50 preguntas y respuestas principales de las entrevistas de VMware NSX
Publicado: 2021-10-06Veamos algunas preguntas de la entrevista de VMware NSX para ayudar a los solicitantes de empleo y a los profesionales que desean obtener la certificación en virtualización de redes.
VMware adquirió NSX de Nicira en julio de 2012, que se utilizó principalmente para la virtualización de redes en un hipervisor basado en Xen. NSX abstrae la capa física (virtualiza la red) para que el software se ejecute en la parte superior del hipervisor, que se configura y actualiza dinámicamente. Actualmente, NSX tiene dos versiones: NSX-T (diseñado para múltiples hipervisores y aplicaciones nativas de la nube) y NSX-V (diseñado solo para entornos vSphere).
NSX es el futuro de las infraestructuras de TI modernas que ofrece amplias capacidades para administrar y proteger su infraestructura virtual. El 82% de Fortune 100 ha adoptado VMware NSX. Con las empresas que adoptan rápidamente VMware NSX, una fuerza laboral experimentada siempre tiene una gran demanda.
Para ello, hemos preparado unas preguntas de entrevista con respuestas explicativas.
Estas preguntas de la entrevista se clasifican en las siguientes áreas técnicas:
- Conceptos básicos
- Componentes principales de NSX
- Servicios funcionales de NSX
- Puerta de enlace de servicios perimetrales
- Compositor de servicios
- Supervisión
- Administrar NSX
Conceptos básicos de NSX
# 1. ¿Qué es el desacoplamiento?
Un concepto importante de virtualización de redes es el desacoplamiento de software y hardware de redes. El software funciona independientemente del hardware de red que interconecta físicamente la infraestructura. Cualquier hardware de red que pueda interactuar con el software siempre mejorará la funcionalidad, pero no es necesario. Recuerde que el rendimiento del hardware de su red siempre limitará su rendimiento en el cable.
# 2. ¿Qué es el plano de control?
El desacoplamiento de software y hardware de red le permite controlar mejor su red porque toda la lógica reside en el software. Este aspecto de control de su red se denomina plano de control. El plano de control proporciona los medios para configurar, monitorear, solucionar problemas y permitir la automatización de la red.
# 3. ¿Qué es el plano de datos?
El hardware de red forma el plano de datos donde todos los datos se envían desde el origen al destino. La gestión de datos reside en el plano de control; sin embargo, el plano de datos consta de todo el hardware de red cuya función principal es reenviar el tráfico a través del cable desde el origen al destino.
# 4. ¿Qué es el plano de gestión?
El plano de gestión consta principalmente de NSX Manager. NSX Manager es un componente de administración de red centralizada y principalmente permite un único punto de administración. También proporciona la API REST que un usuario puede usar para realizar todas las funciones y acciones de NSX. Durante la fase de implementación, el plano de administración se establece cuando se implementa y configura el dispositivo NSX. Este plano de gestión interactúa directamente con el plano de control y también con el plano de datos.
# 5 . ¿Qué es la conmutación lógica?
NSX permite la capacidad de crear conmutación lógica L2 y L3 que permite el aislamiento de la carga de trabajo y la separación del espacio de direcciones IP entre redes lógicas. NSX puede crear dominios de transmisión lógicos en el espacio virtual que evitan la necesidad de crear redes lógicas en los conmutadores físicos. Esto significa que ya no está limitado a 4096 dominios de transmisión físicos (VLAN).
# 6. ¿Qué son los servicios de NSX Gateway?
Los servicios de puerta de enlace Edge interconectan sus redes lógicas con sus redes físicas. Esto significa que una máquina virtual conectada a una red lógica puede enviar y recibir tráfico directamente a su red física a través de la puerta de enlace.
# 7. ¿Qué es el enrutamiento lógico?
Se pueden crear varios dominios de transmisión virtual (redes lógicas) con NSX. A medida que varias máquinas virtuales se suscriben a estos dominios, es fundamental poder enrutar el tráfico de un conmutador lógico a otro.
# 8. ¿Qué es el tráfico este-oeste en el enrutamiento lógico?
El tráfico de este a oeste es el tráfico entre máquinas virtuales dentro de un centro de datos. En el contexto actual, normalmente será tráfico entre conmutadores lógicos en un entorno VMware.
# 9. ¿Qué es el tráfico norte-sur?
El tráfico de norte a sur es el tráfico que entra y sale de su centro de datos. Este es cualquier tráfico que ingresa a su centro de datos o sale de su centro de datos.
# 10 . ¿Qué es un cortafuegos lógico?
Los cortafuegos lógicos son de dos tipos: cortafuegos distribuido y cortafuegos perimetral. Un firewall distribuido se implementa idealmente para proteger cualquier tráfico de este a oeste, mientras que un firewall Edge protege cualquier tráfico de norte a sur. Un firewall lógico distribuido le permite crear reglas basadas en atributos que incluyen direcciones IP, VLAN, nombres de máquinas virtuales y objetos vCenter. La puerta de enlace Edge cuenta con un servicio de firewall que se puede utilizar para imponer restricciones de seguridad y acceso al tráfico de norte a sur.
# 11. ¿Qué es un equilibrador de carga?
El equilibrador de carga lógico distribuye las solicitudes entrantes entre varios servidores para permitir la distribución de la carga mientras abstrae esta funcionalidad de los usuarios finales. El equilibrador de carga lógico también se puede utilizar como mecanismo de alta disponibilidad ( HA ) para garantizar que su aplicación tenga el mayor tiempo de actividad. Se debe implementar una instancia de puerta de enlace de servicios Edge para habilitar el servicio de equilibrador de carga.
# 12. ¿Qué es Service Composer?
El redactor de servicios le permite asignar redes y múltiples servicios de seguridad a grupos de seguridad. A las máquinas virtuales que forman parte de estos grupos de seguridad se les asignan los servicios automáticamente.
# 13. ¿Qué es la seguridad de datos?
La seguridad de datos de NSX proporciona visibilidad de los datos confidenciales, garantiza la protección de los datos e informa sobre cualquier infracción de cumplimiento. Un análisis de seguridad de datos en las máquinas virtuales designadas permite a NSX analizar e informar cualquier infracción según la política de seguridad que se aplica a estas máquinas virtuales.
# 14. Configuración máxima de NSX 6.2
| Descripción | Límite |
| vCenters | 1 |
| Administradores de NSX | 1 |
| Clústeres de DRS | 12 |
| Controladores NSX | 3 |
| Hosts por clúster | 32 |
| Anfitriones por zona de transporte | 256 |
| Interruptores lógicos | 10,000 |
| Puertos de conmutador lógico | 50.000 |
| DLR por host | 1000 |
| DLR por NSX | 1200 |
| Puertas de enlace de servicios perimetrales por NSX Manager | 2000 |
Componentes principales de NSX
#15. ¿Definir NSX Manager?
NSX Manager nos permite crear, configurar y administrar componentes de NSX en un entorno. NSX Manager proporciona una interfaz gráfica de usuario y API REST que le permiten interactuar con varios componentes de NSX. NSX Manager es una máquina virtual que puede descargar como OVA e implementarla en cualquier host ESX administrado por vCenter.
# 16 . ¿Definir el clúster de NSX Controller?
NSX Controller proporciona una funcionalidad de plano de control para distribuir el enrutamiento lógico y la información de la red VXLAN al hipervisor subyacente. Los controladores se implementan como dispositivos virtuales y deben implementarse en el mismo vCenter NSX Manager al que está conectado. En un entorno de producción, se recomienda implementar un mínimo de tres controladores. Necesitamos asegurarnos de que las reglas de antiafinidad de DRS estén configuradas para implementar controladores en un host ESXi separado para una mejor disponibilidad y escalabilidad.
# 17. ¿Qué es VXLAN?
VXLAN es un protocolo de túnel de capa 2 sobre capa 3 que permite que los segmentos de red lógica se extiendan en redes enrutables. Esto se logra encapsulando la trama Ethernet con encabezados UPD, IP y VXLAN adicionales. En consecuencia, esto aumenta el tamaño del paquete en 50 bytes. Por lo tanto, VMware recomienda aumentar el tamaño de MTU a un mínimo de 1600 bytes para todas las interfaces en la infraestructura física y los vSwitches asociados.
# 18. ¿Qué es VTEP?
Cuando una máquina virtual genera tráfico destinado a otra máquina virtual en la misma red virtual, los hosts en los que se ejecutan las máquinas virtuales de origen y destino se denominan puntos finales de túnel VXLAN ( VTEP ). Los VTEP se configuran como interfaces VMKernel independientes en los hosts.
El bloque de encabezado de IP externo en el marco de VXLAN contiene las direcciones IP de origen y destino que contienen el hipervisor de origen y el hipervisor de destino. Cuando un paquete sale de la máquina virtual de origen, se encapsula en el hipervisor de origen y se envía al hipervisor de destino. Al recibir este paquete, el hipervisor de destino desencapsula la trama de Ethernet y la reenvía a la máquina virtual de destino.
Una vez que NSX Manager prepara el host ESXi, debemos configurar VTEP. NSX admite múltiples vmknics VXLAN por host para funciones de equilibrio de carga de enlace ascendente. Además de esto, también se admite el etiquetado de VLAN de invitado.
# 19. Describe la zona de transporte
Una zona de transporte define la extensión de un conmutador lógico en varios clústeres de ESXi que abarcan varios conmutadores distribuidos virtuales. Una zona de transporte permite que un conmutador lógico se extienda a través de varios conmutadores distribuidos virtuales. Cualquier host ESXi que forme parte de esta zona de transporte puede tener máquinas virtuales como parte de esa red lógica. Un conmutador lógico siempre se crea como parte de una zona de transporte y los hosts ESXi pueden participar en ellos.
# 20. ¿Qué es la Zona de Transporte Universal?
Una zona de transporte universal permite que un conmutador lógico abarque varios hosts en varios vCenters. Una zona de transporte universal siempre la crea el servidor NSX principal y se sincroniza con los administradores NSX secundarios.
# 21 . ¿Qué es NSX Edge Services Gateway?
NSX Edge Services Gateway ( ESG ) ofrece un conjunto de servicios con muchas funciones que incluyen NAT, enrutamiento, firewall, equilibrio de carga, VPN L2 / L3 y retransmisión DHCP / DNS. La API de NSX permite que cada uno de estos servicios se implemente, configure y consuma bajo demanda. Puede instalar NSX Edge como ESG o como DLR.
La cantidad de dispositivos Edge, incluidos ESG y DLR, está limitada a 250 en un host. Edge Services Gateway se implementa como una máquina virtual desde NSX Manager, al que se accede mediante el cliente web vSphere.
Nota: Solo el rol de administrador empresarial, que permite las operaciones de NSX y la administración de seguridad, puede implementar una puerta de enlace de servicios Edge:
# 22. Describir el firewall distribuido en NSX
NSX proporciona servicios de firewall con estado L2-L4 mediante un firewall distribuido que se ejecuta en el kernel del hipervisor ESXi. Debido a que el firewall es una función del kernel de ESXi, ofrece un rendimiento masivo y funciona a una velocidad cercana a la línea. Cuando NSX prepara inicialmente el host ESXi, el servicio de firewall distribuido se instala en el kernel mediante la implementación del VIB del kernel: plataforma de inserción de servicios de internetworking de VMware ( VSIP ). VSIP es responsable de monitorear y hacer cumplir las políticas de seguridad en todo el tráfico que fluye a través del plano de datos. El rendimiento y el rendimiento del firewall distribuido ( DFW ) se escala horizontalmente a medida que se agregan más hosts ESXi.
# 23. ¿Qué es Cross-vCenter NSX?
A partir de NSX 6.2, puede administrar varios entornos de vCenter NSX mediante la funcionalidad de cross-vCenter. Esto le permite administrar varios entornos de vCenter NSX desde un único administrador principal de NSX. En una implementación cruzada de vCenter, varios vCenters están todos emparejados con su propio NSX Manager por vCenter. A un NSX Manager se le asigna el principal mientras que otros NSX Manager se convierten en secundarios. Este NSX Manager principal ahora puede implementar un clúster de controlador universal que proporciona el plano de control. A diferencia de una implementación de vCenter-NSX independiente, los administradores de NSX secundarios no implementan sus propios clústeres de controladores.
# 24. ¿Qué es una VPN?
Las redes privadas virtuales ( VPN ) le permiten conectar de forma segura un dispositivo o sitio remoto a su infraestructura corporativa. NSX Edge admite tres tipos de conectividad VPN. SSL VPN-Plus, IP-SEC VPN y L2 VPN.
# 25. ¿Qué es SSL VPN-Plus?
SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones y servidores en una red privada de forma segura. Hay dos modos en los que se puede configurar SSL VPN-Plus: modo de acceso a la red y modo de acceso a la web. En el modo de acceso a la red, un usuario remoto puede acceder a la red privada interna de forma segura. Esto lo hace un cliente VPN que el usuario remoto descarga e instala en su sistema operativo. En el modo de acceso web, el usuario remoto puede acceder a las redes privadas sin ningún software de cliente VPN.
# 26. ¿Qué es IPSec VPN?
La puerta de enlace de servicios NSX Edge admite una VPN IPSEC de sitio a sitio que le permite conectar una red respaldada por una puerta de enlace de servicios NSX Edge a otro dispositivo en el sitio remoto. NSX Edge puede establecer túneles seguros con sitios remotos para permitir un flujo de tráfico seguro entre sitios. La cantidad de túneles que puede establecer una puerta de enlace Edge depende del tamaño de la puerta de enlace Edge implementada. Antes de configurar IPsec VPN, asegúrese de que el enrutamiento dinámico esté deshabilitado en el enlace ascendente de Edge para permitir rutas específicas definidas para cualquier tráfico de VPN.
Nota: Los certificados autofirmados no se pueden utilizar con una VPN IPSEC.
# 27. ¿Qué es la VPN L2?
Una VPN L2 le permite extender varias redes lógicas en varios sitios. Las redes pueden ser tanto VLAN tradicionales como VXLAN. En tal implementación, una máquina virtual puede moverse entre sitios sin cambiar su dirección IP. Una VPN L2 se implementa como cliente y servidor donde el Edge de destino es el servidor y el Edge de origen es el cliente . Tanto el cliente como el servidor aprenden las direcciones MAC de los sitios locales y remotos. Para cualquier sitio que no esté respaldado por un entorno NSX, se puede implementar una puerta de enlace NSX Edge independiente.
Servicios funcionales de NSX
# 28. ¿Cuántos administradores de NSX se pueden instalar y configurar en un entorno de cross-vCenter NSX?
Solo puede haber un administrador NSX principal y hasta siete administradores NSX secundarios. Puede seleccionar un administrador NSX principal, después de lo cual puede comenzar a crear objetos universales y también a implementar clústeres de controladores universales. El clúster de controlador universal proporcionará el plano de control para el entorno de cross-vCenter NSX. Recuerde que en un entorno de cross-vCenter, los administradores de NSX secundarios no tienen sus propios clústeres de controladores.
# 29. ¿Qué es el grupo de ID de segmento y cómo asignarlo?
Cada túnel VXLAN tiene un ID de segmento (VNI) y debe especificar un grupo de ID de segmento para cada NSX Manager. Todo el tráfico estará vinculado a su ID de segmento, lo que permite el aislamiento.
# 30. ¿Qué es L2 Bridge?
Se puede conectar un conmutador lógico a una VLAN de conmutador físico mediante un puente L2. Esto le permite extender sus redes lógicas virtuales para acceder a las redes físicas existentes mediante un puente entre la VXLAN lógica y la VLAN física. Este puente L2 se logra mediante un enrutador lógico NSX Edge que se asigna a una única VLAN física en la red física.
Sin embargo, los puentes L2 no deben usarse para conectar dos VLAN físicas diferentes o dos conmutadores lógicos diferentes. Tampoco puede utilizar un enrutador lógico universal para configurar el puente, y no se puede agregar un puente a un conmutador lógico universal. Esto significa que en un entorno NSX de múltiples vCenter, no puede extender un conmutador lógico a una VLAN física en otro centro de datos a través del puente L2.
Puerta de enlace de servicios perimetrales
# 31. ¿Qué es el enrutamiento de rutas múltiples de igual costo (ECMP)?
ECMP permite que el paquete del siguiente salto se reenvíe a un único destino a través de múltiples mejores rutas que se pueden agregar de forma estática o dinámica utilizando protocolos de enrutamiento como OSPF y BGP. Estas múltiples rutas se agregan como valores separados por comas al definir las rutas estáticas.
# 32. ¿Cuáles son los rangos predeterminados para BGP externo, estático, conectado directamente, etc.?
El valor varía de 1 a 255 y los rangos predeterminados son: Conectado (0), Estático (1), BGP externo (20), OSPF dentro del área (30), OSPF entre áreas (110) y BGP interno (200) .
Nota: Cualquiera de los valores anteriores se ingresará en "Distancia de administrador" editando la configuración de la puerta de enlace predeterminada en Configuración de enrutamiento.
# 33. ¿Qué es Open Shortest Path First (OSPF)?
OSPF es un protocolo de enrutamiento que utiliza un algoritmo de enrutamiento de estado de enlace y opera dentro de un único sistema autónomo.
# 34. ¿Qué es el reinicio elegante en OSPF?
Graceful Restart permite el reenvío ininterrumpido de paquetes incluso si se está reiniciando el proceso OSPF. Esto ayuda en el enrutamiento de paquetes sin interrupciones.
# 35. ¿Qué es el área no tan rechoncha (NSSA) en OSPF?
NSSA evita la inundación de anuncios de estado de enlace de un sistema autónomo externo al confiar en las rutas predeterminadas a destinos externos. Las NSSA generalmente se colocan en el borde de un dominio de enrutamiento OSPF.
# 36. ¿Qué es BGP?
El BGP es un protocolo de puerta de enlace exterior diseñado para intercambiar información de enrutamiento entre sistemas autónomos ( AS ) en Internet. BGP es relevante para los administradores de red de grandes organizaciones que se conectan a dos o más ISP y proveedores de servicios de Internet que se conectan a otros proveedores de red. Si es el administrador de una pequeña red corporativa o un usuario final, probablemente no necesite conocer BGP.
# 37. ¿Qué es la distribución de rutas?
En un entorno en el que se utilizan varios protocolos de enrutamiento, la redistribución de rutas permite compartir rutas entre protocolos.
# 38. ¿Qué es el equilibrador de carga de capa 4?
El equilibrador de carga de capa 4 toma decisiones de enrutamiento basadas en IP y puertos TCP o UDP. Tiene una vista de paquete del tráfico intercambiado entre el cliente y un servidor y toma decisiones paquete a paquete. La conexión de capa 4 se establece entre un cliente y un servidor.
# 39. ¿Qué es el equilibrador de carga de capa 7?
Un equilibrador de carga de capa 7 toma decisiones de enrutamiento basadas en puertos IP, TCP o UDP, u otra información que pueda obtener del protocolo de aplicación (principalmente HTTP). El equilibrador de carga de la capa 7 actúa como un proxy y mantiene dos conexiones TCP: una con el cliente y otra con el servidor.
# 40. ¿Qué es el perfil de aplicación en la configuración de Load Balancer?
Antes de crear un servidor virtual para asignarlo al grupo, tenemos que definir un perfil de aplicación que defina el comportamiento de un tipo particular de tráfico de red. Cuando se recibe tráfico, el servidor virtual procesa el tráfico en función de los valores definidos en el perfil. Esto permite un mayor control sobre la gestión del tráfico de su red:
# 41. ¿Qué es la subinterfaz?
Una subinterfaz, o interfaz interna, es una interfaz lógica que se crea y se asigna a la interfaz física. Las subinterfaces son simplemente una división de una interfaz física en múltiples interfaces lógicas. Esta interfaz lógica utiliza la interfaz física principal para mover datos. Recuerde que no puede usar subinterfaces para HA porque un latido debe atravesar un puerto físico de un hipervisor a otro entre los dispositivos Edge.
# 42. ¿Por qué es necesario Force Sync NSX Edge para su entorno?
Forzar sincronización es una función que sincroniza la configuración de Edge de NSX Manager con todos sus componentes en un entorno. Se inicia una acción de sincronización desde NSX Manager a NSX Edge que actualiza y vuelve a cargar la configuración de Edge.
# 43. ¿Por qué es necesario configurar un servidor Syslog remoto en su entorno virtual?
VMware recomienda configurar servidores Syslog para evitar la inundación de registros en los dispositivos Edge. Cuando el registro está habilitado, los registros se almacenan localmente en el dispositivo Edge y consumen espacio. Si no se marca, esto puede tener un impacto en el rendimiento del dispositivo Edge y también puede provocar que el dispositivo Edge se detenga debido a la falta de espacio en el disco.
Compositor de servicios
# 44. ¿Qué son las políticas de seguridad?
Las políticas de seguridad son conjuntos de reglas que se aplican a una máquina virtual, red o servicios de firewall. Las políticas de seguridad son conjuntos de reglas reutilizables que se pueden aplicar a grupos de seguridad. Las políticas de seguridad expresan tres tipos de conjuntos de reglas:
- Servicios de punto final : servicios basados en invitados, como soluciones antivirus y gestión de vulnerabilidades.
- Reglas de firewall : políticas de firewall distribuido
- Servicios de introspección de red : servicios de red como sistemas de detección de intrusos y cifrado.
Estas reglas se aplican a todos los objetos y máquinas virtuales que forman parte de un grupo de seguridad al que está asociada esta política.
Supervisión
# 44. ¿Qué es la supervisión de endpoints en NSX?
Endpoint Monitor proporciona información y visibilidad de las aplicaciones que se ejecutan dentro de un sistema operativo para garantizar que las políticas de seguridad se apliquen correctamente. Endpoint Monitoring requiere la instalación de la introspección del invitado. En las máquinas virtuales, deberá instalar un controlador de introspección invitado, que es parte de la instalación de las herramientas de VMware.
# 45. ¿Qué es la monitorización de caudal?
La supervisión de NSX Flow es una función que permite la supervisión detallada del tráfico hacia y desde máquinas virtuales protegidas. El monitoreo de flujo puede identificar de manera única diferentes máquinas y servicios que intercambian datos y, cuando está habilitado, puede identificar qué máquinas están intercambiando datos a través de aplicaciones específicas. El monitoreo de flujo también permite el monitoreo en vivo de las conexiones TCP y UDP y puede usarse como una herramienta forense efectiva.
Nota: La supervisión de flujo solo se puede activar para implementaciones de NSX en las que hay un firewall habilitado.
# 46. ¿Qué es Traceflow?
Traceflow es una herramienta interesante creada para permitir a los administradores solucionar sin problemas su entorno de red virtual rastreando un flujo de paquetes de una manera similar a la aplicación heredada Packet Tracer. Traceflow le permite inyectar un paquete en la red y monitorear su flujo a través de la red. Este flujo le permite monitorear su red e identificar problemas como cuellos de botella o interrupciones.
Administrar NSX
# 48. ¿Cómo funciona el servidor Syslog en NSX?
La configuración de NSX Manager con un servidor Syslog remoto le permite recopilar, ver y guardar todos los archivos de registro en una ubicación central. Esto le permite almacenar registros con fines de cumplimiento; cuando utiliza una herramienta como VMware vRealize Log insight, puede crear alarmas y utilizar el motor de búsqueda integrado para revisar los registros.
# 49. ¿Cómo funcionan las copias de seguridad y la restauración en NSX?
Las copias de seguridad son fundamentales para un entorno NSX que le permite restaurarlas adecuadamente durante una falla del sistema. Además de vCenter, también puede realizar operaciones de respaldo en NSX Manager, clústeres de controladores, NSX Edge, reglas de firewall y Service Composer. Todos estos pueden respaldarse y restaurarse individualmente.
# 50. ¿Qué es la trampa SNMP?
Las capturas de protocolo de administración de red simple ( SNMP ) son mensajes de alerta enviados desde un dispositivo remoto habilitado para SNMP a un recopilador. Puede configurar el agente SNMP para reenviar capturas SNMP.
De forma predeterminada, el mecanismo de captura SNMP está desactivado. Solo se envían notificaciones críticas y de alta gravedad al administrador SNMP cuando la captura SNMP está habilitada.
Espero que hayas disfrutado leyendo esta publicación. Buena suerte con tu entrevista!