Posted inVirtualization

Hướng dẫn cấu hình Nested Virtualization trên Proxmox VE: Chạy hypervisor (ESXi, KVM) bên trong máy ảo để dựng lab phức tạp

Virtualization tutorial - IT technology blog
Virtualization tutorial - IT technology blog

Trong hành trình xây dựng và phát triển hệ thống, đặc biệt là trong môi trường homelab hay dev/test, mình tin nhiều bạn sẽ gặp phải một thách thức quen thuộc: làm sao để mô phỏng các môi trường phức tạp như cụm Kubernetes, vCenter với nhiều ESXi host, hay thậm chí là các dịch vụ Active Directory đa miền mà chỉ có trong tay một vài server vật lý hạn chế? Việc mua thêm phần cứng mới không phải lúc nào cũng khả thi, và tài nguyên của máy tính cá nhân thì có hạn.

Mình chạy homelab với Proxmox VE quản lý 12 VM và container — đây là playground để test mọi thứ trước khi đưa lên production. Để có thể test các kịch bản phức tạp hơn như di chuyển máy ảo giữa các hypervisor, hay xây dựng một môi trường vCenter hoàn chỉnh, mình cần một giải pháp linh hoạt hơn là chỉ tạo VM thông thường.

Vấn đề nảy sinh khi mình muốn cài một hypervisor như ESXi hay KVM bên trong một máy ảo đang chạy trên Proxmox. Thoạt nhìn, điều này dường như không thể vì các tính năng ảo hóa phần cứng (như Intel VT-x hay AMD-V) thường chỉ được dành riêng cho hypervisor cấp cao nhất.

Vấn đề thực tế: Tại sao không thể cài ESXi/KVM trong VM một cách “bình thường”?

Khi bạn cố gắng cài đặt một hypervisor như ESXi hay KVM vào một máy ảo (Guest OS) được tạo trên Proxmox VE, bạn sẽ nhanh chóng nhận ra rằng nó không hoạt động như mong đợi. Các thông báo lỗi về thiếu hỗ trợ ảo hóa phần cứng (hardware virtualization support) là khá phổ biến. Nguyên nhân chính ở đây là kiến trúc của ảo hóa.

Hypervisor cấp 1 (trong trường hợp này là Proxmox VE) sẽ chiếm quyền kiểm soát các tính năng ảo hóa phần cứng của CPU (Intel VT-x hoặc AMD-V).

Khi bạn tạo một máy ảo thông thường trên Proxmox, hypervisor này sẽ cung cấp một môi trường được ảo hóa cho Guest OS, nhưng nó không expose hay truyền tải (pass-through) các tính năng ảo hóa phần cứng của CPU cho Guest OS đó. Điều này có nghĩa là Guest OS, dù là một hệ điều hành đầy đủ, lại không “nhìn thấy” được khả năng ảo hóa của CPU vật lý, và do đó, không thể tự mình trở thành một hypervisor để chạy các máy ảo con khác.

Phân tích nguyên nhân sâu hơn: Tầm quan trọng của Intel VT-x/AMD-V

Để một hypervisor hoạt động hiệu quả, nó cần truy cập trực tiếp vào các tập lệnh ảo hóa của CPU (Intel VT-x cho Intel và AMD-V cho AMD). Các tập lệnh này giúp hypervisor cô lập tài nguyên, quản lý bộ nhớ, và chuyển đổi ngữ cảnh giữa các máy ảo một cách hiệu quả mà không tốn quá nhiều overhead.

Khi Proxmox VE khởi động, nó tự động sử dụng các tập lệnh này. Nếu bạn không “nói” cho Proxmox biết rằng bạn muốn máy ảo của mình cũng có thể sử dụng các tập lệnh này để tự nó ảo hóa, thì các máy ảo cấp dưới sẽ không có được khả năng đó. Đây chính là bản chất của vấn đề và là lý do cần đến Nested Virtualization (Ảo hóa lồng ghép).

Các cách giải quyết cho việc dựng lab phức tạp

Có vài cách tiếp cận để xây dựng một lab phức tạp khi tài nguyên vật lý hạn chế:

  1. Mua thêm phần cứng: Cách này đơn giản nhất nhưng cũng tốn kém nhất. Mua thêm server, máy trạm để cài đặt thêm các hypervisor vật lý. Không linh hoạt về chi phí và không gian.
  2. Sử dụng Container (Docker, LXC): Đối với các ứng dụng hay dịch vụ cần cô lập môi trường, container là một lựa chọn tuyệt vời. Chúng nhẹ, khởi động nhanh và hiệu quả tài nguyên. Tuy nhiên, container không thể thay thế hoàn toàn máy ảo khi bạn cần mô phỏng một hệ điều hành đầy đủ hoặc một hypervisor khác. Bạn không thể cài ESXi hay một bản Windows Server hoàn chỉnh vào Docker container được.
  3. Nested Virtualization: Đây là giải pháp mình sẽ tập trung hướng dẫn. Nó cho phép bạn chạy một hypervisor (ví dụ: ESXi, KVM) bên trong một máy ảo (ví dụ: một VM trên Proxmox VE), và sau đó chạy các máy ảo con bên trong hypervisor đó. Lợi ích của Nested Virtualization rất rõ ràng:
    • Tiết kiệm phần cứng: Chỉ cần một server vật lý chạy Proxmox, bạn có thể tạo ra nhiều môi trường lab độc lập, giảm đáng kể chi phí đầu tư.
    • Linh hoạt và nhanh chóng: Dễ dàng tạo, xóa, sao chép các môi trường lab chỉ bằng vài thao tác, phục vụ cho việc học tập, thử nghiệm các kịch bản mới mà không ảnh hưởng đến hệ thống chính.
    • Mô phỏng môi trường sản phẩm: Cho phép bạn kiểm tra các kiến trúc phức tạp trước khi triển khai thực tế, giảm thiểu rủi ro.

Cách tốt nhất: Hướng dẫn cấu hình Nested Virtualization trên Proxmox VE

Để tận dụng tối đa Nested Virtualization, chúng ta cần thực hiện một số cấu hình trên cả host Proxmox vật lý và máy ảo cấp 1 (Guest OS sẽ cài hypervisor). Mình sẽ hướng dẫn từng bước cụ thể.

Bước 1: Kiểm tra và kích hoạt Nested Virtualization trên Proxmox VE Host

Đầu tiên, bạn cần đảm bảo CPU của server vật lý đang chạy Proxmox VE hỗ trợ ảo hóa (Intel VT-x hoặc AMD-V) và đã được bật trong BIOS/UEFI. Hầu hết các CPU hiện đại đều có tính năng này.

Để kiểm tra xem Nested Virtualization đã được kích hoạt hay chưa, hãy SSH vào Proxmox host của bạn và chạy lệnh sau:

cat /sys/module/kvm_intel/parameters/nested # Cho CPU Intel
cat /sys/module/kvm_amd/parameters/nested   # Cho CPU AMD

Nếu kết quả trả về là Y hoặc 1, Nested Virtualization đã được bật. Nếu là N hoặc 0, bạn cần kích hoạt nó.

Kích hoạt tạm thời (chỉ có tác dụng đến khi khởi động lại):

# Đối với CPU Intel
modprobe -r kvm_intel
modprobe kvm_intel nested=1

# Đối với CPU AMD
modprobe -r kvm_amd
modprobe kvm_amd nested=1

Sau khi chạy lệnh trên, kiểm tra lại bằng lệnh cat /sys/module/kvm_intel/parameters/nested (hoặc kvm_amd). Kết quả phải là Y hoặc 1.

Kích hoạt vĩnh viễn (sau khi khởi động lại vẫn có tác dụng):

Để Nested Virtualization được tự động kích hoạt mỗi khi Proxmox host khởi động, bạn cần thêm cấu hình vào file module:

# Đối với CPU Intel
echo "options kvm_intel nested=1" > /etc/modprobe.d/kvm-intel.conf

# Đối với CPU AMD
echo "options kvm_amd nested=1" > /etc/modprobe.d/kvm-amd.conf

Sau đó, cập nhật initramfs và khởi động lại Proxmox host:

update-initramfs -u -k all
reboot

Sau khi host khởi động lại, hãy kiểm tra lại trạng thái Nested Virtualization để đảm bảo nó đã được bật vĩnh viễn.

Bước 2: Tạo máy ảo cấp 1 (Guest OS) để cài Hypervisor (ESXi, KVM/Ubuntu Server)

Bây giờ, chúng ta sẽ tạo một máy ảo trên Proxmox VE để cài đặt hypervisor cấp 2 (ví dụ: ESXi hoặc một máy ảo Ubuntu Server với KVM). Điểm mấu chốt ở đây là cấu hình CPU của máy ảo.

Các bước tạo VM:

  1. Trên giao diện Proxmox VE, click vào “Create VM”.
  2. Ở tab “General”, đặt tên cho VM.
  3. Ở tab “OS”, chọn ISO của hệ điều hành hypervisor bạn muốn cài (ví dụ: ESXi installer ISO, Ubuntu Server ISO).
  4. Ở tab “System”, để các tùy chọn mặc định hoặc tùy chỉnh nếu cần.
  5. Quan trọng nhất: Cấu hình CPU ở tab “CPU”
    • Type: Chọn host. Việc chọn host type sẽ giúp máy ảo cấp 1 có được khả năng ảo hóa tương tự như CPU vật lý của host Proxmox. Hoặc bạn có thể chọn kvm64 và thêm các cờ (flags) +vmx (cho Intel) hoặc +svm (cho AMD) vào trường “Flags” nếu tùy chọn host không hoạt động như mong đợi hoặc bạn muốn kiểm soát chi tiết hơn.
    • Cores: Đặt số core phù hợp.

    Ví dụ cài ESXi trong VM, bạn cần cấp ít nhất 2 CPU cores.

  6. Ở tab “Memory”, cấp RAM đủ dùng cho hypervisor cấp 2 và các máy ảo con của nó. Ví dụ, để chạy ESXi thì tối thiểu 4GB RAM, KVM trên Ubuntu thì tùy thuộc vào nhu cầu.
  7. Ở tab “Disk”, tạo ổ đĩa cho Guest OS hypervisor.
  8. Ở tab “Network”, cấu hình network bridge phù hợp.
  9. Review lại và “Finish” để tạo VM.

Sau khi VM được tạo, hãy khởi động nó và tiến hành cài đặt ESXi hoặc Ubuntu Server (với KVM) như bình thường. Khi cài đặt xong, bạn sẽ có một hypervisor chạy bên trong máy ảo Proxmox của mình.

Bước 3: Kiểm tra Nested Virtualization bên trong Guest OS Hypervisor

Sau khi cài đặt ESXi hoặc KVM/Ubuntu Server vào máy ảo cấp 1, bạn cần xác nhận rằng khả năng ảo hóa đã được truyền tải thành công.

  • Đối với ESXi: Đăng nhập vào ESXi host của bạn (đang chạy trong VM). Kiểm tra thông tin CPU. Bạn sẽ thấy mục “Hardware Virtualization” được kích hoạt (thường là “Enabled” hoặc “HV: Yes”). Bạn có thể tạo thử một máy ảo con bên trong ESXi để xem nó hoạt động không.
  • Đối với KVM trên Ubuntu Server (trong VM): SSH vào máy ảo Ubuntu Server và chạy lệnh: 
    grep -E 'vmx|svm' /proc/cpuinfo

    Nếu bạn thấy các cờ vmx (Intel) hoặc svm (AMD) xuất hiện trong output, điều đó có nghĩa là Nested Virtualization đã hoạt động và KVM có thể sử dụng các tính năng ảo hóa phần cứng để chạy các máy ảo con.

Bước 4: Tạo máy ảo cấp 2 (Guest of Guest)

Khi Nested Virtualization đã được xác nhận hoạt động, bạn có thể tự do tạo các máy ảo con (Guest of Guest) bên trong hypervisor cấp 2 của mình (ESXi hoặc KVM/Ubuntu Server) như bạn làm trên một hypervisor vật lý.

Ví dụ, nếu bạn đã cài ESXi trong VM cấp 1, bạn có thể dùng vSphere Client (hoặc Host Client) để tạo các máy ảo Windows, Linux… bên trong ESXi đó. Tương tự, nếu bạn dùng KVM trên Ubuntu Server trong VM cấp 1, bạn có thể dùng virt-install, virsh hoặc virt-manager để tạo và quản lý các máy ảo con.

Lời kết

Nested Virtualization là một kỹ thuật cực kỳ mạnh mẽ, mở ra cánh cửa cho việc xây dựng các môi trường lab phức tạp mà không đòi hỏi đầu tư quá nhiều vào phần cứng vật lý. Với giải pháp này, bạn có thể thỏa sức thử nghiệm các kiến trúc hệ thống, học hỏi công nghệ mới, và chuẩn bị cho các triển khai thực tế một cách hiệu quả nhất. Mình hy vọng hướng dẫn này sẽ giúp bạn dễ dàng cấu hình và tận dụng Nested Virtualization trên Proxmox VE cho homelab hoặc môi trường dev/test của mình!

Share:
Tags: