Tải bản đầy đủ (.pdf) (26 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

GIẢI PHÁP ĐẢM BẢO AN TOÀN DỮ LIỆU TRÊN NỀN TẢNG ẢO HÓA

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (955.71 KB, 26 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN

NGUYỄN MẠNH TUẤN

GIẢI PHÁP ĐẢM BẢO AN TOÀN DỮ LIỆU
TRÊN NỀN TẢNG ẢO HÓA
Ngành: Công nghệ thông tin
Chuyên ngành: Quản lý hệ thống thông tin
Mã số: Chuyên ngành đào tạo thí điểm

TÓM TẮT LUẬN VĂN THẠC SĨ

Hà Nội - 2014


1
Mở Đầu:
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, các máy tính ra đời với
hiệu năng vô cùng lớn nhưng một các tổ chức trên thế giới chỉ sử dụng từ 10% đến 30% hiệu
năng của các máy chủ mà họ sở hữu. Điều này đặt ra cho các nhà khoa học một bài toán là làm
thế nào để sử dụng máy chủ hết công suất của chúng, giảm thiểu chi phí về giá thành thiết bị, chi
phí vận hành, chi phí bảo trì hệ thống. Chính vì vậy công nghệ ảo hóa ra đời. Ảo hóa cho phép
chúng ta chạy nhiều máy chủ trên một nền tảng phần cứng duy nhất, điều này làm cho chi phí về
phần cứng, chi phí về điện, chi phí bảo trì hệ thống, không gian lắp đặt máy chủ tại các
datacenter, … đồng thời cũng giúp chúng ta sử dụng hết năng lực của máy chủ vật lý.
Hiện nay, có rất nhiều nhà cung cấp sản phẩm máy chủ và phần mềm đầu tư vào việc
nghiên cứu và phát triển công nghệ ảo hóa và đã có rất nhiều sản phẩm cho phép chúng ta ảo hóa
hệ thống mày chủ của mình như Red Hat, Oracle, IBM, Microsoft, VMware với rất nhiều sản
phẩm đang được ngày một hoàn thiện và chiếm lĩnh thị trường trên toàn thế giới. Trong đó, với
hơn 80% thị phần ảo hóa trên toàn thế giới, VMware đang là hãng đi đầu về triển khai công nghệ


ảo hóa.
Một trong những nỗi lo lắng của người dùng khi sử dụng công nghệ ảo hóa là vấn đề an
toàn dữ liệu. Hầu hết người sử dụng lo lắng về việc dữ liệu của mình khi dùng chung có thể bị
đánh cắp dễ dàng hơn, khả năng khôi phục khi có sự cố hay thảm họa thiên nhiên, khả năng đáp
ứng của hệ thống, và đặc biệt là vì không thể nhìn thấy nơi mà dữ liệu của chúng ta được lưu trữ
và cũng không được trực tiếp sao lưu và phục hồi nên người sử dụng vẫn lo ngại không muốn
chuyển sang dùng ảo hóa.
Trên thế giới đã có nhiều hãng sản xuất phần cứng cũng như phần mềm đầu tư nghiên
cứu để cải thiện khả năng đảm bảo an toàn dữ liệu của hệ thống ảo hóa như Veeam, Vmware,
Microsoft, Trendmicro, Norton, … nhưng hầu hết mới chỉ đảm bảo được một trong những khả
năng phục hồi khi có thảm họa xảy ra, khả năng sao lưu và phục hồi khi cần thiết, khả năng đáp
ứng của hệ thống ảo hóa chứ chưa có một giải pháp tổng thể cho vấn đề an ninh dữ liệu trên nền
tảng ảo hóa. Điều này khiến người dùng trên thế giới e ngại khi ảo hóa máy chủ của doanh
nghiệp, máy tính cá nhân và lưu trữ những thông tin nhạy cảm trên mạng.
Nhận thức được sự cần thiết và khả năng phát triển mạnh mẽ của công nghệ ảo hóa và
yêu cầu cấp thiết của việc phát triển công nghệ nhằm đảm bảo sự an toàn của dữ liệu, Luận văn
“Giải Pháp Đảm Bảo An Toàn Dữ Liệu Trên Nền Tảng Ảo Hóa” của tôi đã phần nào giới thiệu
được cái nhìn tổng quan về công nghệ ảo hóa, tổng quan về an toàn dữ liệu trên môi trường ảo
hóa, đi sâu nghiên cứu về cách thức an toàn dữ liệu trong môi trường ảo hóa của VMware, đồng
thời đưa ra giải pháp cơ bản cho việc an toàn dữ liệu trong môi trường ảo hóa. Bố cục của luận
văn gồm có 5 chương:


2
Chương 1: Tổng quan về ảo hóa và an toàn dữ liệu: trong chương này tôi sẽ trình bày
định nghĩa về dữ liệu và an toàn dữ liệu, sơ lược về công nghệ ảo hóa cũng như các phương thức
an toàn dữ liệu trên nền tảng ảo hóa trên nền tảng VMware. Đồng thời, trong chương này tôi cũng
sẽ đưa ra những yêu cầu đối với an toàn dữ liệu trên nền tảng ảo hóa.
Chương 2: Giải pháp an toàn dữ liệu trên nền tảng ảo hóa: Trong chơng này tôi sẽ đi sâu
nghiên cứu về các phương pháp sao lưu, phục hồi dữ liệu trên nền tảng ảo hóa, các phương pháp

để phục hồi sau thảm họa. Đồng thời cũng đi sâu tùm hiểu về Vmare vPhere Data Protection để
an toàn cho hệ thống ảo hóa VMware.
Chương 3: Xây Dựng hệ thống ảo hóa an toàn với VMware vSphere Data Protection:
Trong chương này, tôi sẽ đi xây dựng một hệ thống máy chủ chạy trên nền ảo hóa VMware
vSphere và triển khai một số phương thức an toàn dữ liệu VMware vSphere Data Protection.
Chương 4: Đề xuất giải pháp tăng cường an toàn dữ liệu trên nền tảng ảo hóa: trong
chương này tôi sẽ đưa ra những lý thuyết về mã hóa dữ liệu quan trọng, sau đó là giải pháp của
tôi để an toàn dữ liệu trên nền tảng ảo hóa.
Chương 5: Kết luận: trong chương này tôi sẽ đi tổng kết lại những gì đã làm được và
hướng nghiên cứu tiếp theo của tôi trong tương lai.


3
Chương 1: tổng quan về ảo hóa và an toàn dữ liệu
1.1.

Dữ liệu là gì?

1.1.1.

Định nghĩa thông tin

Thông tin là một khái niệm cơ bản của khoa học cũng à khái niệm trung tâm của xã hội
trong thời đại của chúng ta. Mọi quan hệ, mọi hoạt động của con người đều dưa trên một hình
thức giao lưu thông tin nào đó. Mọi tri thức đều bắt nguồn bằng một thông tin về những điều đã
diễn ra, về những điều mà người ta đã biết, đã nói, đã làm. Vậy thông tin là tất cả những sự việc,
sự kiện, ý tưởng, phán đoán làm tăng thêm hiểu biết của con người. Thông tin hình thành trong
quá trình giao tiếp giữa người với người, qa các phương tiện thông tin đại chúng, từ các ngân
hang dữ liệu, hoặc từ tất cả các hiện tượng quan sát được trong môi trường xung quanh.
1.1.2.


Định nghĩa dữ liệu

Con người tạo ra rất nhiều cách thức để lưu trữ thông tin nhằm truyền lại cho thế hệ sau.
Những thông tin được lưu trữ này được gọi là dữ liệu.
Cùng với sự bùng nổ thông tin ngày nay, con người càng nghĩ ra nhiều công cụ để quản
trị và lưu trữ dữ liệu một cách an toàn để đảm bảo những thông tin được lưu trữ sẵn sang truy cập
với những người được phép, không bị sửa đổi một cách trái phép, không bị truy cập trái phép, ….
1.2.

Ảo Hóa là gì?

Ảo hóa không phải là một mốt nhất thời, rất nhiều doanh nghiệp trên toàn thế giới
chuyển sang sử dụng ảo hóa hoặc có ý định chuyển sang sử dụng ảo hóa trong tương lai gần là vì
những lợi ích tuyệt vời mà nó mang lại. Công nghệ ảo hóa trưởng thành với một tốc độ nhanh
chóng, VMware là hãng dẫn đầu về công nghệ này trong gần như tất cả các lĩnh vực với các tính
năng tiên tiến và được phổ biến rộng rãi toàn thế giới. Trong phần này, tôi sẽ đi vào một số khái
niệm quan trọng của ảo hóa, giải thích các loại khác nhau của ảo hóa cũng như đi vào chi tiết các
thành phần của một máy ảo VMware. Tôi sẽ giới thiệu về các loại máy ảo khác nhau được đặt
trên một máy chủ vật lý và tại sao để quản lý các máy ảo cần có một tư duy hoàn toàn khác cũng
như việc sử dụng các công cụ đặc biệt để làm việc với môi trường ảo hóa.
1.2.1.

Máy Ảo là gì?

Chúng ta nghe về máy ảo ở bất cứ đâu, làm việc với máy ảo hàng ngày, vậy đã bao giờ bạn tự
hỏi chính xác máy ảo là gì? Nó bao gồm những thành phần nào? Trong khi máy ảo tồn lại trong RAM
của máy chủ vật lý, không có một sự hiện diện vật chất nào. Trong phần này tôi sẽ đi sâu tìm hiểu về
các thành phần để tạo nên một máy ảo.
a. Đóng gói

Một máy ảo được đóng gói vào một tệp tin đĩa cứng ảo duy nhất, điều này làm cho nó có tính
cơ động cao. Nếu chúng ta phải di chuyển một máy chủ vật lý sang một máy chủ vật lý khác, công
việc chúng ta cần làm vô cùng lớn, chúng ta cần phải sao chép tất cả các tệp tin của mình và mang
sang máy chủ mới. Một hệ điều hành khách đang chạy trên máy chủ vật lý có tất cả các tệp tin được
đóng gói vào một tệp tin đĩa cứng ảo duy nhất. Một máy ảo có thể có nhiều ổ đĩa ảo nhưng các ổ đĩa sẽ


4
được đóng gói thành các tệp tin. Lợi ích của việc đóng gói này là chúng ta có thể dễ dàng sao chép
một máy ảo tới một thiết bị lưi trữ khác thậm trí là một USB nhỏ gọn. Điều này có nghĩa là chúng ta
có thể vận chuyển một máy ảo bằng một thiết bị lưu trữ di động, sao chép nó vào máy chủ vật lý và
khởi động nó một cách bình thường.
b. Phần cứng của máy ảo
Các máy ảo được tạo ra vơi phần cứng giống nhau với bất kì máy chủ vật lý nào, không bị ảnh
hưởng bởi phần cứng vật lý của máy chủ. Khi chúng ta tạo ra một máy ảo và xác định các thành phần
như ổ DVD, ổ cứng, chip, ram … các thành phần này sẽ được nhìn thấy bởi hệ điều hành khách như
các thành phần phần cứng cụ thể.

Hình 1.1. phần cứng máy ảo
c.

Các tệp tin máy ảo

Trong khi phần cứng ảo chỉ được tạo thành trong RAM của máy chủ và hiển thị mỗi khi máy
ảo đó được bật lên, một máy ảo cũng có các tệp tin thực mà tất cả dữ liệu của nó được lưu trữ trong
đó. Những tệp tin này được lưu trữ trong thư mục chính của máy ảo và được lưu trữ trên ổ cứng nội bộ
hoặc một kho dữ liệu chia sẻ được kết nối với máy chủ vật lý.

Hình 1.2. các thành phần của máy ảo



5
Hầu hết các tệp tin của máy ảo thường có tên của máy ảo ở phần đầu và có phần mở rộng khác
nhau cho các thành phần khác nhau của máy ảo. Những tập tin này lưu trữ các thông tin về các ổ đĩa
ảo cũng như cấu hình của máy ảo, BIOS, swap và tệp tin trạng thái. Tùy thuộc vào trạng thái của máy
ảo mà có một số tệp tin được sinh ra hoặc bị xóa đi.
Những tệp tin này là những gì tạo nên một máy ảo và thường được đặt trong thư mục gốc của
máy ảo đó. Có thể thay đổi vị trí của các tệp tin đĩa, tệp tin swap của máy ảo và các snapshot đến vị trí
nằm trong kho dữ liệu. Chúng ta có thể xem các tệp tin bằng cách sử dụng tính năng Datastore
Browser của vSphere Client hoặc sử dụng các công cụ khác cho phép truy cập vào tệp tin trên máy
chủ.
d.

ổ đĩa cứng ảo

trong khi có nhiều loại định dạng tệp tin vmdk thì cũng có nhiều loại định dạng ổ đĩa cứng ảo.
có ba loại chính được sử dụng là raw, thin và thick.
1.2.2.

Ưu và Nhược điểm của Ảo Hóa

a. Ưu Điểm
- Khai thác và quản lý triệt để các tài nguyên của cơ sở hạ tầng, giúp hệ thống hoạt
động với sự linh hoạt cao, tận dụng khả năng phần cứng tối đa.
- Giảm thiểu chi phí đầu tư vào hạ tầng vật lý, chi phí triển khai hệ thống, chi phí quản
trị hệ thống, chi phí bảo trì hệ thống.
- Tăng cường khả năng sẵn sàng của phần cứng và ứng dụng giúp cải thiện tính liên tục
kinh doanh. Sao lưu, phục hồi và di chuyển toàn bộ môi trường ảo hóa maf không cần ngừng
cung cấp dịch vụ.
- Hạn chế thời gian chết của hệ thống và khôi phục ngay lập tức khi phát sinh sự cố

bằng các công nghệ có sẵn như High Availability, load Balancing, …
- Có thể linh hoạt trong quá trình cài đặt triển khai hoặc thay đổi kiến trúc mạng, hệ
thống môt cách nhanh chóng, tiện lợi mà không làm ảnh hưởng đến người dùng cuối.
b. Nhược Điểm
- Vấn đề bảo mật các máy chủ ảo được đặt ra rất lớn khi các máy chủ ảo được đặt cạnh
nhau, sử dụng chung tài nguyên trên cùng một máy chủ vật lý, sử dụng chung một phần cứng vật
lý dẫn đến việc hacker có thể tấn công một máy chủ ảo và chiếm quyền điều khiển cả các máy
chủ khác.
- Vấn đề bảo vệ dữ liệu là một vấn đề vô cùng cấp thiết vì khi các máy ảo sử dụng
chung một nơi để lưu trữ dữ liệu vậy nên khả năng mất an toàn dữ liệu rất cao. Đồng thời vì các
lý do quản trị hệ thống máy chủ ảo, những người dùng có quyền quản trị có thể mở các máy ảo,


6
xem các thông tin cá nhân, những thông tin nhạy cảm… những công cụ dùng để sao lưu và phục
hồi dữ liệu cho các máy chủ ảo còn ít, các công cụ bảo vệ dữ liệu còn thiếu.
1.3.

An toàn dữ liệu

1.3.1.

An toàn dữ liệu:

An toàn dữ liệu một trạng thái tốt của dữ liệu và cơ sở hạ tầng trong đó khả năng dữ liệu bị
đánh cắp, giả mạo, gián đoạn thông tin và dịch vụ được giữ ở mức thấp hoặc chấp nhận được.
1.3.2.

Các thuộc tính của an toàn dữ liệu:


An toàn dữ liệ phụ thuộc vao năm yếu tố chính: tính bảo mật, tính toàn vẹn, tính sẵn sang, tính
xác thực và tính không phủ nhận
 Tính bảo mật: là sự đảm bảo rằng dữ liệu chỉ có thể được truy cập bởi những người
được phép. Vi phạm tính bảo mật có thể xảy ra do quá trình xử lý thông tin, phân quyền sai hoặc
do bị tấn công.
 Tính toàn vẹn: là độ tin cậy của dữ liệu hoặc các nguồn thông tin về việc ngăn ngừa
những thay đổi trái phép và không phù hợp, là sự đảm bảo rằng thông tin có đủ độ chính xác để
sử dụng cho mục đích đề ra.
 Tính sẵn sàng: là sự đảm bảo rằng hệ thống pụ trách cung cấp, lưu trữ và xử lý thông
tin có thể được truy cập bởi những người được cấp phép bất kì lúc nào.
 Tính xác thực: đề cập đến đặc tính của thông tin, tài liệu hoặc bất kỳ dữ liệu nào đảm
bảo chất lượng là thật và không bị hỏng so với bản gốc. Vai trò chính của xác thực bao gồm xác
nhận người dùng là người yêu cầu và đảm bảo tin nhắn là thực và không bị thay đổi hoặc giả
mạo. Sinh trắc học, thẻ thông minh và giấy chứng nhận kỹ thuật số được sử dụng để đảm bảo tính
xác thực của dữ liệu, các giao dịch, thông tin liên lạc, hoặc tài liệu.
 Tính không phủ nhận: là khả năng đảm bảo rằng một bên trong hợp đồng hoặc một
giao dịch không thể phủ nhận tính xác thực chữ ký của họ trên tài liệu hoặc gửi tin nhắn họ tạo ra.
Đó là cách đảm bảo rằng người gửi tin nhắn không thể phủ nhận việc đã gửi tin nhắn và người
nhận không thể phủ nhận việc đã nhận tin nhắn.
1.4.

Những yêu cầu của an toàn dữ liệu trên nền tảng ảo hóa

Với đặc thù ảo hóa, an toàn dữ liệu cần có những yêu cầu riêng để đáp ứng yêu cầu của
doanh nghiệp, chính phủ, … những khách hàng sử dụng dịch vụ. Những yêu cầu này là những mong
muốn của người sử dụng.
1.4.1.

Phục hồi nhanh các máy ảo


Một trong những yêu cầu căn bản của doanh nghiệp là tính liên tục khi sử dụng. nếu môt
máy tính bị lỗi, gần như ngay lập tức nó phải được phục hồi lại để đảm bảo công việc cho tất cả nhân
viên. Một trong những các tiếp cận truyền thống là chúng ta sẽ sao lưu toàn bộ dữ liệu bằng cách bất
kì dữ liệu nào được ghi vào máy tính, chúng ta sẽ lưu nó ở 2 nơi khác nhau. Điều này đảm bảo mục


7
tiêu thời gian phục hồi nhanh, đáng tin cậy nhưng chúng ta cần trả một số tiền lớn cho việc lưu trữ
dữ liệu và băng thông mạng cho việc sao lưu.
1.4.2.

Kiểm tra các máy ảo được sao lưu

Một máy ảo được sao lưu là vô ích nếu máy ảo đó bị hỏng hoặc mất một số tập tin quan
trọng. Ví dụ: một bản sao lưu bị thiếu mất tập tin registry của windows. Khi cần phục hồi, chúng ta
phục hồi bằng bản sao lưu này. Kết quả là sau khi phục hồi chúng ta sẽ không thể khởi động được
windows. Điều đó đặt ra yêu cầu các công cụ sao lưu cần phải có khả năng kiểm tra sự không đầy đủ
của các bản sao lưu, các bản sao lưu bị hỏng hoặc không thể phục hồi lại được. Thêm vào đó nó cần
hiển thị khả năng xác minh để các nhà quản trị có thể yên tâm các hệ thống sao lưu được vận hành an
toàn.
1.4.3.

Phục hồi mịn

Đôi khi các máy ảo chỉ cần phục hồi một phần. Điều này xảy ra do quá trình sử dụng và giao
tiếp giữa phần mềm và người sử dụng. ví dụ: chúng ta xóa nhầm các tài liệu quan trọng của công ty,
các thiết lập email, … Trong trường hợp này, sẽ hiệu quả hơn rất nhiều nếu chúng ta chỉ cần phả
phục hồi các thành phần mong muốn chứ không phải là phục hồi toàn bộ máy ảo.
1.4.4.


Băng thông yêu cầu và ổ cứng lưu trữ dành cho sao lưu thấp

Việc sao lưu và phục hồi dữ liệu đảm bảo cho việc truy cập một cách liên tục của dữ liệu
nhưng nó khiến doanh nghiệp pải tra một khoản phí lớn về không gian lưu trữ và băng thông mạng.
Hai kĩ thuật làm giảm bớt chi phí này là nén và chống trùng lặp.
Nén giúp giữ các máy ảo được sao lưu nhưng giảm số lượng dữ liệu được lưu trữ trên đĩa
cứng khi một hoặc nhiều máy ảo được sao lưu. Điều này cũng làm giảm lưu lượng mạng trong quá
trình sao lưu máy ảo. Hơn nữa, nếu máy ảo sao lưu cần được chuyển sang một trung tâm dữ liệu sao
lưu thì phương châm là càng nhỏ càng tốt đối với chi phí cho mạng diện rộng.
Chống trùng lặp là kĩ thuật so sánh máy ảo đang hoạt động với máy ảo đã được sao lưu trước
đó và sao lưu phần dữ liệu sai khác. Sau đó tạo một con trỏ đến phần dữ liệu sai khác được sao lưu
này. Khi phần sao lưu được gọi, hệ thống sẽ gọi bản sao lưu đầu tiên sau đó sao lưu đến phần dữ liệu
sai khác.


8
Chương 2: Giải pháp an toàn dữ liệu trên nên ảo hóa
2. 1. Phương thức sao lưu và phục hồi dữ liệu
2. 1. 1. Phương pháp sao lưu và phục hồi dữ liệu truyền thống
a. Sao lưu hệ điều hành dựa trên agent.
Phương pháp này dựa trên một agent được cài đặt trên hệ điều hành. Các máy chủ sao lưu liên
lạc với các agent, mà luôn chạy trên máy chủ, và thiết lập một phiên kết nối TCP/IP đến agent. Khi kết
nối được thiết lập, các agent sẽ sao chép tất cả các dữ liệu từ hệ thống tệp tin của hệ điều hành và gửi
chúng đến các máy chủ sao lưu. Bởi vì các agent sao lưu được cài đặt bên trong hệ điều hành nên nó
có thể đọc các tệp tin hệ thống của tất cả các ổ cứng được cấu hình trên máy chủ. Các agent có thể truy
cập vào các Master File Table của hệ điều hành để xác định tất cả các tệp tin tồn tại trên các phân vùng
của ổ cứng và gửi chúng đến máy chủ sao lưu. Đây là phương pháp sao lưu máy chủ ở mức tệp tin
(file level backup) bởi vì các tệp tin được sao chép đến một hệ thống tệp tin nằm trên một thiết bị
khác, điều này giống như chúng ta vào windows và copy các thư mục đến thiết bị lưu trữ được chia sẻ.
Để hỗ trợ việc sao lưu được nhanh chóng, một giá trị bit lưu trữ được thiết lập, bất kì khi nào hệ điều

hành thay đổi một tệp tin, bit lưu trữ này sẽ tăng lên và các agent sẽ nhận biết rằng tệp tin đã thay đổi
so với lần sao lưu trước, các agent sau đó sẽ tiến hành sao lưu tệp tin và chuyển bit lưu trữ về giá trị
ban đầu.

Hình 2.1. Sao lưu trên máy vật lý
b. lập lịch và thực thi sao lưu
Có một số mô hình sao lưu dữ liệu khác nhau có thể được kết hợp để có được hệ thống sao lưu
tốt nhất. Các phương pháp sao lưu khác nhau được thiết kế để giảm cả về thời gian sao lưu lẫn dung
lượng mà bản sao lưu yêu cầu. Có một số phương pháp sao lưu như sau:
- Sao lưu toàn bộ: Đây là phương pháp mà tất cả các dữ liệu trên máy chủ nguồn được
sao chép vào các thiết bị sao lưu. Bản sao lưu đầy đủ đòi hỏi nhiều thời gian để thực hiện cũng
như nhiều không gian lưu trữ nhất. Bản sao lưu đầy đủ là nền tảng cho các phương pháp sao lưu
khác.
- Sao lưu tổng hợp: với phương pháp sao lưu tổng hợp, một bản sao lưu đầy đủ sẽ được
thực hiện duy nhất 1 lần và những lần sao lưu tiếp theo tất cả là các bản sao lưu gia tăng. Phương
pháp này cho phép thời gian sao lưu ngắn hơn, tiêu thụ ít tài nguyên hơn so với phương pháp sao


9
lưu truyền thống vì chúng ta không cần phải sao lưu toàn bộ hệ thống đến lần thứ 2. Những sao
lưu gia tăng được kết hợp với nhau để tạo thành một bản sao lưu đầy đủ. Bằng cách này, một bản
sao lưu đầy đủ cập nhật luôn luôn đạt được mà không cần thiết phải thực hiện sao lưu toàn bộ.
Chúng ta có thể khôi phục lại các dữ liệu cũ bởi tất cả các thay đổi được sao lưu và lưu lại dưới
dạng tệp tin rollback và xlieuej lược sử được sử dụng để tính toán thời điểm cần phục hồi.
Phương pháp này gọi là reverse-delta.
- Sao lưu gia tăng: phương pháp này chỉ sao lưu dữ liệu đã thay đổi kể từ bản sao lưu
đầy đủ hoặc bản sao lưu gia tăng trước đó. Phương pháp này dựa trên một bit lưu trữ được xóa
ngay sau khi sao lưu. Khi một tệp tin thay đổi, các bit lưu trữ sẽ được thiết lập và chỉ ra các tệp tin
đã thay đổi kể từ lần sao lưu cuối cùng. Sao lưu gia tăng sau đó chỉ sao lưu những tệp tin mà có
bit lưu trữ được bật và sau đó xóa bit lưu trữ khi quá trình sao lưu hoàn thành. Phương pháp này

cho phép quá trình sao lưu nhanh chóng nhưng quá trình phục hồi lại các tệp tin sẽ mất rất nhiều
thời gian do cần khôi phục lại các tệp tin đã thay đổi kể từ lần sao lưu đầy đủ cuối cùng.
- Sao lưu khác biệt: đây là phương pháp tương tự với sao lưu gia tăng, nhưng tất cả các
dữ liệu thay đổi từ bản sao lưu đầy đủ cuối cùng sẽ được sao lưu mỗi khi sao lưu khác biệt được
thực thi. Các tệp tin được thay đổi sẽ được sao lưu với sao lưu khác biệt, các bit lưu trữ sẽ không
được tắt, vì vậy tất cả các tệp tin đã được thay đổi từ lần sao lưu toàn bộ cuối cùng sẽ được sao
lưu bằng sao lưu khác biệt, kể cả nó đã được sao lưu bởi một bản sao lưu khác biệt trước đó.
Trong phương pháp này, việc sao lưu sẽ tốn thời gian và không gian nhớ hơn so với sao lưu gia
tăng nhưng thời gian cần thiết để khôi phục lại hệ thống lại giảm đi đáng kể vì chúng ta chỉ cần
khôi phục sao lưu đầy đủ cuối cùng và phiên bản sao lưu khác biệt được chọn.
Hầu hết các doanh nghiệp thực hiện một lịch trình sao lưu bao gồm các bản sao lưu đầy
đủ được thực hiện định kỳ và tiếp theo là các bản sao lưu gia tăng hoặc khác biệt được thực hiện
cho đến khi bản sao lưu đầy đủ tiếp theo xảy ra và quá trình được lặp lại theo chu kì. Lịch trình
sao lưu sẽ thay đổi tùy theo yêu cầu của mỗi công ty như thời gian, ngân sách và cơ sở hạ tầng.
c. phục hồi dữ liệu
Có 2 cách để phục hồi dữ liệu từ bản sao lưu đó là phục hồi lại các tệp tin và thư mục riêng
hoặc phục hồi tất cả dữ liệu trên máy. Phục hồi một số các tệp tin là loại phổ biến nhất của phục hồi dữ
liệu. Để phục hồi một số tệp tin, chúng ta cần chọn thời điểm mà bản sao lưu tồn tại trên máy chủ. Các
tệp tin muốn được phục hồi thì cần phải có trên các thiết bị sao lưu trước khi quá trình phục hồi bắt
đầu. Sau khi xác định được thời gian phục hồi và dữ liệu phục hồi, tệp tin cần phục hồi được chép lại
vào vị trí ban đầu của nó, ghi đè lên các bản sao hiện có hoặc được chép vào một vị trí thay thế để có
thể được truy cập mà không làm ảnh hưởng đến tệp tin gốc.
d. kiểm tra và xác thực tệp tin sao lưu:
Sao lưu là một phần quan trọng của bất kì máy chủ nào nhưng việc đảm bảo phục hồi thành
công còn quan trọng hơn rất nhiều. Sao lưu sẽ là vô nghĩa nếu chúng ta không thể phục hồi. Sao lưu
giống như một chính sách bảo hiểm, bạn phải trả phí hàng ngày với hi vọng không bao giờ phải sử
dụng chúng, nhưng khi một điều gì xấu xảy ra với hệ thống của chúng ta, chúng ta cần có một cách


10

nào đó để có thể khôi phục lại. Chính vì vậy chúng ta không nên tin tưởng vào một bản sao lưu đã
được sao lưu thành công mà cần phải kiểm tra bản sao lưu đó bằng cách cố gắng phục hồi dữ liệu
thành công từ bản sao lưu đó.
2. 1. 2. Phương pháp sao lưu dữ liệu trong môi trường ảo hóa
a. sao lưu mức hình ảnh
Với hệ thống ảo hóa, chúng ta sẽ đạt hiệu quả cao hơn nếu sao lưu các tệp tin lớn thành nhiều
đĩa ảo (vmdk) ở lớp ảo hóa thay vì truy cập vào hệ điều hành để sao lưu các dữ liệu cá nhân. Kiểu sao
lưu này gọi là sao lưu mức hình ảnh vì chúng ta sao lưu một đĩa ảo giống hệt với các tệp tin đang chạy
trên đĩa của máy ảo. Phương pháp này hiệu quả hơn vì chỉ cần sao lưu một tệp tin lớn thay vì hàng
ngàn tệp tin nhỏ. Trong khi đó, phương pháp này cũng có hạn chế là khi sao lưu mức hình ảnh, chúng
ta sao lưu cả khối đĩa trống và các tệp tin đã bị xóa trước đó thì trên bản sao lưu nó cũng không tồn tại.
ví dụ: nếu chúng ta có một máy tính có ổ cứng ảo với dung lương 80GB nhưng nó chỉ đang sử dụng
20GB và 60GB trống, việc sao lưu mức hình ảnh sẽ tạo ra một bản sao lưu với dung lượng 80GB. Để
khắc phục điều này, các người ta thường kiểm tra các khối đĩa ở lớp ảo hóa để phát hiện ra các khối
đĩa trống và bỏ qua chúng. Trong khi kiểm tra các khối đĩa trống thì các phần mềm bảo vệ dữ liệu cho
ảo hóa cũng sử dụng một thuật toán chống trùng lặp để phát hiện ra các khối trùng lặp và bỏ qua việc
sao lưu đối với những khối này.
b. sao lưu mức tệp tin
Sao lưu mức tệp tin truyền thống được thực hiện bằng cách sử dụng một agent bên trong hệ
điều hành khách có nhiệm vụ sao lưu tất cả các tệp tin cá nhân. Điều này có thể được thực hiện trong
môi trường ảo hóa nhưng nó sẽ gây ra việc sử dụng tài nguyên quá mức trên các máy chủ lưu trữ, có
thể gây ảnh hưởng tiêu cực đến các máy ảo khác trên máy chủ đó. Sao lưu sử dụng các agent trên hệ
điều hành của máy ảo cần được điều hướng thông tin qua lớp ảo hóa để thực hiện sao lưu trên lớp hệ
điều hành khách như sau:
c. snapshot máy ảo
Snapshot là một tính năng tuyệt vời của ảo hóa cung cấp khả năng sao lưu khi nâng cấp, vá
các phần mềm và hệ điều hành. Snapshot là một hình ảnh trong một thời gian của máy ảo, nó lưu trữ
các thông tin trên đĩa, trên bộ nhớ hệ thống của máy ảo. Chúng ta có thể tạo ra nhiều bản snapshot của
máy ảo, do đó chúng ta có thể có nhiều điểm khôi phục sẵn sàng để được khôi phục. Khi chúng ta tạo
một snapshot tất cả các tiến trình ghi vào tệp tin trên ổ đĩa cứng được dừng lại và ổ đĩa cứng được

chuyển sang trạng thái chỉ đọc từ thời điểm đó. Tất cả các tệp tin được ghi vào ổ cứng sau thời điểm
chúng ta snapshot sẽ được ghi vào một tệp tin –delta. vmdk được tạo ra khi chúng ta tiến hành
snapshot. Khi chúng ta xóa tất cả các snapshot của máy ảo, tất cả các tệp tin –delta. vmdk được hợp
nhất với nhau để trở thành tệp tin vmdk trên đĩa. Nếu chúng ta xóa đi một snapshot nào đó, nó sẽ hợp
nhất với bản snapshot trước nó và xóa tệp tin –delta. vmdk đó đi.
d. các trạng thái sao lưu phù hợp
Khi một snapshot máy ảo được thực hiện, các dữ liệu trên đĩa của máy ảo được giữ nguyên,
tuy nhiên, có thể tồn tại các dữ liệu trên bộ nhớ mà chưa được ghi vào đĩa. Điều này có thể làm mất dữ


11
liệu hoặc có thể gây ra việc dữ liệu được sao lưu bị lỗi một phần hoặc không đầy đủ. Bởi vậy, trước
khi thực hiện snapshot cần tạm thời dừng hệ điều hành và các ứng dụng sau khi chúng đã ghi toàn bộ
dữ liệu vào ổ cứng. Sau khi hoạt động này kết thúc, snapshot được thực hiện và hệ điều hành cùng với
các ứng dụng có thể hoạt động bình thường. Hành động này đảm bảo dữ liệu có thể được phục hồi một
cách chính xác nhất. Có nhiều trạng thái khác nhau mà một máy chủ có thể đạt được khi quá trình
snapshot được thực hiện.
Sao lưu ứng dụng phù hợp là vô cùng quan trọng để đảm bảo rằng dữ liệu của chúng ta được
sao lưu đúng. Hầu hết các công cụ sao lưu tận dụng các ứng dụng VMware Tools được cài đặt trên các
máy ảo để dừng hệ điều hành và ứng dụng trước khi tạo ra một snapshot cho việc sao lưu.
e. VCB và các vStorage API
Sản phẩm đầu tiên của VMware để an toàn dữ liệu là VMware Consolidated Backup (VCB).
VCB hoạt động như một máy chủ proxy để giảm tải việc sao lưu từ các máy ảo bằng cách găn các ổ
đĩa ảo lên máy chủ VCB và sau đó sao lưu mức hình ảnh mà không cần đến máy chủ hoặc máy ảo.
Điều này chuyển việc sao lưu từ máy ảo đến máy chủ sang việc sao lưu từ máy ảo sang máy chủ
proxy.
f. Đặt lịch và hiệu năng của sao lưu
Với môi trường máy chủ vật lý, các máy chủ không chia sẻ chung tài nguyên như máy ảo,
chúng ta có thể sao lưu mà không quan tâm đến lập lịch vì các tiến trình sao lưu có thể chạy cùng một
lúc. Lập lịch sao lưu trong hệ thống ảo hóa là một yêu cầu cần thiết. Lý do cho điều này là chúng ta

không muốn quá nhiều máy ảo cùng thực hiện sao lưu tại một thời điểm khiến cho các tài nguyên trên
máy chủ và trên các thiết bị lưu trữ cạn kiệt, khi đó sẽ không còn tài nguyên dành cho những ứng dụng
đang chạy trên máy ảo khác. Các nguồn tài nguyên được sử dụng sẽ phụ thuộc vào kiểu sao lưu mà
chúng ta lựa chọn. Khi sao lưu máy ảo bằng cách sử dụng agent được cài đặt trên hệ điều hành của
máy ảo đó, tài nguyên của máy chủ sẽ được sử dụng một cách tối đa. Khi chúng ta sao lưu dữ liệu sử
dụng sao lưu mức hình ảnh, lượng tài nguyên được sử dụng trên máy chủ sẽ giảm đi. Khi tận dụng khả
năng của vStorage API, việc sử dụng tài nguyên của máy chủ sẽ tiếp tục giảm.
2. 1. 3. Phương pháp phục hồi dữ liệu trong môi trường ảo hóa
Sao lưu dữ liệu trong môi trường ảo hóa là một quá trình khá dễ dàng và đơn giản, nhưng toàn
bộ những điểm sao lưu phải có khả năng phục hồi dữ liệu khi cần thiết. Tất cả nhứng bit 1 và bit 0
được lưu trữ trên đĩa cứng của chúng ta trong trung tâm dữ liệu là những tài sản vô cùng quý giá của
doanh nghiệp và chúng ta không thể để mất chúng. Trong bất cứ môi trường nào, ảo hóa hay vật lý,
việc chúng ta không thể phục hồi dữ liệu là hoàn toàn có thể xảy ra. Không có cảm giác nào tồi tệ hơn
việc chúng ta đã sao lưu máy chủ của mình hàng tháng, hàng năm nhưng khi phục hồi thì không thể
docacs bản sao lưu không hoạt động một cách chính xác. Trong nhiều trường hợp, việc tin tưởng một
cách mù quáng vào khả năng sao lưu thành công thì phục hồi cũng sẽ hoạt động tốt khiến chúng ta
phải trả giá. Thực hiện kiểm tra phục hồi định kì có thể xác nhận rằng các bản sao lưu đang hoạt động
chính xác, nhưng nó có thể mất thời gian và là một quá trình phức tạp.


12
Khôi phục dữ liệu trong môi trường ảo hóa có thể phức tạp hơn hoạt động này trong môi
trường vật lý rất nhiều. Trong phần này chúng ta sẽ đi tìm hiểu những phương pháp và thách thức cho
việc khôi phục và kiểm tra dữ liệu trong môi trường ảo hóa.
a. Phục hồi dữ liệu máy ảo
Về cơ bản có ba cấp độ mà chúng ta có thể sao lưu máy chủ ảo:
- Mức ứng dụng: sử dụng khi chúng ta muốn sao lưu một đối tượng bên trong một tệp
tin.
- Mức tệp tin: sử dụng sao lưu các tệp tin nằm trên một phân vùng đĩa ảo
- Mức hình ảnh: sử dụng để sao lưu tất cả các khối của một phân vùng đĩa ảo.

Các mức này tạo thành một hệ thống phân cấp mà trên cùng là mức ứng dụng và thấp nhất là
mức hình ảnh.

Hình 2.2. các mức phục hồi dữ liệu máy ảo
b. Kiểm tra và Xác thực sao lưu
Trong khi các bản sao lưu tốt là rất quan trọng, có các bản phục hồi tốt còn quan trọng hơn rất
nhiều lần. Sao lưu sẽ không có ý nghĩa nếu chúng ta không thể phục hồi lại khi cần thiết. Chúng ta
không nên cho rằng chỉ cần phần mềm sao lưu không báo bất kì lỗi nào xảy ra trong quá trình sao lưu
dữ liệu là quá trình sao lưu hoàn tất và chúng ta không gặp bất cứ vấn đề gì khi phục hồi dữ liệu.
Chúng ta cần phải thường xuyên kiểm tra và xác thực rằng các bản sao lưu của chúng ta được phục hồi
thành công bằng cách khôi phục dữ liệu trên các thiết bị sao lưu và sau đó truy cập vào để đảm bảo
rằng nó được đọc đúng. Để xác minh sự thích hợp của các bản sao lưu, chúng ta cần kiểm tra khả năng
phục hồi ở nhiều cấp độ khác nhau: cấp độ tệp tin, cấp độ ứng dụng và cấp độ hệ điều hành. Điều này
xác thực các bản sao lưu của chúng ta và đảm bảo rằng chúng ta có thể khôi phục dữ liệu từ bất kì tình
huống nào.
2. 2. Giải Pháp VMware vSphere Data Protection
VMware vSphere Data Protection (VDP) là một giải pháp sao lưu và phục hồi dựa trên ổ đĩa
mạnh mẽ và đễ triển khai rủa VMware. VDP được tích hợp hoàn toàn bên trong các máy chủ VMware
vCenter và cho phép quản lý tập trung và hiệu quả các bản sao lưu trong cùng một địa chỉ lưu trữ.
Việc sử dụng VDP mang lại rất nhiều lợi ích cho doanh nghiệp và trung tâm dữ liệu. VDP
khiến doanh nghiệp không còn lo lắng về an toàn dữ liệu và giảm thiểu chi phí về sao lưu cũng như
phục hồi dữ liệu ngay khi cần. Những lợi ích đó bao gồm:


13
- Cung cấp khả năng bảo vệ dữ liệu nhanh chóng và hiệu quả cho tất cả các máy ảo,
ngay cả khi các máy ảo đang tắt hoặc được di chuyển giữa các máy chủ vSphere.
- Làm giảm đáng kể không gian lưu trữ trên đĩa cứng được tiêu thụ để sao lưu bằng
cách sử dụng giải pháp chống trùng lặp độ dài thay đổi trên tất cả các bản sao lưu.
-


Làm giảm chi phí sao lưu và làm giảm cửa sổ sao lưu bằng cách xử dụng CBT và tính

năng snapshot cho máy ảo VMware.
- Cho phép sao lưu một cách dễ dàng mà không cần agent hoặc một phần mềm bên thứ
ba nào khác được cài đặt trong máy ảo.
- Sử dụng dễ dàng, dễ cài đặt vì nó như một phần tích hợp trong vSphere và được quản
lý qua cổng thông tin web.
- Có thể truy cập trực tiếp để cấu hình VDP bằng vSphere Web Client
- Bảo vệ bản sao lưu với cơ chế checkpoint và rollback.
- Cung cấp tính năng phục hồi các tệp tin đơn giản trên windows và Linux dựa trên giao
diện web.
- Thông qua tính năng khôi phục khẩn cấp, cung cấp một giải pháp khôi phục máy chủ
vCenter khi máy chủ vCenter bị lỗi hoặc người dùng không thể truy cạp vào giao diện người
dùng VDP với vSphere Web Client.
- Chống trùng lặp dữ liệu: dữ liệu của doanh nghiệp cần được dự phòng cao với các tệp
tin giống nhau hoặc dữ liệu được lưu trữ trong nhiều hệ thống. Khi các tệp tin được chỉnh sửa,
chúng ta cũng cần dự phòng cho các phiên bản trước nó. Với phương pháp sao lưu truyền thống,
tất cả các bản sao của dữ liệu đều được sao lưu, điều này khiến không gian đĩa cần thiết cho sao
lưu sẽ vô cùng lớn. VDP sử dụng công nghệ chống trùng lặp dữ liệu mà loại bỏ các tệp tin trùng
lặp và các phân đoạn dữ liệu bên trong tệp tin.
- Phân đoạn dữ liệu chiều dài cố định và thay đổi: một yếu tố quan trọng trong việc loại
bỏ sự dư thừa dữ liệu trong sao lưu là xác định kích thước của các phân khúc dữ liệu. Các khối dữ
liệu cố định hoặc các đoạn có chiều dài cố định thường được sử dụng bởi các snapshot hoặc một
vài công nghệ chống trùng lặp dữ liệu. Thật không may, việc thay đổi dù là rất nhỏ của bộ dữ liệu
(như chèn thêm một đoạn dữ liệu rất ngắn lên trước một tệp tin) có thể làm thay đổi các đoạn dữ
liệu hoặc các khối dữ liệu. điều này khiến cho các phương pháp chống trùng lặp không hoạt động.
VDP sử dụng một phương pháp chống trùng lặp dữ liệu mà có độ dài các đoạn có thể thay đổi
một cách thông minh để xác định kích thước các đoạn dữ liệu kiểm tra trùng lặp để làm tăng hiệu
quả của tính năng chống trùng lặp dữ liệu.

2. 2. 1. Sao lưu và phục hồi mức hình ảnh
VMware vSphere Data Protection tạo ra các bản sao lưu mức hình ảnh. VDP được tích hợp
với vStorage API dành cho bảo vệ dữ liệu để thiết lập các tính năng trong vSphere làm giảm chi phí
xử lý sao lưu dữ liệu từ máy ảo đến các thiết bị VDP. Các thiết bị VDP giao tiếp với máy chủ vCenter
để tạo một bản chụp của tệp tin vmdk của máy ảo. Chống trùng lặp dữ liệu diễn ra bên trong thiết bị
bằng cách sử dụng công nghệ chống trùng lặp độ dài thay đổi.


14
2. 2. 2. Sao lưu và phục hồi VMDK đơn
Trong khi việc sao lưu đầy đủ hình ảnh bao gồm tất cả các ổ đĩa trên máy ảo và tạo thành một
bản sao lưu mức hình ảnh duy nhất, việc sao lưu đĩa cá nhân cho phép chúng ta chỉ chọn những đĩa mà
chúng ta cần sao lưu. Công cụ sao lưu đia cá nhân cho phép chúng ta chọn sao lưu những thứ mình
cần. Khả năng này cho phép chúng ta chọn lọc dựa trên các tiêu trí cấu hình nhất định như Hệ điều
hành, hoặc bằng chính sách.
2. 2. 3. Sao lưu và phục hồi mức khách
VMware vSphere Data Protection Avanced hỗ trợ sao lưu mức khách cho máy chủ Microsoft
SQL, máy chủ Exchange và máy chủ Sharepoint. Với bản sao lưu mức khách, các agent được cài đặt
trên máy chủ SQl, máy chủ Exchange và máy chủ Sharepoint.
Những lợi thế của VMware sao lưu mức khách:
- Cung cấp các ứng dụng hỗ trợ bổ xung cho máy chủ Microsoft SQL, máy chủ Microsoft
Exchange và máy chủ Microsoft Sharepoint bên trong máy ảo.
- Hỗ trợ sao lưu và phục hồi lại toàn bộ máy chủ Microsoft SQL, máy chủ Microsoft
Exchange và máy chủ Microsoft Sharepoint hoặc sao lưu và phục hồi các cơ sở dữ liệu được chọn.
- Tạo phương pháp sao lưu giống nhau đối với các máy chủ vật lý và máy chủ ảo.
2. 2. 4. Nhân rộng
Việc nhân rộng cho phép chúng ta tránh việc mất dữ liệu nếu nguồn thiết bị VDP bị lỗi bởi vì
một bản sao của các sao lưu của máy ảo được lưu trữ trên một máy tính khác nữa.
Việc nhân rộng sẽ xác định các bản sao lưu được nhân rộng, khi nào và nơi chứa bản nhân
rộng của bản sao lưu. Một bản sao lưu được tạo bởi một thiết bị VDP Advanced có thể được nhân

rộng đến một thiết bị VDP Advanced khác, tới một máy chủ Avamar, một VDP RTI hoặc tới hệ tống
tên miền dữ liệu.
2. 2. 5. phục hồi mức tệp tin
Phục hồi mức tệp tin cho phép các nhà quản trị của các máy ảo được bảo vệ có thể duyệt và
gắn kết các bản sao lưu cho các máy nội bộ. Từ các bản sao lưu gắn kết, các quản trị viên sau đó có
thể khôi phục các tệp tin cá nhân. FLR được thực hiên bằng cách sử dụng VDP Restore Client.
Chương 3: Xây Dựng hệ thống ảo hóa an toàn với VMware vSphere Data Protection
3. 1. Mô hình triển khai
Đầu tiên, chúng ta quan tâm đến vị trí lưu trữ dữ liệu sao lưu. Chúng ta nên tách biệt dữ liệu
đang sử dụng và dữ liệu sao lưu ở hai thiết bị lưu trữ khác nhau. Nếu không, khi có một sự cố của hệ
thống lưu trữ vật lý, cả hệ thống đang chạy và hệ thống sao lưu sẽ biến mất và việc sao lưu của chúng
ta trở nên vô nghĩa. Lý tưởng nhất là chúng ta có ít nhất hai nền tảng lưu trữ độc lập, một dành cho các
ứng dụng đang chạy với khối lượng truy xuất lớn và một dành cho những dữ liệu có khối lượng truy
xuất nhỏ và lưu trữ dữ liệu sao lưu.


15

Hình 3.1. mô hình triển khai căn bản sao lưu dữ liệu với VDP
Như hầu hết các thiết kế vSphere cluster, điều quan trọng là các host trong cluster có thể truy
cập vào cùng một storage. VDP có thể sử dụng chế độ truyền tệp tin HotAdd SCSI để sao lưu các máy
ảo. Chế độ này là cách hiệu quả để giảm đáng kể tiêu thụ bang thông mạng. để sử dụng SCSI HotAdd,
các thiết bị VDP ảo cần phải có quyền truy cập vào các tệp tin vmdk đang chạy, vì vậy cần có cấu hình
lưu trữ giống nhau với mỗi máy chủ trong một cluster.
3. 2. Yêu cầu hệ thống
Để triển khai thành công VDP, chúng ta cần đảm bảo những yêu cầu sau:
3. 2. 1. Yêu cầu năng lực VDP
Năng lực của VDP phụ thuộc vào những yếu tố sau:
- Số lượng máy ảo cần được bảo vệ
- Số lượng dữ liệu chứa trong từng máy ảo.

- Các loại dữ liệu cần được sao lưu. Ví dụ: hệ điều hành, tài liệu hoặc cơ sở dữ liệu.
- Thời gian sao lưu. Ví dụ: hàng ngày, hàng tuần, hàng tháng hoặc hàng năm.
- Sự thay đổi của dữ liệu
Chú ý: giả sử kịch thước trung bình của máy ảo, kiểu dữ liệu, sự thay đổi của dữ liệu và chính
sách sao lưu là 30 ngày thì 1TB của yêu cầu năng lực sao lưu dữ liệu có thể hỗ trợ khoảng 25 máy ảo.
3. 2. 2. Yêu cầu phần mềm
Chúng ta nên sử dụng phiên bản mới nhất của VDP là VDP 5. 8. nó yêu cầu các phần mềm
sau:
- Tối thiểu là máy chủ vCenter 5. 1, tốt nhất là máy chủ vCenter 5. 5 trở lên.


16
- VDP 5. 8 hỗ trợ thiết bị ảo hóa máy chủ vCenter trên nền tảng Linux cũng như các máy chủ
vCenter trên nền tảng Windows. Chú ý: VDP 5. 1 không tương thích với vCenter 5. 5 hoặc mới hơn.
- VMware vSphere Web Client
- Trình duyệt web được kích hoạt Adobe Flash Player 11. 3 trở lên để truy cập vSphere Web
Client và các chức năng của VDP.
- VMware vShpere Host-các phiên bản được hỗ trợ là 5. 0, 5. 1 và 5. 5
3. 3. 3. Yêu cầu hệ thống
VDP bao gồm 3 cấu hình 0. 5 TB, 1TB và 2TB. Một VDP được triển khai với dung lượng nào
thì không thể thay đổi được. Chúng ta có bảng sau miêu tả yêu cầu thấp nhất của VDP

processors

0. 5 TB

1 TB

2 TB


Tối thiểu là 4

Tối thiểu là 4

Tối thiểu là 4

nhân và 2GHz

nhân và 2GHz

nhân và 2GHz

Memory

4GB

4GB

4GB

Disk space

873GB

1, 600GB

3, 100GB

Bảng 1. Yêu cầu tối thiểu của hệ thống VDP
Chúng ta có bảng sau mô tả yêu cầu thấp nhất của các phiên bản VDP Advanced.

4TB

6TB

8TB

Tối thiểu

Tối thiểu

Tối thiểu

Tối thiểu

Processor

2TB

s



4

nhân

2GHz

và là


4

nhân

2GHz

và là

4

nhân

và là

2GHz

4

nhân



2GHz

Memory

6GB

8GB


10GB

12GB

Disk

3TB

6TB

9TB

12TB

space
Bảng 2. Yêu cầu tối thiểu của hệ thống VDP Advanced
3. 3. Cài đặt và cấu hình
Để cài đặt và cấu hình một VDP chúng ta phải chuẩn bị nền tảng, chuẩn bị để đáp ứng các yêu
cầu tối thiểu về hệ thống cũng như phần mềm của VDP. Cài đặt và cấu hình để có thể an toàn hệ thống
máy ảo cũng là một vấn đề khó khăn. Để xem chi tiết về phần này xin mời các thầy cô và các bạn xem
trong phụ lục 1 của luận văn.
3. 4. Kết quả đạt được
Trong phần này chúng ta đã cũng tìm hiểu về các mô hình để triển khai VDP, những yêu cầu
về phần cứng, phần mềm, hệ thống để có thể triển khai VDP an toàn dữ liệu và cuối cùng là cấu hình
các phần mềm yêu cầu, cài đặt và cấu hình VDP để an toàn cho hệ thống máy ảo.


17
Chương 4: Đề xuất giải pháp tăng cường an toàn dữ liệu trên nền tảng ảo hóa.
4. 1. Hạ tầng khóa công khai, Chữ kí số và RSA SecureID

4. 1. 1. Mã Hoá Khoá Công Khai
a.
Định Nghĩa
Khoá công khai thường được là một phương pháp mã hoá mà sử dụng một cặp khoá
đối xứng: khoá bí mật và khoá công khai. Mã hoá khoá công khai sử dụng cặp khoá này cho
việc mã hoá và giải mã. Các khoá công khai được công bố và phân phát rộng rãi. Các khoá bí
mật không bao giờ được chia sẻ. Với một cặp khoá, dữ liệu được mã hoá bằng khoá công khai
chỉ có thể được giải mã bằng khoá bí mật và ngược lại, dữ liệu được mã hoá bằng khoá bí mật
chỉ có thể được giải mã bằng khoá công khai. Điều này được sử dụng để thực hiện mã hoá và
chữ kí số.
b.
Mã Hoá
Mã hoá là cơ chế đảm bảo rằng thông điệp được chuyển đổi để chỉ người nhận và
người gửi biết nội dung. Ví dụ: Alice muốn gửi tin nhắn đến Bob. Để tin nhắn được an toàn,
đầu tiên cô cần có khoá công khai của Bob để mã hoá thông điệp vì khoá công khai có thể
được công khai với mọi người nên Bob có thể gửi nó dưới dạng bản rõ mà không cần quan
tâm đến bất kì khả năng mất an toàn nào. Khi Alice có khoá công khai của Bob, cô sẽ mã hoá
thông điệp bằng khoá công khai của Bob rồi gửi nó đến Bob. Bob nhận được thông điệp từ
Alice và sử dụng khoá bí mật của mình để giải mã nó. Nếu bất kì ai nhận được thông điệp mà
Alice gửi đến Bob thì họ cũng không thể đọc được bản rõ của thông điệp vì họ không có khoá
bí mật của Bob.
c.
Chữ Kí Số
Chữ kí số là một cơ chế mà theo đó một thông điệp được chứng thực là được gửi bởi
một người nào đó, giống như chữ kí trên các tài liệu giấy. Ví dụ: giả sử Alice muốn kí vào một
thông điệp được gửi đến Bob. Để làm được điều này, cô sử dụng khoá bí mật của mình để mã
hoá thông điệp. Sau đó cô gửi thông điệp đã được mã hoá cùng với khoá công khai của mình
đến Bob. Từ khoá công khai của Alice, là khoá duy nhất có thể được sử dụng để giải mã thông
điệp, một giải mã thành công sẽ tạo thành một chữ kí số, có nghĩa là không còn nghi ngờ về
việc thông điệp được mã hoá bởi khoá riêng của Alice.

d.
Nguyên tắc kí, mã hoá và giải mã, chứng thực.
Trong hai phần trên, chúng ta đã minh hoạ quá trình mã hoá, giải mã và các nguyên
tắc kí và xác thực. như đã để cập trước đó, khoá đối xứng đóng vai trò quan trọng trong việc
triển khai mã hoá khoá công khai. Điều này xảy ra là do thuật toán mã hoá khoá công khai
chậm hơn thuật toán mã hoá khoá đối xứng.
Đối với chữ kí số, một kĩ thuật được sử dụng gọi là băm. Băm tạo ra một bản tóm
lược của thông điệp với tính chất nhỏ và duy nhất. Các thuật toán băm là một phương thức mã
hoá một chiều, tức là không thể lấy được thông điệp từ mã băm. Những lý do chính để cần có
một mã băm là:
- tính toàn vẹn của thông điệp được bảo toàn, bất kì một sự thay đổi nào của thông
điệp sẽ được phát hiện.
- áp dụng cho chữ kí số, thường là chúng ta tạo ra bản kí bằng mã băm sẽ nhanh hơn
rất nhiều so với bản kí mã hoá bằng khoá bí mật.
4. 1. 2. Hạ Tầng Khóa công khai
a. Chứng Thực Số
Chứng thực số là một phần thông tin để chứng minh danh tính của người sở hữu một cặp khoá
bí mật và công khai. Giống như chứng minh thư nhân dân, chứng thực số cung cấp một định danh của
người dùng. Các chứng chỉ số được khởi tạo và chuyển giao bởi một bên thứ ba đáng tin cậy gọi là
Certificate Authority (CA). Miễn là Bob và Alice cùng tin tưởng một CA thì học có thể yên tâm các
khoá của họ sẽ được lưu giữ.
Chứng thực số bao gồm:
- Định danh của CA
- Định danh của người dùng
- Khoá công khai của người dùng
- Ngày hết hạn của chứng thực số


18
- Chữ kí của CA trên chứng thư số đó.

Với một chứng thư số thay vì khoá công khai, người nhận có thể xác minh với CA về người
gửi để đảm bảo chữ kí là hợp lệ và thuộc về người gửi. Để làm được điều này chúng ta cần:
- So sánh định dnah người sở hữu
- Kiểm tra chứng thực số còn hiệu lực
- Kiểm tra chứng thực được kí bởi một CA đáng tin cậy
- Xác minh chữ kí chứng thực số của người gửi.
b. Hạ Tầng Khoá Công Khai
Một PKI là một sự kết hợp giữa phần mềm và quy trình để cung cấp một phương tiện quản lý
khoá, chứng chỉ số và sử dụng chúng một cách hiệu quả.
Quản lý khoá và chứng thư số là tập hợp các hoạt động cần thiết để tạo ra và duy trì các khoá
và chứng thư số. Sau đây là danh sách nhưng điểm chính cần để cập trong quản lý PKI:
- Tạo khoá và chứng thư số: làm thế nào để tạo ra cặp khoá? Làm thế nào để cấp phát chứng
thư số đến người sử dụng? Một PKI cung cấp các phần mềm hỗ trợ cho cặp khoá cũng như yêu cầu
chứng thư. Ngoài ra, cần có thủ tục xác minh danh tính người dùng trước khi cấp chứng thư số cho
người đó.
- Bảo vệ khoá bí mật: làm thế nào để người dùng có thể bảo vệ khoá bí mật của mình chống
lại những nguy cơ? Chứng thư số có thể được sử dụng rộng dãi vì chúng có thể được sử dụng cho cả
hai quá trình mã hoá và xác minh chữ kí số. Khoá công khai đòi hỏi mức độ bảo vệ hơpk lý bởi vì
chúng được sử dụng để giải mã và kí.Một cơ chế mật khẩu mạnh phải là một tính năng của một PKI
hiệu quả.
- Thu hồi chứng thư số: làm thế nào để xử lý các tình huống mà khoá bí mật của người dùng
bị xâm phạm? Làm thế nào để xử lý các tình huống mà một nhân viên rời khỏi công ty? Làm thế nào
để biết có hay không một chứng thư số đã bị thu hồi? Một PKI phải cung cấp một phương tiện mà các
chứng thư số có thể bị thu hồi. Sau khi thu hồi, chứng thư này không chỉ được lưu trong danh sách đã
thu hồi mà còn sẵn sàng được cấp phát chi người dùng khác. Một cơ chế xác minh danh sách chứng
thư số đã bị thu hồi và từ chối sử dụng nhưng chứng thư đã bị thu hồi là vô cùng cần thiết.
- Sao lưu và phục hồi khoá: Điều gì sẽ xảy ra với các tệp tin được mã hoá khi người dùng mất
khoá bí mật của mình? Nếu không có sao lưu khoá,tất cả các tin nhăn và các tệp tin được mã hoá bằng
khoá công khai của người đó sẽ không thể được giải mã và mất đi mãi mãi. Một PKI phải cung cấp
khả năng sao lưu khoá bí mật và một cơ chế phục hồi khoá bí mật đáng tin cậy để người dùng có thể

lấy lại khoá bí mật của mình để có thể truy cập vào các tệp tin đã bị khoá.
- Cập nhật khoá và chứng thư số: điều gì sẽ xảy ra nếu chứng thư số hết hiệu lực? Khoá và các
chứng thư số có hiệu lực trong thời gian nhất định. Một PKI phải cung cấp một cơ chế để có thể cập
nhật ngày hết hạn của chứng thư đó. Hành động tốt nhất là cập nhật khoá và chứng thư của người sử
dụng. Khoá và chứng thư của người sử dụng có thể được cập nhật tự động trong trường hợp đó cần
thông báo trước với người dùng cuối rằng khoá và chứng thư của anh ta sẽ được cập nhật. Hoặc yêu
cầu người dùng cuối thực hiện một số hành động trước khi hoặc trong thời gian mà chứng thư số hết
hạn để cập nhật chứng thư số của mình. Trong trường hợp này, PKI cần thông báo cho người dùng
biết các hành động này là cần thiết và nên được thực hiện trước khi chứng thư số cũ hết hạn để tránh
gián đoạn công việc.
- Quản lý lược sử khoá: sau nhiều bản cập nhật khoá, làm thế nào người dùng có thể quyết
định dùng khoá nào để giải mã các tệp tin? Mỗi thao tác cập nhật sẽ tạo ra một cặp khoá mới. Tệp tin
đã được mã hoá bằng các khoá công khai trước đó chỉ có thể được giải mã bằng khoá bí mật lên kết
với nó. Nếu không có quản lý lịch sử khoá, người dùng sẽ phải đưa ra quyết định sử dụng khoá nào để
giải mã tệp tin. Điều này sẽ khiến người dùng khó khăn hơn rất nhiều.
- Quyền truy cập chứng thư số: làm thế nào để một người dùng gửi một tin nhắn đến những
người khác mà không có chứng thư số của họ? Một PKI phải cung cấp một cách dễ dàng và thuận tiện
các chứng thư có sẵn.
4. 1. 3. Chữ kí số
Một điểm quan trọng cần làm rõ là tính không thoái thác của chữ kí số. Khái niệm này đề cập
đến việc người dùng không thể từ chối việc đã kí vào một thông điệp. Điều này thể hiện rằng người sử
dụng đã kí vào thông điệp là người duy nhất có quyền truy cập vào khoá bí mật được sử dụng để ký.
Tuy nhiên, như chúng ta đã biết ở trên, các PKI sẽ lưu trữ các khoá bí mật nhằm mục đích phục hồi.
Do đó, cả người dùng và các CA biết về khoá bí mật, có nghĩa rằng trên lý thuyế có thể có nhiều hơn 1
người sử dụng khoá và kí vào một thông điệp. Người sử dụng có thể thoái thác thông điệp đó. Để


19
tránh tình trạng này và cung cấp hỗ trợ không thoái thác, cần phải có một cặm khoá chuyên dụng được
sử dụng cho các much đích kí và xác minh chứng thư số. Không có dự phòng cho các khoá bí mật của

chữ kí và chỉ những người dùng có quyền truy cập vào nó. Trong trường hợp người dùng bị mất khoá
bí mật và yêu cầu phục hồi khoá. Tại thời điểm phục hồi khoá, cặp khoá dành cho mã hoá và giải mã
được cấp lại và cặp khoá dành cho chữ kí số và chứng thực số được tạo mới. Điều này không gây ra
vấn đề lớn vì mỗi lần có một người kí vào tài liệu thì chuỗi xác minh liên quan đến chứng thư số được
nối vào nó. Vì vậy, chữ kí tài liệu luôn luôn có thể được xác nhận bất kì lúc nào.
4. 1. 4. RSA SecureID
Hàng ngàn doanh nghiệp trên thế giới sử dụng giải pháp bảo vệ của RSA để bảo vệ những dữ
liệu, thông tin quan trọng của mình. RSA SecurID đòi hỏi người dùng xác định mình với hai yếu tốtmột là những gì họ biết và hai là những thiết bị họ được cung cấp. Hàng triệu người trên thế giới sử
dụng chứng thực RSA SecurID để truy cập VPN an toàn, truy cập các thiết bị không dây, các ứng
dụng web, các hệ điều hành mạng, các tài khoản ngân hàng, … RSA SecurID thực hiện chứng thực
giúp bảo vệ thông tin cá nhân và đảm bảo là chỉ những người, thiết bị và ứng dụng an toàn được sử
dụng dữ liệu đó. RSA SecurID cung cấp các giải pháp cho các doanh nghiệp như:
- An ninh mạng
- Xác thực đáng tin cậy
- Giải pháp tiện lợi cho người dùng cuối
RSA SecurID được cung cấp với hai loại là xác thực phần cứng và xác thực phần mềm.
4. 2. Đăng nhập và sử dụng các máy ảo an toàn
Với sự phát triển của ảo hóa, chúng ta cần đưa ra các phương pháp sử dụng sao cho dữ liệu
của ảo hóa được an toàn và không một ai có thể đọc dữ liệu khi chưa được phép, kể cả đó là quản trị
viên của chúng ta. Để thực hiện điều này, sau đây tôi sẽ trình bày một ý tưởng của riêng mình để thực
hiện an toàn dữ liệu trong ảo hóa. Trong ý tưởng này, tôi sẽ sử dụng, mã hóa khóa đối xứng, hạ tầng
khóa công khai và RSA SecureID làm nền tảng.
4.2.1. Thêm mới một người dùng
Để thêm mới một người dùng trong hệ thống, người quản trị sẽ tiến hành các bước sau:
- Tạo người dùng trên hệ thống VMware vSphere
- Nhập mã Serial Number của RSA SecureID được cấp cho người đó vào hệ thống.
- Tiến hành tạo chứng thư số cho người dùng mới
- Lưu thông tin vào hệ thống.
Sau phần này, một người dùng mới với một RSA SecureID và một chữ kí số được tạo ra.
Trong quá trình sử dụng, RSA SecureID và chữ kí số có thể được thay đổi bằng cách cập nhật trên

giao diện quản lý bởi người quản trị. Điều này đảm bảo tính dự phòng, nếu người dùng bị mất, hỏng
hoặc hết hạn RSA SecureID cũng như người đó không còn làm việc tại doanh nghiệp nữa thì máy ảo
có thể được chuyển giao cho người khác tránh ảnh hưởng đến các hoạt động của doanh nghiệp.
4.2.2. Quá trình đăng nhập
Đầu tiên, để sử dụng phần mềm của chúng ta, người dùng cần phải đăng nhập vào hệ thống để
xác minh quá trình đăng nhập như sau:

Hình 4.1. Khởi tạo PIN
a.
đối với những lần sau đó
với những lần sau đó, người dùng chỉ cần nhập đúng user ID và Passcode để đăng
nhập vào sử dụng phần mềm.


20

Hình 4.2. Đăng nhập hệ thống
4.2.2. Yêu cầu chứng thư số
Với lần đầu tiên đăng nhập vào hệ thống phần mềm, người dùng cần yêu cầu một chứng thư
số dành cho mình. Để làm được điều này hệ thống sẽ trải qua những bước sau:
a. Đối với người yêu cầu chứng thư số lần đầu tiên
- Người dùng nhấp chuột vào yêu cầu chứng thư số trên phần mềm, khi đó một yêu cầu
chuyển chứng thư số được gửi đến máy chủ. Gói tin này bao gồm ID của người dùng yêu cầu chứng
thư số.
- Máy chủ tìm trong cơ sở dữ liệu về ID người dùng, kiểm tra có tồn tại ID và chứng thư số đã
được cấp hay chưa. Nếu có, máy chủ sẽ mã hóa những thông tin về chứng thư số bằng chính mã PIN
của người dùng đó và gửi nó về cho người dùng. Đồng thời, máy chủ cũng gửi kèm khóa công khai
của mình.
- Sau khi nhận được chứng thư số, người dùng sẽ nhập nó vào phần mềm. Khóa công khai của
máy chủ sẽ được cập nhật vào phần mềm để sử dụng sau này.

- Phần mềm tiến hành giải mã với khóa là PIN của người dùng và sử dụng chứng thư này
trong quá trình giao tiếp với máy chủ và các máy khác.
b. đối với người đã có chứng thư số
- Người dùng nhấp chuột vào yêu cầu chứng thư số trên phần mềm, khi đó một yêu cầu
chuyển chứng thư số được gửi đến máy chủ. Gói tin này bao gồm ID của người dùng yêu cầu chứng
thư số. Gói tin này được mã hóa bằng khóa công khai của máy chủ.
- Máy chủ nhận được yêu cầu chứng thư số mới sẽ tiến hành tạo ra một chứng thư số mới
dành cho người dùng này.
- Sau khi tạo xong, máy chủ sẽ mã hóa chứng thư số mới bằng khóa công khai của chứng thư
số cũ rồi gửi lại chứng thư số mới đến người dùng.
- Sau khi nhận được chứng thư số mới, người dùng tiến hành thêm chứng thư số mới vào phần
mềm và xóa chứng thư số cũ.
Với hai quá trình này, người dùng có thể nhận được chứng thư số của mình một cách an toàn.
4.2.3. Quy trình Khởi động và tắt máy ảo
Sau khi đăng nhập vào hệ thống thành công, các máy ảo được sử dụng bởi người đó sẽ được
hiển thị trên giao diện.
a.
Lần đầu tiên máy được khởi động
Khi người dùng nhấn khởi động máy tính quá trình khởi động diễn ra như sau:

Hình 4.3. khởi động máy ảo
b.
Tắt một máy ảo
Quá trình tắt một máy ảo sẽ diễn ra một cách tương tự như quá trình khởi động máy ảo tuy
nhiên nội dung gói tin được thay đổi thành yêu cầu tắt máy. Ngoài ra, phần mềm sẽ đặt một mặc định


21
nếu người dùng không sử dụng máy ảo quá 15 phút, nó sẽ tự động đăng xuất khỏi phần mềm và nếu
sau 30 phút không được đăng nhập trở lại phần mềm sẽ tự động gửi yêu cầu tắt máy đến máy chủ. Quá

trình tắt máy ảo sẽ diễn ra như sau:

Hình 4.4. Tắt máy ảo
c.
khởi động một máy ảo đã từng được sử dụng
Quá trình khởi động một máy ảo đã từng được sử dụng diễn ra như sau:
- Người dùng gửi yêu cầu khởi động máy ảo đến máy chủ
- Máy chủ kiểm tra ID của máy ảo xem có được mã hoá không? Nếu có, máy chủ gửi lại yêu
cầu đến người dùng về mật khẩu để giải mã máy ảo.
- Phần mềm sẽ tự động lấy mật khẩu mới nhất trong danh sách mật khẩu khởi động ra và kí,
mã hoá rồi gửi lại cho máy chủ.
- Máy chủ nhận được mật khẩu sẽ tiến hành giải mã máy ảo và khởi động nó.
Quá trình khởi động lại một máy ảo diễn ra an toàn. Không thể có một người sử dụng không
được phép nào có thể khởi động máy ảo của chúng ta.
4.2.3. Mã hóa để an toàn trong thời gian sử dụng máy ảo
Sau khi khởi động máy ảo một cách an toàn, chúng ta có thể sử dụng máy ảo bằng cách sử
dụng dịch vụ điều khiển máy từ xa của phần mềm. Chú ý rằng nếu chúng ta sử dụng khoá công khai
để truyền các gói tin qua lại giữa máy tính điều khiển và máy ảo sẽ là một hạn chế vì mã hoá khoá
công khai khiến tốc độ của cả hai máy bị giảm đi rất nhiều do quá trình mã hoá và giải mã phức tạp.
Chính vì vậy phần mềm sẽ sử dụng khoá công khai để truyền một khoá đối xứng an toàn được sử dụng
trong suốt quá trình làm việc giữa máy tính điều khiển và máy ảo.
Quá trình đăng nhập và sử dụng máy ảo sẽ được diễn ra như sau:
- Phần mềm tạo kết nối đến máy ảo bằng IP
- Máy ảo gửi lại yêu cầu nhập tên người dùng và mật khẩu
- Người dùng nhập tên đăng nhập và mật khẩu sau đó nhấn Log on
- Phần mềm sẽ lấy mật khẩu của người dùng ghép với ngày tháng năm hiện tại và sử dụng
hàm băm để băm ra thành một mã xác thực sau đó đóng gói tên đăng nhập và mã băm lại rồi gửi đến
máy ảo.
- Máy ảo nhận được tên đăng nhập và mã băm sẽ thực hiện tìm kiếm tên đăng nhập và mật
khẩu của người dùng. Sau đó, máy ảo sẽ lấy mật khẩu gép với ngày tháng năm hiện tại rồi băm ra

thành một mã băm. Cuối cùng máy ảo sẽ kiểm tra hai mã băm với nhau, nếu đúng thì nó sẽ cho phép
tạo kết nối
- Máy ảo sẽ tự động sinh ra một chuỗi bất kì sau đó mã hoá nó bằng khoá công khai của người
dùng và gửi lại người dùng.
- Khi nhận được gói tin này, phần mềm sẽ bóc gói tin và gửi đến người dùng một yêu cầu giữ
nguyên khoá hoặc thay đổi. Nếu giữ nguyên, nó gửi lại gói tin đồng ý sử dụng mật mã đến máy ảo.
Nếu người dùng muốn thay đổi thì cần cung cấp mật khẩu của mình cho phần mềm. Phần mềm sẽ mã
hoá mật khẩu mới bằng mật khẩu đã nhận từ máy ảo. Sau đó gửi lại máy ảo. Cuối cùng tất cả các gói
tin trao đổi giữa người dùng và máy ảo sẽ được mã hoá bằng mật khẩu bí mật. Điều này đảm bảo
những người có ý tấn công hệ thống không thể biết quá trình trao đổi gói tin giữa máy ảo và máy điều
khiển từ xa.


22

Hình 4.5. an toàn trong thời gian sử dụng máy ảo
4. 3. Quá trình sao lưu
VMware vSphere Data Protection là công cụ sao lưu và phục hồi tuyệt vời của VMware. Giải
pháp này của tôi chỉ thay đổi một chút về mặt kĩ thuật để bản sao lưu được an toàn hơn. Các mưc sao
lưu gần như không thay đổi bởi vì quá trình sao lưu và phục hồi vẫn được thực hiện bởi VDP.
Quá trình sao lưu sẽ được xảy ra như sau:
4.3.1. Sao lưu mức hình ảnh
Với việc sao lưu mức hình ảnh, phần mềm này sẽ hỗ trợ việc sao lưu từ người quản trị và cả
người dùng. Với loại sao lưu này, các máy ảo bắt buộc phải được tắt. Người quản trị có khả năng đặt
lịch sao lưu, tiến hành sao lưu các máy ảo.
Quá Trình sao lưu của người quản trị:
- Người quản trị đặt lịch sao lưu hoặc chọn sao lưu máy ảo từ trình sao lưu và phục hồi
trên hệ thống.
- Khi nhận được lệnh sao lưu, VDP sẽ được gọi và tiến hành các bước của việc sao lưu
máy ảo.


Hình 4.6. Quá trình sao lưu của người quản trị
Kết thúc quá trình này ta có một máy ảo được sao lưu trong hệ thống. Tuy nhiên, các thức sao
lưu này chủ yếu sẽ là sao chép toàn bộ máy ảo của người dùng bởi vì sao lưu được thực hiện sau khi
tắt máy. Chúng ta nhớ rằng, sau khi tắt máy, toàn bộ máy ảo được mã hoá xử dụng một khoá bí mật.
Điều này khiến khả năng phát hiện trùng lặp dữ liệu sẽ thấp đi dẫn đến việc không gian lưu trữ tăng
nhanh hơn.
Quá trình sao lưu của người dùng:

Hình 4.7. Quá trình sao lưu mức hình ảnh của người dùng
Rõ ràng, quá trình sao lưu của người dùng sẽ có khác biệt so với quá trình sao lưu của nhà
quản trị, người dùng có thể sử dụng một khoá khác để sao lưu máy ảo chứ không phải khoá dùng để
tắt máy. Nếu các lần sao lưu sử dụng chung một khoá thì việc chống trùng lặp dữ liệu sẽ có hiệu quả


23
hơn rất nhiều. Cách thức này làm cho việc sao lưu toàn bộ máy ảo trở nên an toàn hơn và không thể
được đọc bởi bất kì ai.
4.3.2. Sao lưu mức VMDK đơn
Việc sao lưu mức VMDK đơn cho phép chúng ta sao lưu từng phân vùng đĩa khác nhau.
Chính vì vậy, tính năng này chỉ có thể được thực hiện bởi người dùng. Quá trình sao lưu tiến hành như
sau:
- người dùng yêu cầu sao lưu từng phân vùng trên phần mềm
- Phần mềm gửi một yêu cầu sao lưu từng phân vùng trên máy ảo đến máy chủ
- Máy chủ yêu cầu phần mềm gửi khoá dùng để giải mã máy ảo.
- Phần mềm gửi đến máy chủ khoá dùng cho mã hoá máy ảo gần nhất mà nó lưu lại.
- Máy chủ giải mã máy ảo
- Phần mềm trên máy chủ gọi VDP để tiến hành sao lưu
- VDP trả ra yêu cầu chọn những ổ cần sao lưu đến người dùng
- Người dùng chọn các ổ cần sao lưu rồi nhấn đồng ý

- VDP sẽ sao lưu các ổ đĩa được chọn
- Khi VDP hoàn thành nhiệm vụ của mình, phần mềm máy chủ yêu cầu người dùng
phải nhập khoá mới, hoặc chọn trong những khoá đã có. Nếu người dùng không muốn có thể tiếp
tục, khi đó phần mềm sẽ dùng khoá mới nhất mà người dùng đã nhập.
- Phần mềm mã hoá dữ liệu sao lưu.
- Trình kiểm tra dữ liệu trùng lặp được gọi.
4.3.3. Sao lưu mức khách
Sao lưu mức khách giúp chúng ta sao lưu các ứng dụng như Microsoft SQL, Echange server,
Sharepoint server. Một agent dược cài đặt trên máy ảo cho phép chúng ta sao lưu những phân vùng
lưu trữ dữ liệu của những ứng dụng này. Quá trình sao lưu mức khách được thực hiện như sau.

Hình 4.8. Quá trình sao lưu mức khách của người dùng
4. 4. Quá trình phục hồi
Những máy ảo đã sao lưu có thể được phục hồi với yêu cầu của người dùng. Người quản trị có
thể phục hồi toàn bộ dữ liệu máy ảo của người dùng nhưng anh ta không thể có khoá để có thể đăng
nhập vào máy ảo. Điều này giúp dữ liệu được an toàn trong cả quá trình phục hồi.
4.4.1. Phục hồi sao lưu mức hình ảnh
Đây là cách thức phục hồi căn bản nhất mà chúng ta phải có trong phần mềm. Quy trình phục
hồi như sau:

Hình 4.9. Quá trình phục hồi mức hình ảnh của người dùng


24
4.4.2. Phục hồi sao lưu mức VMDK đơn
Quá trình phục hồi mức VMDK đơn được thực hiện như sau:

Hình 4.10. Quá trình phục hồi mức VMDK đơn của người dùng
4.4.3. Phục hồi sao lưu mức khách
Quá trình phục hồi mức khách diễn ra khi máy ảo đang chạy. Vì chúng ta có sử dụng phần

mềm đượccài đặt trên hệ điều hành để thực hiện điều này. Nếu máy ảo của chúng ta đang tắt, chúng ta
không thể tiến hành phục hồi. Bởi vì với phương pháp sao lưu và phục hồi này, chúng ta cần thao tác
với đường dẫn đến dữ liệu của các phần mềm.
Quá trình phục hồi diễn ra như sau:

Hình 4.11. Quá trình phục hồi mức hình ảnh của người dùng
4. 5. Phục hồi sau thảm họa
Phần mềm của chúng ta có nhân là VDP, chính vì vậy nếu chúng ta sử dụng phiên bản VDP
Advance thì chúng ta có thể có tính năng tự động nhân rộng dữ liệu mà không cần làm thêm điều gì. Ở
thời điểm này, phần mềm của tôi chưa hỗ trợ một tính năng nhân rộng dữ liệu tới các máy chủ khác
bên ngoài mạng. Nhưng chúng ta có thể hoàn toàn tin tưởng vào VDP Advance bởi vì dữ liệu của
chúng ta đã có khoá mã hoá để có thể bảo vệ chúng ta trước nguy cơ mất an toàn dữ liệu.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×