Menu

8/30/25

Mô hình vSphere Distributed Virtual Switch (VDS) trong Vcenter (ESXI)

 

Việc tạo và cấu hình một vDS (vSphere Distributed Switch) trên vCenter là một bước quan trọng để quản lý mạng một cách tập trung và hiệu quả trong môi trường ảo hóa. vDS cung cấp nhiều tính năng nâng cao so với các switch tiêu chuẩn (vSS) như NIOC, LACP, và LLDP


Theo mô hình bên dưới ESXI 01, 02 trunk với Pfsense qua card vmnet4 (hostonly) - cho phép allow tất cả vlan đi qua ( 4095 )














Hướng Dẫn Cấu Hình vDS Theo Yêu Cầu Của Bạn

Bước 1: Tạo Distributed Switch (vDS)

  1. Đăng nhập vào vSphere Client (vCenter Server).

  2. Điều hướng đến Networking.

  3. Nhấp chuột phải vào Datacenter hoặc thư mục mong muốn, chọn Distributed Switch -> New Distributed Switch.

  4. Đặt tên là vDS_Production.

  5. Chọn phiên bản vDS mới nhất.

  6. Thiết lập số lượng uplink là 1.

  7. Hoàn tất quá trình tạo vDS.


Bước 2: Thêm ESXi Host và Gán Uplink

  1. Nhấp chuột phải vào vDS vừa tạo, chọn Add and Manage Hosts.

  2. Chọn Add hosts và nhấp Next.

  3. Chọn các máy chủ ESXi bạn muốn thêm vào vDS.

  4. Tại bước Manage physical adapters, chỉ gán một card mạng vật lý (vmnic1) của máy chủ ESXi cho Uplink 1.

  5. Hoàn tất quá trình.


Bước 3: Tạo Distributed Port Group (DPG) và VMkernel Adapter

Bạn sẽ tạo ba DPG riêng biệt và cấu hình VMkernel adapter trực tiếp trên mỗi DPG.

1. Tạo iSCSI-PG:

  • Nhấp chuột phải vào vDS_Production, chọn Distributed Port Group -> New Distributed Port Group.

  • Đặt tên là iSCSI-PG.

  • Trong mục VLAN, thiết lập VLAN ID là 20.

  • Sau khi tạo xong, nhấp chuột phải vào iSCSI-PG và chọn Add VMkernel Adapters.

  • Chọn ESXi host, tạo VMkernel Adapter mới và gán địa chỉ IP 172.16.20.102.

2. Tạo Management-PG:

  • Nhấp chuột phải vào vDS_Production, chọn Distributed Port Group -> New Distributed Port Group.

  • Đặt tên là Management-PG.

  • Trong mục VLAN, thiết lập VLAN ID là 10.

  • Sau khi tạo xong, nhấp chuột phải vào Management-PG và chọn Add VMkernel Adapters.

  • Chọn ESXi host, tạo VMkernel Adapter mới và gán địa chỉ IP 172.16.10.101.

3. Tạo vMotion-PG:

  • Nhấp chuột phải vào vDS_Production, chọn Distributed Port Group -> New Distributed Port Group.

  • Đặt tên là vMotion-PG.

  • Trong mục VLAN, thiết lập VLAN ID là 30.

  • Sau khi tạo xong, nhấp chuột phải vào vMotion-PG và chọn Add VMkernel Adapters.

  • Chọn ESXi host, tạo VMkernel Adapter mới và gán địa chỉ IP 172.16.30.102.

Sau khi hoàn thành các bước trên, bạn đã có một Distributed Switch với một uplink duy nhất và các VMkernel adapter được cấu hình chính xác cho từng mục đích.

 


Native VLAN là gì?

Native VLAN là VLAN mặc định trên một cổng trunk, nơi các gói tin không được gắn thẻ (untagged frames) được truyền qua. Thay vì gắn thẻ VLAN (ví dụ: 802.1Q) cho mọi gói tin, switch sẽ gửi các gói tin thuộc Native VLAN mà không thêm bất kỳ thẻ nào. Khi switch ở đầu nhận gói tin, nó sẽ tự động hiểu rằng gói tin không gắn thẻ đó thuộc về Native VLAN.

Tại sao cần có Native VLAN?

Native VLAN đóng vai trò quan trọng trong việc đảm bảo khả năng tương thích và giao tiếp của các thiết bị.

  • Tương thích với thiết bị cũ: Một số thiết bị mạng đời cũ không hỗ trợ gắn thẻ VLAN. Khi kết nối các thiết bị này vào một cổng trunk, chúng sẽ gửi các gói tin không gắn thẻ. Native VLAN cho phép các gói tin này được truyền qua trunk mà không gặp vấn đề.

  • Giao thức quản lý: Các giao thức quản lý như CDP (Cisco Discovery Protocol) và VTP (VLAN Trunking Protocol) thường sử dụng Native VLAN để truyền tin. Điều này giúp các switch trong mạng có thể "nhìn thấy" và giao tiếp với nhau, kể cả khi cấu hình trunking chưa hoàn tất.

Cấu hình Native VLAN

Bạn có thể cấu hình Native VLAN trên một cổng trunk bằng lệnh:

Switch(config-if)# switchport trunk native vlan <vlan_id>
  • Ví dụ: Để đặt VLAN 999 làm Native VLAN cho cổng GigabitEthernet1/0/1, bạn sử dụng lệnh:

    Switch(config-if)# interface GigabitEthernet1/0/1
    Switch(config-if)# switchport trunk native vlan 999
    

Lỗi Native VLAN Mismatch

Đây là một trong những lỗi phổ biến nhất khi cấu hình trunking. Nếu Native VLAN ở hai đầu của một đường trunk không giống nhau, các gói tin sẽ không được phân loại và định tuyến đúng cách.

  • Ví dụ:

    • Switch A có cổng trunk với native vlan 1.

    • Switch B có cổng trunk với native vlan 10. Khi Switch A gửi một gói tin không gắn thẻ, Switch B sẽ nhận nó và gán vào VLAN 10. Điều này làm gián đoạn giao tiếp giữa hai switch và có thể gây ra vòng lặp mạng.

Mẹo và lưu ý bảo mật

  • Không nên sử dụng VLAN 1: VLAN 1 là Native VLAN mặc định và thường bị các kẻ tấn công nhắm đến. Để tăng cường bảo mật, bạn nên đổi Native VLAN sang một VLAN khác không được sử dụng cho bất kỳ thiết bị người dùng nào.

  • Giữ đồng nhất: Luôn đảm bảo Native VLAN trên tất cả các cổng trunk kết nối với nhau đều giống nhau để tránh lỗi.

  • Kiểm tra: Sử dụng lệnh show interfaces trunk để kiểm tra Native VLAN hiện tại của các cổng.

8/28/25

Triển khai pfsense trên wmworkstation

Sau đây là hướng dẫn chi tiết để triển khai pfSense trên VMware Workstation, bao gồm cách cấu hình WAN và LAN, cùng với cách kết nối một máy ảo Windows 7 để truy cập internet thông qua pfSense.












1. Chuẩn bị

  • Tải pfSense: Tải file cài đặt pfSense Community Edition (.iso) từ trang web chính thức.

  • Cài đặt VMware Workstation: Cài đặt VMware Workstation trên máy tính của bạn.

  • Tắt tường lửa (Tạm thời): Để tránh các vấn đề về kết nối trong quá trình cài đặt, bạn nên tắt tạm thời tường lửa trên máy tính đang chạy VMware Workstation.


2. Tạo Máy ảo pfSense

  1. Mở VMware Workstation, chọn File > New Virtual Machine....

  2. Chọn Typical (recommended), sau đó nhấn Next.

  3. Chọn Installer disc image file (iso) và duyệt đến file pfSense .iso bạn đã tải. Sau đó nhấn Next.

  4. Ở màn hình Guest Operating System, chọn Other, và ở Version, chọn Other. Nhấn Next.

  5. Đặt tên cho máy ảo (ví dụ: pfSense Firewall) và chọn vị trí lưu trữ. Nhấn Next.

  6. Chấp nhận dung lượng ổ đĩa mặc định (thường là 16-20 GB), chọn Store virtual disk as a single file, sau đó nhấn Next.

  7. Ở màn hình Ready to Create Virtual Machine, nhấn Customize Hardware.

  8. Trong cửa sổ Hardware, chọn Network Adapter. Để tạo card mạng WAN, chọn NAT để nó có thể nhận địa chỉ IP và truy cập internet.

  9. Nhấn Add... để thêm một card mạng nữa. Chọn Network Adapter và nhấn Finish.

  10. Chọn card mạng mới thêm và cấu hình nó là Host-only để làm card LAN. Mạng Host-only sẽ tạo một mạng riêng biệt giữa pfSense và các máy ảo khác.

  11. Đóng cửa sổ Hardware và nhấn Finish để hoàn tất.


3. Cài đặt và Cấu hình Ban đầu pfSense

  1. Bật máy ảo pfSense vừa tạo.

  2. Làm theo hướng dẫn trên màn hình để cài đặt pfSense. Khi hoàn tất, chọn Reboot.

  3. Sau khi khởi động lại, pfSense sẽ tự động nhận diện 2 card mạng.

  4. Để cấu hình card LAN, chọn 1) Assign Interfaces trên màn hình console.

  5. Nhấn y để đồng ý cấu hình lại, sau đó gán tên cho card LAN (thường là em1 hoặc vtnet1 tùy thuộc vào phiên bản).

  6. Nhập địa chỉ IP cho LAN (ví dụ: 10.0.0.1/24). Nhấn y khi được hỏi về việc bật DHCP server trên LAN.

  7. Sau khi hoàn tất, pfSense sẽ hiển thị địa chỉ IP để truy cập giao diện web của nó (http://10.0.0.1).


4. Cấu hình Máy ảo Windows 7 (Host đi Net)

  1. Tạo một máy ảo Windows 7 mới và cấu hình card mạng của nó là Host-only (VMnet1), cùng mạng với card LAN của pfSense.

  2. Khởi động máy ảo Windows 7. Mặc định nó sẽ tự động nhận IP qua DHCP từ pfSense, do bạn đã bật DHCP ở bước 3.

  3. Kiểm tra địa chỉ IP của Windows 7 bằng cách mở Command Prompt và gõ lệnh ipconfig. Địa chỉ IP sẽ nằm trong dải 10.0.0.x. Gateway sẽ là 10.0.0.1.

  4. Thử truy cập internet từ máy ảo Windows 7. Nếu mọi thứ được cấu hình đúng, bạn sẽ có thể duyệt web bình thường.

Sau khi hoàn tất các bước trên, máy ảo Windows 7 của bạn đã được kết nối vào mạng LAN do pfSense quản lý và có thể truy cập internet.

8/27/25

Lý thuyết Networking trong VMware Workstation

 


Lý thuyết Networking trong VMware Workstation

Trong VMware Workstation, có ba chế độ mạng chính quyết định cách máy ảo (VM) kết nối và giao tiếp với máy tính chủ (Host) và mạng bên ngoài. Việc hiểu rõ các chế độ này là nền tảng để bạn xây dựng bất kỳ phòng lab ảo nào.

  • Bridged (Cầu nối): Chế độ này kết nối máy ảo trực tiếp với mạng vật lý của bạn. Máy ảo sẽ có một địa chỉ IP riêng, giống như một thiết bị vật lý khác được cắm vào router. Mọi thiết bị trên mạng vật lý đều có thể "nhìn thấy" máy ảo.

  • NAT (Chia sẻ): Workstation đóng vai trò như một bộ định tuyến mini. Máy ảo nhận IP từ một mạng nội bộ riêng do Workstation quản lý. Máy ảo có thể truy cập Internet bằng cách "mượn" địa chỉ IP của máy tính chủ, nhưng các thiết bị bên ngoài không thể truy cập trực tiếp vào máy ảo.

  • Host-only (Nội bộ): Chế độ này tạo ra một mạng ảo hoàn toàn cô lập, chỉ dành cho các máy ảo và máy tính chủ giao tiếp với nhau. Mạng này không có bất kỳ kết nối nào ra bên ngoài.



Hướng dẫn cách ping trong NAT mode chi tiết

Chúng ta sẽ thực hiện hai kịch bản ping để bạn thấy rõ sự khác biệt.

1. Ping từ VM đến Host (Thành công)

Máy ảo của bạn có thể dễ dàng "nhìn thấy" máy tính chủ vì cả hai đều ở trong "ngôi nhà" do VMware Workstation tạo ra.

  • Bước 1: Xác định địa chỉ IP của Host trong mạng ảo NAT.

    • Trên máy tính chủ, mở Virtual Network Editor (trong VMware Workstation).

    • Chọn VMnet8 (NAT) và xem địa chỉ IP của Gateway (thường là 192.168.10.2 hoặc 192.168.10.1). Đây chính là địa chỉ của Host trên mạng ảo này.

  • Bước 2: Thực hiện lệnh ping từ máy ảo.

    • Mở Command Prompt trên VM và gõ lệnh: ping 192.168.10.2

    • (Thay 192.168.10.2 bằng địa chỉ Gateway của bạn).

  • Kết quả: Lệnh ping sẽ thành công. Điều này chứng tỏ VM có thể giao tiếp với Host trong mạng nội bộ ảo.

2. Ping từ Host đến VM (Thành công)

Mặc dù lý thuyết nói rằng Host không thể ping VM trong NAT mode,  Điều này là do bạn đang ping trong cùng một mạng ảo.

  • Bước 1: Xác định địa chỉ IP của VM.

    • Trên máy ảo, mở Command Prompt và gõ ipconfig để lấy địa chỉ IP của nó (ví dụ: 192.168.10.128).

  • Bước 2: Thực hiện lệnh ping từ máy tính chủ (host).

    • Trên máy tính chủ, mở Command Prompt và gõ lệnh: ping 192.168.10.128

    • (Thay 192.168.10.128 bằng địa chỉ IP của VM).

  • Kết quả: Lệnh ping sẽ thành công.


Điểm mấu chốt cần hiểu

Như bạn đã thấy, việc ping từ Host đến VM vẫn thành công. Nhưng điều quan trọng là lệnh ping đó không đi qua mạng vật lý của bạn.

  • Lệnh ping này diễn ra hoàn toàn trên lớp mạng ảo do VMware tạo ra. Cả Host và VM đều có một "chân" trong mạng ảo này, cho phép chúng giao tiếp với nhau.

  • Lệnh ping sẽ thất bại nếu bạn cố gắng ping từ một thiết bị khác (ví dụ: điện thoại) tới địa chỉ IP của VM. Điều này chứng tỏ chế độ NAT đã thực sự cô lập VM khỏi mạng bên ngoài, nhưng vẫn giữ kết nối nội bộ với Host.

8/26/25

Networking trong VMware ESXi 8

 Networking trong VMware ESXi 8 là một trong những thành phần quan trọng nhất, cho phép các máy ảo (VM) và host ESXi giao tiếp với nhau và với mạng bên ngoài.

A screenshot of a computer

AI-generated content may be incorrect.




 


Tổng quan về Networking trong VMware ESXi 8

Networking là một trong những thành phần cốt lõi và quan trọng nhất của môi trường ảo hóa ESXi, đóng vai trò kết nối các máy ảo, dịch vụ của host và toàn bộ hệ thống với mạng bên ngoài. Việc hiểu rõ và cấu hình đúng mạng sẽ đảm bảo hiệu suất, bảo mật và tính sẵn sàng cao cho toàn bộ hạ tầng của bạn.


Các thành phần chính của ESXi Networking

Để quản lý mạng trong ESXi, bạn cần nắm vững các khái niệm cơ bản sau:

  • Physical NICs (vmnic): Đây là các card mạng vật lý được gắn trên máy chủ ESXi. Mỗi card mạng vật lý được đặt tên là vmnic0, vmnic1,... và đóng vai trò là "cổng vào" duy nhất để kết nối hệ thống ảo hóa với mạng vật lý bên ngoài.
  • Virtual Switches (vSwitch): Là các switch ảo được tạo ra bên trong ESXi. Chức năng của chúng tương tự như switch vật lý, cho phép các máy ảo kết nối với nhau và với thế giới bên ngoài. Có hai loại chính:
    • Standard Switch: Hoạt động độc lập trên từng host ESXi.
    • Distributed Switch (vDS): Được quản lý tập trung bởi vCenter, cho phép quản lý mạng cho nhiều host cùng lúc. (vDS không có trong phiên bản miễn phí của ESXi).
  • Port Group: Là các nhóm cổng logic trên một vSwitch. Port Group dùng để định nghĩa các chính sách kết nối như bảo mật và quan trọng nhất là gán VLAN ID để phân luồng dữ liệu.
  • VMkernel Adapter (vmk): Đây là các card mạng ảo cho phép bản thân host ESXi giao tiếp với mạng. Mỗi VMkernel Adapter được gán một địa chỉ IP riêng và phục vụ các mục đích chuyên biệt như Management, vMotion, vSAN,...

Xây dựng mô hình mạng tách biệt (Best Practice)

Để đảm bảo hiệu suất và bảo mật, phương pháp được khuyến nghị là tách biệt hoàn toàn các luồng dữ liệu quan trọng bằng cách sử dụng VLAN ID.

1. Quy hoạch mạng

Bạn sẽ quy hoạch các VLAN và subnet cho từng dịch vụ. Các VLAN này cần được cấu hình trên hệ thống mạng của bạn để hoạt động hiệu quả.

  • VLAN 10: Dành cho Management và VM Network (VMs host; bao gồm veeambackup server).
  • VLAN 20: Dành riêng cho iSCSI.
  • VLAN 30: Dành riêng cho vMotion.

2. Cấu hình trên vSwitch

Dựa vào quy hoạch trên, bạn sẽ tạo các Port Group và VMkernel Adapter tương ứng trên vSwitch của ESXi.

Mục đích

Loại mạng

Tên Port Group

VLAN ID

Subnet

IP (ví dụ)

Quản lý host

VMkernel Adapter

Management-PG

10

192.168.1.0/24

192.168.1.100

Kết nối TrueNAS

VMkernel Adapter

iSCSI-PG

20

192.168.2.0/24

192.168.2.100

Di chuyển máy ảo

VMkernel Adapter

vMotion-PG

30

192.168.3.0/24

192.168.3.100

Máy ảo & Veeam

Port Group

VMs-Network

10

192.168.1.0/24

(Dùng DHCP)


  • VM Network: Port Group này sẽ được sử dụng cho tất cả các máy ảo của bạn, bao gồm cả máy chủ Veeam Backup. Nó sẽ sử dụng cùng VLAN và subnet với mạng quản lý.
  • Management: VMkernel Adapter này sẽ được gán địa chỉ IP trong dải 192.168.1.x để quản lý host từ xa.
  • iSCSI: Dịch vụ này sẽ có một VMkernel Adapter và Port Group riêng, với VLAN ID 20. Điều này đảm bảo lưu lượng lưu trữ hoàn toàn tách biệt.
  • vMotion: Tương tự, dịch vụ này sẽ có một VMkernel Adapter và Port Group riêng với VLAN ID 30.

Lợi ích của mô hình

  • Hiệu suất vượt trội: Các dịch vụ quan trọng như lưu trữ và vMotion có "làn đường" riêng, không bị ảnh hưởng bởi lưu lượng mạng thông thường của các máy ảo.
  • Tăng cường bảo mật: Bằng cách cô lập lưu lượng, bạn có thể áp dụng các chính sách bảo mật chặt chẽ hơn cho từng mạng, ví dụ như chặn truy cập từ mạng quản lý vào mạng iSCSI.
  • Dễ dàng xử lý sự cố: Khi có vấn đề về mạng, bạn có thể dễ dàng khoanh vùng và xác định nguyên nhân hơn.

Việc đầu tư thời gian vào việc cấu hình mạng một cách bài bản ngay từ đầu sẽ mang lại sự ổn định và hiệu quả lâu dài cho toàn bộ hệ thống ảo hóa của bạn.

 

8/23/25

Cấu hình cảnh báo qua email trong Veeam Backup & Replication

 


Để cấu hình cảnh báo email (email notification) trong Veeam Backup & Replication, bạn cần thực hiện theo các bước sau. Quá trình này sẽ giúp bạn nhận được thông báo về trạng thái của các job sao lưu, chẳng hạn như thành công, thất bại, hoặc cảnh báo.

1. Cấu hình Global Email Settings

Đây là bước đầu tiên và quan trọng nhất, nơi bạn thiết lập thông tin của máy chủ SMTP để Veeam có thể gửi email.

  1. Mở Veeam Backup & Replication Console.

  2. Ở góc trên cùng bên trái, chọn menu chính (biểu tượng ba dòng gạch ngang).

  3. Vào Options.

  4. Trong cửa sổ Options, chọn mục E-mail Settings.

  5. Tích vào ô Enable e-mail notifications.

  6. Điền thông tin máy chủ SMTP (Simple Mail Transfer Protocol) của bạn:

    • SMTP server: Nhập địa chỉ máy chủ SMTP của nhà cung cấp dịch vụ email của bạn (ví dụ: smtp.gmail.com cho Gmail, smtp.office365.com cho Office 365).

    • Port: Nhập cổng SMTP (ví dụ: 587 cho TLS/STARTTLS, 465 cho SSL).

    • From: Nhập địa chỉ email người gửi.

    • To: Nhập địa chỉ email người nhận (bạn có thể nhập nhiều địa chỉ, cách nhau bằng dấu phẩy hoặc dấu chấm phẩy).

    • Tùy chọn: Tích vào Use SSL hoặc Use TLS nếu máy chủ SMTP của bạn yêu cầu. Hầu hết các dịch vụ email hiện nay đều yêu cầu mã hóa này.

    • Credentials: Nếu máy chủ SMTP yêu cầu xác thực, tích vào Use authentication và nhập tài khoản (địa chỉ email) và mật khẩu tương ứng.

  7. Sau khi điền đầy đủ thông tin, bấm vào Test Message để kiểm tra xem cấu hình đã chính xác chưa. Nếu bạn nhận được email test, bạn đã hoàn thành bước này.

  8. Bấm OK để lưu lại.


2. Cấu hình Email Notification cho từng Job cụ thể

Sau khi đã thiết lập Global Email Settings, bạn cần bật tính năng gửi cảnh báo cho từng job sao lưu hoặc sao chép mà bạn muốn theo dõi.

  1. Trong Veeam Backup & Replication Console, vào mục Home, chọn job mà bạn muốn cấu hình (ví dụ: Backup Job, Replication Job).

  2. Bấm chuột phải vào job đó và chọn Edit.

  3. Trong cửa sổ Edit Job, đi đến bước Storage.

  4. Tại đây, bạn sẽ thấy tùy chọn Advanced. Bấm vào đó.

  5. Chuyển sang tab Notifications.

  6. Tích vào các tùy chọn sau để bật cảnh báo cho các trạng thái của job:

    • Send e-mail notification on success: Gửi email khi job hoàn thành thành công.

    • Send e-mail notification on warning: Gửi email khi job có cảnh báo.

    • Send e-mail notification on failure: Gửi email khi job thất bại.

  7. Bạn cũng có thể tùy chỉnh thời gian gửi báo cáo:

    • Send e-mail notification only if job status is changed: Chỉ gửi email khi trạng thái của job thay đổi (ví dụ: từ thành công chuyển sang thất bại).

    • Send daily e-mail report at: Gửi báo cáo hàng ngày vào một thời điểm cụ thể.

  8. Bấm OK để lưu lại các thay đổi cho job.

  9. Tiếp tục bấm NextFinish để hoàn tất việc chỉnh sửa job.

Bây giờ, mỗi khi job này chạy và hoàn thành với trạng thái bạn đã cấu hình, Veeam sẽ tự động gửi một email thông báo đến địa chỉ mà bạn đã thiết lập.


Tạo NFS repo trên TrueNAS và thêm nó vào Veeam Backup & Replication.



Hướng dẫn chi tiết cách tạo một NFS repo trên TrueNAS và thêm nó vào Veeam Backup & Replication.


1. Cấu hình NFS Share trên TrueNAS

Đầu tiên, bạn cần chuẩn bị một dataset trên TrueNAS và tạo NFS share để Veeam có thể kết nối.

  1. Tạo Dataset mới (nếu chưa có):

    • Truy cập giao diện TrueNAS, vào Storage -> Pools.

    • Chọn pool bạn muốn sử dụng, click vào 3 chấm ở cuối dòng -> Add Dataset.

    • Đặt tên cho dataset (ví dụ: Veeam_NFS_Repo).

    • Quan trọng: Đảm bảo Share TypeGeneric để hỗ trợ cả SMB và NFS. Click Save.

  2. Kích hoạt dịch vụ NFS:

    • Kiểm tra xem dịch vụ NFS đã chạy chưa bằng cách vào Services.

    • Nếu chưa, tìm NFS, click vào nút gạt để bật. Đảm bảo nút Start Automatically cũng được bật để dịch vụ tự chạy sau khi khởi động lại.

  3. Tạo NFS Share cho Veeam:

    • Vào Sharing -> NFS Shares (trên TrueNAS CORE) hoặc NFS (NFS Shares) (trên TrueNAS SCALE).

    • Click Add.

    • Path: Chọn đường dẫn đến dataset bạn vừa tạo (ví dụ: /mnt/pool_chinh/Veeam_NFS_Repo).

    • Authorized Networks: Đây là nơi bạn nhập địa chỉ IP của máy chủ Veeam Backup Server.

      • Nhập IP của server đó, ví dụ: 192.168.1.50.

      • Nếu có nhiều máy chủ Veeam, bạn có thể nhập dải IP của mạng (ví dụ: 192.168.1.0/24).

    • Click Save.


2. Thêm NFS Repository vào Veeam Backup & Replication

Sau khi đã tạo NFS share trên TrueNAS, bạn cần thêm nó vào Veeam để sử dụng làm nơi lưu trữ.

  1. Mở giao diện Veeam Backup & Replication.

  2. Vào phần Backup Infrastructure -> Backup Repositories.

  3. Click Add Repository.

  4. Trong cửa sổ Wizard:

    • Name: Đặt tên cho repository (ví dụ: TrueNAS-NFS-Repo). Click Next.

    • Type: Chọn Network attached storage -> NFS Share. Click Next.

    • 192.168.1.12:/mnt/iscsi-pool03/Veeam_NFS

    • NFS Server: Nhập địa chỉ IP của máy chủ TrueNAS.

    • NFS Share: Nhập đường dẫn NFS mà bạn đã tạo ở bước 1 (ví dụ: /mnt/pool_chinh/Veeam_NFS_Repo).

    • Mount Server: Chọn Automatic gateway selection hoặc chỉ định máy chủ đã được cài đặt Veeam Proxy.

    • Veeam sẽ tự động kiểm tra và kết nối đến NFS share. Nếu thành công, bạn sẽ thấy thông tin về dung lượng.

    • Enable multi-channel (nếu có) và Enable NFS 4.1 (nếu TrueNAS của bạn hỗ trợ) để tăng hiệu suất.

  5. Click NextFinish để hoàn tất.

Lúc này, bạn đã có thể thấy repo NFS mới được thêm vào danh sách và sẵn sàng để sử dụng cho các job backup.

Kết nối TrueNAS làm kho lưu trữ sao lưu (Backup Repository) trong Veeambackup

 



 








Bước 1: Tạo Người Dùng và Nhóm cho Veeam

  1. Đăng nhập vào giao diện web của TrueNAS.
  2. Trên thanh điều hướng bên trái, đi đến Accounts -> Users.
  3. Click vào Add để tạo người dùng mới.
  4. Điền các thông tin sau:
    • Username: Đặt một tên dễ nhớ, ví dụ: veeam_user.
    • Password: Nhập mật khẩu cho người dùng này.
    • Full Name: Tùy chọn, ví dụ: Veeam Backup User.
    • Primary Group: Tốt nhất là tạo một nhóm mới riêng cho người dùng này. Bấm vào New Group và đặt tên cho nhóm, ví dụ: veeam_group.
    • Các tùy chọn khác, bạn có thể để mặc định.
  5. Bấm Submit để lưu.

Bước 2: Tạo Dataset (Thư mục) và Thiết lập Quyền Truy Cập

Đây là bước quan trọng nhất để đảm bảo veeam_user có quyền ghi vào thư mục sao lưu.

  1. Đi đến Storage -> Pools.
  2. Tìm Pool (vùng lưu trữ) mà bạn muốn sử dụng, click vào dấu ba chấm bên phải và chọn Add Dataset.
  3. Đặt tên cho Dataset, ví dụ: VeeamBackups. Các tùy chọn khác có thể để mặc định. Bấm Submit.
  4. Bây giờ, click vào dấu ba chấm bên phải của Dataset VeeamBackups bạn vừa tạo và chọn Edit Permission (Access Control List) >> điền veeam_user vô
  5. Bấm Save để lưu các thay đổi về quyền.

Bước 3: Tạo Chia Sẻ SMB (Windows Shares)

  1. Đi đến Shares -> Windows (SMB) Shares.
  2. Nếu dịch vụ SMB chưa chạy, TrueNAS sẽ hỏi bạn có muốn bật không. Bấm Turn On Service.
  3. Bấm Add.
  4. Path: Bắt đầu gõ đường dẫn đến Dataset VeeamBackups bạn đã tạo. TrueNAS sẽ tự động gợi ý đường dẫn.
  5. Name: Đặt một tên cho chia sẻ, ví dụ: VeeamBackups.
  6. Các tùy chọn khác có thể để mặc định. Bấm Submit.

Bây giờ bạn đã hoàn thành việc cấu hình trên TrueNAS. Đường dẫn mạng (UNC path) mà bạn cần sử dụng trong Veeam sẽ có dạng: \\<địa_chỉ_IP_của_TrueNAS>\VeeamBackups.

 


8/22/25

Thêm kho lưu trữ sao lưu (Add Backup Repository) trong Veeam Backup & Replication Community Edition




"Add Backup Repository" (Thêm kho lưu trữ sao lưu) trong Veeam Backup & Replication Community Edition :

Phần này cho phép bạn chỉ định nơi Veeam sẽ lưu trữ các bản sao lưu của bạn. Tùy thuộc vào môi trường của bạn, bạn có thể chọn một trong các loại sau:

1. Direct attached storage (Lưu trữ gắn trực tiếp)

  • Khi nào sử dụng: Khi bạn muốn lưu bản sao lưu vào một ổ đĩa cứng gắn trực tiếp vào máy chủ Veeam, ví dụ như ổ cứng nội bộ, ổ đĩa ngoài qua USB, hoặc ổ đĩa mạng SAN (Storage Area Network) được ánh xạ trực tiếp (mapped) vào máy chủ Veeam dưới dạng một ổ đĩa cục bộ (ví dụ: ổ D:, E:, v.v...).

  • Ưu điểm: Tốc độ sao lưu và khôi phục nhanh nhất vì dữ liệu được truyền qua kết nối cục bộ.

  • Cách thực hiện: Bạn chỉ cần chọn tùy chọn này, sau đó Veeam sẽ yêu cầu bạn chọn một máy chủ (thường là máy chủ Veeam) và chỉ định đường dẫn thư mục mà bạn muốn lưu trữ bản sao lưu.

2. Network attached storage (Lưu trữ gắn mạng)

  • Khi nào sử dụng: Khi bạn muốn lưu bản sao lưu vào một thiết bị lưu trữ mạng (NAS) hoặc một thư mục được chia sẻ trên một máy chủ khác qua giao thức SMB (còn gọi là \UNC path) hoặc NFS.

  • Ưu điểm: Linh hoạt, cho phép bạn sử dụng một thiết bị NAS chuyên dụng để lưu trữ sao lưu.

  • Lưu ý: Veeam khuyến nghị bạn nên đặt "gateway server" (máy chủ trung gian) càng gần với NAS càng tốt để tối ưu tốc độ truyền dữ liệu.

  • Cách thực hiện: Bạn chọn tùy chọn này, sau đó Veeam sẽ yêu cầu bạn nhập đường dẫn mạng (ví dụ: \\Tên_NAS\Thư_mục_chia_sẻ) và các thông tin xác thực cần thiết để truy cập vào thư mục đó.

3. Deduplicating storage appliance (Thiết bị lưu trữ chống trùng lặp)

  • Khi nào sử dụng: Khi bạn có một thiết bị lưu trữ chuyên dụng được tối ưu hóa cho việc chống trùng lặp dữ liệu, chẳng hạn như Dell Data Domain, ExaGrid, HPE StoreOnce, v.v...

  • Ưu điểm: Tiết kiệm dung lượng lưu trữ cực kỳ hiệu quả nhờ khả năng chống trùng lặp dữ liệu mạnh mẽ.

  • Cách thực hiện: Bạn chọn tùy chọn này và Veeam sẽ có các tùy chọn cấu hình đặc biệt cho các thiết bị này để tận dụng các API tích hợp (nếu có).

4. Object storage (Lưu trữ đối tượng)

  • Khi nào sử dụng: Khi bạn muốn lưu trữ bản sao lưu vào các dịch vụ lưu trữ đám mây như Amazon S3, Azure Blob, hoặc các giải pháp lưu trữ đối tượng On-premise.

  • Ưu điểm: Khả năng mở rộng vô hạn, phù hợp cho việc lưu trữ dài hạn (archive) và tiết kiệm chi phí.

  • Lưu ý: Thường được sử dụng làm "Capacity Tier" trong mô hình Scale-out Backup Repository của Veeam, nơi dữ liệu cũ được di chuyển lên đám mây.

  • Cách thực hiện: Bạn chọn tùy chọn này, Veeam sẽ yêu cầu bạn cung cấp các thông tin xác thực và chi tiết về dịch vụ Object Storage mà bạn muốn kết nối.

5. Veeam Data Cloud Vault

  • Khi nào sử dụng: Đây là một giải pháp lưu trữ đám mây được quản lý bởi Veeam, phù hợp nhất cho các bản sao lưu thứ cấp (secondary backups).

  • Ưu điểm: Dịch vụ được quản lý hoàn toàn, bảo mật cao.

  • Cách thực hiện: Bạn chọn tùy chọn này và làm theo hướng dẫn của Veeam.


Tóm tắt:

Để thêm một kho lưu trữ mới, bạn chỉ cần nhấp vào "Add Repository" và chọn loại lưu trữ phù hợp với hạ tầng của bạn.

  • Nếu bạn muốn lưu vào một ổ đĩa trên máy tính của mình: Chọn "Direct attached storage".

  • Nếu bạn muốn lưu vào một ổ đĩa mạng hoặc NAS: Chọn "Network attached storage".

VeeamBackup 1 VM như thế nào?





Máy ảo của bạn có kích thước 8 GB, nhưng tác vụ sao lưu chỉ xử lý 1.8 GB và truyền đi 1.2 GB.

Đây là một điều hoàn toàn bình thường và cho thấy quá trình sao lưu rất hiệu quả. Dưới đây là lý do:

  • Processed (Đã xử lý): 1.8 GB là lượng dữ liệu thực tế mà Veeam đã đọc từ các ổ đĩa của máy ảo nguồn. Có khả năng đây là tổng lượng dữ liệu "đã sử dụng" trên ổ đĩa ảo 8 GB. Dung lượng còn lại trên ổ đĩa ảo có thể là trống (chưa được sử dụng) và Veeam không cần phải sao lưu phần đó.

  • Transferred (Đã truyền đi): 1.2 GB là lượng dữ liệu cuối cùng thực sự được gửi đến kho lưu trữ sao lưu sau khi Veeam áp dụng các công nghệ chống trùng lặp (deduplication) và nén (compression). Điều này có nghĩa là trong số 1.8 GB dữ liệu, Veeam đã nén và chống trùng lặp nó xuống còn 1.2 GB, giúp bạn tiết kiệm rất nhiều dung lượng trên bộ nhớ sao lưu.

Tóm lại, máy ảo của bạn có kích thước 8 GB, nhưng tác vụ sao lưu đủ hiệu quả để chỉ sao lưu phần dữ liệu đã sử dụng (1.8 GB) và sau đó giảm dung lượng xuống còn 1.2 GB để tiết kiệm không gian lưu trữ. Kết quả là Success (Thành công), cho thấy tác vụ đã hoàn thành mà không có bất kỳ lỗi nào.

8/21/25

Sao lưu hệ thống ảo hóa VMware ESXI 8 (vCenter) với Veeam Backup & Replication Community Edition

 Dưới đây là hướng dẫn chi tiết từng bước để sử dụng Veeam Backup & Replication Community Edition để sao lưu hệ thống ảo hóa VMware 8 trong vCenter.



1. Chuẩn bị hệ thống

  1. Cài đặt máy chủ Veeam: Cài đặt Veeam Backup & Replication Community Edition trên một máy chủ Windows Server (từ 2012 R2 trở lên), khuyến nghị là phiên bản 2019 hoặc 2022. Đảm bảo máy chủ có đủ tài nguyên theo cấu hình khuyến nghị (CPU: 4 cores, RAM: 8GB).

  2. Tài khoản quản trị: Bạn cần có tài khoản quản trị trên máy chủ Windows Server và một tài khoản có quyền truy cập vào vCenter Server.


2. Cài đặt và cấu hình ban đầu

  1. Cài đặt Veeam: Chạy file cài đặt, chọn Install Veeam Backup & Replication. Bạn có thể chấp nhận các tùy chọn mặc định, bao gồm cả việc cài đặt cơ sở dữ liệu SQL Server Express đi kèm.

  2. Mở Veeam Console: Sau khi cài đặt xong, mở ứng dụng Veeam Backup & Replication Console.

  3. Thêm vCenter Server:

    • Trong giao diện chính, chọn Backup Infrastructure.

    • Click vào Add Server, sau đó chọn VMware vSphere.

    • Nhập địa chỉ IP hoặc tên miền của vCenter Server và thông tin đăng nhập có quyền truy cập.

  4. Thêm kho lưu trữ (Backup Repository):

    • Vẫn trong mục Backup Infrastructure, chọn Backup Repositories.

    • Click Add Repository để thêm nơi lưu trữ các bản sao lưu. Đây có thể là một ổ đĩa cục bộ, ổ cứng mạng (NAS), hoặc một thiết bị lưu trữ khác.


3. Tạo tác vụ sao lưu (Backup Job)

  1. Tạo Job mới: Trên giao diện chính, vào mục Home, chọn Jobs và click vào Backup Job.

  2. Chọn loại Job: Đặt tên cho công việc sao lưu của bạn và chọn loại là Virtual machine.

  3. Chọn máy ảo: Click Add... để chọn các máy ảo từ cây thư mục của vCenter. Bạn có thể chọn toàn bộ Datacenter, một cụm (cluster), hoặc từng máy ảo cụ thể.

  4. Cấu hình lưu trữ và thời gian:

    • Repository: Chọn kho lưu trữ mà bạn đã thêm ở bước trước.

    • Retention: Cấu hình số lượng bản sao lưu muốn giữ lại (ví dụ: 7 ngày).

  5. Đặt lịch trình: Tích chọn Schedule the job to run automatically để đặt lịch chạy tự động, ví dụ như hàng ngày vào lúc 2 giờ sáng.

  6. Hoàn tất: Nhấn Finish. Veeam sẽ bắt đầu chạy công việc sao lưu theo lịch trình bạn đã đặt.


Lưu ý quan trọng

  • Giới hạn bản Community: Phiên bản miễn phí này chỉ cho phép bạn sao lưu tối đa 10 máy ảo (VMs).

  • Dung lượng lưu trữ: Đảm bảo kho lưu trữ của bạn có đủ dung lượng. Lần sao lưu đầu tiên sẽ tốn nhiều dung lượng nhất, các lần sau sẽ ít hơn vì Veeam chỉ sao lưu phần dữ liệu thay đổi.

  • Hiệu suất: Để có hiệu suất tốt nhất, không nên đặt kho lưu trữ trên cùng ổ đĩa với thư mục cài đặt Veeam.

Cấu hình khuyến nghị tối thiểu để cài đặt Veeam Backup & Replication

Cấu hình khuyến nghị tối thiểu để cài đặt Veeam Backup & Replication, giúp bạn có một hệ thống sao lưu hoạt động ổn định và hiệu quả.


Bảng Cấu Hình Khuyến Nghị Veeam Backup & Replication




Lưu ý:

  • Phân tách ổ đĩa: Veeam khuyến cáo nên tách ổ đĩa cài đặt Veeam ra khỏi ổ đĩa làm kho lưu trữ bản sao lưu (Backup Repository) để tối ưu hiệu suất.

  • Môi trường sản xuất: Đối với môi trường có nhiều máy ảo hoặc yêu cầu hiệu suất cao, bạn nên nâng cấp cấu hình lên cao hơn mức khuyến nghị để đảm bảo quá trình sao lưu và phục hồi diễn ra nhanh chóng và ổn định.

8/16/25

Tạo ssl local cho ESXI 8 Host



Để thay thế chứng chỉ SSL mặc định của ESXi bằng một chứng chỉ đáng tin cậy hơn, bạn cần thực hiện các bước sau: 

1. Chuẩn bị

  • Tạo CSR (Certificate Signing Request): CSR là một tệp tin chứa thông tin của máy chủ và khóa công khai (public key). Bạn cần sử dụng một công cụ như OpenSSL để tạo CSR.
  • Có CA (Certificate Authority): Bạn có thể sử dụng một CA nội bộ (internal CA) của công ty hoặc một CA công cộng (public CA) như Let's Encrypt, DigiCert, GlobalSign, v.v. để ký (sign) CSR. >> Mình đã xây dựng CA server trên windows 2019
  • Sử dụng SSH/Shell để tải chứng chỉ và khóa lên ESXi.

2. Các bước thực hiện

  1. Kết nối SSH vào máy chủ ESXi: Bật dịch vụ SSH trên ESXi từ giao diện web hoặc console.
  2. Tạo thư mục làm việc: mkdir /tmp/certs
  3. Tạo CSR và Private Key:

openssl req -new -newkey rsa:2048 -nodes -keyout /tmp/certs/esxi.key -out /tmp/certs/esxi.csr -config san.cnf

Trong đó, nội dung file san.cnf như sau:

[req]

distinguished_name = req_distinguished_name

req_extensions = v3_req

prompt = no


[req_distinguished_name]

C = VN

ST = Binh Duong

L = Ben Cat

O = Homelab

OU = IT

CN = esxi01.homelab.local

 

[v3_req]

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

 

[alt_names]

DNS.1 = esxi01.homelab.local

IP.1 = 192.168.1.111

    • Các thông tin cần điền khi tạo CSR

      1. Country Name (2 letter code): Tên quốc gia viết tắt bằng 2 chữ cái.
        • Ví dụ: VN
      2. State or Province Name (full name): Tên tỉnh hoặc thành phố.
        • Ví dụ: Binh Duong
      3. Locality Name (eg, city): Tên địa phương (thành phố).
        • Ví dụ: Ben Cat
      4. Organization Name (eg, company): Tên tổ chức hoặc công ty.
        • Ví dụ: Homelab
      5. Organizational Unit Name (eg, section): Tên bộ phận.
        • Ví dụ: IT
      6. Common Name (CN): Đây là trường quan trọng nhất. Bạn phải nhập tên miền đầy đủ (FQDN) của host ESXi. Nếu bạn truy cập host bằng tên esxi01.homelab.local, thì đây chính là Common Name.
        • Ví dụ: esxi01.homelab.local
      7. Email Address: Địa chỉ email liên hệ.
        • Ví dụ: admin@homelab.local
      8. A challenge password: Mật khẩu tùy chọn để bảo vệ CSR. Bạn có thể để trống.
      9. An optional company name: Tên công ty tùy chọn. Bạn có thể để trống.
  1. Gửi CSR tới CA:
    • Gửi file esxi.csr cho CA nội bộ hoặc công cộng để ký.
    • Sau khi CA ký, bạn sẽ nhận được một file chứng chỉ (thường có định dạng .crt).
  2. Tải chứng chỉ và khóa lên ESXi:
    • Sử dụng SCP hoặc WinSCP/FileZilla để tải file esxi.key (private key) và file chứng chỉ đã được ký (ví dụ: esxi.cer) vào thư mục /tmp/certs trên ESXi.
  3. Thay thế chứng chỉ:
    • Chuyển đến thư mục chứa chứng chỉ: cd /etc/vmware/ssl
    • Sao lưu chứng chỉ cũ: mv rui.crt rui.crt.bak và mv rui.key rui.key.bak
    • Copy chứng chỉ mới:

cp /tmp/certs/esxi.cer rui.crt

cp /tmp/certs/esxi.key rui.key

  1. Đặt lại quyền (Permissions):

chmod 400 rui.key - Đảm bảo khóa riêng được bảo mật tối đa, chỉ có chủ sở hữu mới được đọc.

chmod 644 rui.crt - Cho phép mọi người đọc file chứng chỉ công khai, nhưng chỉ chủ sở hữu mới có quyền thay đổi.

  1. Khởi động lại các dịch vụ:

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

Lệnh này sẽ khởi động lại các dịch vụ quản lý trên ESXi và áp dụng chứng chỉ mới.

    • Tải Chứng chỉ Root CA

      1. Mở trình duyệt web trên máy tính Windows client.

      2. Truy cập vào trang web cấp phát chứng chỉ của CA Server: http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv.

      3. Trên trang web, chọn Download a CA certificate, certificate chain, or CRL.

      4. Ở màn hình tiếp theo, chọn Download CA certificate để tải file chứng chỉ gốc (.cer).


      Cài đặt Chứng chỉ Root CA trên máy client

      1. Mở file .cer vừa tải về. Một cửa sổ Certificate sẽ hiện ra.

      2. Nhấn vào nút Install Certificate....

      3. Chọn Local Machine để chứng chỉ được cài đặt cho tất cả người dùng trên máy tính. Nhấn Next.

      4. Ở màn hình Certificate Store, chọn Place all certificates in the following store.

      5. Nhấn Browse..., sau đó chọn Trusted Root Certification Authorities.

      6. Nhấn OK, sau đó Next.

      7. Nhấn Finish để hoàn tất quá trình cài đặt. 

3. Kiểm tra kết quả

  • Truy cập lại giao diện web của ESXi.
  • Trình duyệt sẽ hiển thị biểu tượng khóa an toàn (padlock) và không còn cảnh báo về chứng chỉ không đáng tin cậy nữa.
  • Nhấp vào biểu tượng khóa để xem chi tiết chứng chỉ, bạn sẽ thấy chứng chỉ của bạn đã được CA đáng tin cậy ký.

8/15/25

Dựng CA server chứng thực ssl local cho EXSI, Vcenter

 



Bước 1: Cài đặt và cấu hình Standalone CA

  1. Mở Server Manager:

    • Sau khi đăng nhập vào máy chủ Windows Server 2019, mở Server Manager từ thanh Start Menu.

  2. Thêm Roles và Features:

    • Chọn Manage ở góc trên cùng bên phải, sau đó chọn Add Roles and Features.

    • Cửa sổ Before You Begin hiện ra, bạn nhấn Next.

    • Chọn Role-based or feature-based installation và nhấn Next.

    • Chọn máy chủ hiện tại từ danh sách Server Selection và nhấn Next.

  3. Chọn Role

    • Tại màn hình Server Roles, tìm và tích chọn vào Active Directory Certificate Services.

    • Khi có một cửa sổ pop-up hiện ra yêu cầu thêm các tính năng liên quan, bạn nhấn Add Features.

    • Tiếp tục nhấn Next.

  4. Chọn Role Services

    • Tại màn hình Role Services, bạn sẽ thấy nhiều tùy chọn.

    • Hãy tích chọn vào Certificate AuthorityCertificate Authority Web Enrollment. Đây là hai dịch vụ cần thiết để có thể yêu cầu chứng chỉ qua trình duyệt web.

    • Nhấn Next và sau đó Install để bắt đầu quá trình cài đặt.


Bước 2: Cấu hình Standalone CA và Web Enrollment

Sau khi cài đặt xong, bạn sẽ thấy một biểu tượng cảnh báo màu vàng trên thanh công cụ của Server Manager.

  1. Bắt đầu cấu hình:

    • Nhấp vào biểu tượng cảnh báo và chọn Configure Active Directory Certificate Services.

  2. Chọn Role Service to Configure:

    • Tại màn hình này, bạn sẽ thấy danh sách các dịch vụ bạn đã cài đặt. Tích chọn cả Certificate AuthorityCertificate Authority Web Enrollment. Nhấn Next.

  3. Setup Type:

    • Đây là bước quan trọng nhất. Bạn phải chọn Standalone CA thay vì Enterprise CA.

    • Nhấn Next.

  4. CA Type:

    • Chọn Root CA. Vì đây là CA duy nhất và cao nhất trong hệ thống của bạn.

    • Nhấn Next.

  5. Private Key:

    • Chọn Create a new private key để tạo khóa riêng mới.

    • Nhấn Next.

  6. Cryptography for CA:

    • Giữ nguyên các cài đặt mặc định: CSP (Cryptographic Service Provider), Hash Algorithm (khuyến nghị SHA256), và Key length (khuyến nghị 2048 hoặc 4096).

    • Nhấn Next.

  7. CA Name:

    • Nhập tên cho CA của bạn. Ví dụ: homelab-CA. Tên này sẽ xuất hiện trên tất cả các chứng chỉ do CA này cấp.

    • Nhấn Next.

  8. Validity Period:

    • Đặt thời gian hiệu lực cho chứng chỉ Root CA (ví dụ: 5 năm).

    • Nhấn Next.

  9. Certificate Database:

    • Giữ nguyên vị trí lưu trữ mặc định.

    • Nhấn Next.

  10. Confirmation:

    • Kiểm tra lại tất cả các cài đặt và nhấn Configure để hoàn tất.

  11.  Xuất chứng chỉ gốc (Root CA) để sau này cài đặt cho các máy client

    • Mở Certification Authority từ Administrative Tools trên máy chủ CA.

    • Nhấp chuột phải vào tên CA, chọn Properties, sau đó View Certificate.

    • Trong tab Details, nhấp vào Copy to File để xuất chứng chỉ gốc dưới dạng RootCA_Homelab.cer.

    • Chuyển file này sang các máy client (máy tính cá nhân, laptop) và cài đặt nó vào kho lưu trữ Trusted Root Certification Authorities.


Bước 3: Đăng ký chứng chỉ cho vCenter và ESXi

Sau khi CA Server đã hoạt động, bạn sẽ sử dụng trang web Certificate Authority Web Enrollment để tạo và cấp chứng chỉ.

  1. Trên vCenter/ESXi:

    • Nếu bạn muốn tạo CSR thông qua giao diện web, bạn sẽ cần thực hiện các bước sau:

      1. Đăng nhập vào vCenter Server qua trình duyệt web.

      2. Vào menu Administration > Certificate Management.

      3. Chọn mục Machine SSL Certificate.

      4. Nhấn vào nút Actions và chọn Generate Certificate Signing Request.

      5. Trong cửa sổ mới hiện ra, bạn sẽ được yêu cầu điền các thông tin:

        • Organization: homelab

        • Organization Unit: IT

        • Country: VN

        • State/Province: Binh Duong

        • Locality: Ben Cat

        • Common Name: vcenter.homelab.local

        • Email: admin@homelab.local

        • Subject Alternative Name (Optional): SAN:DNS=vcenter.homelab.local,IP=192.168.1.13

      6. Nhấn Generate để tạo CSR. Giao diện sẽ hiển thị nội dung của CSR, bạn cần sao chép toàn bộ nội dung này và lưu lại.

  2. Gửi CSR đến CA Server:

    • Sử dụng trình duyệt web trên bất kỳ máy tính nào có thể truy cập được đến CA Server của bạn, truy cập vào địa chỉ: http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv

    • Bạn sẽ được yêu cầu đăng nhập bằng tài khoản có quyền truy cập.

    • Sau khi đăng nhập, chọn Request a certificate > advanced certificate request.

    • Sao chép toàn bộ nội dung của CSR đã tạo ở bước trên và dán vào khung Base-64-encoded certificate request.

    • Trong phần Certificate Template, chọn Web Server.

    • Nhấn Submit.

  3. Xử lý yêu cầu trên CA Server:

    • Mở Certificate Authority từ Server Manager > Tools trên CA Server.

    • Trong khung bên trái, chọn Pending Requests.

    • Nhấp chuột phải vào yêu cầu vừa gửi, chọn All Tasks > Issue.

  4. Tải chứng chỉ về:

    • Quay lại trang web http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv trên trình duyệt.

    • Chọn View the status of a pending certificate request 

      >>Saved-Request Certificate (8/15/2025 9:58:57 PM)
       > > Base 64 encoded hoặc DER encoded. >> save file CA đã ký
  5. Cài đặt chứng chỉ trên vCenter/ESXi:

    • Certificate Management >> import & Replace Certificate >>Replace with external CA certificate where CSR is generated from vCenter Server (private key embedded) >>Machine SSL Certificate ( chọn file CA đã ký) >>Chain of trusted root certificates (chọn file Root CA từ CA server) 

Tải Chứng chỉ Root CA

  1. Mở trình duyệt web trên máy tính Windows client.

  2. Truy cập vào trang web cấp phát chứng chỉ của CA Server: http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv.

  3. Trên trang web, chọn Download a CA certificate, certificate chain, or CRL.

  4. Ở màn hình tiếp theo, chọn Download CA certificate để tải file chứng chỉ gốc (.cer).


Cài đặt Chứng chỉ Root CA trên máy client

  1. Mở file .cer vừa tải về. Một cửa sổ Certificate sẽ hiện ra.

  2. Nhấn vào nút Install Certificate....

  3. Chọn Local Machine để chứng chỉ được cài đặt cho tất cả người dùng trên máy tính. Nhấn Next.

  4. Ở màn hình Certificate Store, chọn Place all certificates in the following store.

  5. Nhấn Browse..., sau đó chọn Trusted Root Certification Authorities.

  6. Nhấn OK, sau đó Next.

  7. Nhấn Finish để hoàn tất quá trình cài đặt.

Truy cập vcenter để kiểm tra xem đã được trust chưa nhé!