Giới thiệu Hyper-V
Hyper-V là sản phẩm ảo hóa phần cứng của Microsoft, cho phép người dùng tạo, triển khai và quản lý nhiều máy ảo (VM) trên một máy vật lý duy nhất. Mỗi máy ảo (VM) được phân bổ các tài nguyên vật lý (như CPU, bộ nhớ, dung lượng lưu trữ, v.v.) và hoạt động như một máy tính vật lý chạy hệ điều hành và các chương trình. Chúng được cách ly hoàn toàn với nhau. Công nghệ này đóng vai trò quan trọng trong điện toán đám mây và ảo hóa máy chủ, mang lại nhiều lợi ích cho các nhóm CNTT.
Hyper-V là công nghệ ảo hóa dựa trên Hypervisor. Nhờ Hypervisor, Hyper-V ảo hóa tất cả các tài nguyên phần cứng của một máy tính vật lý và chia sẻ chúng trên các máy ảo khác nhau để cung cấp khả năng quản lý và mở rộng tích hợp cho các khối lượng công việc ảo hóa. Đối với Windows Hyper-V, hypervisor chạy trực tiếp trên phần cứng để điều khiển phần cứng vật lý và quản lý hệ điều hành khách. Kiến trúc này giảm thiểu độ trễ, tối đa hóa hiệu suất và làm cho mỗi máy ảo hoạt động hoàn toàn độc lập. Máy tính vật lý mà Hyper-V chạy trên đó được gọi là máy chủ (host), trong khi các máy ảo chạy trên máy chủ được gọi là máy ảo khách (guest VM).
Hyper-V đi kèm với rất nhiều tính năng giúp tăng cường chức năng và khả năng sử dụng. Những tính năng này được thiết kế để cải thiện hiệu suất, khả năng mở rộng và khả năng quản lý của môi trường ảo. Dưới đây là một số tính năng chính của Hyper-V.
- Tính di động – Các tính năng như di chuyển trực tiếp, di chuyển bộ nhớ và nhập/xuất cho phép chuyển các máy ảo đang chạy giữa các máy chủ vật lý mà không gây gián đoạn hoạt động, đảm bảo hoạt động kinh doanh không bị gián đoạn.
- Khôi phục sau sự cố và sao lưu – Để khôi phục sau sự cố, Hyper-V Replica tạo bản sao của máy ảo để lưu trữ tại một vị trí vật lý khác, cho phép khôi phục máy ảo từ bản sao đó. Để sao lưu, Hyper-V cung cấp các trạng thái đã lưu và Dịch vụ Sao chép Bóng Khối lượng (VSS) để hỗ trợ.
- Tính sẵn sàng cao – Khi được sử dụng kết hợp với các công nghệ khác của Microsoft như Failover Clustering, Hyper-V có thể cung cấp tính sẵn sàng cao cho các máy ảo. Nếu một máy chủ gặp sự cố, các máy ảo trên máy chủ đó sẽ tự động được chuyển sang máy chủ khác trong cụm, giảm thiểu thời gian ngừng hoạt động.
- Bảo mật – Khởi động an toàn và máy ảo được bảo vệ giúp chống lại phần mềm độc hại và các truy cập trái phép khác vào máy ảo và dữ liệu của nó. Hyper-V được sử dụng cho bảo mật nền tảng. Bảo mật dựa trên ảo hóa (VBS) sử dụng ảo hóa phần cứng và hypervisor để tạo ra một môi trường ảo biệt lập, trở thành gốc tin cậy của hệ điều hành, giả định rằng nhân hệ điều hành có thể bị xâm phạm. Windows sử dụng môi trường biệt lập này để lưu trữ một số giải pháp bảo mật, cung cấp cho chúng khả năng bảo vệ tăng cường khỏi các lỗ hổng và ngăn chặn việc sử dụng các khai thác độc hại nhằm phá vỡ các biện pháp bảo vệ.
Hyper-V được tích hợp sẵn trong Windows Server, điều này làm cho nó trở thành một lựa chọn hoàn hảo và tiết kiệm chi phí cho các tổ chức đã sử dụng các sản phẩm của Microsoft. Windows Server 2025 mang đến những cải tiến vượt bậc về hiệu năng và khả năng mở rộng với Hyper-V. Máy ảo thế hệ 2 (VM) trong Hyper-V trên Windows Server 2025 hỗ trợ tối đa 2.048 CPU ảo và 240 TB bộ nhớ. Ngoài ra, phân vùng GPU cho phép truy cập GPU dùng chung giữa các VM với hỗ trợ di chuyển trực tiếp. Cụm Workgroup cung cấp khả năng tạo cụm Hyper-V không cần Active Directory.
Generation 2 VM with Windows Server 2025
Các phương pháp tạo VM Gen2 thực hiện giống với cách thiết lập VM Gen1, ngoại trừ lựa chọn phiên bản thế hệ
Khi tạo VM Gen2, thông qua Hyper-V Manager, hãy giữ nguyên cài đặt Gen2 mặc định trên Specify Generation
Cài đặt trên giao diện PowerShell (Generation 2)
Khi tạo VM Gen2 bằng lệnh PowerShell, hãy nhớ chỉ định rõ ràng thiết lập Gen2.
Lệnh sau tạo VM Gen 2 có tên VM_WS2025_gen2 với 4 GB bộ nhớ:
PS> New-VM -Name “VM_WS2025_gen2” -MemoryStartupBytes 4GB -Generation 2
Cấu hình Virtual processors (Generation 2)
Windows Server 2025 cung cấp nhiều tùy chọn cài đặt bộ xử lý ảo cho VM Gen 2 để cải thiện hiệu suất. Đối với VM Gen 2, số lượng vCPU tối đa là 2048. Khi Hyper-V Manager tạo loại VM này, số lượng bộ xử lý ảo mặc định sẽ bằng khoảng một nửa tổng số bộ xử lý logic có sẵn trên máy chủ.
Các ví dụ dưới đây được lấy từ máy chủ được cấu hình với hai bộ xử lý AMD 96C và tổng số bộ xử lý logic là 384.
Thử tạo một VM Gen 2 bằng Hyper-V Manager. Sau khi tạo xong, hãy kiểm tra cài đặt bộ xử lý của máy ảo. Bạn sẽ thấy số lượng bộ xử lý ảo là 192 và phần trăm tổng tài nguyên hệ thống là 50%.
Vào phần Processors của VM có thể thay đổi số lượng vCPU thành số lượng bộ xử lý logic tổng cộng của máy chủ là 384. Ở đây, phần trăm tổng tài nguyên hệ thống hiển thị là 100%. Phần trăm tổng tài nguyên hệ thống cho một VM là giá trị được tính toán dựa trên số lượng CPU được phân bổ và giới hạn tối đa đã đặt. Giá trị 100 có nghĩa là giới hạn và chúng ta không thể chỉ định nhiều bộ xử lý ảo hơn.
Đối với máy ảo thế hệ 2, số lượng bộ xử lý ảo tối đa được cho phép trong Hyper-V Manager là 1024. Nếu bộ xử lý ảo được phân bổ bằng lệnh PowerShell, số lượng bộ xử lý ảo tối đa là 2048.
Việc tạo VM Gen1 hay VM Gen2 phụ thuộc vào hệ điều hành khách bạn muốn cài đặt, phương thức khởi động bạn muốn sử dụng để triển khai máy ảo và khả năng mở rộng cần thiết. Nếu phương thức khởi động bạn muốn sử dụng không hỗ trợ Gen2, hoặc ổ cứng ảo được tạo sẵn hiện có không tương thích với UEFI, thì bạn sẽ cần sử dụng máy ảo Gen1.
Nhìn chung, nên sử dụng VM Gen2 để tận dụng các tùy chọn khởi động nâng cao hơn, hỗ trợ thiết bị được cải thiện, thời gian khởi động nhanh hơn, khả năng mở rộng cao và bảo mật đáng tin cậy hơn. Không thể thay đổi thế hệ máy ảo (VM) sau khi VM đã được tạo. Để nâng cấp VM Gen1 lên VM Gen2, bạn cần tạo một VM Gen 2 mới và tự tay di chuyển dữ liệu cũng như cài đặt của mình sang VM này. Việc chuyển đổi dữ liệu cần xem xét thuộc tính dữ liệu và phương pháp hợp lý.
Enable secure boot and vTPM for a Generation 2 VM
Chế độ khởi động Secure boot được bật mặc định cho VM Gen2 để giúp ngăn chặn việc chạy các phần mềm, hệ điều hành hoặc trình điều khiển UEFI trái phép khi khởi động. Bạn có thể sử dụng secure boot với các VM Gen2 chạy hệ điều hành Windows hoặc Linux. Đối với các máy ảo Linux Gen2 có chế độ khởi động an toàn, bạn cần chọn mẫu UEFI CA Secure Boot tại Settings Chọn Hardware, tiếp theo chọn Security trước khi kết nối hoặc khởi động VM
vTPM (Virtual Trusted Platform Module)
TPM vật lý là một con chip bảo mật được hàn trên bo mạch chủ của máy tính/máy chủ. Nhiệm vụ của nó là tạo, lưu trữ và bảo vệ các khóa mã hóa (như khóa BitLocker), mật khẩu và chứng chỉ số ở cấp độ phần cứng. Khi kẻ gian đánh cắp ổ cứng mang sang máy khác, chúng không thể đọc được dữ liệu vì thiếu con chip TPM lưu khóa giải mã.
Tuy nhiên, trong môi trường ảo hóa (Hyper-V), các máy ảo (VM) chỉ là các file dữ liệu (VHDX, XML…) nằm trên ổ cứng vật lý. Nếu copy file VHDX này sang một máy chủ Hyper-V khác, máy ảo vẫn chạy bình thường. Điều này tạo ra rủi ro bảo mật khổng lồ. vTPM (Virtual TPM) ra đời để giải quyết vấn đề này. Hyper-V sẽ giả lập và cấp cho mỗi máy ảo một “con chip TPM 2.0 ảo”. Hệ điều hành bên trong máy ảo (Windows 11, Windows Server 2025) sẽ nhận diện và sử dụng vTPM này y hệt như một con chip vật lý thực thụ.
vTPM (Virtual Trusted Platform Module) là phiên bản ảo hóa của thiết bị phần cứng TPM 2.0. Nó đóng vai trò như một kho lưu trữ an toàn chuyên dụng để lưu trữ các khóa, chứng chỉ và bí mật, và rất hữu ích cho các VM. Chúng ta có thể bật vTPM cho máy ảo thế hệ 2 trong Settings, chọn Hardware, thông tin Security của VM. Có thể kích hoạt vTPM bằng lệnh PowerShell
PS> Enable-VMTPM -VMName “VM01”
Sau khi bật chế độ khởi động an toàn và TPM cho máy ảo, hãy khởi động máy ảo này, sau đó thiết bị TPM 2.0 sẽ được tìm thấy trong Device Manage của VM
Nếu một máy chủ tại nhà máy bị trộm, hoặc một Admin có ý đồ xấu copy file VHDX chứa dữ liệu R&D (công thức chế biến, thông tin tài chính), họ sẽ không thể mở hay khởi động được máy ảo đó trên bất kỳ hệ thống nào khác.
Cơ chế hoạt động của vTPM trên Hyper-V
Để triển khai được vTPM, kiến trúc hệ thống yêu cầu các yếu tố sau:
Generation 2 VM: Máy ảo bắt buộc phải được khởi tạo ở Generation 2, vì thế hệ này sử dụng firmware UEFI thay cho BIOS cũ, từ đó hỗ trợ các tính năng bảo mật nâng cao như Secure Boot và Shielded VMs.
Trạng thái lưu trữ độc lập (VMGS): Khi vTPM được kích hoạt, Hyper-V sẽ lưu trữ trạng thái của chip TPM ảo (bao gồm các khóa mã hóa của VM) vào một file đặc biệt có đuôi là .vmgs (Virtual Machine Guest State). File này được mã hóa chặt chẽ và gắn liền với nền tảng máy chủ Host.
Bảo vệ từ Host: Dữ liệu trong vTPM của máy ảo được bảo vệ bằng chính các cơ chế mã hóa của máy chủ vật lý đang chạy nó. Nếu cấu hình cao cấp hơn, nó sẽ được bảo vệ bởi một hệ thống quản lý khóa tập trung.
Phòng chống mã độc can thiệp vào Boot Process. Khi kết hợp vTPM với Secure Boot (một tính năng của Gen 2 VM giúp xác minh chữ ký số của các file trong quá trình khởi động), hệ thống sẽ ngăn chặn triệt để các loại mã độc (Rootkit/Bootkit) cố gắng khởi chạy trước cả hệ điều hành
