Le 50 migliori domande e risposte per le interviste a VMware NSX
Pubblicato: 2021-10-06Diamo un'occhiata ad alcune domande dell'intervista VMware NSX per aiutare chi cerca lavoro e i professionisti che desiderano ottenere la certificazione nella virtualizzazione della rete.
VMware ha acquisito NSX da Nicira nel luglio 2012, utilizzato principalmente per la virtualizzazione della rete in un hypervisor basato su Xen. NSX astrae il livello fisico (virtualizza la rete) in modo che il software venga eseguito nella parte superiore dell'hypervisor, che viene configurato e aggiornato dinamicamente. Attualmente, NSX ha due versioni: NSX-T (progettato per multi-hypervisor e applicazioni cloud-native) e NSX-V (progettato solo per ambienti vSphere).
NSX è il futuro delle moderne infrastrutture IT che offre funzionalità avanzate per gestire e proteggere la tua infrastruttura virtuale. L'82% della fortuna 100 ha adottato VMware NSX. Con le aziende che adottano rapidamente VMware NSX, una forza lavoro esperta è sempre molto richiesta.
A tal fine, abbiamo preparato alcune domande di intervista con risposte esplicative
Queste domande dell'intervista sono suddivise nelle seguenti aree tecniche:
- Concetti basilari
- Componenti principali di NSX
- Servizi funzionali NSX
- Gateway Servizi Edge
- Compositore di servizi
- Monitoraggio
- Gestire NSX
Concetti di base di NSX
#1. Che cos'è il disaccoppiamento?
Un concetto importante della virtualizzazione della rete è il disaccoppiamento di software e hardware di rete. Il software funziona indipendentemente dall'hardware di rete che interconnette fisicamente l'infrastruttura. Qualsiasi hardware di rete in grado di interagire con il software migliorerà sempre la funzionalità, ma non è necessario. Ricorda che le prestazioni dell'hardware di rete limiteranno sempre il tuo throughput in rete.
#2. Cos'è il piano di controllo?
Il disaccoppiamento tra software e hardware di rete consente di controllare meglio la rete perché tutta la logica risiede nel software. Questo aspetto di controllo della tua rete è chiamato piano di controllo. Il piano di controllo fornisce i mezzi per configurare, monitorare, risolvere i problemi e consentire l'automazione sulla rete.
#3. Cos'è il piano dati?
L'hardware di rete costituisce il piano dati in cui tutti i dati vengono inoltrati dall'origine alla destinazione. La gestione dei dati risiede nel piano di controllo; tuttavia, il piano dati è costituito da tutto l'hardware di rete la cui funzione principale è inoltrare il traffico via cavo dalla sorgente alla destinazione.
#4. Cos'è il Piano di Gestione?
Il piano di gestione è costituito principalmente dal gestore NSX. Il gestore NSX è un componente di gestione della rete centralizzato e consente principalmente un singolo punto di gestione. Fornisce inoltre l'API REST che un utente può utilizzare per eseguire tutte le funzioni e le azioni di NSX. Durante la fase di distribuzione, il piano di gestione viene stabilito quando l'appliance NSX viene distribuita e configurata. Questo piano di gestione interagisce direttamente con il piano di controllo e anche con il piano dati.
#5 . Che cos'è la commutazione logica?
NSX offre la possibilità di creare una commutazione logica L2 e L3 che consente l'isolamento del carico di lavoro e la separazione dello spazio degli indirizzi IP tra le reti logiche. NSX può creare domini di trasmissione logici nello spazio virtuale che evitano la necessità di creare reti logiche sugli switch fisici. Ciò significa che non sei più limitato a 4096 domini di trasmissione fisica (VLAN).
#6. Cosa sono i servizi gateway NSX?
I servizi del gateway Edge interconnettono le tue reti logiche con le tue reti fisiche. Ciò significa che una macchina virtuale connessa a una rete logica può inviare e ricevere traffico direttamente alla rete fisica tramite il gateway.
#7. Che cos'è l'instradamento logico?
È possibile creare più domini di trasmissione virtuale (reti logiche) utilizzando NSX. Poiché più macchine virtuali si iscrivono a questi domini, diventa fondamentale poter instradare il traffico da uno switch logico a un altro.
#8. Che cos'è il traffico est-ovest nell'instradamento logico?
Il traffico est-ovest è il traffico tra macchine virtuali all'interno di un data center. Nel contesto attuale, si tratta in genere del traffico tra switch logici in un ambiente VMware.
#9. Cos'è il traffico nord-sud?
Il traffico nord-sud è il traffico in entrata e in uscita dal data center. Questo è qualsiasi traffico che entra nel tuo data center o lascia il tuo data center.
#10 . Che cos'è un firewall logico?
I firewall logici sono di due tipi: firewall distribuito e firewall Edge. Un firewall distribuito è idealmente distribuito per proteggere qualsiasi traffico est-ovest, mentre un firewall Edge protegge qualsiasi traffico nord-sud. Un firewall logico distribuito consente di creare regole basate su attributi che includono indirizzi IP, VLAN, nomi di macchine virtuali e oggetti vCenter. Il gateway Edge dispone di un servizio firewall che può essere utilizzato per imporre sicurezza e restrizioni di accesso al traffico nord-sud.
#11. Che cos'è un bilanciatore del carico?
Il sistema di bilanciamento del carico logico distribuisce le richieste in entrata tra più server per consentire la distribuzione del carico sottraendo questa funzionalità agli utenti finali. Il sistema di bilanciamento del carico logico può essere utilizzato anche come meccanismo di alta disponibilità ( HA ) per garantire che l'applicazione abbia il massimo tempo di attività. È necessario distribuire un'istanza del gateway dei servizi Edge per abilitare il servizio di bilanciamento del carico.
#12. Cos'è Service Composer?
Il compositore di servizi consente di allocare la rete e più servizi di sicurezza ai gruppi di sicurezza. Alle macchine virtuali che fanno parte di questi gruppi di sicurezza vengono assegnati automaticamente i servizi.
#13. Che cos'è la sicurezza dei dati?
La sicurezza dei dati di NSX offre visibilità sui dati sensibili, garantisce la protezione dei dati e segnala eventuali violazioni della conformità. Una scansione della sicurezza dei dati su macchine virtuali designate consente a NSX di analizzare e segnalare eventuali violazioni in base alla policy di sicurezza che si applica a queste macchine virtuali.
# 14. Configurazione massima di NSX 6.2
| Descrizione | Limite |
| vCenter | 1 |
| Manager di NSX | 1 |
| Cluster DRS | 12 |
| Controller NSX | 3 |
| Host per cluster | 32 |
| Host per zona di trasporto | 256 |
| Interruttori logici | 10.000 |
| Porte switch logiche | 50.000 |
| DLR per host | 1.000 |
| DLR per NSX | 1.200 |
| Gateway di servizi perimetrali per NSX Manager | 2.000 |
Componenti principali di NSX
#15. Definire NSX Manager?
Il gestore NSX ci consente di creare, configurare e gestire i componenti NSX in un ambiente. NSX Manager fornisce un'interfaccia utente grafica e API REST che consentono di interagire con vari componenti di NSX. NSX Manager è una macchina virtuale che puoi scaricare come OVA e distribuirla su qualsiasi host ESX gestito da vCenter.
#16 . Definire il cluster di controller NSX?
Il controller NSX fornisce una funzionalità del piano di controllo per distribuire il routing logico e le informazioni di rete VXLAN all'hypervisor sottostante. I controller vengono distribuiti come dispositivi virtuali e devono essere distribuiti nello stesso vCenter NSX Manager a cui è connesso. In un ambiente di produzione, si consiglia di distribuire un minimo di tre controller. Dobbiamo assicurarci che le regole di ant-affinità DRS siano configurate per distribuire i controller su un host ESXi separato per una migliore disponibilità e scalabilità.
#17. Cos'è VXLAN?
VXLAN è un protocollo di tunneling di livello 2 su livello 3 che consente ai segmenti di rete logici di estendersi su reti instradabili. Ciò si ottiene incapsulando il frame Ethernet con ulteriori intestazioni UPD, IP e VXLAN. Di conseguenza, questo aumenta la dimensione del pacchetto di 50 byte. Pertanto, VMware consiglia di aumentare la dimensione dell'MTU fino a un minimo di 1.600 byte per tutte le interfacce nell'infrastruttura fisica e gli eventuali vSwitch associati.
#18. Cos'è il VTEP?
Quando una macchina virtuale genera traffico destinato a un'altra macchina virtuale sulla stessa rete virtuale, gli host su cui vengono eseguite le macchine virtuali di origine e di destinazione sono chiamati endpoint del tunnel VXLAN ( VTEP ). I VTEP sono configurati come interfacce VMKernel separate sugli host.
Il blocco di intestazione IP esterno nel frame VXLAN contiene l'origine e gli indirizzi IP di destinazione che contengono l'hypervisor di origine e l'hypervisor di destinazione. Quando un pacchetto lascia la macchina virtuale di origine, viene incapsulato nell'hypervisor di origine e inviato all'hypervisor di destinazione. Alla ricezione di questo pacchetto, l'hypervisor di destinazione decapsula il frame Ethernet e lo inoltra alla macchina virtuale di destinazione.
Una volta che NSX Manager ha preparato l'host ESXi, è necessario configurare VTEP. NSX supporta più vmknics VXLAN per host per funzionalità di bilanciamento del carico di uplink. Oltre a ciò, è supportata anche la codifica della VLAN ospite.
#19. Descrivi la zona di trasporto?
Una zona di trasporto definisce l'estensione di uno switch logico su più cluster ESXi che si estendono su più switch virtuali distribuiti. Una zona di trasporto consente a uno switch logico di estendersi su più switch distribuiti virtuali. Qualsiasi host ESXi che fa parte di questa zona di trasporto può avere macchine virtuali come parte di quella rete logica. Uno switch logico viene sempre creato come parte di una zona di trasporto e gli host ESXi possono parteciparvi.
#20. Che cos'è la zona di trasporto universale?
Una zona di trasporto universale consente a uno switch logico di estendersi su più host su più vCenter. Una zona di trasporto universale viene sempre creata dal server NSX primario ed è sincronizzata con i gestori NSX secondari.
#21 . Che cos'è il gateway NSX Edge Services?
NSX Edge Services Gateway ( ESG ) offre un set di servizi ricco di funzionalità che includono NAT, routing, firewall, bilanciamento del carico, VPN L2/L3 e relay DHCP/DNS. L'API NSX consente a ciascuno di questi servizi di essere distribuito, configurato e consumato su richiesta. Puoi installare NSX Edge come ESG o come DLR.
Il numero di appliance Edge, inclusi ESG e DLR, è limitato a 250 su un host. Edge Services Gateway viene distribuito come macchina virtuale dal gestore NSX, a cui si accede utilizzando il client Web vSphere.
Nota: solo il ruolo di amministratore aziendale, che consente le operazioni NSX e la gestione della sicurezza, può distribuire un gateway dei servizi Edge:
#22. Descrivi il firewall distribuito in NSX?
NSX fornisce servizi firewall stateful L2-L4 utilizzando un firewall distribuito che viene eseguito nel kernel dell'hypervisor ESXi. Poiché il firewall è una funzione del kernel ESXi, offre un throughput enorme e funziona a una velocità quasi lineare. Quando NSX prepara inizialmente l'host ESXi, il servizio firewall distribuito viene installato nel kernel distribuendo il kernel VIB— VMware Internetworking Service Insertion Platform ( VSIP ). VSIP è responsabile del monitoraggio e dell'applicazione delle politiche di sicurezza su tutto il traffico che scorre attraverso il piano dati. Il throughput e le prestazioni del firewall distribuito ( DFW ) si ridimensionano orizzontalmente man mano che vengono aggiunti altri host ESXi.
#23. Che cos'è Cross-vCenter NSX?
A partire da NSX 6.2, puoi gestire più ambienti vCenter NSX utilizzando la funzionalità cross-vCenter. Ciò consente di gestire più ambienti vCenter NSX da un unico gestore NSX primario. In una distribuzione tra vCenter, più vCenter sono tutti associati al proprio NSX Manager per vCenter. A un NSX Manager viene assegnato il primario mentre gli altri NSX Manager diventano secondari. Questo gestore NSX primario può ora distribuire un cluster di controller universale che fornisce il piano di controllo. A differenza di una distribuzione autonoma di vCenter-NSX, i gestori NSX secondari non distribuiscono i propri cluster di controller.
# 24. Che cos'è una VPN?
Le reti private virtuali ( VPN ) ti consentono di connettere in modo sicuro un dispositivo o un sito remoto alla tua infrastruttura aziendale. NSX Edge supporta tre tipi di connettività VPN. SSL VPN-Plus, VPN IP-SEC e VPN L2.
#25. Che cos'è SSL VPN Plus?
SSL VPN-Plus consente agli utenti remoti di accedere ad applicazioni e server in una rete privata in modo sicuro. Esistono due modalità in cui è possibile configurare SSL VPN-Plus: modalità di accesso alla rete e modalità di accesso al web. Nella modalità di accesso alla rete, un utente remoto può accedere in modo sicuro alla rete privata interna. Questo viene fatto da un client VPN che l'utente remoto scarica e installa sul proprio sistema operativo. In modalità di accesso web, l'utente remoto può accedere alle reti private senza alcun software client VPN.
#26. Che cos'è la VPN IPSec?
Il gateway del servizio NSX Edge supporta una VPN IPSEC da sito a sito che consente di connettere una rete supportata dal gateway dei servizi NSX Edge a un altro dispositivo nel sito remoto. NSX Edge può stabilire tunnel protetti con siti remoti per consentire un flusso di traffico sicuro tra i siti. Il numero di tunnel che un gateway Edge può stabilire dipende dalle dimensioni del gateway Edge distribuito. Prima di configurare IPsec VPN, assicurati che il routing dinamico sia disabilitato sull'uplink Edge per consentire route specifiche definite per qualsiasi traffico VPN.
Nota: i certificati autofirmati non possono essere utilizzati con una VPN IPSEC.
#27. Che cos'è la VPN L2?
Una VPN L2 ti consente di estendere più reti logiche su più siti. Le reti possono essere sia VLAN tradizionali che VXLAN. In una tale distribuzione, una macchina virtuale può spostarsi tra i siti senza modificare il proprio indirizzo IP. Una VPN L2 viene distribuita come client e server in cui l'Edge di destinazione è il server e l'Edge di origine è il client . Sia il client che il server apprendono gli indirizzi MAC di entrambi i siti locali e remoti. Per tutti i siti che non sono supportati da un ambiente NSX, è possibile distribuire un gateway NSX Edge autonomo.
Servizi funzionali NSX
#28. Quanti NSX Manager possono essere installati e configurati in un ambiente NSX cross-vCenter?
Può essere presente un solo gestore NSX primario e fino a sette gestori NSX secondari. È possibile selezionare un gestore NSX primario, dopo di che è possibile iniziare a creare oggetti universali e distribuire anche cluster di controller universali. Il cluster di controller universale fornirà il piano di controllo per l'ambiente NSX cross-vCenter. Ricorda che in un ambiente cross-vCenter, i gestori NSX secondari non hanno i propri cluster di controller.
#29. Che cos'è il pool di ID segmento e come assegnarlo?
Ciascun tunnel VXLAN ha un ID di segmento (VNI) ed è necessario specificare un pool di ID di segmento per ogni NSX Manager. Tutto il traffico sarà vincolato al relativo ID di segmento, che consente l'isolamento.
#30. Cos'è il ponte L2?
Uno switch logico può essere collegato a una VLAN dello switch fisico utilizzando un bridge L2. Ciò consente di estendere le reti logiche virtuali per accedere alle reti fisiche esistenti collegando la VXLAN logica con la VLAN fisica. Questo bridging L2 viene realizzato utilizzando un router logico NSX Edge che esegue il mapping a una singola VLAN fisica sulla rete fisica.
Tuttavia, i bridge L2 non devono essere utilizzati per collegare due diverse VLAN fisiche o due diversi switch logici. Inoltre, non è possibile utilizzare un router logico universale per configurare il bridging e non è possibile aggiungere un bridge a uno switch logico universale. Ciò significa che in un ambiente NSX multi-vCenter, non è possibile estendere uno switch logico a una VLAN fisica in un altro data center tramite il bridging L2.
Gateway Servizi Edge
#31. Che cos'è il routing ECMP (Equal Cost Multi-Path)?
ECMP consente di inoltrare il pacchetto dell'hop successivo a una singola destinazione su più percorsi migliori che possono essere aggiunti staticamente o dinamicamente utilizzando protocolli di routing come OSPF e BGP. Questi percorsi multipli vengono aggiunti come valori separati da virgole durante la definizione delle route statiche.
#32. Quali sono gli intervalli predefiniti per BGP connesso direttamente, statico, esterno, ecc.?
Il valore varia da 1 a 255 e gli intervalli predefiniti sono: Connesso (0), Statico (1), BGP esterno (20), OSPF intra-area (30), OSPF inter-area (110) e BGP interno (200) .
Nota: uno qualsiasi dei valori di cui sopra verrà inserito in "Distanza amministratore" modificando la configurazione del gateway predefinito in Configurazione del percorso.
#33. Che cos'è Open Shortest Path First (OSPF)?
OSPF è un protocollo di routing che utilizza un algoritmo di routing link-state e opera all'interno di un singolo sistema autonomo.
#34. Che cos'è il grazioso riavvio in OSPF?
Graceful Restart consente l'inoltro continuo dei pacchetti anche se il processo OSPF viene riavviato. Questo aiuta nell'instradamento dei pacchetti senza interruzioni.
#35. Che cos'è l'area non così tozza (NSSA) in OSPF?
NSSA impedisce l'inondazione di annunci sullo stato del collegamento di un sistema autonomo esterno basandosi sui percorsi predefiniti verso destinazioni esterne. Gli NSSA sono in genere posizionati all'estremità di un dominio di routing OSPF.
#36. Cos'è BGP?
Il BGP è un protocollo gateway esterno progettato per scambiare informazioni di routing tra sistemi autonomi ( AS ) su Internet. BGP è rilevante per gli amministratori di rete di grandi organizzazioni che si connettono a due o più ISP e fornitori di servizi Internet che si connettono ad altri fornitori di rete. Se sei l'amministratore di una piccola rete aziendale o un utente finale, probabilmente non hai bisogno di conoscere BGP.
#37. Che cos'è la distribuzione del percorso?
In un ambiente in cui vengono utilizzati più protocolli di routing, la ridistribuzione del percorso consente la condivisione del percorso tra protocolli.
#38. Che cos'è il bilanciatore di carico Layer 4?
Il sistema di bilanciamento del carico di livello 4 prende decisioni di routing in base a IP e porte TCP o UDP. Ha una vista a pacchetti del traffico scambiato tra il client e un server e prende le decisioni pacchetto per pacchetto. La connessione di livello 4 viene stabilita tra un client e un server.
#39. Che cos'è il sistema di bilanciamento del carico Layer 7?
Un sistema di bilanciamento del carico di livello 7 prende decisioni di routing in base a IP, TCP o porte UDP o altre informazioni che può ottenere dal protocollo dell'applicazione (principalmente HTTP). Il bilanciatore di carico di livello 7 funge da proxy e mantiene due connessioni TCP: una con il client e una con il server.
#40. Che cos'è il profilo dell'applicazione nella configurazione di Load Balancer?
Prima di creare un server virtuale da mappare al pool, dobbiamo definire un profilo dell'applicazione che definisce il comportamento di un particolare tipo di traffico di rete. Quando viene ricevuto traffico, il server virtuale elabora il traffico in base ai valori definiti nel profilo. Ciò consente un maggiore controllo sulla gestione del traffico di rete:
#41. Qual è la sotto-interfaccia?
Una sottointerfaccia, o un'interfaccia interna, è un'interfaccia logica creata e mappata all'interfaccia fisica. Le sotto-interfacce sono semplicemente una divisione di un'interfaccia fisica in più interfacce logiche. Questa interfaccia logica utilizza l'interfaccia fisica padre per spostare i dati. Ricordare che non è possibile utilizzare interfacce secondarie per HA perché un heartbeat deve attraversare una porta fisica da un hypervisor a un altro tra le appliance Edge.
#42. Perché Force Sync NSX Edge è necessario per il tuo ambiente?
Forza sincronizzazione è una funzionalità che sincronizza la configurazione Edge da NSX Manager a tutti i suoi componenti in un ambiente. Viene avviata un'azione di sincronizzazione da NSX Manager a NSX Edge che aggiorna e ricarica la configurazione di Edge.
#43. Perché è necessario un server Syslog remoto da configurare nel proprio ambiente virtuale?
VMware consiglia di configurare i server Syslog per evitare l'inondazione di log sui dispositivi Edge. Quando la registrazione è abilitata, i registri vengono archiviati localmente nell'appliance Edge e consumano spazio. Se non selezionato, ciò può avere un impatto sulle prestazioni dell'appliance Edge e può anche causare l'arresto dell'appliance Edge a causa della mancanza di spazio su disco.
Compositore di servizi
#44. Cosa sono le politiche di sicurezza?
I criteri di sicurezza sono insiemi di regole che si applicano a una macchina virtuale, a una rete o a servizi firewall. I criteri di sicurezza sono set di regole riutilizzabili che possono essere applicati ai gruppi di sicurezza. Le policy di sicurezza esprimono tre tipi di regole:
- Servizi endpoint : servizi basati su guest come soluzioni antivirus e gestione delle vulnerabilità
- Regole firewall : criteri firewall distribuiti
- Servizi di introspezione di rete : servizi di rete come sistemi di rilevamento delle intrusioni e crittografia
Queste regole vengono applicate a tutti gli oggetti e le macchine virtuali che fanno parte di un gruppo di sicurezza a cui è associato questo criterio.
Monitoraggio
#44. Che cos'è il monitoraggio degli endpoint in NSX?
Endpoint Monitor fornisce informazioni e visibilità sulle applicazioni in esecuzione all'interno di un sistema operativo per garantire che le policy di sicurezza siano applicate correttamente. Endpoint Monitoring richiede l'installazione dell'introspezione del guest. Sulle macchine virtuali, sarà necessario installare un driver di introspezione guest, che fa parte dell'installazione degli strumenti VMware.
#45. Che cos'è il monitoraggio del flusso?
Il monitoraggio di NSX Flow è una funzionalità che consente il monitoraggio dettagliato del traffico da e verso le macchine virtuali protette. Il monitoraggio del flusso può identificare in modo univoco diverse macchine e servizi che scambiano dati e, se abilitato, può identificare quali macchine stanno scambiando dati su applicazioni specifiche. Il monitoraggio del flusso consente anche il monitoraggio in tempo reale delle connessioni TCP e UDP e può essere utilizzato come un efficace strumento forense.
Nota: il monitoraggio del flusso può essere attivato solo per le distribuzioni NSX in cui è abilitato un firewall.
#46. Che cos'è Traceflow?
Traceflow è uno strumento interessante creato per consentire agli amministratori di risolvere senza problemi il proprio ambiente di rete virtuale tracciando un flusso di pacchetti in modo simile all'applicazione legacy Packet Tracer. Traceflow consente di iniettare un pacchetto nella rete e monitorarne il flusso attraverso la rete. Questo flusso consente di monitorare la rete e identificare problemi come colli di bottiglia o interruzioni.
Gestire NSX
#48. Come funziona il server Syslog in NSX?
La configurazione di NSX Manager con un server Syslog remoto consente di raccogliere, visualizzare e salvare tutti i file di registro in una posizione centrale. Ciò consente di archiviare i registri per scopi di conformità; quando utilizzi uno strumento come VMware vRealize Log insight, puoi creare allarmi e utilizzare il motore di ricerca integrato per rivedere i log.
#49. Come funzionano il backup e il ripristino in NSX?
I backup sono fondamentali per un ambiente NSX che consente di ripristinarli in modo appropriato durante un errore di sistema. Oltre a vCenter, puoi anche eseguire operazioni di backup su NSX Manager, cluster di controller, NSX Edge, regole firewall e Service Composer. Tutti questi possono essere salvati e ripristinati individualmente.
#50. Che cos'è la trappola SNMP?
I trap SNMP ( Simple Network Management Protocol ) sono messaggi di avviso inviati da un dispositivo remoto abilitato SNMP a un collector. È possibile configurare l'agente SNMP per inoltrare trap SNMP.
Per impostazione predefinita, il meccanismo trap SNMP è disabilitato. Solo le notifiche critiche e di alta gravità vengono inviate al gestore SNMP quando il trap SNMP è abilitato.
Spero che ti sia piaciuto leggere questo post. In bocca al lupo per la tua intervista!