OCN Cloud - User Guide

---

Mục lục

On this page

• OCN Cloud - User Guide
  • Mục lục
  • 1. Giới thiệu OCN Cloud
    • 1.1 Tại sao nên dùng OCN Cloud?
    • 1.2 Các khái niệm cần biết trước
  • 2. Truy cập và đăng nhập hệ thống
    • 2.1 Đăng nhập hệ thống
    • 2.2 Giao diện chính
    • 2.3 Đổi mật khẩu
    • 2.4 Đăng xuất
  • 3. Trang Overview (Tổng quan)
    • 3.1 Summary - Thống kê tổng quan
    • 3.2 Resource Usage - Mức sử dụng tài nguyên
    • 3.3 Instance Distribution — Phân bổ theo Project
  • 4. Hướng dẫn sử dụng các tính năng quản lý tài nguyên
    • 4.1 Compute (Tính Toán)
    • 4.2 Neuron — Quản lý Compute Node
    • 4.3 Storage — Quản lý Lưu Trữ
    • 4.4 Network — Quản lý Mạng
    • 4.5 Firewall — Kiểm soát Lưu lượng Mạng
    • 4.6 Monitoring & Alerting
    • 4.7 Phân quyền — RBAC & Project
    • 4.8 Kubernetes (K8s) — Quản lý Container
    • 4.9 Object Storage (S3) — Lưu trữ Đối tượng
  • 5. Workflow Thực Tế — Hướng Dẫn Nhanh
    • 5.1 Workflow: Triển khai máy chủ web mới
    • 5.2 Workflow: Thêm ổ đĩa dữ liệu vào VM
    • 5.3 Workflow: Mở rộng VM khi thiếu tài nguyên
    • 5.4 Workflow: Backup VM trước khi bảo trì bằng cách tạo Snapshot
    • 5.5 Workflow: Thêm thành viên mới vào team
  • 6. Xử lý sự cố thường gặp
    • 6.1 VM không khởi động được
    • 6.2 Không kết nối SSH được vào VM
    • 6.3 Lỗi mạng — VM không kết nối được
  • 7. Best Practices
    • 7.1 Security
    • 7.2 Resource Management
    • 7.3 Network Design
    • 7.4 Backup và DR
  • 8. Phụ lục: Thuật ngữ và tham chiếu nhanh
    • A. Bảng thuật ngữ
    • B. Tham chiếu nhanh — Đường dẫn các trang

---

BẢNG GHI NHẬN THAY ĐỔI TÀI LIỆU

A- Tạo mới, M- Sửa đổi, D- Xóa bỏ

Ngày thay đổi	Vị trí thay đổi	A, M, D	Phiên bản cũ	Mô tả thay đổi	Phiên bản mới
14/01/2026	Toàn bộ	A		Tạo mới toàn bộ	v1.0
18/04/2026	Toàn bộ	M	v1.0	Thay đổi giao diện; Tính năng Firewall; Tính năng S3; Tính năng K8s; Tích hợp hệ thống IAM	v2.0

1. Giới thiệu OCN Cloud

OCN Cloud là nền tảng điện toán đám mây (Cloud Computing) thuần Việt, được phát triển bởi đội ngũ kỹ sư Việt Nam. Nền tảng cung cấp đầy đủ các dịch vụ hạ tầng ảo hóa bao gồm máy ảo (VM), lưu trữ (Storage), mạng (Network) và quản lý người dùng, cho phép tổ chức và doanh nghiệp triển khai, vận hành hạ tầng IT thông qua một giao diện web duy nhất.

1.1 Tại sao nên dùng OCN Cloud?

Thay vì đầu tư phần cứng vật lý, OCN Cloud cho phép người dùng:

• Cấp phát máy chủ trong vài phút thay vì vài tuần
• Tăng hoặc giảm tài nguyên theo nhu cầu thực tế
• Quản lý toàn bộ hạ tầng từ trình duyệt web, không cần đến phòng máy chủ
• Phân quyền chi tiết cho từng thành viên trong team
• Theo dõi chi phí và mức sử dụng tài nguyên theo thời gian thực

1.2 Các khái niệm cần biết trước

Trước khi bắt đầu, cần nắm được các khái niệm nền tảng sau:

Khái niệm	Ý nghĩa	Ví dụ
Tenant	Khái niệm chỉ một khách hàng (cá nhân hoặc tổ chức) sử dụng OCN Cloud. Mỗi Tenant hoàn toàn biệt lập với Tenant khác và có thể sở hữu nhiều Project	Công ty ABC là một Tenant, có 3 Project: Production, Staging, Dev
Project	Không gian làm việc độc lập, chứa toàn bộ tài nguyên của một nhóm hoặc một môi trường	Project “Production”, Project “Dev-Team-A”
Country	Cấp địa lý cao nhất trong hạ tầng OCN Cloud, đại diện cho một quốc gia. Mỗi Country chứa một hoặc nhiều Region	Country “Việt Nam” chứa Region Hà Nội và Region TP.HCM
Region	Vùng địa lý nơi hạ tầng được đặt.	Hà Nội, TP. Hồ Chí Minh
Logical Zone	Lớp Zone logic — gom nhóm nhiều Physical Zone thành một đơn vị quản lý thống nhất. Người dùng chọn Logical Zone khi triển khai VM; hệ thống tự điều phối xuống Physical Zone phù hợp. Nhằm mục đích đơn giản hóa lựa chọn, ẩn đi sự phức tạp vật lý bên dưới.	Logical Zone “HN-Core” gồm 3 Physical Zone
Physical Zone	Lớp Zone vật lý thực tế — tập hợp các Placement Group và Neuron (máy chủ vật lý). Đây là tầng thấp nhất nơi VM thực sự chạy. Nhằm mục đích phân tách vật lý để tăng tính sẵn sàng và cô lập sự cố.	Physical Zone “PZ-A”, “PZ-B” trong HN-Core
Placement Group	Nhóm quy tắc điều phối phân bổ VM lên các Neuron. Dùng quy tắc anti-affinity để đảm bảo các VM quan trọng KHÔNG chạy trên cùng một máy chủ vật lý — tăng tính sẵn sàng cao (HA)	Placement Group “web-ha”: 3 VM web server chạy trên 3 Neuron khác nhau
Neuron	Máy chủ vật lý (compute node) — nơi các máy ảo thực sự chạy	Neuron-01, Neuron-02

• OCN Cloud hỗ trợ mô hình triển khai đa Region và đa Zone, cho phép người dùng phân bổ workload trên nhiều khu vực địa lý và nhiều tầng hạ tầng khác nhau nhằm nâng cao khả năng sẵn sàng, tối ưu hiệu năng truy cập, và tăng cường khả năng dự phòng cho hệ thống.
• Quan hệ phân cấp: Country → Region → Logical Zone → Physical Zone → Placement Group → Neuron → VM.
• Logical Zone là điểm lựa chọn của người dùng khi tạo VM.
• Physical Zone là chi tiết vận hành nội bộ — thường chỉ Sysadmin cần quan tâm.
• Project tồn tại độc lập và có thể sử dụng tài nguyên ở nhiều Region, Zone khác nhau. Mọi tài nguyên được tạo trên OCN Cloud đều phải thuộc về một Project.

Mỗi Project có:

• Quota tài nguyên riêng: giới hạn CPU, RAM, Storage, và số lượng địa chỉ IP.
• Danh sách thành viên và phân quyền riêng, giúp kiểm soát ai được làm gì trong Project đó.

2. Truy cập và đăng nhập hệ thống

Phần này hướng dẫn cách đăng nhập vào OCN Cloud và làm quen với giao diện chính.

Tài khoản Super admin được tạo bằng cách seeding DB. Super admin có thể tạo người dùng và phân quyền người dùng trên giao diện quản trị.

2.1 Đăng nhập hệ thống

2.1.1 Đăng nhập bằng Username / password (tài khoản local)

Để truy cập OCN Cloud, mở trình duyệt (Chrome hoặc Firefox khuyến nghị) và điều hướng đến URL giao diện web quản trị mà quản trị viên hệ thống đã cung cấp.

Các bước đăng nhập:

1. Nhập tên đăng nhập (username) và mật khẩu (password) vào form đăng nhập.
2. Nếu tài khoản đã bật xác thực đa yếu tố (2FA / MFA), nhập mã OTP từ ứng dụng xác thực trên điện thoại của bạn.
3. Nhấn nút “Đăng nhập”. Hệ thống chuyển đến trang Overview.

💡 Lưu ý bảo mật: OCN Cloud hỗ trợ Multi-Factor Authentication (MFA). Quản trị viên nên bật MFA cho tất cả tài khoản có quyền admin để tăng cường bảo mật.

2.1.2 Đăng nhập qua hệ thống định danh IAM

Ngoài phương thức đăng nhập trực tiếp bằng username/password, OCN Cloud hỗ trợ tích hợp đăng nhập qua hệ thống IAM của tổ chức. Đây là phương thức được khuyến nghị cho doanh nghiệp vì tập trung quản lý danh tính tại một nơi và không cần tạo tài khoản riêng trên OCN Cloud.

OCN Cloud hiện đã tích hợp hệ thống OCN IAM (Identity and Access Management) giúp quản lý định danh tập trung:

• Single Sign-On (SSO): Sử dụng một tài khoản duy nhất để truy cập toàn bộ hệ sinh thái dịch vụ OCN.
• Quản lý phiên làm việc: Đảm bảo an toàn với các chính sách kiểm soát truy cập nghiêm ngặt và hỗ trợ MFA (Xác thực đa yếu tố).

Cách đăng nhập qua IAM

1. Trên trang đăng nhập, nhấn nút Đăng nhập với SSO, lựa chọn Sign in with OCN

2. Hệ thống chuyển hướng đến trang đăng nhập của IAM.

3. Nhập thông tin đăng nhập IAM: username / password.

4. Nếu IAM yêu cầu MFA, thực hiện xác thực theo hướng dẫn của IAM.

5. Sau khi xác thực thành công, IAM chuyển hướng trở lại OCN Cloud và tự động đăng nhập.

Note

Lưu ý bảo mật: OCN Cloud hỗ trợ Multi-Factor Authentication (MFA). Quản trị viên nên bật MFA cho tất cả tài khoản có quyền admin để tăng cường bảo mật.

2.2 Giao diện chính

Sau khi đăng nhập thành công, bạn sẽ thấy giao diện chính gồm ba khu vực:

Vùng	Vị trí	Chức năng
Sidebar	Bên trái	Menu điều hướng toàn bộ module: Compute, Storage, Network, Firewall, RBAC… Nhấn vào từng mục để mở rộng và điều hướng đến tính năng tương ứng.
Header	Phía trên	Chọn Project đang làm việc, xem thông báo hệ thống
Vùng nội dung	Giữa màn hình	Hiển thị dữ liệu và form thao tác theo menu đang chọn

Lưu ý: Mọi tài nguyên (VM, Volume, Network…) đều gắn với một Project cụ thể. Luôn kiểm tra bạn đang ở đúng Project trên thanh header trước khi tạo hoặc chỉnh sửa bất kỳ thứ gì.

2.3 Đổi mật khẩu

Nhấn vào biểu tượng tài khoản ở góc dưới trái → chọn Change Password. Nhập mật khẩu hiện tại, mật khẩu mới và xác nhận mật khẩu mới, sau đó nhấn Update để cập nhật mật khẩu mới.

2.4 Đăng xuất

Nhấn vào biểu tượng tài khoản ở góc dưới trái → chọn Logout và xác nhận để đăng xuất khỏi hệ thống.

Note

Luôn đăng xuất khi sử dụng máy tính chung hoặc khi rời khỏi nơi làm việc.*

3. Trang Overview (Tổng quan)

Trang Overview là màn hình đầu tiên sau khi đăng nhập. Đây là nơi người dùng nắm bắt trạng thái tổng thể của toàn bộ hạ tầng trước khi đi vào quản lý từng tài nguyên cụ thể.

Đường dẫn: /overview

3.1 Summary - Thống kê tổng quan

Khu vực đầu trang hiển thị số lượng tài nguyên hiện có:

• Country / Region / Zone đã cấu hình trong hệ thống
• Project đang hoạt động
• Neuron (máy chủ vật lý)
• VM đang chạy (Running)

3.2 Resource Usage - Mức sử dụng tài nguyên

Biểu đồ Resource Usage hiển thị mức dùng tổng thể của cluster theo ba chiều: CPU (%), RAM (%) và Storage (%). Đây là chỉ số sức khỏe tổng thể của hệ thống.

3.3 Instance Distribution — Phân bổ theo Project

Biểu đồ cột bên dưới phân bổ số lượng VM theo từng Project. Dùng biểu đồ này để nhận diện Project nào đang tiêu thụ nhiều tài nguyên nhất và cân đối lại nếu cần.

4. Hướng dẫn sử dụng các tính năng quản lý tài nguyên

4.1 Compute (Tính Toán)

Module Compute là trung tâm của OCN Cloud — nơi người dùng tạo, vận hành và giám sát các máy ảo. Một máy ảo (Virtual Machine) hoạt động như một máy chủ vật lý độc lập nhưng chạy trên phần cứng dùng chung, giúp tối ưu chi phí và linh hoạt mở rộng.

4.1.1 Xem danh sách VM

Đường dẫn: /compute/vm

Trang danh sách VM hiển thị toàn bộ máy ảo trong Project hiện tại, với các thông tin:

• Tên VM và trạng thái hiện tại
• Cấu hình: số vCPU, RAM (GB), Disk (GB)
• Địa chỉ IP nội bộ và IP public (nếu có)
• Neuron (host vật lý) đang chạy VM
• Thời điểm tạo

Trạng thái	Ý nghĩa
Running	VM đang hoạt động bình thường
Stopped	VM đã tắt, không tiêu thụ CPU/RAM nhưng vẫn chiếm Storage
Provisioning	VM đang được khởi tạo
Paused	VM đang tạm dừng hoạt động
Deleting	VM đang được xóa
Error	VM bị lỗi
Changing type	Đang thay đổi cấu hình VM
Crashed	VM đã bị lỗi hệ thống tự ngắt đột ngột
Migrating	VM đang được chuyển từ host này sang host khác
HA Processing	VM đang được chuyển từ node down sang node khác
Snapshotting	VM đang được tạo lại bản chụp tại thời điểm đó
Reverting	Rollback VM về một thời điểm cụ thể trong quá khứ

4.1.2 Tạo VM mới

Trước khi tạo VM, đảm bảo bạn đã có sẵn: Một VPC và Subnet (xem Chương 5), một SSH Keypair (xem mục 4.5), và Image hệ điều hành phù hợp.

Các bước thực hiện:

1. Vào Compute → VM → nhấn nút Create VM.

2. Lựa chọn Project, Logical zone, Placement group, GPU name

3. Tab VM Detail: Nhập tên VM, Quantity, Tags

4. Tab VM Type: chọn cấu hình phù hợp. Xem bảng gợi ý bên dưới.

5. Tab VM Template: chọn hệ điều hành (Ubuntu, CentOS, Windows Server…), sau đó chọn một trong các template sẵn có tương ứng hệ điều hành.

6. Tab Network: chọn VPC và Subnet. Bật Enable Floating IP nếu VM cần truy cập từ internet. Cần có ít nhất 1 interface để tạo được VM

7. Nhấn Create để tạo VM.

4.1.3 Các thao tác với VM

Nhấn vào menu (…) ở cuối dòng mỗi VM để thực hiện các thao tác:

Thao tác	Khi nào dùng	Lưu ý
Start	Khởi động VM đang Stopped	—
Stop	Tắt VM (graceful shutdown)	Dữ liệu trên disk được giữ nguyên
Restart	Khởi động lại VM đang chạy	Tương đương reboot trong OS
Suspend / Resume	Tạm dừng và tiếp tục VM	RAM được lưu tạm, giải phóng CPU nhanh
Live Migrate	Chuyển VM sang host khác, không downtime	Dùng khi cần bảo trì host hiện tại
Cold Migrate	Chuyển VM sang host khác, có downtime ngắn	Dùng khi Live Migrate không khả dụng
Change VM Type	Thay đổi cấu hình CPU/RAM	VM cần Stop trước khi đổi type
Console	Truy cập trực tiếp màn hình VM từ browser	Dùng khi không SSH được
Attach External IP	Gắn IP public cho VM	IP lấy từ pool IPAM

4.1.4 Xem chi tiết VM

Nhấn vào tên VM để mở trang chi tiết, gồm ba tab:

• Information
• Monitor
• Logs

4.1.5 SSH Keypair — Khóa đăng nhập

Đường dẫn: /compute/keypair

SSH Keypair là cặp khóa mã hóa để đăng nhập vào VM Linux mà không cần mật khẩu — an toàn và tiện hơn nhiều. Bạn cần tạo hoặc import keypair trước khi tạo VM. Có 2 cách hỗ trợ người dùng tạo và sử dụng keypair.

Cách 1. Tạo keypair mới:

1. Vào Compute → Keypair → nhấn Create → chọn tab Create Keypair
2. Đặt tên cho keypair, lựa chọn Project, Type, Key size, Format
3. Nhập Passphrase, Confirm Passphrase
4. Nhấn Create để tạo Keypair, hệ thống tạo cặp khóa và tự động tải file private key (.pem) về máy.

Cách 2. Import keypair:

1. Tạo keypair tại máy tính local bằng cách chạy lệnh: ssh-keygen
2. Vào Compute → Keypair → Create → chọn tab Import Keypair
3. Tải file public key vừa tạo và nhấn Import Key Pair để lưu keypair lên hệ thống.

4.1.6 Image — Template hệ điều hành

Đường dẫn: /compute/image

Image là file cài đặt sẵn hệ điều hành dùng làm khuôn để tạo VM. OCN Cloud cung cấp sẵn các image phổ biến; người dùng cũng có thể upload image tùy chỉnh.

1. Xem danh sách image có sẵn và thông tin phiên bản OS
2. Upload image tùy chỉnh: nhấn Create
3. Điền các thông tin: Name, Distribute version, CPU
4. Image URL là đường dẫn tới file có định dạng .img hoặc .qcow, .qcow2
5. Nhấn Create để tạo image

Người dùng có thể tạo VM trực tiếp từ image bằng nút Create Instance trên dòng image đó.

4.1.7 Snapshot — Điểm khôi phục VM

Đường dẫn: /compute/snapshot

Snapshot lưu lại toàn bộ trạng thái của VM tại một thời điểm cụ thể. Đây là công cụ backup nhanh trước khi thực hiện thay đổi có rủi ro.

Tạo snapshot:

1. Vào Compute → Snapshot
2. Chọn VM muốn snapshot, đặt tên snapshot (ví dụ: “before-upgrade-nginx”).
3. Nhấn Create Snapshot.

Khôi phục từ snapshot:

Để khôi phục snapshot, cần stop VM trước khi thực hiện thao tác này.

1. Trong danh sách Snapshot, tìm snapshot muốn khôi phục.
2. Nhấn (…) → Revert to Snapshot. VM sẽ được khôi phục về đúng trạng thái tại thời điểm snapshot.

Tip

Khi nào nên tạo snapshot?
• Trước khi cập nhật hệ điều hành (apt upgrade / yum update)
• Trước khi cài đặt phần mềm lớn hoặc thay đổi cấu hình hệ thống
• Trước khi thử nghiệm script automation lần đầu

4.2 Neuron — Quản lý Compute Node

Neuron là thuật ngữ OCN Cloud dùng để chỉ các máy chủ vật lý (compute node) — nơi các máy ảo thực sự chạy. Quản lý Neuron thường là công việc của Sysadmin hoặc đội vận hành hạ tầng.

Đường dẫn: /neuron

4.2.1 Xem danh sách Neuron

Trang Neuron liệt kê toàn bộ máy chủ vật lý với các thông tin:

• Tên Neuron và trạng thái hiện tại (Active / Inactive / Maintenance)
• Physical Zone và Placement Group mà Neuron thuộc về

Trạng thái	Ý nghĩa	Hành động cần làm
🟢 Active	Neuron hoạt động bình thường, sẵn sàng nhận VM mới	Không cần làm gì
🔴 Inactive	Neuron mất kết nối với hệ thống quản lý	Kiểm tra kết nối mạng, trạng thái dịch vụ trên host. Hệ thống gửi alert ngay khi Neuron offline
🔧 Maintenance	Neuron đang trong chế độ bảo trì, không nhận VM mới	Trạng thái do admin chủ động bật để bảo trì phần cứng hoặc nâng cấp

4.2.2 Xem chi tiết Neuron

Nhấn vào tên Neuron để mở trang chi tiết, gồm hai tab:

• Information: Hiển thị tổng tài nguyên CPU, RAM, Disk, phiên bản hệ điều hành.
• Monitor: Theo dõi hiệu năng Neuron, tài nguyên đang dùng, % CPU và RAM đã cấp phát.

4.2.3 Maintenance Mode — Chế độ bảo trì

Maintenance Mode ngăn hệ thống phân bổ VM mới lên Neuron đang cần bảo trì. Đây là bước bắt buộc trước khi thực hiện bất kỳ thao tác nào trên phần cứng host.

Quy trình bật Maintenance Mode đúng cách:

1. Trong danh sách Neuron, nhấn (…) → Enter Maintenance Mode.
2. Hệ thống ngừng phân bổ VM mới lên Neuron này. Các VM đang chạy vẫn tiếp tục hoạt động — không bị dừng đột ngột.
3. Migrate các VM hiện có sang Neuron khác nếu cần tắt hẳn host: vào từng VM → Live Migrate sang Neuron còn lại.
4. Thực hiện công việc bảo trì trên phần cứng (thay RAM, nâng cấp firmware, cập nhật OS host…).
5. Sau khi hoàn tất: nhấn (…) → Exit Maintenance Mode để đưa Neuron trở lại hoạt động bình thường.

Warning

Không tắt host khi còn VM đang chạy
Maintenance Mode chỉ ngăn VM mới — không tự động tắt VM hiện có. Nếu tắt nguồn Neuron khi còn VM đang chạy, tất cả VM trên đó sẽ bị crash đột ngột và có thể mất dữ liệu chưa lưu. Luôn Live Migrate hoặc Stop toàn bộ VM trước khi tắt nguồn host vật lý.

4.2.4 Xóa Neuron khỏi Placement Group

Khi cần loại bỏ hoàn toàn một Neuron khỏi hệ thống (thay thế phần cứng, thu hồi máy chủ):

1. Bật Maintenance Mode cho Neuron cần xóa.
2. Migrate toàn bộ VM sang các Neuron khác (Live Migrate hoặc Cold Migrate).
3. Xác nhận Neuron không còn VM nào đang chạy.
4. Nhấn (…) → Delete để xóa Neuron khỏi cluster.

Note

Không thể xóa Neuron còn VM đang chạy
Hệ thống sẽ từ chối thao tác Delete nếu Neuron vẫn còn VM. Đây là cơ chế bảo vệ tránh mất dữ liệu ngoài ý muốn.

4.2.5 Cân bằng tải giữa các Neuron

• Khi một số Neuron có tỉ lệ sử dụng CPU/RAM cao trong khi các Neuron khác còn nhiều tài nguyên trống, bạn có thể cân bằng lại bằng cách migrate VM.
• Kiểm tra trang Neuron ít nhất mỗi tuần để phát hiện sớm Neuron đang bị quá tải. Phân bổ đều giúp tránh tình trạng một Neuron “nóng” ảnh hưởng đến hiệu năng toàn bộ VM trên đó.

4.3 Storage — Quản lý Lưu Trữ

Module Storage quản lý ổ đĩa ảo (Volume) gắn vào máy ảo. Volume hoạt động như ổ cứng riêng biệt — bạn có thể tạo, gắn vào VM, mở rộng kích thước, backup và tháo ra để gắn sang VM khác.

4.3.1 Volume — Ổ đĩa ảo

Đường dẫn: /storage/volume

Trang Volume liệt kê tất cả ổ đĩa trong Project hiện tại: tên, kích thước (GB), trạng thái và VM đang gắn (nếu có).

Tạo và gắn Volume vào VM

1. Vào Storage → Volume → nhấn Create.
2. Đặt tên volume, chọn kích thước (GB).
3. Nhấn Create. Volume xuất hiện ở trạng thái Ready.
4. Nhấn (…) → Attach to Instance. Chọn VM muốn gắn volume vào → xác nhận để gắn volume vào VM

Các thao tác khác với Volume

Thao tác	Khi nào dùng
Extend	Tăng kích thước volume khi cần thêm dung lượng. Không cần tắt VM.
Snapshot	Tạo điểm khôi phục cho dữ liệu trên volume tại thời điểm hiện tại.
Backup	Tạo bản sao lưu đầy đủ của volume vào hệ thống backup.
QoS	Giới hạn IOPS/bandwidth để đảm bảo không VM nào chiếm hết hiệu năng storage chung.
Delete	Xóa vĩnh viễn volume. Chỉ xóa được volume đang ở trạng thái Available (chưa gắn vào VM).

4.3.2 Storage Pool — Pool lưu trữ

Đường dẫn: /storage/pool

Storage Pool là tập hợp tài nguyên lưu trữ vật lý được gom lại. Khi tạo volume và gán cho VM, hệ thống sẽ xác định Pool nào sẽ cấp phát dung lượng.

Trang Pool cho phép xem dung lượng tổng, đã dùng và còn lại — nếu một Pool gần đầy, cần bổ sung lưu trữ vật lý hoặc dọn dẹp volume cũ.

4.3.3 QoS Policy — Chính sách hiệu năng I/O

Đường dẫn: /storage/qos

QoS (Quality of Service) Policy cho phép đặt giới hạn IOPS và bandwidth cho volume. Tạo nhiều policy với mức khác nhau rồi áp dụng vào từng volume phù hợp.

4.4 Network — Quản lý Mạng

Module Network cho phép thiết kế và quản lý toàn bộ hạ tầng mạng ảo: từ việc tạo mạng riêng (VPC), phân chia subnet, quản lý địa chỉ IP, đến cấu hình router kết nối ra internet.

Note

Thứ tự cần thực hiện khi thiết lập mạng từ đầu
1. Tạo VPC
2. Tạo Subnet
3. Tạo Router (nếu cần ra internet)
4. Gán External Network vào Router

4.4.1 VPC — Mạng riêng ảo

Đường dẫn: /network/vpc

VPC (Virtual Private Cloud) là mạng riêng biệt trong OCN Cloud — tất cả VM phải nằm trong ít nhất một VPC. Mỗi VPC được định nghĩa bằng một dải địa chỉ IP (CIDR block).

Tạo VPC mới:

1. Vào Network → VPC → nhấn Create.
2. Nhập tên VPC và CIDR block, ví dụ: 10.0.0.0/16 (cho phép đến 65.536 địa chỉ IP).
3. Nhấn Create.

Note

Lập kế hoạch CIDR trước khi tạo
• Dùng /16 cho VPC lớn (nhiều subnet, nhiều team)
• Dùng /24 cho môi trường nhỏ (tối đa 254 host)
• Tránh dùng dải 192.168.0.0/24 nếu trùng với mạng nội bộ công ty
• Không thể thay đổi CIDR sau khi tạo — hãy lập kế hoạch kỹ

4.4.2 Subnet — Mạng con

Đường dẫn: /network/subnet

Subnet chia VPC thành các phân đoạn mạng nhỏ hơn. Mỗi VM khi tạo được cấp IP từ Subnet được chọn. Việc phân chia Subnet trong mỗi VPC nhằm mục đích phân tách môi trường:

• Subnet public: cho VM cần truy cập từ internet
• Subnet private: cho các dịch vụ chỉ truy cập nội bộ

Tạo Subnet:

1. Đứng tại trang danh sách Subnet, nhấn Create
2. Nhập tên và CIDR phải nằm trong dải của VPC cha. Ví dụ VPC là 10.0.0.0/16 → Subnet có thể là 10.0.1.0/24.
3. Nhấn Create.

Có thể tạo Subnet từ trang chi tiết VPC

4.4.3 Router — Bộ định tuyến

Đường dẫn: /network/router

Router ảo điều phối lưu lượng mạng giữa các Subnet và ra internet. Người dùng cần tạo NAT Router nếu muốn VM có IP nội bộ truy cập được internet.

Tạo NAT Router và kết nối với Subnet:

1. Vào Network → Router → nhấn Create.
2. Đặt tên router, chọn External Network để router kết nối ra ngoài.
3. Thêm Interface: chọn Subnet nội bộ cần kết nối qua router này.
4. Nhấn Create.

4.4.4 IPAM — Quản lý địa chỉ IP

Đường dẫn: /network/ipam

IPAM hiển thị toàn bộ pool địa chỉ IP — cả Internal và External — cùng trạng thái sử dụng. Tại đây người dùng có thể:

• Xem trạng thái sử dụng của IP (Available / Us
• Attach IP: Gán IP cho VM
• Release IP: Giải phóng IP về pool

4.4.5 External Network

Đường dẫn: /network/external-network

External Network là mạng kết nối OCN Cloud với internet hoặc mạng doanh nghiệp bên ngoài. Quản trị viên cấu hình External Network để cấp IP public cho Router và VM.

4.5 Firewall — Kiểm soát Lưu lượng Mạng

Module Firewall cho phép kiểm soát luồng lưu lượng vào/ra hệ thống thông qua Policy (tập hợp các rule), Network Set (nhóm địa chỉ mạng) và Network Tag (nhãn gắn vào tài nguyên).

Warning

Mặc định: Chặn toàn bộ (Deny All)
OCN Cloud áp dụng chính sách mặc định là CHẶN TOÀN BỘ lưu lượng vào VM — kể cả SSH, HTTP, HTTPS. Điều này có nghĩa là: sau khi tạo VM, bạn BẮT BUỘC phải tạo Firewall Policy và mở đúng port cần thiết thì mới kết nối được vào VM. Đây là thiết kế bảo mật chủ động — không có traffic nào được phép trừ khi bạn cho phép tường minh.

4.5.1 Firewall Policy

Đường dẫn: /firewall/policy

Firewall Policy là tập hợp các rule quy định lưu lượng nào được phép hoặc bị chặn. Mỗi policy được áp dụng cho nhóm tài nguyên thông qua Network Tag.

Tạo Firewall Policy:

1. Vào Firewall → Policy → nhấn Create Firewall Policy.
2. Đặt tên policy (ví dụ: “Firewall-infra-app”), thêm mô tả.
3. Thêm các Rule: chỉ định direction (Inbound/Outbound), protocol, port, source/destination IP.
4. Gán Network Tag để xác định tài nguyên nào policy này áp dụng.
5. Nhấn Create để tạo Policy, trạng thái khởi tạo của Policy là Active.

Tip

Enable / Disable Policy
Người dùng có thể tạm tắt (Disable) một policy mà không cần xóa — tiện để debug khi nghi ngờ firewall đang chặn nhầm traffic. Bật lại (Enable) khi đã xác nhận xong.

4.5.2 Network Set

Đường dẫn: /firewall/network-set

Network Set gom nhóm nhiều subnet hoặc CIDR vào một đối tượng có tên. Thay vì liệt kê từng IP trong rule, người dùng tham chiếu đến Network Set — rule ngắn gọn và dễ bảo trì hơn.

Ví dụ: Tạo Network Set “office-ips” gồm 203.0.113.0/24 và 198.51.100.0/24. Trong rule firewall, chọn source: “office-ips” thay vì liệt kê từng dải.

4.5.3 Network Tag

Đường dẫn: /firewall/network-tag

Network Tag là nhãn gắn vào các VM để nhóm chúng theo logic. Firewall Policy sử dụng Network Tag để quyết định nhóm các VM nào được áp dụng rule.

4.6 Monitoring & Alerting

Hệ thống monitoring cho phép người dùng có thể theo dõi hiệu năng từ cấp hạ tầng (Neuron) đến từng máy ảo (VM), và nhận cảnh báo tự động khi có sự cố.

4.6.1 Monitoring VM

Trong trang chi tiết VM → tab Monitor, người dùng có thể xem được các biểu đồ thống kê tổng quan VM.

Cho phép chọn khoảng thời gian xem: 3h / 12h / 24h / 7 ngày.

Biểu đồ	Ý nghĩa
CPU Usage	Mức sử dụng CPU của VM theo thời gian
Memory Usage	RAM đã dùng / tổng RAM
Network Bit/sec	Thể hiện tốc độ truyền dữ liệu qua mạng theo thời gian
Network Package/sec	Số lượng gói tin VM xử lý mỗi giây
Disk Bytes	Tổng dung lượng dữ liệu đọc ghi theo thời gian
Disk Operations/sec	Số lần truy cập disk mỗi giây

4.6.2 Monitoring Neuron (Host vật lý)

Vào Neuron → chọn một Neuron → tab Monitor. Biểu đồ tương tự VM nhưng ở cấp máy chủ vật lý — tổng CPU, RAM, disk và network của toàn bộ Neuron.

Tip

💡 Neuron vs VM Monitoring Nếu nhiều VM trên cùng một Neuron cùng bị chậm, khả năng cao là Neuron đó đang quá tải — hãy xem Monitor của Neuron để xác nhận. Giải pháp: Live Migrate một số VM sang Neuron khác để cân bằng tải.

4.6.3 Cảnh báo hệ thống (System Alerts)

OCN Cloud tự động gửi thông báo khi:

• Agent Offline: Notification khi agent mất kết nối
• Resource Threshold: Alert khi vượt ngưỡng CPU/Memory (configurable: 0.8, 0.9, 1.0)
• Critical Events: Thông báo sự kiện quan trọng

Thông báo hiển thị dưới dạng badge số trên icon chuông (header). Nhấn vào để xem danh sách và đánh dấu đã đọc.

4.7 Phân quyền — RBAC & Project

OCN Cloud sử dụng mô hình RBAC (Role-Based Access Control) để kiểm soát “ai được làm gì” trong hệ thống. Hiểu đúng mô hình này giúp bạn phân quyền chính xác, tránh cả hai cực: quá hạn chế (gây cản trở công việc) và quá rộng (rủi ro bảo mật).

4.7.1 Mô hình phân quyền

Hệ thống phân quyền được tổ chức theo 4 lớp:

Lớp	Khái niệm	Vai trò
1	Permission	Quyền nhỏ nhất: cho phép thực hiện một thao tác cụ thể (ví dụ: GET /vm, POST /vm)
2	Privilege	Tập hợp nhiều Permission thành một “vai trò” (ví dụ: “VM Operator” = start + stop + restart VM)
3	Group	Nhóm người dùng. Gán Privilege cho Group → toàn bộ thành viên được hưởng quyền đó
4	User	Người dùng. Thêm vào Group → được hưởng quyền của Group

Note

Quy trình phân quyền đúng
1. Xác định các nhóm công việc (Dev, Ops, Manager, ReadOnly…)
2. Tạo Privilege phù hợp với từng nhóm (hoặc dùng Privilege có sẵn)
3. Tạo Group, gán Privilege vào Group
4. Tạo User, thêm User vào Group phù hợp

4.7.2 Quản lý User

Đường dẫn: /permission/user

Tạo user mới:

1. Vào RBAC → User → nhấn Create.
2. Điền các thông tin vào form tạo User: Username (dùng để đăng nhập), Họ tên đầy đủ, Email, Số điện thoại, Mật khẩu và xác nhận mật khẩu.
3. Bật xác thực 2FA (nếu cần)
4. Thêm User vào Group trong danh sách Group sẵn có
5. Nhấn Create để hoàn thành tạo User

Các thao tác khác với User:

• Reset Password: Đặt lại mật khẩu khi user bị khóa hoặc quên
• Chỉnh sửa các thông tin User
• Enable/Disable 2FA: Bật xác thực hai yếu tố (khuyến nghị bắt buộc với admin)
• Enable/Disable User: Vô hiệu hoá tài khoản tạm thời mà không xóa
• Delete: Xóa vĩnh viễn User

4.7.3 Quản lý Group

Đường dẫn: /permission/group

Group là đơn vị phân quyền hiệu quả: thay vì gán quyền từng người, gán quyền vào Group rồi thêm người vào Group. Khi thay đổi quyền, chỉ cần sửa Group — tất cả thành viên được cập nhật tự động.

4.7.4 Quản lý Project

Đường dẫn: /project

Project là không gian làm việc độc lập. Mỗi Project có quota tài nguyên riêng và danh sách thành viên riêng.

Tạo Project mới:

1. Vào Project → nhấn Create.
2. Nhập tên và mô tả Project (ví dụ: “Production - Backend Services”).
3. Chọn Owner và các member cho Project
4. Thiết lập Quota: giới hạn CPU (vCPU), RAM (GB), Storage (GB) và số lượng IP.
5. Nhấn Create để hoàn thành tạo Project.

Tip

Nguyên tắc quản lý Project
• Tạo Project riêng cho mỗi môi trường: Production, Staging, Development
• Đặt quota thực tế — không quá hẹp (gây thiếu tài nguyên) và không quá rộng (lãng phí)
• Review thành viên và quota định kỳ, xóa người đã rời team

4.8 Kubernetes (K8s) — Quản lý Container

Kubernetes là nền tảng điều phối container (container orchestration) mã nguồn mở được tích hợp vào OCN Cloud. Thay vì quản lý từng container thủ công, Kubernetes tự động hóa việc triển khai, mở rộng và vận hành ứng dụng container hóa trên cluster máy ảo.

Info

💡 Kubernetes trên OCN Cloud hoạt động như thế nào?
OCN Cloud cung cấp Kubernetes dưới dạng managed service — người dùng chỉ cần cấu hình cluster (số node, loại VM, version K8s), hệ thống tự động tạo các VM làm worker node và cài đặt toàn bộ thành phần K8s. Control plane (API server, etcd, scheduler) được quản lý bởi OCN Cloud, người dùng không cần lo về việc vận hành phần này.

4.8.1 Các khái niệm Kubernetes cần biết

Khái niệm	Ý nghĩa trong K8s
Cluster	Tập hợp các node (máy ảo) chạy workload K8s. Gồm Control Plane và Worker Node
Node	Máy ảo (VM) thuộc cluster K8s. Mỗi node chạy các Pod được lên lịch bởi Scheduler
Pod	Đơn vị triển khai nhỏ nhất trong K8s — chứa một hoặc nhiều container cùng chạy chung
Ingress	Điểm vào HTTP/HTTPS từ internet vào cluster, hỗ trợ routing theo domain và path

4.8.2 Tạo Kubernetes Cluster mới

Đường dẫn: /kubernetes/cluster

Trước khi tạo cluster, xác định: số lượng worker node cần thiết, loại VM cho node (CPU/RAM), và version Kubernetes phù hợp với ứng dụng của bạn.

• Vào Kubernetes → nhấn Create New Cluster.
• Lựa chọn Project, nhập tên cluster, chọn Kubernetes Version (khuyến nghị chọn phiên bản stable mới nhất).
• Cấu hình Control Plane: chọn Region để đặt control plane.
• Cấu hình VPC và subnet cho cluster
• Cấu hình Node Pool: chọn VM Type cho worker node, số lượng Pods tối đa (nếu bật auto-upgrade).
• Nhấn Submit. Cluster sẽ chuyển qua trạng thái Provisioning → Running trong khoảng 3-5 phút.

Tip

Cấu hình Auto-upgrade để tiết kiệm chi phí
Bật Auto-upgrade cho node pool: max pods = giới hạn tối đa. K8s sẽ tự động thêm node khi workload tăng và thu hồi node khi workload giảm — người dùng chỉ trả tiền cho node thực sự đang chạy.

4.8.3 Truy cập và quản lý Cluster

Sau khi cluster ở trạng thái Running, người dùng có thể truy cập và quản lý qua hai cách:

Cách 1 — kubectl (command line):

• Trong trang chi tiết cluster, nhấn Download Kubeconfig.
• Lưu file kubeconfig và cấu hình: export KUBECONFIG=/path/to/kubeconfig.yaml
• Kiểm tra kết nối: kubectl get nodes — danh sách node hiện ra là thành công.

Cách 2 — Danh sách Node (giao diện web):

• Trong trang chi tiết cluster.
• Giao diện web K8s hiển thị trực quan toàn bộ workload: Node name, Kubernetes version, Node role.
• Có thể tạo, chỉnh sửa và xóa tài nguyên K8s trực tiếp từ Danh sách Node mà không cần dùng lệnh.

4.8.5 Tích hợp Storage và Network

Storage: K8s trên OCN Cloud tích hợp sẵn với Storage module — khi add node trong K8s, hệ thống tự động tạo Volume tương ứng và gắn vào Pod. Không cần cấu hình thủ công.

Load Balancer: Khi tạo Service loại LoadBalancer trong K8s, OCN Cloud tự động cấp phát External IP từ pool IPAM và cấu hình load balancer, cho phép traffic từ internet đến ứng dụng trong cluster.

Ingress: OCN Cloud cung cấp Ingress Controller tích hợp sẵn. Chỉ cần tạo Ingress resource với domain và routing rule — hệ thống tự cấu hình.

Warning

Lưu ý về dữ liệu khi xóa cluster
Xóa K8s Cluster sẽ xóa toàn bộ worker node (VM) và workload đang chạy. Các Persistent Volume (Volume OCN Cloud) mặc định được giữ lại sau khi xóa cluster — bạn cần xóa thủ công nếu không còn cần.

4.9 Object Storage (S3) — Lưu trữ Đối tượng

Object Storage là dịch vụ lưu trữ dữ liệu phi cấu trúc (file, ảnh, video, backup, log…) với dung lượng gần như không giới hạn. OCN Cloud cung cấp Object Storage tương thích với giao thức Amazon S3 — cho phép sử dụng trực tiếp các công cụ và thư viện S3 hiện có (AWS CLI, boto3, s3cmd…) mà không cần thay đổi code.

Info

Object Storage khác Volume như thế nào?
Volume (Block Storage): Gắn vào VM như ổ cứng, phù hợp cho database, OS, ứng dụng cần đọc/ghi file nhanh. Object Storage (S3): Truy cập qua HTTP/API, phù hợp cho lưu trữ file lớn, backup, static website, data lake, media. Không cần VM để truy cập — truy cập thẳng từ internet hoặc ứng dụng qua API.

4.9.1 Kiến trúc Object Storage (RustFS)

Hệ thống Object Storage được triển khai theo mô hình:

• Cluster → cụm lưu trữ
• Node → các máy/storage node trong cluster

Mỗi cluster gồm nhiều node để đảm bảo:

• High Availability (HA)
• Scale-out (mở rộng ngang)
• Data redundancy

4.9.2 Quản lý Cluster

Ở trang Object Storage, nhấn nút Create New Cluster và cấu hình các nội dung:

1. Lựa chọn Project, điền tên cluster, lựa chọn platform (RustFS / Minio)
2. Cài đặt network: Cluster access, HA mode
3. Lựa chọn Zone nơi đặt Cluster, cấu hình VPC và subnet
4. Số lượng node ban đầu
5. Cấu hình số lượng Drivers, capacity
6. Hệ thống tự tính toán các thông số Capacity và hiển thị ở tab Results
7. Nhấn Create Cluster để hoàn thành tạo Cluster
8. Sau khi tạo hệ thống tự deploy cluster và cung cấp endpoint S3

5. Workflow Thực Tế — Hướng Dẫn Nhanh

Chương này tập hợp các quy trình thường dùng, được viết theo dạng checklist để người thực hiện nhanh sau khi đọc tài liệu.

5.1 Workflow: Triển khai máy chủ web mới

Mục tiêu: Tạo một VM chạy web server, có IP public, SSH được từ máy local.

Bước 1 — Chuẩn bị hạ tầng mạng (nếu chưa có):

1. Tạo VPC: Network → VPC → Create (CIDR: 10.0.0.0/16)
2. Tạo Subnet public: 10.0.1.0/24 trong VPC vừa tạo
3. Tạo NAT Router: Network → Router → Create NAT Router, gán External Network và Subnet

Bước 2 — Chuẩn bị Keypair:

• Compute → Keypair → Create. Tải file .pem về máy.

Bước 3 — Tạo VM:

1. Compute → VM → Create VM
2. Image: chọn Ubuntu 22.04 LTS (hoặc OS phù hợp)
3. VM Type: chọn 2 vCPU / 4 GB RAM
4. Network: chọn Subnet public, bật Assign Public IP
5. Nhấn Create → chờ trạng thái chuyển sang Running

Bước 4 — Kiểm tra và cài đặt:

1. Trong trang chi tiết VM, copy IP public
2. SSH vào VM: ssh -i key.pem ubuntu@
3. Cài web server: sudo apt update && sudo apt install nginx -y
4. Mở Firewall (bắt buộc — mặc định Deny All): Tạo Network Tag Tag-prod-web → gắn vào VM → tạo Policy Firewall-prod-web với Rule allow port 80+443 → Enable Policy.

5.2 Workflow: Thêm ổ đĩa dữ liệu vào VM

Mục tiêu: Gắn thêm ổ đĩa 100GB vào VM đang chạy để lưu data.

1. Storage → Volume → Create: đặt tên “data-disk-01”, size 100GB, chọn Pool phù hợp
2. Trong danh sách Volume, nhấn (…) → Attach → chọn VM target → xác nhận
3. SSH vào VM. Kiểm tra disk mới: lsblk (thường xuất hiện là /dev/vdb)
4. Định dạng disk: sudo mkfs.ext4 /dev/vdb
5. Tạo thư mục mount: sudo mkdir /data
6. Mount: sudo mount /dev/vdb /data
7. Thêm vào /etc/fstab để auto-mount khi reboot: /dev/vdb /data ext4 defaults 0 2

5.3 Workflow: Mở rộng VM khi thiếu tài nguyên

Mục tiêu: Tăng CPU/RAM của VM đang chạy bị chậm.

Xác nhận vấn đề: Sử dụng trong trường hợp VM chạy chậm, kiểm tra tab Monitor của VM, CPU hoặc RAM luôn ở mức cao.

1. Trong danh sách VM, nhấn (…) → Stop (VM cần dừng trước khi đổi type)
2. Sau khi VM Stopped: nhấn (…) → Change VM Type → chọn type mới (ví dụ: 4 vCPU / 8 GB)
3. Nhấn (…) → Start để khởi động lại VM với cấu hình mới
4. Kiểm tra lại hiệu năng qua tab Monitor

Tip

Không cần downtime dài
Toàn bộ quy trình Stop → Change → Start thường chỉ mất 2–3 phút. Lên kế hoạch trong giờ thấp điểm để tránh ảnh hưởng người dùng.

5.4 Workflow: Backup VM trước khi bảo trì bằng cách tạo Snapshot

Mục tiêu: Tạo điểm khôi phục an toàn trước khi thực hiện thay đổi lớn.

1. Compute → Snapshot → Create
2. Chọn VM cần backup, đặt tên mô tả rõ ràng (ví dụ: “prod-web-01-before-nginx-upgrade-20260418”)
3. Nhấn Create, chờ snapshot hoàn tất (trạng thái: Available)
4. Thực hiện thay đổi trên VM như kế hoạch
5. Nếu có sự cố: Snapshot → (…) → Revert để khôi phục VM về trạng thái cũ

5.5 Workflow: Thêm thành viên mới vào team

Mục tiêu: Cấp quyền cho nhân viên mới gia nhập team DevOps.

1. RBAC → User → Create: điền các thông tin, bật 2FA
2. Chọn Group “DevOps” → nhấn Create để hoàn thành tạo User cho team DevOps
3. Thông báo cho user: tên đăng nhập, mật khẩu, URL hệ thống và hướng dẫn đổi mật khẩu sau khi đăng nhập lần đầu.

6. Xử lý sự cố thường gặp

Phần này liệt kê các sự cố hay gặp nhất và cách kiểm tra nhanh. Nếu sau khi thực hiện các bước kiểm tra vẫn không giải quyết được, liên hệ đội hỗ trợ OCN Cloud kèm theo: mô tả triệu chứng, thời điểm xảy ra, tên VM/resource bị ảnh hưởng và ảnh chụp màn hình hoặc video mô tả sự cố.

6.1 VM không khởi động được

Triệu chứng	Nguyên nhân thường gặp	Cách kiểm tra và khắc phục
VM stuck ở trạng thái “Building” > 5 phút	Neuron quá tải hoặc offline	Vào Neuron → kiểm tra trạng thái Online. Nếu offline, liên hệ hỗ trợ.
VM chuyển sang “Error” ngay sau khi tạo	Quota Project hết (CPU/RAM/IP)	Vào Project → kiểm tra Usage vs Quota. Tăng quota hoặc giải phóng tài nguyên.
VM start thất bại sau khi Stop	Host vật lý thay đổi, thiếu tài nguyên	Thử Cold Migrate sang Neuron khác, rồi Start lại.

6.2 Không kết nối SSH được vào VM

Triệu chứng	Kiểm tra
Connection refused (port 22)	1. Kiểm tra Firewall Policy có mở port 22 từ IP của bạn không. 2. Vào Console (VGA) → kiểm tra SSH service: systemctl status sshd
Connection timeout	1. VM có IP public chưa? Kiểm tra tab Information. 2. Router có được cấu hình đúng chưa? 3. Thử ping IP → nếu không ping được, kiểm tra network/firewall.
Permission denied (publickey)	1. Đúng file .pem chưa? Thử: ssh -i /path/key.pem user@IP 2. Quyền file .pem đúng chưa: chmod 400 key.pem 3. Username đúng chưa? Ubuntu: ubuntu, CentOS: centos, root…

Note

Khi không SSH được — dùng Console VGA Console cho phép truy cập trực tiếp vào màn hình VM từ browser, như đang ngồi trước màn hình vật lý. Cách mở: Compute → VM → nhấn tên VM → nút Console → chọn VGA Console hoặc Serial Console.

6.3 Lỗi mạng — VM không kết nối được

Vấn đề	Kiểm tra
VM không nhận được IP	Kiểm tra Subnet có còn IP trống không (IPAM). Detach và Attach lại network interface.
VM không ping được VM khác	Hai VM có cùng VPC không? Có Firewall Policy chặn ICMP không?
VM không ra được internet	Router có kết nối External Network không? NAT có được cấu hình đúng không?
IP conflict	Kiểm tra IPAM — địa chỉ IP có bị trùng không? Không overlap CIDR giữa các Subnet.

7. Best Practices

Đây là tập hợp những khuyến nghị được đúc kết từ kinh nghiệm vận hành thực tế. Áp dụng sớm ngay từ đầu sẽ tránh phải sửa chữa tốn kém về sau.

7.1 Security

• Enable MFA cho tất cả admin account
• Sử dụng SSH key pair thay vì password
• Thường xuyên rà soát (kiểm tra) quyền của người dùng

7.2 Resource Management

• Thiết lập quota (hạn mức) phù hợp cho các project
• Theo dõi việc sử dụng tài nguyên thường xuyên
• Lập kế hoạch dung lượng dựa trên xu hướng tăng trưởng
• Sử dụng placement group để đảm bảo tính sẵn sàng cao (HA)

7.3 Network Design

• Lập kế hoạch dải CIDR cẩn thận để tránh bị chồng lấn (overlap)
• Sử dụng VPC riêng cho các môi trường khác nhau
• Triển khai các quy tắc firewall phù hợp
• Theo dõi hiệu năng mạng thường xuyên

7.4 Backup và DR

• Tạo snapshot định kỳ cho các VM quan trọng
• Sao lưu cấu hình và metadata
• Kiểm tra (test) các quy trình khôi phục sau thảm họa
• Tài liệu hóa các quy trình khôi phục

8. Phụ lục: Thuật ngữ và tham chiếu nhanh

A. Bảng thuật ngữ

Thuật ngữ	Giải thích
VM (Virtual Machine)	Máy ảo — máy chủ ảo hóa chạy trên phần cứng dùng chung
vCPU	CPU ảo — đơn vị tính toán được cấp cho VM
CIDR	Cách ký hiệu dải IP, ví dụ 10.0.0.0/24 = 254 địa chỉ
Snapshot	Ảnh chụp trạng thái VM tại một thời điểm
Volume	Ổ đĩa ảo có thể gắn/tháo linh hoạt
VPC	Mạng riêng ảo, biệt lập với mạng của tenant khác
NAT	Dịch địa chỉ mạng — cho phép VM có IP nội bộ ra internet
IOPS	Số thao tác I/O mỗi giây — đo hiệu năng ổ đĩa
RBAC	Phân quyền dựa trên vai trò (Role-Based Access Control)
MFA / 2FA	Xác thực đa yếu tố — tăng cường bảo mật đăng nhập
Neuron	Thuật ngữ OCN Cloud chỉ máy chủ vật lý (compute node)
QoS	Chất lượng dịch vụ — giới hạn IOPS/bandwidth để cân bằng tải
PAT	Personal Access Token — token xác thực cho API/automation
IAM	Identity and Access Management — hệ thống quản lý danh tính tập trung của tổ chức, tích hợp với OCN Cloud để đăng nhập SSO
K8s / Kubernetes	Nền tảng điều phối container mã nguồn mở — tự động hóa triển khai, scaling và vận hành ứng dụng container
Pod	Đơn vị triển khai nhỏ nhất trong Kubernetes, chứa một hoặc nhiều container
Object Storage / S3	Lưu trữ dữ liệu phi cấu trúc qua API tương thích S3 — phù hợp cho backup, media, log, static website
Bucket	Container lưu trữ object trong S3 — tương tự thư mục gốc
Presigned URL	URL tạm thời có thời hạn để chia sẻ object private không cần cấp quyền tài khoản
Live Migrate	Di chuyển VM sang host khác không gây downtime
Placement Group	Nhóm máy chủ vật lý dùng để điều phối phân bổ VM (HA)

B. Tham chiếu nhanh — Đường dẫn các trang

Tính năng	Đường dẫn
Tổng quan hệ thống	/overview
Danh sách VM	/compute/vm
Image	/compute/image
VM Type	/compute/vm-type
Keypair	/compute/keypair
Snapshot	/compute/snapshot
Volume	/storage/volume
Storage Pool	/storage/pool
QoS Policy	/storage/qos
VPC	/network/vpc
Subnet	/network/subnet
Router	/network/router
IPAM	/network/ipam
Firewall Policy	/firewall/policy
Network Set	/firewall/network-set
Network Tag	/firewall/network-tag
User	/permission/user
Group	/permission/group
Project	/project
Neuron	/neuron
Billing	/billing
Personal Access Tokens	/personal_access_tokens
Settings & License	/setting
Kubernetes Cluster	/kubernetes/cluster
Object Storage — Bucket	/object-storage/bucket
Object Storage — Access Keys	/object-storage/access-keys
IAM Integration Settings	/setting/iam