Cách mount USB Device vào máy VM trên máy chủ ảo ESXi 6.x


Thêm một USB controller vào một máy ảo bằng vSphere Client
Bộ điều khiển USB controller có sẵn để thêm vào các máy ảo để hỗ trợ USB đi qua từ một máy chủ ESXi hoặc máy tính trạm để có thể sử dụng USB trong máy ảo.

Bạn có thể thêm hai bộ điều khiển USB controller vào một máy ảo. Bộ điều khiển xHCI, có sẵn để hỗ trợ hệ điều hành Linux chỉ hỗ trợ USB 3.0 SuperSpeed​​, 2.0, 1.1 và các thiết bị. Bộ điều khiển EHCI + UHCI hỗ trợ USB 2.0 và 1.1 thiết bị.
Các điều kiện để thêm một bộ điều khiển khác nhau, tùy thuộc vào phiên bản thiết bị, các loại USB passthrough (máy chủ hoặc máy trạm), và hệ điều hành máy trạm.

 
 

USB Controller hỗ trợ các phiên bản sau:

Controller Loại

Hỗ trợ USB Device phiên bản

Hỗ trợ Passthrough từ ESXi Host đến máy ảo VM

Hỗ trợ thông qua USB Passthrough của máy trạm đến máy ảo VM

EHCI+UHCI

2.0 and 1.1

Yes

Yes

xHCI

3.0, 2.0, and 1.1

Yes (USB 2.0 and 1.1 devices only)

Yes (Linux guests only)

Ghi chú:

 

Trình điều khiển không có sẵn cho bộ điều khiển xHCI trên hệ điều hành Windows client.

Đối với hệ thống Mac OS X, bộ điều khiển EHCI + UHCI được kích hoạt theo mặc định và là cần thiết cho USB chuột và bàn phím truy cập.

I. Trường hợp dùng vSphere Client:


Cho các máy ảo với máy trạm Linux, bạn có thể thêm một hoặc cả hai điều khiển, nhưng các thiết bị 3,0 superspeed không được hỗ trợ passthrough từ một máy chủ ESXi đến một máy ảo. Bạn không thể thêm hai bộ điều khiển cùng loại.


Cho USB passthrough từ một máy chủ ESXi đến một máy ảo, các trình điều khiển USB có thể điều chỉnh tối đa là 15 bộ điều khiển USB. Nếu hệ thống của bạn bao gồm bộ điều khiển vượt quá giới hạn 15 điều khiển và bạn kết nối thiết bị USB vào chúng, các thiết bị đó sẽ không thể hoạt động trên máy ảo.

Điều kiện sử dụng:

ESXi hosts cần phải có thiết bị USB controller phần cứng đang cắm vào máy vật lý và hỗ trợ tối thiểu USB 2.0 và 1.1.

Máy tính trạm phải có phần cứng USB điều khiển và mô-đun hỗ trợ USB 3.0, 2.0, 1.1 và các thiết bị hiện nay.

Để sử dụng bộ điều khiển xHCI trên một máy trạm Linux, đảm bảo rằng các phiên bản Linux kernel 2.6.35 hoặc mới hơn.

Máy ảo phải được bật.

Phải có quyền điều khiển trực tiếp can thiệp thiết bị máy chủ ESXi host như tắt bật máy ảo VM, cắm hoặc rút thiết bị kết nối qua USB controller.

Bước tiến hành:

1

Mở mục vSphere Client inventory, bấm chuột phải vào máy ảo VM và chọn mục Edit Settings.

2

Bấm tab Hardware và bấm nút Add.

3

Chọn loại USB Controller để thêm và bấm nút Next.

4

Kiểm tra thông tin thiết bị và bấm Next.

5

Bấm Finish.

Một USB Controller (adding) mới xuất hiện trong danh sách thiết bị phần cứng với trang thái đề Present.

6

Bấm OK để lưu thay đổi và đóng hộp thông báo lại.

Khi bạn mở lại Properties Editor, bộ điều khiển xHCI xuất hiện trên tab Hardware là 1 USB controller xHCI. Bộ điều khiển EHCI + UHCI xuất hiện là 1 USB controller riêng.

 Bước tiếp theo

Bạn có thể bấm thêm 1 hoặc nhiều USB devices để cho 1 máy ảo VM sử dụng.



 

II. Trường hợp dùng vSphere Web Client:

Nếu bạn muốn mount USB drive kết nối tới máy ảo Windows Server 2016 trong 1 ESXi Host. Trong tay bạn có USB 3/ USB 2 controller.


 

Bạn cần phải dùng quyền quản trị để Edit setting máy ảo và add USB controller của VM đó trước tiên, tiếp theo sẽ add USB device hiển thị.

 

III. Trường hợp dùng Host USB device kết nối qua vSphere Web Client:

Mở trình duyệt Web vSphere Client, chọn máy ảo cần kết nối USB device và bấm Edit Settings.


Select under New device Host USB device and click add.

This will also add an new USB controller as you can see in the screenshot. If you have more than one USB device attached to the ESX you can select the appropriate one through the drop down menu.

When you switch back to the VM you can see the installation of the new components.


After everything is installed, you can find the device within the device manager or if it’s an USB stick, like in my example, under Computer.


IV. Trường hợp dùng Host USB device kết nối qua VM Remote Console:

Trường hợp này dùng được khi bạn có trình duyệt web IE, FF, Chrome, Safari, và USB bạn muốn mount vào chạy trên VM.


Nếu chưa cài phần mềm VMRC này trên máy remote client bao giờ, bạn sẽ cần phải download và cài lần đầu

Link download: https://my.vmware.com/en/web/vmware/details?downloadGroup=VMRC1004&productId=742


Khi cài xong VMRC, bạn có thể truy cập lại lệnh chạy “Launch remote console”


Bấm vào biểu tượng USB và chọn Connect (Disconnect from host) để USB device ngắt chế độ đang kết nối tới máy PC bạn đang remote và nó sẽ tự động

Switch chuyển vào máy VM đang được mở bằng VMRC.


Nếu bạn rút USB hoặc mất kết nối USB device từ máy remote PC tới máy ảo bạn sẽ nhận được báo lỗi sau:


V. Danh sách các loại USB Devices được kiểm nghiệm với ESXi Host 6.7 thông qua Virtual Machine

Device Model

Vendor ID:Product ID

Device Display Name

Aladdin HASP HL Drive

0529:0001 (05e3:0608 Hub, 0529:02f0 Drive)

Aladdin Knowledge HASP HL 3.25, Aladdin Knowledge HASP HL drive

Sandisk USB 3.0 16G flash

0781:5580

Sandisk Extreme

Lexar USB 3.0 8G/64G flash

05dc:a833

Lexar Media USB Flash Drive

Western Digital USB 3.0 1T Drive

1058:0748

Western Digital My Passport 0748

Western Digital USB 3.0 2T Drive

1058:25e2

Western Digital My Passport 25E2

Tandberg Data RDX QuikStor USB3+ external Drive

1a5a:0006

Tandberg Data RDX

Tandberg Data RDX QuikStor USB3 internal Drive

1a5a:0005

Tandberg Data RDX


VI. Danh sách các loại USB Devices được kiểm nghiệm với ESXi Host 6.5 thông qua Virtual Machine

Device Model

Vendor ID:Product ID

Device Display Name

Aladdin HASP HL Drive

0529:0001 (13fe:1a00 Hub, 13fe:1d00 Drive)

Aladdin Knowledge HASP HL 3.21, Kingston drive

Aladdin HASP HL Max Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Sandisk USB 3.0 16G flash

0781:5580

Sandisk Extreme

Kingston USB 3.0 16G flash

0951:1656

Kingston DT Uitimate G2

Lexar USB 3.0 8G/64G flash

05dc:a833

Lexar media USB Flash Drive

Lexar USB 3.0 8G flash

05dc:a205

Lexar Media JumpDrive

Western Digital USB 3.0 1T storage

1058:0748

Western Digital My Passport

Tandberg Data RDX QuikStor USB3+ external Drive

1a5a:0006

Tandberg Data RDX

Tandberg Data RDX QuikStor USB3 internal Drive

1a5a:0005

Tandberg Data RDX

Note: Additional devices will be added as they are tested.

VII. Danh sách các loại USB Devices được kiểm nghiệm với ESXi Host 6.0 thông qua Virtual Machine

Device Model

Vendor ID:Product ID

Device Display Name

Aladdin HASP HL Drive

0529:0001 (13fe:1a00 Hub, 13fe:1d00 Drive)

Aladdin Knowledge HASP HL 3.21, Kingston drive

Aladdin HASP HL Max Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Sandisk USB 3.0 16G flash

0781:5580

Sandisk Extreme

Kingston USB 3.0 16G flash

0951:1656

Kingston DT Uitimate G2

Lexar USB 3.0 8G/64G flash

05dc:a833

Lexar media USB Flash Drive

Lexar USB 3.0 8G flash

05dc:a205

Lexar Media JumpDrive

Western Digital USB 3.0 1T storage

1058:0748

Western Digital My Passport

VIII. Danh sách các loại USB Devices được kiểm nghiệm với ESXi Host 5.x thông qua Virtual Machine

Device Model

Vendor ID:Product ID

Device Display Name

SafeNet Sentinel Software Protection Dongle (purple)

04B9:8000

Rainbow SafeNet Sentinel

SafeNet Sentinel Software Protection SuperPro Dongle (gray)

04B9:0300

Rainbow USB UltraPro

SecuTech Unikey Software Protection Dongle

0403:C580

Future Devices HID UNIKEY

MAI KEYLOK II Software Protection Dongle

07F2:0001

Microcomputer Applications USB Device

MAI KEYLOK Fortress Software Protection Dongle (designed to work only with Windows operating systems)


Note: This dongle is not designed for Linux systems. If you connect it to a Linux system, the connection resets frequently and can cause unexpected behavior.

0471:485e

Philips KEYLOK Device

Aladdin HASP HL Drive

0529:0001 (13fe:1a00 Hub, 13fe:1d00 Drive)

Aladdin Knowledge HASP HL 3.21, Kingston drive

Aladdin HASP HL Basic Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Aladdin HASP HL Pro Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Aladdin HASP HL Max Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Aladdin HASP HL Net Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Aladdin HASP HL NetTime Software Protection Dongle

0529:0001

Aladdin Knowledge HASP HL 3.21

Kingston DataTraveler 101 II 4GB

0930:6545

Toshiba DT 101 II

Lexar JD FireFly 2GB

05dc:a701

Lexar Media JD FireFly

Western Digital My Passport Essential 250GB 2.5 HDD

1058:0704

Western Digital External

Cables To Go USB 2.0 7-Port Hub Model# 29560

04cc:1521

Not applicable

 
 

Để tìm được thông tin về Vendor ID, Product ID trong máy ảo windows:

  1. Open the Device Manager and search for the USB device you want to find the ID for.
  2. Right-click the device and select Properties.
  3. Click the Details tab.
  4. Select Hardware Ids from the Property drop-down menu.

Trường hợp USB devices không có trong danh sách hoặc không support:

Nếu USB device không có trong danh sách, cần thiết lập môi trường thử nghiệm với ESX/ESXi hosts và các máy ảo thử nghiệm việc kết nối với USB device.

These USB devices are not available for passthrough:

  • USB devices such as mice and keyboards that have a bootable HID interface.
  • USB devices such as real time video cameras and audio devices that use isochronous data transfers.
  • USB devices on which an ESXi host is installed.

 

Tham khảo:

https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vm_admin.doc/GUID-540EA00C-92A6-4562-AEE0-AEEDBAA2B02C.html

https://docs.vmware.com/en/VMware-vSphere/6.5/com.vmware.vsphere.vm_admin.doc/GUID-540EA00C-92A6-4562-AEE0-AEEDBAA2B02C.html#GUID-540EA00C-92A6-4562-AEE0-AEEDBAA2B02C

Advertisements

Giảm kích thước ổ cứng của máy ảo VMware vSphere như thế nào?


Tôi đã chạy WSUS trên máy chủ 2012R2, Windows 10 và ổ đĩa nơi các bản cập nhật có xu hướng tăng dung lượng nhiều. Trên máy ảo, tôi đã tăng kích thước nhầm cho ổ đĩa c: \, đắng nhẽ tôi phải tăng ở ổ dữ liệu và các phần mềm lưu cần cập nhật thường xuyên.

 

Như vậy là tôi đã tăng nhầm ổ C từ 64GB ban đầu thành 260GB, và đắng nhẽ ổ F logic cần tăng lên 260GB. Bây giờ tôi sẽ phải tìm cách hạ kích thước (giảm) ổ C từ 260GB quay về 64GB như lúc trước.

Mở Disk management của máy chủ windows 2012:

 

Bây giờ cách xử lý sẽ như sau:

Bước 1:

  • Ở trạng thái VM đang bật, bạn cần vào HĐH và chạy chế độ Disk de-fragment để chống phân mảnh dữ liệu.
  • Tắt máy ảo VM và xã định đúng vị trí Host và Datastore mà VM đang vận hành, chúng ta cần điều chỉnh ESXi Host cấu hìanh và bật enabled SSH, Shell ESXi và tìm vị trí nơi VM location.

Tham khảo bài viết trước của minh về vấn đề giảm/ thay đổi kích ổ cứng lưu trữ cho VM

Bước 2: Dùng WinSCP (chỉ nhìn thấy file cấu hình ổ cứng .vmdk (kích thước 1KB) trên WINSCP)

Không tìm thấy hoặc không nhìn thấy file cấu hình .vmdk trên WebSphere Client

Bước 3. Lúc này mở file .vmdk bằng Notepag++:

Cấu tạo của vùng mặt đĩa dùng làm nơi chứa dữ liệu:

Bước 4. Sau khi sửa lại thông tin số Sectors

Sau khi lưu lại file .vmdk bạn dùng WINSCP upload lại để cập nhật cấu hình của máy ảo,

Chúng ta có thể tiếp tục việc vMotion Storage để di chuyển máy ảo sang một Datastore khác.

Bước 5. Xem lại cài đặt của vm và lưu ý kích thước đĩa mới đã được thay đổi?


Bước 6. Bật máy ảo và mở Disk Management để kiểm tra kích thước VD thay đổi:


Lưu ý: Có 3 cách để có thể kiểm tra việc thay đổi thành công (giảm kích thước ổ cứng ảo):

  1. Dùng Veeam backup and Replicate Server hoặc Veeam Agent for windows để sao lưu lại máy ảo trên sau khi đã thay đổi giảm kích thước ổ cứng ảo.
  2. Dùng vMotion để di chuyển máy ảo nói trên (sau khi đã thay đổi giảm kích thước ổ cứng ảo) đến Host ESXi khác.
  3. Dùng cách tắt máy ảo sau đó Unregistry VM để gỡ cấu hình VMX, sửa và cập nhật file .VMDK, sau đó lại vào Data Store và Registry VM (add inventory) lại VM.

 

Hãy làm labs để thực hành những bài kỹ thuật phức tạp trên, trước khi đem nó vào thực tiễn.

Chúc các bạn thành công năm 2018!

Tác hại của sự khác VM Hardware version và cách hạ cấp version trong Data Center Virtualization


VMware đưa ra phương thức quản lý các máy ảo chạy trên các phiên bản vSphere từ cũ tới các phiên bản mới nhất, bằng cách gán

trên các Host cũng gán các phiên bản của ESXi host.

Và gán vào file cấu hình máy ảo [VM’s name].vmx các thẻ tag có số hiệu phiên bản

Version được ghi trong nội dung file .vmx

Vấn đề nằm ở chỗ, chúng ta phát triển các máy ảo trên nền VMware vsphere, vSphere Web client chỉ cho chúng ta các lựa chọn ngầm định khi tạo 1 máy ảo à

  1. VM Hardware là tương thích, tương ứng và thường chọn ngầm định phiên bản cao nhất.
  2. Nếu bạn sản xuất phần mềm hoặc máy ảo Appliance cho khách hàng, bạn phải điều chỉnh lại VM Hardware version thấp hơn để phù hợp với các vSphere 4.x, vSphere 5.x và vSphere 6.x
  3. Trong hạ tầng Doanh nghiệp của bạn lại có nhiều phiên bản vSphere khác nhau từ 4.x, 5.x tới 6.x thì khi có sự cố các VM cần vMotion sang nhau hoặc cần di chuyển chủ động làm DRS/HA.
  4. Các bạn cần Sao lưu/ khôi phục các VMs trên các hạ tầng Ảo hoá khác phiên bản, khác hệ thống ảo hoá (như từ vSphere sang Hyper-V, KVM …).

Tác hại của việc khác phiên bản, nó còn thể hiện ngay cả ở phần mềm khác nhau và rất khó chịu, mất thời gian:

  1. Dùng Veeam backup and replicate Free License for windows 9.5 không cài được trên windows server 2008 R2 Enterprise, Veeam yêu cầu phải nâng cấp windows 2008 R2 Server lên bản SP1 hoặc SP2.
  2. Khi dùng bản Veeam backup and Replication 9.5 add Server ESXi Host vSphere 6.7 thì được, Khôi phục (Restore các VM vào ESXi host 6.7 này) thì thành công nhưng khi Backup các VM trên đó lại báo lỗi không support:

“Error: Object reference not set to an instance of an object after manually deleting a replica VM”.

Lỗi trên có thể hiểu đơn giản là phải nâng cấp bản Veeam Backup and Replication từ 9.5 GA lên bản update 3a là support với vSphere 6.7.

  1. Khi nâng cấp Veeam backup and Replicate lên bản 9.5 update 3a, thì chúng ta lại sao lưu được các VM (có hardware version từ 13 /14) có trên vSphere 6.7, nhưng khi khôi phục các VMs đó sang các vSphere khác có Verison thấp hơn như: vsphere 5.5,6.0,6.5 thì lại gặp lỗi không hỗ trợ Restore:

“Error VM hardware version 13 is not supported by destination host (version 6.0) (System.Exception) “ .

Tham khảo:


  1. Build numbers and versions of VMware ESXi/ESX (2143832)
  2. Veeam Backup & Replication support for VMware vSphere

Giải pháp: ngược với nâng cấp phiên bản là hạ cấp phiên bản:

Đôi khi, bạn sẽ thấy mình cần phải dùng cách hạ cấp phiên bản phần cứng của máy ảo chỉ để giúp bạn có thể di chuyển phiên bản ESXi mới hơn sang phiên bản cũ hơn. Nâng cấp khả năng tương thích phần cứng của máy ảo cũng đơn giản như nhấp chuột phải vào nó và chọn tùy chọn, nhưng ngược lại không phải là cách dễ dàng.



Ví dụ: mình gặp phải các trường hợp y hệt như trên và mình sẽ sửa lại phiên bản của máy ảo của con cloudgateway:

Có 2 cách chính để hạ phiên bản (downgrade version hardware VMX-13 của VM trên vsphere 6.7) xuống VMX-10/11 cho vSphere 5.5/ vSphere 6.0 support:

Cách 1:
dùng VMware Converter để converter migration máy ảo từ Host có vSphere version cao (6.7).

Tỉ lệ thành công và thất bại ở cách 1 là ~ 85/15% và trong trường hợp của mình là thất bại bởi VM có Guest OS Linux Ubuntu 16.04

Cách 2: dùng cách sửa nội dung phiên bản của file cấu hình máy ảo .VMX

Lưu ý:

  • Khi bật VM lên thì VMDK lại dùng NVRAM sửa lại làm thay đổi nội dung trên file .VMX.
  • hoặc vCenter Inventory của ESXi host sẽ dùng DRS/HA để sửa thông tin của VMX khi có thay đổi cấu hình VM hoặc do vMotion làm thay đổi vị trí Host, Storage…

Do vậy, chúng ta sẽ làm theo 5 bước sau cho an toàn và nhanh gọn:

Bước 1: bật nguồn máy ảo.

Bước 2. Mở Datastore browser và download file .VMX về máy PC.

 

Bước 3. Dùng Notepad để sửa được VMX.

Bước 4. Tiếp theo Un-register VM và vào xoá file VMX cũ.

Bước 5. Upload lại file VMX đã sửa, rồi Register lại VM

và bật nguồn cho máy ảo chạy

Tác dụng của việc hạ VM Hardware version từ 13/14 xuống version 10 là ta có thể dùng Veeam backup restore tới các vsphere 6.x/5.5 thành công :

Và khi đó các máy chủ ESXi Host vSphere 5.5/6.x đều vận hành được các VM có Hardware version 10

VM đã bật và chạy với VM version 10.

 

Chúc các bạn thành công vượt qua được các lỗi về không tương thích phiên bản Microsoft Windows, Veeam, VMware … !

Nested vSphere 6.7 không hỗ trợ EVC trên máy chủ ESXi 6.5


Trong các mô hình dựng hệ thống Lab vSphere 6.7 có kịch bản sau:

Thông số Labs của bạn này: Một bạn học viên đang có 2 con máy ảo dựng kiểu Nested ESXi 6.7 chạy trên máy vật lý đã được ảo Hypervisor ESXi v6.5, và bạn này đã sửa CPUID của máy ảo ESXi 6.7 theo hướng dẫn của mình để tạo cluster có EVC enabled.

vCenter điều khiển con vSphere 6.7 VM Nested là bản 6.7 hay là bản 6.5 ? và có cấu hình PSC và VCVA tách riêng ? vCenter của bạn này cài bản 6.7 và có cấu hình PSC, VCVA tách riêng. Lab này thì không có server AD-DC. PSC và VCVA đều cài trên máy windows server 2016 (Ghi chú: VCVA nghĩa là vcenter Appliance còn như của em cài vCenter trên windows server nên chỉ gọi tắt là vCenter Windows – VCW)

Bạn đó đảm bảo làm chính xác, nhưng sau khi sửa như vậy thì máy ảo Nested ESXi 6.7 không bật lên được, báo lỗi CPUID không tương thích.

Mình khẳng định vẫn áp dụng bình thường, vì sơ đồ Flag cho CPUID là không thay đổi cho cả Nested 6.7: Sơ đồ Flags cho CPUID:


Kết luận sơ bộ: Thông báo phía nhóm kỹ thuật phần Nested vSphere 6.7, trường hợp của bài labs đó đã được mình làm labs và có lưu ý như sau:

vSphere 6.7 no longer supports the following processors:

AMD Opteron 13xx Series

AMD Opteron 23xx Series

AMD Opteron 24xx Series

AMD Opteron 41xx Series

AMD Opteron 61xx Series

AMD Opteron 83xx Series

AMD Opteron 84xx Series

Intel Core i7-620LE Processor

Intel i3/i5 Clarkdale Series

Intel Xeon 31xx Series

Intel Xeon 33xx Series

Intel Xeon 34xx Clarkdale Series

Intel Xeon 34xx Lynnfield Series

Intel Xeon 35xx Series

Intel Xeon 36xx Series

Intel Xeon 52xx Series

Intel Xeon 54xx Series

Intel Xeon 55xx Series

Intel Xeon 56xx Series

Intel Xeon 65xx Series

Intel Xeon 74xx Series

Intel Xeon 75xx Series

Các chipset cũ trên danh sách này sẽ không support cho VM Nested vsphere 6.7.

Mình đã thử 1 con chip mới Intel Xeon 5960 v4 thì chạy được với mô hình Labs nói trên.

Và trường hợp thử 1 con esxi host khác dùng chip: Intel i3 thì báo lỗi luôn, không cấu hình được EVC Turn-on.

lỗi mà em mô tả về Labs vsphere 6.5 rồi cài VM Nested vSphere 6.7 nhưng muốn có EVC. và mình khẳng định không làm được là do CPU trên cấu hình bản vSphere 6.7 (GA) tức là bản gốc chưa update fix lỗi sẽ loại “not support” các dòng chip cũ

ví dụ: mình dựng 2 con ESXI có cpu mới và cũ, IP 192.168.100.40 là CPU mới, bật được trong cluster EVC bình thường


 


còn con 192.168.100.30 có CPU core i3 cũ, nên không cho vào Cluster EVC được.

Kéo vào Cluster có bật EVC, con 192.168.100.30 sẽ báo lỗi không support


 

Hy vọng là các bạn sẽ chọn được các loại chip CPU mới hơn và support cho môi trường Labs mới vSphere 6.5/6.7 Nested.

Với những mức độ phức tạp và càng ngày càng cao, các bạn nên tham khảo và học các khoá CNTT Ảo hoá tại ROBUSTA để được trao đổi hướng dẫn chuyên sâu hơn.

Trân trọng cảm ơn !

Cách cấu hình AD Users có quyền truy cập Bash và SSH port 22 của vCenter Server Appliance 6.x


Bước 0. Hãy đảm bảo rằng VCSA và / hoặc PSC của bạn được join domain và kết hợp với Active Directory trước khi tiếp tục bước tiếp theo. Nếu không, hãy xem tài liệu dưới đây:

Lỗi gì khi đặt tên Domain SSO trong PSC 6.0 và vCSA 6.0 trùng với tên domain AD-DC

Bài Labs: triển khai mô hình HA và SSO cho PSC với vCenter site A (Hà nội) và vCenter Site B (HCMC)

Cách cấu hình đăng nhập 1 lần SSO giữa AD Server với vCenter 6.0 (Platform Service Controller– PSC)

Bước 1 – Đăng nhập vào vSphere Web Client và dưới Administration-> System Configuration-> Nodes-> Manage-> Settings-> Access, đi trước và kích hoạt SSH và bash shell options.

  • Cài đặt đầu tiên chuyển SSH sang VCSA và
  • Cài đặt thứ hai cho phép người dùng (LocalOS, vSphere SSO và AD) truy cập thông qua Shell tới VCSA.


Bước 2 – Trong Web Client vSphere và trong Administration-> Single Sign-On-> Users and Groups-> Groups, chọn nhóm SystemConfiguration.BaseShellAdministrators và thêm một AD User và / hoặc Group mà bạn muốn cho phép truy cập bằng Shell.

Lưu ý: các bạn có thể làm như vậy với 3 nhóm đặc biệt khác: License Service Administrators, Component Manager Administrators, SystemConfiguration.Administrators


 

Khi bạn đã hoàn tất các bước ở trên, bây giờ bạn có thể dùng SSH truy cập đến VCSA / PSC của bạn bằng cách sử dụng AD User (định dạng UPN: kiểu email) mà bạn đã ủy quyền trước đó.

Trong ví dụ dưới đây, tôi đang đăng nhập vào một trong những VCSA của tôi bằng cách sử dụng người dùng: thang.le@vclass.local và như bạn thấy, account của tôi được đặt trong Shell theo mặc định.

Trước khi add account của tôi vào nhóm IThelpdesk thuộc vnet.local (SSO Domain của PSC/vCenter) thì tuy vào được SSH 22 nhưng lệnh shell gõ không chạy

Nếu chúng ta muốn thay đổi thành lệnh bash shell, chúng ta chỉ cần gõ “shell” cho phép truy cập shell, giả sử bạn đã thực hiện Bước 2.

Chúc các bạn thành công!

Cách cấu hình AD Users có quyền truy cập Shell và SSH port 22 của ESXi Host 6.x


Bước 1. Cấu hình DNS Server có bản ghi A (host) và PTR trở tới ESXi Host

Ví dụ hình dưới.

Bước 2. Truy cập ESXi Console để cấu hình bật các dịch vụ SSH 22, Shell

Bước 3. Sửa quyền truy cập SSH port 22 và cho phép dùng lệnh Shell

Bước 4. Dùng user root và VMware vSphere Client / Web Sphere client truy cập ESXi để cấu hình NTP, mở SSH, bật Shell


Bước 5. Đăng nhập và chọn mục: Configuration à Security Profile

Bước 6. Chọn Services Properties và sửa Remote Access à 2 service SSH và ESXi Shell cho chạy

Bước 7. Nhớ chọn Options của 2 dịch vụ là “Start and stop with host”

Bước 8. Cấu hình NTP Configuration à Tab General à NTP Client Enabled à Mục NTP settings khai NTP Servers: vn.pool.ntp.org

Bước 9. Cấu hình và kiểm tra DNS and Routing


 

Bước 10. Cấu hình Authentication Services, chọn Properties…


 

Bước 11. Cấu hình Directory Services và Join domain


 

Sau khi Join domain thành công:

 

Bước 12. Tạo 1 Group user có tên: ESX Admins và sau đó add thêm các thành viên là AD Users vào


 

Bước 13. Đăng nhập vào ESXi host bằng AD User nói trên


 

Lưu ý: cần đăng nhập theo user dạng email ví dụ: thang@vclass.local (do Unix/Linux không cho dùng ký tự \).

Bước 14. Dùng PuTTy và WINSCP kết nối bằng AD User:

Lưu ý: cần đăng nhập theo user dạng email ví dụ: thang@vclass.local (do Unix/Linux không cho dùng ký tự \).

Bước 15. Mở truy cập ESXi Host bằng PuTTy

Lưu ý: cần đăng nhập theo user dạng email ví dụ: thang@vclass.local (do Unix/Linux không cho dùng ký tự \).

Như vậy, user đăng nhập vào ESXI Host, WINSCP / PuTTy đều dùng là AD Users.

Chúc các bạn thành công !

Lỗi gì khi đặt tên Domain SSO trong PSC 6.0 và vCSA 6.0 trùng với tên domain AD-DC


Theo thói quen của chúng ta, việc khởi tạo tên miền trong mạng nội bộ Doanh nghiệp thường gắn liền với việc quản lý và theo chuẩn HĐH.

  • Lưu ý 1: chúng ta hay dùng Microsoft Windows Server từ 2000 đến 2016 làm Domain Controller, do vậy sẽ có ít nhất 1 tên miền nội bộ.

    (thậm trí cũng có bạn lại đi đặt tên miền này trùng với tên miền web site của Doanh nghiệp, tuy không thấy lỗi gì ở trên internet nhưng nó cũng làm cho chúng ta nhiều rắc rối, nhầm lẫn khi bảo mật và phân dải tên miền trong nội bộ).

  • Lưu ý 2: Khi chúng ta ảo hóa hạ tầng Data Center của Doanh nghiệp, chúng ta lại tiếp tục cần có ít nhất 1 Domain SSO nữa cho hệ thống “Platform Service Controller và vCenter Server”.

Nếu xét về khía cạnh quản lý thì 3 cái cụm từ Domain Name này là hoàn toàn khác nhau, và chúng ta nên đặt tên khác nhau:

Gợi ý 1:

  • Domain name cho Website mà Doanh nghiệp thuê của VNNIC sẽ là 1 tên miền khác, ví dụ: datacenterA.vn.

Gợi ý 2:

  • Domain name cho Tên miền mạng nội bộ đặt tại Hệ thống Data Center của Doanh nghiệp sẽ là 1 tên miền khác, ví dụ: datacenterHanoi.local.

Gợi ý 3:

  • Domain name cho Tên miền mạng ảo hóa đặt tại Hệ thống Virtualization Data Center của Doanh nghiệp sẽ là 1 tên miền khác, ví dụ: datacenterHanoi.vsphere.

 

Nhắc nhở thế đủ rồi, giờ ta thử tình huống không làm theo 3 gợi ý trên và (3 cái tên Domain name trên đều là 1 cái tên bạn đặt) thì sẽ có vấn đề gì nhé!

  1. Cài hoàn toàn bình thường PSC, vCSA chạy ổn định.
  2. Khi nhu cầu kết nối LDAP để xác thực users/groups từ AD-DC và có quyền truy xuất hệ thống Ảo hóa thì có vấn đề kết nối.

Trên màn hình cầu hình của Vcsa 6.0 đã có 2 nhóm user ngầm định cho phép truy xuất gồm:

  • Nhóm 1: LocalOS (bao gồm 3 user thuộc kiểu Administrator Roles: root, vpxuser, dcui).
  • Nhóm 2: vsphere.local (chúng ta đã vô tình đặt tên miền này trùng với AD-DC, ví dụ: archibuslab.local).

Chúng ta cần thêm nhóm 3: Users/Groups từ AD-DC bằng kết nối giao thức Windows Authenticate (Join Domain) hoặc LDAP hoặc OpenLDAP.

Mặc dù chúng ta đã join domain thành công giữa PSC 6.0 với AD-DC ở bước 1.

Đến bước 2: chúng ta tạo kết nối từ PSC tới AD theo 2 kiểu sau:

Kiểu 1: Active Directory (Integrated Windows Authentication)

 

Kiểu 2: Kết nối AD – LDAP Server

Bấm nút Test Connection thành công.

Nhưng lỗi vẫn xẩy ra do phần SSO Administrator đã đăng ký cho PSC 6.0 và vCSA 6.0 cũng có domain trùng tên với AD-DC (archibuslab.local)

Chúc các bạn không mắc phải lỗi theo thói quen “3 in 1” viết trên đây!