As 50 principais perguntas e respostas da entrevista do VMware NSX
Publicados: 2021-10-06Vejamos algumas perguntas da entrevista do VMware NSX para ajudar os candidatos a emprego e profissionais que desejam obter a certificação em virtualização de rede.
A VMware adquiriu o NSX da Nicira em julho de 2012, que foi usado principalmente para virtualização de rede em um hipervisor baseado em Xen. O NSX abstrai a camada física (virtualiza a rede) para que o software seja executado na parte superior do hipervisor, que é configurado e atualizado dinamicamente. Atualmente, o NSX tem duas versões: NSX-T (projetado para multi-hipervisores e aplicativos nativos da nuvem) e NSX-V (projetado apenas para ambientes vSphere).
NSX é o futuro das infraestruturas de TI modernas que oferecem recursos avançados para gerenciar e proteger sua infraestrutura virtual. 82% da fortuna 100 adotou o VMware NSX. Com as empresas adotando rapidamente o VMware NSX, uma força de trabalho experiente está sempre em alta demanda.
Para isso, preparamos algumas perguntas de entrevista com respostas explicativas.
Essas perguntas da entrevista são categorizadas nas seguintes áreas técnicas:
- Conceitos Básicos
- NSX Core Components
- Serviços Funcionais NSX
- Gateway de serviços de borda
- Service Composer
- Monitoramento
- Gerenciando NSX
Conceitos básicos de NSX
# 1. O que é desacoplamento?
Um conceito importante de virtualização de rede é a dissociação de software e hardware de rede. O software funciona independentemente do hardware de rede que interconecta fisicamente a infraestrutura. Qualquer hardware de rede que possa interagir com o software sempre aumentará a funcionalidade, mas não é necessário. Lembre-se de que o desempenho do hardware de rede sempre limitará a taxa de transferência no fio.
# 2. O que é o plano de controle?
A separação do software e do hardware de rede permite que você controle melhor sua rede porque toda a lógica reside no software. Este aspecto de controle de sua rede é chamado de plano de controle. O plano de controle fornece os meios para configurar, monitorar, solucionar problemas e permitir a automação na rede.
# 3. O que é plano de dados?
O hardware de rede forma o plano de dados onde todos os dados são encaminhados da origem ao destino. O gerenciamento de dados reside no plano de controle; entretanto, o plano de dados consiste em todo o hardware de rede cuja função principal é encaminhar o tráfego pela conexão da origem ao destino.
# 4. O que é o Plano de Gerenciamento?
O plano de gerenciamento consiste principalmente no gerenciador NSX. O gerenciador NSX é um componente de gerenciamento de rede centralizado e permite principalmente um único ponto de gerenciamento. Ele também fornece a API REST que um usuário pode usar para executar todas as funções e ações do NSX. Durante a fase de implantação, o plano de gerenciamento é estabelecido quando o dispositivo NSX é implantado e configurado. Este plano de gerenciamento interage diretamente com o plano de controle e também com o plano de dados.
# 5 . O que é comutação lógica?
O NSX permite a capacidade de criar comutação lógica L2 e L3 que permite o isolamento da carga de trabalho e a separação do espaço de endereço IP entre as redes lógicas. O NSX pode criar domínios de broadcast lógicos no espaço virtual que evitam a necessidade de criar qualquer rede lógica nos switches físicos. Isso significa que você não está mais limitado a 4.096 domínios de transmissão físicos (VLANs).
# 6. O que são NSX Gateway Services?
Os serviços de gateway do Edge interconectam suas redes lógicas com suas redes físicas. Isso significa que uma máquina virtual conectada a uma rede lógica pode enviar e receber tráfego diretamente para sua rede física por meio do gateway.
# 7. O que é roteamento lógico?
Vários domínios de transmissão virtual (redes lógicas) podem ser criados usando o NSX. Como várias máquinas virtuais assinam esses domínios, torna-se crucial ser capaz de rotear o tráfego de um switch lógico para outro.
# 8. O que é tráfego leste-oeste no roteamento lógico?
O tráfego leste-oeste é o tráfego entre máquinas virtuais em um data center. No contexto atual, normalmente será o tráfego entre switches lógicos em um ambiente VMware.
# 9. O que é tráfego Norte-Sul?
O tráfego norte-sul é o tráfego entrando e saindo de seu data center. É qualquer tráfego que entra ou sai do seu data center.
# 10 . O que é um Firewall lógico?
Os firewalls lógicos são de dois tipos: firewall distribuído e firewall de borda. Um firewall distribuído é idealmente implantado para proteger qualquer tráfego leste-oeste, enquanto um firewall Edge protege qualquer tráfego norte-sul. Um firewall lógico distribuído permite que você crie regras com base em atributos que incluem endereços IP, VLANs, nomes de máquinas virtuais e objetos vCenter. O gateway Edge apresenta um serviço de firewall que pode ser usado para impor restrições de segurança e acesso ao tráfego norte-sul.
# 11. O que é um balanceador de carga?
O balanceador de carga lógico distribui solicitações de entrada entre vários servidores para permitir a distribuição de carga enquanto abstrai essa funcionalidade dos usuários finais. O balanceador de carga lógico também pode ser usado como mecanismo de alta disponibilidade ( HA ) para garantir que seu aplicativo tenha o máximo de tempo de atividade. Uma instância de gateway de serviços de Borda deve ser implantada para habilitar o serviço de balanceador de carga.
# 12. O que é o Service Composer?
O compositor de serviço permite alocar rede e vários serviços de segurança para grupos de segurança. As máquinas virtuais que fazem parte desses grupos de segurança são alocadas automaticamente aos serviços.
# 13. O que é segurança de dados?
A segurança de dados do NSX fornece visibilidade de dados confidenciais, garante proteção de dados e relata quaisquer violações de conformidade. Uma varredura de segurança de dados em máquinas virtuais designadas permite que o NSX analise e relate quaisquer violações com base na política de segurança que se aplica a essas máquinas virtuais.
# 14. Configuração máxima do NSX 6.2
| Descrição | Limite |
| vCenters | 1 |
| NSX Managers | 1 |
| Clusters DRS | 12 |
| Controladores NSX | 3 |
| Hosts por cluster | 32 |
| Hosts por zona de transporte | 256 |
| Chaves Lógicas | 10.000 |
| Portas de switch lógico | 50.000 |
| DLRs por host | 1.000 |
| DLR por NSX | 1.200 |
| Gateways de serviço de borda por NSX Manager | 2.000 |
NSX Core Components
# 15. Definir NSX Manager?
O gerenciador NSX nos permite criar, configurar e gerenciar componentes NSX em um ambiente. O gerenciador NSX fornece uma interface gráfica do usuário e APIs REST que permitem que você interaja com vários componentes NSX. NSX Manager é uma máquina virtual que pode ser baixada como OVA e implantada em qualquer host ESX gerenciado pelo vCenter.
# 16 . Definir o cluster do NSX Controller?
O NSX controller fornece uma funcionalidade de plano de controle para distribuir roteamento lógico e informações de rede VXLAN para o hipervisor subjacente. Os controladores são implantados como dispositivos virtuais e devem ser implantados no mesmo gerenciador vCenter NSX ao qual está conectado. Em um ambiente de produção, é recomendável implantar no mínimo três controladores. Precisamos garantir que as regras de afinidade ant DRS sejam configuradas para implantar controladores em um host ESXi separado para melhor disponibilidade e escalabilidade.
# 17. O que é VXLAN?
VXLAN é um protocolo de encapsulamento de camada 2 sobre camada 3 que permite que segmentos lógicos de rede se estendam em redes roteáveis. Isso é obtido encapsulando o quadro Ethernet com cabeçalhos UPD, IP e VXLAN adicionais. Conseqüentemente, isso aumenta o tamanho do pacote em 50 bytes. Portanto, a VMware recomenda aumentar o tamanho da MTU para um mínimo de 1.600 bytes para todas as interfaces na infraestrutura física e quaisquer vSwitches associados.
# 18. O que é VTEP?
Quando uma máquina virtual gera tráfego destinado a outra máquina virtual na mesma rede virtual, os hosts nos quais as máquinas virtuais de origem e destino são executadas são chamados de pontos de extremidade de túnel VXLAN ( VTEP ). VTEPs são configurados como interfaces VMKernel separadas nos hosts.
O bloco de cabeçalho IP externo no quadro VXLAN contém os endereços IP de origem e de destino que contêm o hipervisor de origem e o hipervisor de destino. Quando um pacote deixa a máquina virtual de origem, ele é encapsulado no hipervisor de origem e enviado ao hipervisor de destino. Ao receber esse pacote, o hipervisor de destino desencapsula o quadro Ethernet e o encaminha para a máquina virtual de destino.
Depois que o NSX Manager prepara o host ESXi, precisamos configurar o VTEP. O NSX oferece suporte a vários VXLAN vmknics por host para recursos de balanceamento de carga de uplink. Além disso, a marcação de VLAN de convidado também é suportada.
# 19. Descrever zona de transporte?
Uma zona de transporte define a extensão de um switch lógico em vários clusters ESXi que se estendem por vários switches distribuídos virtuais. Uma zona de transporte permite que um switch lógico se estenda por vários switches distribuídos virtuais. Todos os hosts ESXi que fazem parte desta zona de transporte podem ter máquinas virtuais como parte dessa rede lógica. Um switch lógico sempre é criado como parte de uma zona de transporte e os hosts ESXi podem participar deles.
# 20. O que é a Zona de Transporte Universal?
Uma zona de transporte universal permite que um switch lógico abranja vários hosts em vários vCenters. Uma zona de transporte universal é sempre criada pelo servidor NSX primário e é sincronizada com os gerenciadores NSX secundários.
# 21 . O que é NSX Edge Services Gateway?
O NSX Edge Services Gateway ( ESG ) oferece um conjunto de serviços rico em recursos que incluem NAT, roteamento, firewall, balanceamento de carga, VPN L2 / L3 e retransmissão DHCP / DNS. A API NSX permite que cada um desses serviços seja implantado, configurado e consumido sob demanda. Você pode instalar o NSX Edge como ESG ou DLR.
O número de dispositivos Edge, incluindo ESGs e DLRs, é limitado a 250 em um host. O Edge Services Gateway é implantado como uma máquina virtual a partir do gerenciador NSX, que é acessado usando o vSphere Web Client.
Observação: apenas a função de administrador corporativo, que permite operações NSX e gerenciamento de segurança, pode implantar um gateway de serviços do Edge:
# 22. Descrever o firewall distribuído no NSX?
O NSX fornece serviços de firewall com monitoramento de estado L2-L4 usando um firewall distribuído que é executado no kernel do hipervisor ESXi. Como o firewall é uma função do kernel ESXi, ele oferece uma taxa de transferência massiva e funciona a uma taxa próxima da linha. Quando o NSX prepara inicialmente o host ESXi, o serviço de firewall distribuído é instalado no kernel por meio da implantação do kernel VIB— plataforma de inserção de serviço de internetworking VMware ( VSIP ). VSIP é responsável por monitorar e fazer cumprir as políticas de segurança em todo o tráfego que flui através do plano de dados. O rendimento e o desempenho do firewall distribuído ( DFW ) aumentam horizontalmente à medida que mais hosts ESXi são adicionados.
# 23. O que é Cross-vCenter NSX?
A partir do NSX 6.2, você pode gerenciar vários ambientes vCenter NSX usando a funcionalidade cross-vCenter. Isso permite que você gerencie vários ambientes vCenter NSX a partir de um único gerenciador NSX primário. Em uma implantação cross-vCenter, vários vCenters são todos emparelhados com seu próprio NSX Manager por vCenter. Um NSX Manager é atribuído ao primário, enquanto outros NSX Manager se tornam secundários. Esse gerenciador NSX primário agora pode implantar um cluster de controlador universal que fornece o plano de controle. Ao contrário de uma implantação independente do vCenter-NSX, os gerenciadores NSX secundários não implantam seus próprios clusters de controlador.
# 24. O que é uma VPN?
As redes virtuais privadas ( VPNs ) permitem que você conecte com segurança um dispositivo ou local remoto à sua infraestrutura corporativa. O NSX Edge oferece suporte a três tipos de conectividade VPN. SSL VPN-Plus, IP-SEC VPN e L2 VPN.
# 25. O que é SSL VPN-Plus?
SSL VPN-Plus permite que usuários remotos acessem aplicativos e servidores em uma rede privada com segurança. Existem dois modos nos quais SSL VPN-Plus pode ser configurado: modo de acesso à rede e modo de acesso à web. No modo de acesso à rede, um usuário remoto pode acessar a rede privada interna com segurança. Isso é feito por um cliente VPN que o usuário remoto baixa e instala em seu sistema operacional. No modo de acesso à web, o usuário remoto pode acessar as redes privadas sem nenhum software cliente VPN.
# 26. O que é VPN IPSec?
O gateway de serviço NSX Edge oferece suporte a uma VPN IPSEC site a site que permite conectar uma rede apoiada por gateway de serviços NSX Edge a outro dispositivo no site remoto. O NSX Edge pode estabelecer túneis seguros com sites remotos para permitir o fluxo de tráfego seguro entre os sites. O número de túneis que um gateway de borda pode estabelecer depende do tamanho do gateway de borda implantado. Antes de configurar a VPN IPsec, certifique-se de que o roteamento dinâmico esteja desabilitado no uplink do Edge para permitir rotas específicas definidas para qualquer tráfego VPN.
Nota: Certificados autoassinados não podem ser usados com uma VPN IPSEC.
# 27. O que é VPN L2
Uma VPN L2 permite que você estenda várias redes lógicas em vários sites. As redes podem ser VLANs e VXLANs tradicionais. Em tal implantação, uma máquina virtual pode se mover entre sites sem alterar seu endereço IP. Uma VPN L2 é implantada como um cliente e servidor em que o Edge de destino é o servidor e o Edge de origem é o cliente . Tanto o cliente quanto o servidor aprendem os endereços MAC de sites locais e remotos. Para qualquer site que não tenha o suporte de um ambiente NSX, um gateway NSX Edge autônomo pode ser implantado.
Serviços Funcionais NSX
# 28. Quantos gerenciadores NSX podem ser instalados e configurados em um ambiente cross-vCenter NSX?
Só pode haver um gerenciador NSX primário e até sete gerenciadores NSX secundários. Você pode selecionar um gerenciador NSX primário, após o qual você pode começar a criar objetos universais e implantar clusters de controlador universal também. O cluster de controlador universal fornecerá o plano de controle para o ambiente cross-vCenter NSX. Lembre-se de que, em um ambiente cross-vCenter, os gerenciadores NSX secundários não têm seus próprios clusters de controlador.
# 29. O que é o pool de IDs de segmento e como atribuí-lo?
Cada túnel VXLAN tem um ID de segmento (VNI) e você deve especificar um pool de ID de segmento para cada NSX Manager. Todo o tráfego será vinculado ao seu ID de segmento, o que permite o isolamento.
# 30. O que é L2 Bridge?
Um switch lógico pode ser conectado a uma VLAN de switch físico usando uma ponte L2. Isso permite que você estenda suas redes lógicas virtuais para acessar redes físicas existentes unindo a VXLAN lógica à VLAN física. Essa ponte L2 é realizada usando um roteador lógico NSX Edge que mapeia para uma única VLAN física na rede física.
No entanto, as pontes L2 não devem ser usadas para conectar duas VLANs físicas diferentes ou dois switches lógicos diferentes. Você também não pode usar um roteador lógico universal para configurar a ponte, e uma ponte não pode ser adicionada a um switch lógico universal. Isso significa que, em um ambiente multi-vCenter NSX, você não pode estender um switch lógico para uma VLAN física em outro data center por meio de ponte L2.
Gateway de serviços de borda
# 31. O que é roteamento de múltiplos caminhos de custo igual (ECMP)?
O ECMP permite que o pacote do próximo salto seja encaminhado para um único destino através de vários melhores caminhos que podem ser adicionados estática ou dinamicamente usando protocolos de roteamento como OSPF e BGP. Esses vários caminhos são adicionados como valores separados por vírgula ao definir as rotas estáticas.
# 32. Quais são os intervalos padrão para BGP conectado diretamente, estático, externo, etc.?
Os valores variam de 1 a 255 e os intervalos padrão são: Conectado (0), Estático (1), BGP Externo (20), OSPF intra-área (30), OSPF Inter-área (110) e Interno BGP (200) .
Nota: Qualquer um dos valores acima será inserido em “Distância Admin” editando a configuração do Gateway Padrão em Configuração de Roteamento.
# 33. O que é o Open Shortest Path First (OSPF)?
OSPF é um protocolo de roteamento que usa um algoritmo de roteamento link-state e opera em um único sistema autônomo.
# 34. O que é Graceful Restart no OSPF?
Graceful Restart permite o encaminhamento ininterrupto de pacotes, mesmo se o processo OSPF estiver sendo reiniciado. Isso ajuda no roteamento de pacotes sem interrupções.
# 35. O que é área não tão atarracada (NSSA) no OSPF?
O NSSA evita a inundação de anúncios de estado de link de sistema autônomo externo, contando com as rotas padrão para destinos externos. NSSAs são normalmente colocados no limite de um domínio de roteamento OSPF.
# 36. O que é BGP?
O BGP é um protocolo de gateway externo projetado para trocar informações de roteamento entre sistemas autônomos ( AS ) na Internet. O BGP é relevante para administradores de rede de grandes organizações que se conectam a dois ou mais ISPs e provedores de serviços de Internet que se conectam a outros provedores de rede. Se você é o administrador de uma pequena rede corporativa ou um usuário final, provavelmente não precisa saber sobre o BGP.
# 37. O que é distribuição de rota?
Em um ambiente onde vários protocolos de roteamento estão sendo usados, a redistribuição de rota permite o compartilhamento de rota entre protocolos.
# 38. O que é o balanceador de carga da camada 4?
O balanceador de carga da camada 4 toma decisões de roteamento com base em IPs e portas TCP ou UDP. Ele tem uma visão de pacote do tráfego trocado entre o cliente e um servidor e toma decisões pacote a pacote. A conexão da camada 4 é estabelecida entre um cliente e um servidor.
# 39. O que é o balanceador de carga da camada 7?
Um balanceador de carga da camada 7 toma decisões de roteamento com base em portas IPs, TCP ou UDP ou outras informações que pode obter do protocolo do aplicativo (principalmente HTTP). O balanceador de carga da camada 7 atua como um proxy e mantém duas conexões TCP: uma com o cliente e outra com o servidor.
# 40. O que é o Perfil de Aplicativo na configuração do Load Balancer?
Antes de criar um servidor virtual para mapear para o pool, temos que definir um perfil de aplicativo que define o comportamento de um tipo específico de tráfego de rede. Quando o tráfego é recebido, o servidor virtual processa o tráfego com base nos valores definidos no perfil. Isso permite maior controle sobre o gerenciamento do tráfego de rede:
# 41. Qual é a subinterface?
Uma subinterface, ou uma interface interna, é uma interface lógica criada e mapeada para a interface física. Subinterfaces são simplesmente uma divisão de uma interface física em várias interfaces lógicas. Essa interface lógica usa a interface física pai para mover dados. Lembre-se de que você não pode usar subinterfaces para HA porque uma pulsação precisa atravessar uma porta física de um hipervisor para outro entre os dispositivos Edge.
# 42. Por que o Force Sync NSX Edge é necessário para o seu ambiente?
Forçar sincronização é um recurso que sincroniza a configuração do Edge do NSX Manager para todos os seus componentes em um ambiente. Uma ação de sincronização é iniciada do NSX Manager para o NSX Edge, que atualiza e recarrega a configuração do Edge.
# 43. Por que um servidor Syslog remoto é necessário para configurar em seu ambiente virtual?
A VMware recomenda configurar servidores Syslog para evitar inundação de logs nos dispositivos Edge. Quando o log está habilitado, os logs são armazenados localmente no dispositivo Edge e consomem espaço. Se não for verificado, isso pode ter um impacto no desempenho do dispositivo Edge e também pode fazer com que o dispositivo Edge pare devido à falta de espaço em disco.
Service Composer
# 44. O que são políticas de segurança?
As políticas de segurança são conjuntos de regras que se aplicam a uma máquina virtual, rede ou serviços de firewall. As políticas de segurança são conjuntos de regras reutilizáveis que podem ser aplicados a grupos de segurança. As políticas de segurança expressam três tipos de conjuntos de regras:
- Serviços de endpoint : serviços baseados em convidados, como soluções antivírus e gerenciamento de vulnerabilidades
- Regras de firewall : políticas de firewall distribuídas
- Serviços de introspecção de rede : serviços de rede, como sistemas de detecção de intrusão e criptografia
Essas regras são aplicadas a todos os objetos e máquinas virtuais que fazem parte de um grupo de segurança ao qual esta política está associada.
Monitoramento
# 44. O que é Endpoint Monitoring no NSX?
O Endpoint Monitor fornece uma visão e visibilidade dos aplicativos em execução em um sistema operacional para garantir que as políticas de segurança sejam aplicadas corretamente. O Endpoint Monitoring requer que a introspecção de convidado seja instalada. Em máquinas virtuais, você precisará instalar um driver de introspecção convidado, que faz parte da instalação das ferramentas VMware.
# 45. O que é monitoramento de fluxo?
O monitoramento NSX Flow é um recurso que permite o monitoramento detalhado do tráfego de e para máquinas virtuais protegidas. O monitoramento de fluxo pode identificar exclusivamente diferentes máquinas e serviços trocando dados e, quando habilitado, pode identificar quais máquinas estão trocando dados sobre aplicativos específicos. O monitoramento de fluxo também permite o monitoramento ao vivo de conexões TCP e UDP e pode ser usado como uma ferramenta forense eficaz.
Observação: o monitoramento de fluxo só pode ser ativado para implantações NSX onde um firewall está ativado.
# 46. O que é Traceflow?
O Traceflow é uma ferramenta interessante construída para permitir que os administradores solucionem problemas de maneira contínua em seu ambiente de rede virtual, rastreando um fluxo de pacotes de maneira semelhante ao aplicativo Packet Tracer legado. O Traceflow permite que você injete um pacote na rede e monitore seu fluxo na rede. Esse fluxo permite monitorar sua rede e identificar problemas como gargalos ou interrupções.
Gerenciando NSX
# 48. Como funciona o servidor Syslog no NSX?
Configurar o NSX Manager com um servidor Syslog remoto permite coletar, visualizar e salvar todos os arquivos de log em um local central. Isso permite que você armazene logs para fins de conformidade; ao usar uma ferramenta como o VMware vRealize Log insight, você pode criar alarmes e usar o mecanismo de pesquisa integrado para revisar os registros.
# 49. Como o backup e a restauração funcionam no NSX?
Os backups são essenciais para um ambiente NSX que permite restaurá-los adequadamente durante uma falha do sistema. Além do vCenter, você também pode executar operações de backup no NSX Manager, clusters de controlador, NSX Edge, regras de firewall e Service Composer. Todos estes podem ser copiados e restaurados individualmente.
# 50. Qual é a armadilha SNMP?
Os traps do protocolo de gerenciamento de rede simples ( SNMP ) são mensagens de alerta enviadas de um dispositivo remoto habilitado para SNMP a um coletor. Você pode configurar o agente SNMP para encaminhar interceptações SNMP.
Por padrão, o mecanismo de trap SNMP está desabilitado. Somente notificações críticas e de alta severidade são enviadas ao gerenciador SNMP quando o trap SNMP está habilitado.
Espero que você tenha gostado de ler este post. Boa sorte com sua entrevista!