Vận hành Cluster mà chưa dùng vDS là một thiếu sót lớn
Sau khoảng nửa năm trực chiến trên vCenter để tối ưu hạ tầng, mình rút ra một bài học đắt giá. Nếu anh em đang quản lý cụm Cluster từ 3 node ESXi trở lên mà vẫn dùng Standard Switch (vSS), anh em đang tự làm khổ chính mình.
Cứ mỗi lần thêm VLAN mới hay đổi cấu hình MTU, việc phải login vào từng host để click chuột là một cực hình. Chỉ cần một phút lơ đãng gõ nhầm thông số, hệ thống rất dễ rớt mạng cục bộ. vDS (vSphere Distributed Switch) sinh ra để dẹp bỏ mớ hỗn độn đó.
Nó gom toàn bộ switch ảo của các host về một mối quản lý duy nhất. Mình từng thử chuyển một phần lab sang Proxmox dùng Open vSwitch (OVS). Dù OVS rất mạnh, nhưng xét về độ mượt và tính trực quan khi quản lý vMotion hay Port Mirroring, vDS vẫn ở một đẳng cấp khác hoàn toàn.
Triển khai vDS trong 15 phút (Quick Start)
Đừng để giao diện VMware làm anh em rối trí. Để chạy được vDS cơ bản, hãy thực hiện 3 bước gọn lẹ sau:
- Khởi tạo Switch: Tại vCenter, vào tab Networking. Chuột phải vào Datacenter, chọn Distributed Switch rồi New Distributed Switch. Hãy đặt tên dễ nhớ như
vDS-Core-Production. Lưu ý chọn version tương thích với host ESXi thấp nhất trong cụm để tránh lỗi kết nối. - Tạo Port Group: Chuột phải vào vDS vừa tạo, chọn New Distributed Port Group. Đây là nơi anh em phân tách các lớp mạng. Ví dụ: VLAN 10 cho Web, VLAN 20 cho Database.
- Kết nối Host: Chuột phải vào vDS, chọn Add and Manage Hosts. Chọn các host mục tiêu và map card mạng vật lý (vmnics) vào các Uplink tương ứng.
Mẹo nhỏ: Khi chuyển từ vSS sang vDS, hãy giữ lại ít nhất một card mạng (vmnic) trên vSS. Đây là đường lùi an toàn nếu chẳng may cấu hình nhầm làm mất kết nối tới vCenter.
vDS đáng giá từng đồng license vì 3 lý do này
1. Quản lý tập trung (Centralized Management)
Với vSS, switch chỉ tồn tại rời rạc trên từng host. Ngược lại, vDS là một thực thể thống nhất toàn cụm. Chỉ cần tạo một Port Group “App-Internal” trên vDS, ngay lập tức 20 host ESXi của anh em đều có cấu hình đó. Theo kinh nghiệm của mình, việc này giúp giảm 80% lỗi sai sót do cấu hình thủ công.
2. Chế độ Rollback: “Phao cứu sinh” khi lỡ tay
Tính năng này đã cứu mình không dưới 2 lần khỏi những pha “thót tim”. Khi anh em cấu hình sai thông số mạng (như sai VLAN ID trên Management Network) gây mất kết nối, vDS sẽ tự động đẩy về trạng thái hoạt động tốt gần nhất. Nếu dùng vSS, chắc chắn anh em phải xách laptop lên phòng DC hoặc cắm KVM để sửa tay rồi.
3. Kiểm soát băng thông với NIOC
Trong môi trường chạy thật, các luồng dữ liệu vMotion, iSCSI và traffic của VM thường xuyên tranh chấp băng thông 10Gbps. NIOC (Network I/O Control) cho phép anh em chia “miếng bánh” này một cách công bằng.
# Ví dụ cấu hình NIOC thực tế
vMotion Traffic: Share 50 (Ưu tiên trung bình)
Virtual Machine Traffic: Share 100 (Ưu tiên cao nhất)
Management Traffic: Share 20 (Ưu tiên thấp)Khi mạng bị nghẽn, NIOC sẽ tự động bóp băng thông của các dịch vụ ít quan trọng để nhường chỗ cho Virtual Machine.
Nâng cao: LACP và Bảo mật Layer 2
Gộp băng thông với LACP
Nếu switch vật lý của Cisco hay Juniper đã sẵn sàng, hãy dùng LACP để gộp 2 card 10Gbps thành một bó (LAG) 20Gbps. Trên vDS, anh em chỉ cần vào phần LACP, tạo một Link Aggregation Group (LAG) ở chế độ Active. Hiệu năng mạng sẽ tăng vọt, đồng thời khả năng chịu lỗi (fault tolerance) cũng tốt hơn hẳn so với Teaming thông thường.
Private VLAN (PVLAN) – Chặn lây lan mã độc
Mình thường triển khai PVLAN cho khu vực DMZ. Tính năng này cho phép các VM ở chung một subnet nhưng hoàn toàn không thể “nhìn” thấy nhau (Isolated mode). Đây là chốt chặn cực kỳ hiệu quả để ngăn malware lây lan theo chiều ngang trong Data Center.
Kinh nghiệm xương máu để đời
Thực tế vận hành cho mình thấy có vài điểm anh em cần đặc biệt lưu tâm:
- Bật Network Health Check: Đừng quên enable tính năng này. Nó sẽ tự động soi lỗi xem cấu hình VLAN và MTU trên Switch vật lý có khớp với vDS hay không.
- Thận trọng với Jumbo Frames: Chỉ nên bật MTU 9000 cho traffic iSCSI hoặc vMotion. Đừng bật bừa bãi cho VM traffic nếu không muốn đối mặt với tình trạng rớt gói (drop packet) cực kỳ khó chịu.
- Backup là sống còn: vCenter nắm giữ linh hồn của vDS. Nếu vCenter tèo, mạng vẫn chạy nhưng anh em không thể chỉnh sửa gì được. Hãy export cấu hình vDS ra file .zip hàng tuần để dự phòng.
Tự động hóa với PowerCLI
Để chuyên nghiệp hơn, thay vì click chuột mỏi tay, mình dùng script để tạo hàng loạt Port Group. Đoạn code dưới đây sẽ giúp anh em setup nhanh một vDS chỉ trong 1 nốt nhạc:
# Kết nối vCenter
Connect-VIServer -Server vcenter.itfromzero.local
# Tạo Port Group theo danh sách
$vDSName = "vDS-Core-Production"
$VLANs = @{ "Web-Tier"=10; "App-Tier"=20; "DB-Tier"=30 }
foreach ($pg in $VLANs.Keys) {
Write-Host "Đang tạo Port Group: $pg - VLAN: $($VLANs[$pg])"
Get-VDSwitch -Name $vDSName | New-VDPortgroup -Name $pg -VlanId $VLANs[$pg]
}Dùng script không chỉ nhanh mà còn giúp anh em tránh khỏi lỗi gõ nhầm VLAN ID – nỗi ám ảnh của mọi SysAdmin.
Hy vọng những chia sẻ này giúp hạ tầng của anh em vận hành trơn tru hơn. Có vDS rồi, việc quản lý mạng sẽ không còn là cơn ác mộng mỗi sáng thứ Hai nữa!
