VMwareNSXインタビューの質問と回答のトップ50

ネットワーク仮想化の認定を取得したい求職者や専門家を支援するために、VMwareNSXの面接の質問をいくつか見てみましょう。

VMwareは、2012年7月にNiciraからNSXを買収しました。これは、主にXenベースのハイパーバイザーのネットワーク仮想化に使用されていました。 NSXは物理層を抽象化（ネットワークを仮想化）して、ソフトウェアが動的に構成および更新されるハイパーバイザー上で実行されるようにします。 現在、NSXには2つのバージョンがあります。NSX-T（マルチハイパーバイザーおよびクラウドネイティブアプリケーション用に設計）とNSX-V（vSphere環境のみ用に設計）です。

NSXは、仮想インフラストラクチャを管理および保護するための豊富な機能を提供する最新のITインフラストラクチャの未来です。 Fortune 100の82％がVMwareNSXを採用しています。 企業がVMwareNSXを急速に採用しているため、経験豊富な従業員の需要は常に高くなっています。

この目的のために、説明的な回答を含むいくつかの面接の質問を用意しました

これらの面接の質問は、次の技術分野に分類されます。

• 基本概念
• NSXコアコンポーネント
• NSX機能サービス
• エッジサービスゲートウェイ
• ServiceComposer
• モニタリング
• NSXの管理

NSXの基本概念

＃1。 デカップリングとは何ですか？

ネットワーク仮想化の重要な概念は、ソフトウェアとネットワークハードウェアの分離です。 このソフトウェアは、インフラストラクチャを物理的に相互接続するネットワークハードウェアとは独立して機能します。 ソフトウェアと相互運用できるネットワークハードウェアは常に機能を強化しますが、必須ではありません。 ネットワークハードウェアのパフォーマンスにより、ネットワークのスループットが常に制限されることに注意してください。

＃2。 コントロールプレーンとは何ですか？

ソフトウェアとネットワークハードウェアを分離すると、すべてのロジックがソフトウェアに存在するため、ネットワークをより適切に制御できます。 ネットワークのこの制御面は、コントロールプレーンと呼ばれます。 コントロールプレーンは、ネットワークに対する自動化を構成、監視、トラブルシューティング、および許可する手段を提供します。

＃3。 データプレーンとは何ですか？

ネットワークハードウェアは、すべてのデータが送信元から宛先に転送されるデータプレーンを形成します。 データの管理はコントロールプレーンにあります。 ただし、データプレーンは、すべてのネットワークハードウェアで構成されており、その主な機能は、トラフィックを送信元から宛先にワイヤ経由で転送することです。

＃4。 管理面とは何ですか？

管理プレーンは、主にNSXマネージャーで構成されます。 NSX Managerは、一元化されたネットワーク管理コンポーネントであり、主に単一の管理ポイントを使用できます。 また、ユーザーがすべてのNSX機能とアクションを実行するために使用できるRESTAPIも提供します。 展開フェーズでは、NSXアプライアンスが展開および構成されたときに、管理プレーンが確立されます。 この管理プレーンは、コントロールプレーンおよびデータプレーンと直接対話します。

＃5 。 論理スイッチングとは何ですか？

NSXを使用すると、L2およびL3論理スイッチングを作成して、ワークロードの分離と論理ネットワーク間のIPアドレススペースの分離を実現できます。 NSXは、仮想空間に論理ブロードキャストドメインを作成できるため、物理スイッチ上に論理ネットワークを作成する必要がありません。 これは、4096の物理ブロードキャストドメイン（VLAN）に制限されなくなったことを意味します。

＃6。 NSXゲートウェイサービスとは何ですか？

エッジゲートウェイサービスは、論理ネットワークを物理ネットワークと相互接続します。 これは、論理ネットワークに接続された仮想マシンが、ゲートウェイを介して物理ネットワークと直接トラフィックを送受信できることを意味します。

＃7。 論理ルーティングとは何ですか？

NSXを使用して、複数の仮想ブロードキャストドメイン（論理ネットワーク）を作成できます。 複数の仮想マシンがこれらのドメインにサブスクライブするため、ある論理スイッチから別の論理スイッチにトラフィックをルーティングできることが重要になります。

＃8。 論理ルーティングにおける東西トラフィックとは何ですか？

東西トラフィックは、データセンター内の仮想マシン間のトラフィックです。 現在のコンテキストでは、これは通常、VMware環境の論理スイッチ間のトラフィックになります。

＃9。 南北交通とは何ですか？

南北トラフィックは、データセンターに出入りするトラフィックです。 これは、データセンターに入る、またはデータセンターから出るトラフィックです。

＃10 。 論理ファイアウォールとは何ですか？

論理ファイアウォールには、分散ファイアウォールとエッジファイアウォールの2つのタイプがあります。 分散ファイアウォールは、東西のトラフィックを保護するために理想的に展開され、エッジファイアウォールは南北のトラフィックを保護します。 分散論理ファイアウォールを使用すると、IPアドレス、VLAN、仮想マシン名、vCenterオブジェクトなどの属性に基づいてルールを構築できます。 エッジゲートウェイは、南北のトラフィックにセキュリティとアクセス制限を課すために使用できるファイアウォールサービスを備えています。

＃11。 ロードバランサーとは何ですか？

論理ロードバランサーは、着信要求を複数のサーバーに分散して、エンドユーザーからこの機能を抽象化しながら負荷分散を可能にします。 論理ロードバランサーは、アプリケーションの稼働時間を最大限に確保するための高可用性（ HA ）メカニズムとしても使用できます。 ロードバランササービスを有効にするには、Edgeサービスゲートウェイインスタンスをデプロイする必要があります。

＃12。 Service Composerとは何ですか？

サービスコンポーザーを使用すると、ネットワークおよび複数のセキュリティサービスをセキュリティグループに割り当てることができます。 これらのセキュリティグループの一部である仮想マシンには、サービスが自動的に割り当てられます。

＃13。 データセキュリティとは何ですか？

NSXデータセキュリティは、機密データの可視性を提供し、データ保護を保証し、コンプライアンス違反を報告します。 指定された仮想マシンでのデータセキュリティスキャンにより、NSXは、これらの仮想マシンに適用されるセキュリティポリシーに基づいて、違反を分析および報告できます。

＃14。 NSX6.2の最大構成

NSXコアコンポーネント

＃15。 NSX Managerを定義しますか？

NSX Managerを使用すると、環境内でNSXコンポーネントを作成、構成、および管理できます。 NSX Managerは、さまざまなNSXコンポーネントとの対話を可能にするグラフィカルユーザーインターフェイスとRESTAPIを提供します。 NSX Managerは、OVAとしてダウンロードし、vCenterが管理する任意のESXホストにデプロイできる仮想マシンです。

＃16 。 NSXコントローラークラスターを定義しますか？

NSXコントローラーは、論理ルーティングとVXLANネットワーク情報を基盤となるハイパーバイザーに配布するためのコントロールプレーン機能を提供します。 コントローラは仮想アプライアンスとしてデプロイされ、接続されているのと同じvCenterNSXManagerにデプロイする必要があります。 実稼働環境では、少なくとも3つのコントローラーをデプロイすることをお勧めします。 可用性とスケーラビリティを向上させるために、DRS ant-affinityルールが、別のESXiホストにコントローラーを展開するように構成されていることを確認する必要があります。

＃17。 VXLANとは何ですか？

VXLANは、論理ネットワークセグメントをルーティング可能なネットワーク上で拡張できるようにするレイヤー2オーバーレイヤー3トンネリングプロトコルです。 これは、追加のUPD、IP、およびVXLANヘッダーでイーサネットフレームをカプセル化することによって実現されます。 その結果、これによりパケットのサイズが50バイト増加します。 したがって、VMwareは、物理インフラストラクチャおよび関連するvSwitchのすべてのインターフェイスのMTUサイズを最小1,600バイトに増やすことをお勧めします。

＃18。 VTEPとは何ですか？

仮想マシンが同じ仮想ネットワーク上の別の仮想マシン向けのトラフィックを生成する場合、ソース仮想マシンと宛先仮想マシンが実行されるホストはVXLANトンネルエンドポイント（ VTEP ）と呼ばれます。 VTEPは、ホスト上で個別のVMKernelインターフェイスとして構成されます。

VXLANフレームの外部IPヘッダーブロックには、送信元ハイパーバイザーと宛先ハイパーバイザーを含む送信元IPアドレスと宛先IPアドレスが含まれています。 パケットがソース仮想マシンを離れると、パケットはソースハイパーバイザーでカプセル化され、ターゲットハイパーバイザーに送信されます。 このパケットを受信すると、ターゲットハイパーバイザーはイーサネットフレームのカプセル化を解除し、宛先仮想マシンに転送します。

NSX ManagerがESXiホストを準備したら、VTEPを構成する必要があります。 NSXは、アップリンクロードバランシング機能のために、ホストごとに複数のVXLANvmknicsをサポートします。 これに加えて、ゲストVLANタギングもサポートされています。

＃19。 輸送ゾーンについて説明してください。

トランスポートゾーンは、複数の仮想分散スイッチにまたがる複数のESXiクラスターにまたがる論理スイッチの拡張を定義します。 トランスポートゾーンにより、論理スイッチを複数の仮想分散スイッチに拡張できます。 このトランスポートゾーンの一部であるESXiホストは、その論理ネットワークの一部として仮想マシンを持つことができます。 論理スイッチは常にトランスポートゾーンの一部として作成され、ESXiホストはそれらに参加できます。

＃20。 ユニバーサルトランスポートゾーンとは何ですか？

ユニバーサルトランスポートゾーンにより、論理スイッチは複数のvCenterにまたがる複数のホストにまたがることができます。 ユニバーサルトランスポートゾーンは常にプライマリNSXサーバーによって作成され、セカンダリNSXマネージャーと同期されます。

＃21 。 NSX Edgeサービスゲートウェイとは何ですか？

NSXエッジサービスゲートウェイ（ ESG ）は、NAT、ルーティング、ファイアウォール、負荷分散、L2 / L3 VPN、DHCP / DNSリレーなどの機能豊富なサービスセットを提供します。 NSX APIを使用すると、これらの各サービスをオンデマンドでデプロイ、構成、および利用できます。 NSXEdgeはESGまたはDLRとしてインストールできます。

ESGやDLRを含むEdgeアプライアンスの数は、ホスト上で250に制限されています。 Edge Services Gatewayは、vSphereWebクライアントを使用してアクセスされるNSXManagerから仮想マシンとしてデプロイされます。

注：エッジサービスゲートウェイを展開できるのは、NSXの運用とセキュリティ管理を可能にするエンタープライズ管理者の役割のみです。

＃22。 NSXの分散ファイアウォールについて説明してください。

NSXは、ESXiハイパーバイザーカーネルで実行される分散ファイアウォールを使用して、L2-L4ステートフルファイアウォールサービスを提供します。 ファイアウォールはESXiカーネルの機能であるため、大量のスループットを提供し、ニアラインレートで実行されます。 NSXが最初にESXiホストを準備するとき、分散ファイアウォールサービスは、カーネルVIB（ VMwareインターネットワーキングサービス挿入プラットフォーム（ VSIP ））を展開することによってカーネルにインストールされます。 VSIPは、データプレーンを流れるすべてのトラフィックのセキュリティポリシーを監視および実施する責任があります。 分散ファイアウォール（ DFW ）のスループットとパフォーマンスは、ESXiホストが追加されるにつれて水平方向にスケーリングします。

＃23。 Cross-vCenter NSXとは何ですか？

NSX 6.2以降、cross-vCenter機能を使用して複数のvCenterNSX環境を管理できます。 これにより、単一のプライマリNSXManagerから複数のvCenterNSX環境を管理できます。 クロスvCenter展開では、複数のvCenterがすべてvCenterごとに独自のNSXManagerとペアになります。 1つのNSXManagerがプライマリに割り当てられ、他のNSXManagerがセカンダリになります。 このプライマリNSXManagerは、コントロールプレーンを提供するユニバーサルコントローラークラスターを展開できるようになりました。 スタンドアロンのvCenter-NSX展開とは異なり、セカンダリNSXマネージャーは独自のコントローラークラスターを展開しません。

＃24。VPNとは何ですか？

仮想プライベートネットワーク（ VPN ）を使用すると、リモートデバイスまたはサイトを企業のインフラストラクチャに安全に接続できます。 NSX Edgeは、3種類のVPN接続をサポートしています。 SSL VPN-Plus、IP-SEC VPN、およびL2VPN。

＃25。 SSL VPN-Plusとは何ですか？

SSL VPN-Plusを使用すると、リモートユーザーはプライベートネットワーク内のアプリケーションやサーバーに安全にアクセスできます。 SSL VPN-Plusを設定できるモードには、ネットワークアクセスモードとWebアクセスモードの2つがあります。 ネットワークアクセスモードでは、リモートユーザーは内部プライベートネットワークに安全にアクセスできます。 これは、リモートユーザーがオペレーティングシステムにダウンロードしてインストールするVPNクライアントによって実行されます。 Webアクセスモードでは、リモートユーザーはVPNクライアントソフトウェアなしでプライベートネットワークにアクセスできます。

＃26。 IPSec VPNとは何ですか？

NSX Edgeサービスゲートウェイは、サイト間IPSEC VPNをサポートします。これにより、NSXEdgeサービスゲートウェイでバックアップされたネットワークをリモートサイトの別のデバイスに接続できます。 NSX Edgeは、リモートサイトとの安全なトンネルを確立して、サイト間の安全なトラフィックフローを可能にします。 エッジゲートウェイが確立できるトンネルの数は、展開されているエッジゲートウェイのサイズによって異なります。 IPsec VPNを構成する前に、エッジアップリンクで動的ルーティングが無効になっていることを確認して、VPNトラフィックに特定のルートを定義できるようにします。

注：自己署名証明書は、IPSECVPNでは使用できません。

＃27。 L2VPNとは

L2 VPNを使用すると、複数のサイトにまたがって複数の論理ネットワークを拡張できます。 ネットワークは、従来のVLANとVXLANの両方にすることができます。 このような展開では、仮想マシンはIPアドレスを変更せずにサイト間を移動できます。 L2 VPNは、宛先Edgeがサーバーであり、送信元Edgeがクライアントであるクライアントおよびサーバーとして展開されます。 クライアントとサーバーの両方が、ローカルサイトとリモートサイトの両方のMACアドレスを学習します。 NSX環境に支えられていないサイトの場合は、スタンドアロンのNSXEdgeゲートウェイを展開できます。

NSX機能サービス

＃28。 クロスvCenterNSX環境にインストールおよび構成できるNSXマネージャーの数はいくつですか。

1つのプライマリNSXManagerと最大7つのセカンダリNSXManagerのみが存在できます。 プライマリNSXManagerを1つ選択すると、ユニバーサルオブジェクトの作成とユニバーサルコントローラークラスターのデプロイを開始できます。 ユニバーサルコントローラークラスターは、Cross-vCenterNSX環境のコントロールプレーンを提供します。 クロスvCenter環境では、セカンダリNSXマネージャーに独自のコントローラークラスターがないことに注意してください。

＃29。 セグメントIDプールとは何ですか、またそれを割り当てる方法は？

各VXLANトンネルにはセグメントID（VNI）があり、NSXManagerごとにセグメントIDプールを指定する必要があります。 すべてのトラフィックはそのセグメントIDにバインドされるため、分離が可能になります。

＃30。 L2ブリッジとは何ですか？

論理スイッチは、L2ブリッジを使用して物理スイッチVLANに接続できます。 これにより、論理VXLANを物理VLANとブリッジすることにより、仮想論理ネットワークを拡張して既存の物理ネットワークにアクセスできます。 このL2ブリッジングは、物理ネットワーク上の単一の物理VLANにマップするNSXEdge論理ルーターを使用して実現されます。

ただし、L2ブリッジを使用して、2つの異なる物理VLANまたは2つの異なる論理スイッチを接続しないでください。 また、ユニバーサル論理ルーターを使用してブリッジングを構成したり、ユニバーサル論理スイッチにブリッジを追加したりすることはできません。 これは、マルチvCenter NSX環境では、L2ブリッジを介して論理スイッチを別のデータセンターの物理VLANに拡張できないことを意味します。

エッジサービスゲートウェイ

＃31。 等コストマルチパス（ECMP）ルーティングとは何ですか？

ECMPを使用すると、OSPFやBGPなどのルーティングプロトコルを使用して静的または動的に追加できる複数の最適なパスを介して、ネクストホップパケットを単一の宛先に転送できます。 これらの複数のパスは、静的ルートを定義するときにコンマ区切りの値として追加されます。

＃32。 直接接続、静的、外部BGPなどのデフォルトの範囲は何ですか？

値の範囲は1〜255で、デフォルトの範囲は、接続済み（0）、静的（1）、外部BGP（20）、OSPFエリア内（30）、OSPFエリア間（110）、および内部BGP（200）です。 。

注：上記の値はいずれも、ルーティング構成のデフォルトゲートウェイ構成を編集することで「管理距離」に入力されます。

＃33。 Open Shortest Path First（OSPF）とは何ですか？

OSPFは、リンクステートルーティングアルゴリズムを使用し、単一の自律システム内で動作するルーティングプロトコルです。

＃34。 OSPFのグレースフルリスタートとは何ですか？

グレースフルリスタートでは、OSPFプロセスがリスタートされている場合でも、ノンストップのパケット転送が可能です。 これは、無停止のパケットルーティングに役立ちます。

＃35。 OSPFのNot-So-StubbyArea（NSSA）とは何ですか？

NSSAは、外部宛先へのデフォルトルートに依存することにより、外部自律システムリンクステートアドバタイズメントのフラッディングを防ぎます。 NSSAは通常、OSPFルーティングドメインのエッジに配置されます。

＃36。 BGPとは何ですか？

BGPは、インターネット上の自律システム（ AS ）間でルーティング情報を交換するために設計された外部ゲートウェイプロトコルです。 BGPは、2つ以上のISPに接続する大規模な組織のネットワーク管理者、および他のネットワークプロバイダーに接続するインターネットサービスプロバイダーに関連しています。 小規模な企業ネットワークの管理者またはエンドユーザーの場合は、BGPについて知る必要はないでしょう。

＃37。 ルート配布とは何ですか？

複数のルーティングプロトコルが使用されている環境では、ルートの再配布により、プロトコル間のルート共有が可能になります。

＃38。 レイヤー4ロードバランサーとは何ですか？

レイヤ4ロードバランサは、IPとTCPまたはUDPポートに基づいてルーティングを決定します。 クライアントとサーバー間で交換されるトラフィックのパケットビューがあり、パケットごとに決定を下します。 レイヤー4接続は、クライアントとサーバーの間で確立されます。

＃39。 レイヤー7ロードバランサーとは何ですか？

レイヤー7ロードバランサーは、IP、TCP、UDPポート、またはアプリケーションプロトコル（主にHTTP）から取得できるその他の情報に基づいてルーティングを決定します。 レイヤー7ロードバランサーはプロキシとして機能し、2つのTCP接続を維持します。1つはクライアントと、もう1つはサーバーとの接続です。

＃40。 ロードバランサーを構成する際のアプリケーションプロファイルとは何ですか？

プールにマップする仮想サーバーを作成する前に、特定のタイプのネットワークトラフィックの動作を定義するアプリケーションプロファイルを定義する必要があります。 トラフィックが受信されると、仮想サーバーはプロファイルで定義された値に基づいてトラフィックを処理します。 これにより、ネットワークトラフィックの管理をより細かく制御できます。

＃41。 サブインターフェースとは何ですか？

サブインターフェイスまたは内部インターフェイスは、作成されて物理インターフェイスにマッピングされる論理インターフェイスです。 サブインターフェイスは、物理インターフェイスを複数の論理インターフェイスに分割したものです。 この論理インターフェースは、親物理インターフェースを使用してデータを移動します。 ハートビートは、エッジアプライアンス間であるハイパーバイザーから別のハイパーバイザーに物理ポートを通過する必要があるため、HAにサブインターフェイスを使用できないことに注意してください。

＃42。 ご使用の環境でForceSync NSXEdgeが必要なのはなぜですか。

強制同期は、エッジ構成をNSXManagerから環境内のすべてのコンポーネントに同期する機能です。 NSXManagerからNSXEdgeへの同期アクションが開始され、Edge構成が更新および再ロードされます。

＃43。 仮想環境で構成するためにリモートSyslogサーバーが必要なのはなぜですか？

エッジアプライアンスでのログフラッディングを回避するために、Syslogサーバーを構成することをお勧めします。 ロギングを有効にすると、ログはEdgeアプライアンスにローカルに保存され、スペースを消費します。 チェックを外したままにすると、Edgeアプライアンスのパフォーマンスに影響を与える可能性があり、ディスク容量の不足によりEdgeアプライアンスが停止する可能性もあります。

ServiceComposer

＃44。 セキュリティポリシーとは何ですか？

セキュリティポリシーは、仮想マシン、ネットワーク、またはファイアウォールサービスに適用される一連のルールです。 セキュリティポリシーは、セキュリティグループに適用できる再利用可能なルールセットです。 セキュリティポリシーは、次の3種類のルールセットを表します。

• エンドポイントサービス：ウイルス対策ソリューションや脆弱性管理などのゲストベースのサービス
• ファイアウォールルール：分散ファイアウォールポリシー
• ネットワークイントロスペクションサービス：侵入検知システムや暗号化などのネットワークサービス

これらのルールは、このポリシーが関連付けられているセキュリティグループの一部であるすべてのオブジェクトと仮想マシンに適用されます。

モニタリング

＃44。 NSXのエンドポイントモニタリングとは何ですか？

Endpoint Monitorは、オペレーティングシステム内で実行されているアプリケーションに対する洞察と可視性を提供し、セキュリティポリシーが正しく適用されていることを確認します。 Endpoint Monitoringでは、ゲストイントロスペクションをインストールする必要があります。 仮想マシンでは、VMwareツールのインストールの一部であるゲストイントロスペクションドライバーをインストールする必要があります。

＃45。 フローモニタリングとは何ですか？

NSX Flowモニタリングは、保護された仮想マシンとの間の詳細なトラフィックモニタリングを可能にする機能です。 フロー監視は、データを交換するさまざまなマシンとサービスを一意に識別でき、有効にすると、特定のアプリケーションを介してデータを交換しているマシンを識別できます。 フロー監視では、TCPおよびUDP接続のライブ監視も可能であり、効果的なフォレンジックツールとして使用できます。

注：フローモニタリングをオンにできるのは、ファイアウォールが有効になっているNSXデプロイメントの場合のみです。

＃46。 Traceflowとは何ですか？

Traceflowは、管理者が従来のパケットトレーサーアプリケーションと同様の方法でパケットフローをトレースすることにより、仮想ネットワーク環境をシームレスにトラブルシューティングできるように構築された興味深いツールです。 Traceflowを使用すると、パケットをネットワークに挿入し、ネットワーク全体のフローを監視できます。 このフローにより、ネットワークを監視し、ボトルネックや中断などの問題を特定できます。

NSXの管理

＃48。 SyslogサーバーはNSXでどのように機能しますか？

リモートSyslogサーバーを使用してNSXManagerを構成すると、すべてのログファイルを収集、表示、および中央の場所に保存できます。 これにより、コンプライアンスの目的でログを保存できます。 VMware vRealize Log Insightなどのツールを使用すると、アラームを作成し、組み込みの検索エンジンを使用してログを確認できます。

＃49。 NSXでのバックアップと復元はどのように機能しますか？

バックアップは、システム障害時に適切に復元できるNSX環境にとって重要です。 vCenterとは別に、NSX Manager、コントローラークラスター、NSX Edge、ファイアウォールルール、およびServiceComposerでバックアップ操作を実行することもできます。 これらはすべて、個別にバックアップおよび復元できます。

＃50。 SNMPトラップとは何ですか？

簡易ネットワーク管理プロトコル（ SNMP ）トラップは、リモートSNMP対応デバイスからコレクターに送信されるアラートメッセージです。 SNMPトラップを転送するようにSNMPエージェントを構成できます。

デフォルトでは、SNMPトラップメカニズムは無効になっています。 SNMPトラップが有効になっている場合、重大で重大度の高い通知のみがSNMPマネージャーに送信されます。

この投稿を楽しんでいただけたでしょうか。 インタビューで頑張ってください！