VMware Tìm hiểu về kiến trúc ESXi và các lưu ý ban đầu

1. Kiến trúc ESXi​

ESXi là một bare-metal hypervisor, tức là được cài trực tiếp lên máy chủ vật lý mà không cần một hệ điều hành trung gian như Windows hoặc Linux. Đây là lớp phần mềm chịu trách nhiệm trừu tượng hóa tài nguyên phần cứng của host như CPU, RAM, lưu trữ và mạng để cấp phát cho các máy ảo.

Trung tâm của ESXi là VMkernel. Có thể xem đây là lõi vận hành của hypervisor, phụ trách quản lý tài nguyên tính toán, bộ nhớ, I/O, storage và networking cho toàn bộ workload chạy trên host. Nhờ kiến trúc này, nhiều máy ảo có thể hoạt động đồng thời trên cùng một máy chủ nhưng vẫn được cô lập với nhau.

Một điểm quan trọng của ESXi là thiết kế gọn, tối ưu cho tính ổn định và bảo mật. Trong thực tế, ESXi còn đi kèm nhiều cơ chế bảo vệ như firewall mặc định, hardening, UEFI Secure Boot, TPM 2.0 và trên phần cứng hỗ trợ thì có thêm Quick Boot để rút ngắn thời gian khởi động lại sau khi vá lỗi hoặc nâng cấp.

2. Cài đặt máy chủ ESXi​

Trước khi cài đặt, việc đầu tiên là kiểm tra tính tương thích phần cứng trong Broadcom Compatibility Guide. Với các môi trường mới (đặc biệt là ESXi 8.x) Broadcom cũng lưu ý rằng bản cài mới yêu cầu thiết bị boot có tối thiểu 32 GB persistent storage như HDD, SSD hoặc NVMe (thiết bị boot này không được dùng chung giữa nhiều host).

Về phương thức triển khai, ESXi có thể được cài theo nhiều cách như cài tương tác, cài bằng script hoặc Auto Deploy. Trong môi trường lab hoặc hệ thống nhỏ, cài đặt tương tác vẫn là cách dễ tiếp cận nhất. Broadcom hiện cũng mô tả đây là lựa chọn phù hợp cho các triển khai nhỏ, thường từ khoảng 4 host trở xuống.

Quy trình cài đặt cơ bản gồm: boot từ ISO, USB hoặc remote media, chấp nhận EULA, chọn đĩa cài đặt, chọn bàn phím, đặt mật khẩu root, sau đó tiến hành cài và khởi động lại. Sau khi hoàn tất, host sẽ boot vào DCUI và thường nhận địa chỉ IP quản lý ban đầu qua DHCP nếu mạng có cấp phát tự động.

Nếu dùng máy chủ của Dell, HPE, Lenovo hoặc Cisco, nên ưu tiên OEM custom image thay vì ISO chung để có đầy đủ driver và agent tương thích với phần cứng.
Quy trình từng bước:

1. Gắn file ISO cài đặt ESXi vào máy chủ vật lý hoặc máy lab.
2. Khởi động host từ CD/DVD, USB bootable hoặc PXE qua mạng.
3. Ở màn hình chào, bắt đầu trình cài đặt ESXi.
4. Đọc và chấp nhận EULA.
5. Chọn thiết bị đích để cài ESXi.
6. Chọn keyboard layout.
7. Nhập mật khẩu cho tài khoản root.
8. Xác nhận và bắt đầu cài đặt.
9. Sau khi cài xong, gỡ thiết bị boot nếu cần và khởi động lại host.

3. Cấu hình mạng quản lý​

Sau khi cài xong, ESXi chưa thực sự sẵn sàng vận hành nếu chưa cấu hình Management Network. Đây là mạng phục vụ truy cập Host Client, kết nối về vCenter, DNS, NTP và các tác vụ quản trị cơ bản.

Cấu hình ban đầu thường được thực hiện trong DCUI:

• Nhấn F2 để vào Customize System/View Logs
• Chọn Configure Management Network
• Chọn đúng Network Adapters
• Cấu hình VLAN ID nếu mạng quản trị đi qua VLAN
• Đặt IPv4 hoặc IPv6
• Khai báo Default Gateway
• Khai báo DNS, Hostname và DNS suffix
• Nhấn Esc để áp dụng và Restart Management Network
• Chạy Test Management Network để xác minh

Một lỗi rất hay gặp ở host mới triển khai là cấu hình sai VLAN ID. Broadcom ghi nhận đây là nguyên nhân phổ biến khiến host có IP nhưng vẫn không ping được, không SSH được và không vào được Host Client. Đặc biệt, nếu VLAN quản trị thực tế khác với mặc định 0 = untagged, host sẽ mất kết nối ngay từ đầu.

Có một chi tiết khá quan trọng: cấu hình mạng quản lý qua DCUI chủ yếu tác động đến vmk0 và Management Portgroup, chứ không tự động áp dụng chính sách teaming của toàn bộ vSwitch. Vì vậy, nếu muốn có dự phòng uplink đầy đủ cho mạng quản lý, sau bước cài đặt ban đầu bạn nên vào Host Client hoặc vCenter để chỉnh lại NIC Teaming cho riêng Management Network.

4. Đồng bộ hóa thời gian: NTP và PTP​

Đồng bộ thời gian là cấu hình rất quan trọng nhưng thường bị xem nhẹ. Thời gian sai có thể làm lệch log, sai biểu đồ hiệu năng, ảnh hưởng xác thực domain, thậm chí gây lỗi trong các tác vụ cluster.

Trong ESXi, có ba cách xử lý thời gian:

• Đặt tay
• Dùng NTP
• Dùng PTP

Trong đa số môi trường lab và production thông thường, NTP là lựa chọn phù hợp nhất. Cấu hình NTP ngay trong Host Client hoặc vSphere Client bằng cách vào System > Time Configuration, bật Use Network Time Protocol, khai báo danh sách NTP server, đặt Startup Policy là Start and stop with manually, sau đó khởi động dịch vụ ntpd.


Một lưu ý thực tế là tất cả host dưới cùng một vCenter nên có cấu hình NTP đồng nhất. Broadcom có KB riêng cho cảnh báo Hosts with mismatched NTP configuration, trong đó nhấn mạnh các host cần đồng bộ cùng nguồn thời gian để tránh lệch clock giữa các host.

PTP chỉ nên dùng khi môi trường yêu cầu độ chính xác rất cao, chẳng hạn các workload cần timestamp chính xác ở mức chặt hơn NTP. Tuy nhiên, ESXi chỉ hỗ trợ PTP ở chế độ multicast. Nếu PTP server chạy unicast, host có thể rơi vào trạng thái PTP_LISTENING và không đồng bộ được thời gian.

Một nguyên tắc quan trọng là trên một host chỉ nên có một cơ chế đồng bộ thời gian chủ đạo tại một thời điểm. Nếu đang dùng NTP thì không nên đồng thời cấu hình PTP. Với các host đã join Active Directory, Broadcom cũng lưu ý rằng ở các bản trước ESXi 7.0 Update 2 và ESXi 8.0 Update 1, dịch vụ Likewise có thể đồng bộ thời gian với domain controller mặc định. Nếu cấu hình thêm NTP/PTP cùng lúc rất dễ phát sinh time drift.

5. Quản lý tài khoản và kiểm soát truy cập​

Trong giai đoạn đầu, tài khoản quan trọng nhất trên ESXi là root. Đây là tài khoản toàn quyền, dùng để cài đặt ban đầu, truy cập DCUI, xử lý sự cố và cấu hình host độc lập. Vì mức đặc quyền rất cao, root cần được đặt mật khẩu mạnh và chỉ dùng khi thực sự cần.

Về nguyên tắc vận hành, nên hạn chế dùng root cho công việc hằng ngày. Nếu môi trường đã có vCenter, các tác vụ quản trị thường ngày nên được thực hiện tập trung qua vSphere Client và hệ thống phân quyền của vCenter thay vì đăng nhập trực tiếp vào từng host.

Nếu cần xác thực tập trung ở mức host, ESXi có thể tham gia Active Directory. Tuy nhiên, join domain chưa đồng nghĩa với việc người dùng AD đăng nhập được ngay vào host. Broadcom nêu rõ rằng quyền được gán trong vCenter không tự động cho phép đăng nhập trực tiếp vào ESXi Host Client. Muốn một tài khoản hoặc nhóm AD đăng nhập trực tiếp vào host, bạn vẫn phải gán quyền ngay trên chính host đó.

Ngoài ra, Lockdown Mode là một cơ chế bảo mật quan trọng để buộc host được quản lý thông qua vCenter thay vì truy cập trực tiếp. Từ vSphere 6.0 trở lên có hai chế độ:

• Normal Lockdown Mode: vẫn giữ DCUI
• Strict Lockdown Mode: dừng DCUI, mức khóa chặt hơn

Đi kèm với đó là các dịch vụ troubleshooting như ESXi Shell và SSH. Hai dịch vụ này mặc định nên tắt và chỉ bật tạm thời khi cần xử lý sự cố. Sau khi hoàn thành công việc, nên tắt lại để giảm bề mặt tấn công.

6. Kết luận​

Bài viết cho thấy một host ESXi chỉ thực sự sẵn sàng đưa vào môi trường vSphere khi đảm bảo các lưu ý: hiểu đúng kiến trúc hypervisor, cài đặt đúng chuẩn phần cứng, cấu hình management network chính xác, đồng bộ thời gian ổn định và kiểm soát tốt tài khoản truy cập.

Nếu làm tốt ngay từ bước đầu, quản trị viên sẽ tránh được rất nhiều lỗi thường gặp về mất kết nối host, sai DNS/VLAN, trôi thời gian, lỗi join domain và rủi ro bảo mật do dùng root hoặc SSH quá mức cần thiết.