vCenter PostgreSQL Database: Cơ sở dữ liệu lưu trữ cấu hình, thông tin và trạng thái của toàn bộ hệ thống vSphere.
• vSphere Client: Giao diện web cho phép quản trị viên truy cập và quản lý hạ tầng VMware từ trình duyệt.

2. Triển khai vCenter Server Appliance (VCSA)
Quy trình cài đặt VCSA được thực hiện thông qua trình cài đặt giao diện đồ họa (GUI Installer) hỗ trợ đa nền tảng (Windows, Linux, macOS) và được chia làm hai giai đoạn độc lập:

Stage 1: bắt đầu với phần giao diện người dùng (UI phase):

• Chấp nhận thỏa thuận cấp phép người dùng cuối (EULA).
• Kết nối tới host ESXi hoặc hệ thống vCenter mục tiêu.
• Xác định tên cho vCenter Server Appliance và mật khẩu tài khoản root.
• Chọn kích thước máy ảo (compute size), dung lượng lưu trữ và vị trí datastore (sử dụng thin disk).
• Xác định các thiết lập mạng.Giai đoạn 1 tiếp tục với phần triển khai (deployment phase):
• Tệp OVF được triển khai lên host ESXi.
• Các ổ đĩa và hệ thống mạng được cấu hình.

Stage 2: là giai đoạn cấu hình (configuration phase):

• Cấu hình chế độ đồng bộ thời gian và truy cập SSH.
• Tạo một domain vCenter Single Sign-On mới hoặc gia nhập vào một domain SSO hiện có.
• Tham gia chương trình cải thiện trải nghiệm khách hàng (CEIP).

3. Quản lý Giấy phép (License)
Khóa bản quyền (License Keys): Toàn bộ quyền sử dụng tính năng của các thành phần trong hệ thống được định danh qua các chuỗi ký tự (License Keys) gồm 25 ký tự. Các khóa này được quản trị viên nhập vào kho lưu trữ tập trung của vCenter Server để bắt đầu sử dụng.

Quy trình gán bản quyền: Việc phân phối giấy phép được thực hiện theo quy trình hai bước logic:

• Thêm khóa (Add Keys): Nhập các khóa bản quyền vào dịch vụ License Service.
• Gán khóa (Assign Keys): Chỉ định (Assign) các khóa này cho các tài sản (Assets) cụ thể như: thực thể vCenter Server, các máy chủ ESXi (phụ thuộc vào tổng số CPU/Cores phần cứng) hoặc các cụm lưu trữ vSAN.

Chế độ đánh giá (Evaluation Mode): Sau khi cài đặt, hệ thống mặc định vận hành ở chế độ "Evaluation" cho phép truy cập toàn bộ tính năng cao cấp trong vòng 60 ngày. Đây là khoảng thời gian cần thiết để triển khai thử nghiệm trước khi áp dụng khóa bản quyền chính thức.

Cảnh báo và Giới hạn: Nếu thời hạn Evaluation kết thúc hoặc bản quyền không hợp lệ, hệ thống sẽ gửi thông báo cảnh báo (Alarms). Khi đó, các máy chủ ESXi có thể bị ngắt kết nối khỏi vCenter và một số tính năng nâng cao (như vMotion, HA, DRS) sẽ bị khóa, ảnh hưởng trực tiếp đến khả năng vận hành của hệ thống.
4. Tổ chức Kho lưu trữ (Inventory)
Inventory là sự sắp xếp cấu trúc hình cây (Hierarchy) logic các đối tượng để tối ưu hóa việc giám sát và quản trị hạ tầng.
Inventory là cấu trúc phân cấp logic các đối tượng vSphere, cho phép quản trị viên quản lý, giám sát và tổ chức hạ tầng một cách hiệu quả.

Cấu trúc phân cấp (Hierarchy):

• vCenter Server tổ chức các đối tượng theo cấu trúc hình cây (Hierarchy) để quản lý tài nguyên.
• Đối tượng gốc (Root) thường là vCenter Server, bên dưới bao gồm các Datacenter.
• Datacenter đóng vai trò là vùng chứa (container) cho các thành phần như: Clusters, Hosts, Virtual Machines, Datastores và Networks.

Góc nhìn và Thư mục (Views & Folders):

• vCenter cung cấp các góc nhìn (Views) khác nhau để quản lý tài nguyên, bao gồm: Hosts and Clusters view, VMs and Templates view, Storage view, và Networking view.
• Quản trị viên có thể sử dụng các Thư mục (Folders) để nhóm các đối tượng cùng loại (ví dụ: nhóm các máy ảo theo phòng ban hoặc môi trường), giúp việc quản lý trở nên ngăn nắp và khoa học.

Thẻ (Tags):

• Thẻ (Tags) là các nhãn siêu dữ liệu (metadata) tùy chỉnh được gán cho các đối tượng trong Inventory.
• Việc sử dụng Tags cho phép quản trị viên tìm kiếm, lọc và phân loại các đối tượng linh hoạt dựa trên thuộc tính nghiệp vụ, không bị giới hạn bởi cấu trúc phân cấp hình cây cứng nhắc.
• Ví dụ về sử dụng Tags bao gồm phân loại theo môi trường (Production, Test), phòng ban hoặc loại dịch vụ.

5. Phân quyền (Roles và Permissions)
vCenter Server sử dụng mô hình kiểm soát truy cập dựa trên vai trò (Role-Based Access Control - RBAC) để thiết lập an ninh nghiêm ngặt và quản lý quyền truy cập tài nguyên cho hạ tầng vSphere.

Công thức xác định quyền (Permission): Hệ thống xác lập quyền truy cập dựa trên công thức cơ bản: Permission = User/Group + Role + Inventory Object.


Sơ đồ mô hình kiểm soát truy cập dựa trên vai trò (RBAC) trong vSphere. Mô hình minh họa quy trình kết hợp giữa các đặc quyền (Privileges) tạo thành vai trò (Role), sau đó gán cho người dùng/nhóm (User/Group) trên một đối tượng vSphere cụ thể để thiết lập quyền truy cập (Permission).

• Privilege (Đặc quyền): Là các hành động thao tác cụ thể trên hệ thống (ví dụ: quyền khởi động máy ảo, quyền thay đổi cấu hình RAM).
• Role (Vai trò): Là một tập hợp gồm nhiều đặc quyền được gom nhóm lại. Hệ thống cung cấp sẵn các vai trò mặc định (như Administrator, Read-only, No access) và cho phép quản trị viên tự tạo các Vai trò tùy chỉnh (Custom Roles) để đáp ứng đúng nhu cầu vận hành thực tế của từng bộ phận theo nguyên tắc đặc quyền tối thiểu.
• Inventory Object (Đối tượng): Là các thực thể trong cây cấu trúc vCenter mà quyền hạn được áp dụng lên (ví dụ: Datacenter, Cluster, Host, VM, hoặc Folder).
• Propagation (Tính kế thừa): Khi gán quyền cho một người dùng hoặc nhóm tại một đối tượng cha, quyền hạn đó sẽ tự động kế thừa xuống tất cả các đối tượng con bên trong nếu thuộc tính Propagate to children được kích hoạt.
• Quy tắc ưu tiên: Quyền được gán trực tiếp cho một tài khoản người dùng tại một đối tượng cụ thể luôn có mức ưu tiên cao hơn quyền được kế thừa từ nhóm (Group) trên chính đối tượng đó.

6. Theo dõi Sự kiện và Công việc (Tasks và Events):
vCenter Server cung cấp hệ thống nhật ký chi tiết giúp quản trị viên theo dõi trạng thái vận hành, giám sát các thay đổi trong hệ thống và phục vụ công tác điều tra sự cố (Troubleshooting).
Công việc (Tasks):

• Định nghĩa: Là các tiến trình đang thực thi hoặc đã hoàn thành trên hệ thống. Tasks thường là kết quả từ các hành động do người dùng thực hiện (ví dụ: tạo máy ảo, di chuyển máy ảo bằng vMotion) hoặc do hệ thống tự kích hoạt.
• Vai trò: Giúp quản trị viên theo dõi tiến độ thời gian thực (ví dụ: phần trăm hoàn thành), thời gian bắt đầu, thời gian kết thúc, trạng thái (thành công hoặc lỗi) và danh tính người thực hiện thao tác.

Sự kiện (Events):

• Định nghĩa: Là các bản ghi về những thay đổi trạng thái của hệ thống hoặc các hành động cụ thể đã xảy ra trong quá khứ.
• Vai trò: Cung cấp nhật ký lịch sử để truy vết nguồn gốc các vấn đề. Ví dụ: cảnh báo kết nối mạng của Host bị gián đoạn, thông tin đăng nhập thành công vào vCenter, hoặc các thay đổi cấu hình phần cứng.
• Lưu trữ: Mặc định, các sự kiện này được ghi lại trong cơ sở dữ liệu (Database) của vCenter. Quản trị viên có thể xem lịch sử các sự kiện trong một khoảng thời gian nhất định (mặc định tối đa là 30 ngày để tối ưu hóa hiệu năng hệ thống).

Giám sát và Cấu hình mức độ nhật ký (Log Levels):

• Để phục vụ công tác dò lỗi chuyên sâu, quản trị viên có thể điều chỉnh độ chi tiết của hệ thống log vCenter thông qua các cấp độ (Log Levels) như: None, Error, Warning, Info, Verbose, và Trivia (mức chi tiết nhất).
• Việc hiểu và cấu hình đúng mức độ log giúp cân bằng giữa khả năng giám sát hệ thống và việc tiết kiệm tài nguyên lưu trữ trên đĩa cứng của VCSA.

Kết luận

vCenter Server không đơn thuần là một giao diện quản lý mà là hệ điều hành điều phối trung tâm của toàn bộ hạ tầng vSphere. Việc hiểu rõ kiến trúc appliance, quy trình triển khai hai giai đoạn, cách tổ chức inventory khoa học và thiết lập hệ thống phân quyền chặt chẽ là những yếu tố then chốt để xây dựng một môi trường ảo hóa an toàn, chuyên nghiệp và có khả năng mở rộng lâu dài.