前 50 个 VMware NSX 面试问题和答案
已发表: 2021-10-06让我们看一些 VMware NSX 面试问题,以帮助希望获得网络虚拟化认证的求职者和专业人士。
VMware 于 2012 年 7 月从 Nicira 手中收购了 NSX,NSX 主要用于基于 Xen 的虚拟机管理程序中的网络虚拟化。 NSX 抽象了物理层(虚拟化网络),以便软件运行在动态配置和更新的管理程序之上。 目前,NSX 有两个版本:NSX-T(专为多虚拟机管理程序和云原生应用而设计)和 NSX-V(专为 vSphere 环境设计)。
NSX 是现代 IT 基础架构的未来,它提供了丰富的功能来管理和保护您的虚拟基础架构。 82% 的财富 100 强企业都采用了 VMware NSX。 随着企业迅速采用 VMware NSX,对经验丰富的劳动力的需求一直很高。
为此,我们准备了一些带有解释性答案的面试问题
这些面试问题分为以下技术领域:
- 基本概念
- NSX 核心组件
- NSX 功能服务
- 边缘服务网关
- 服务编辑器
- 监控
- 管理 NSX
NSX 的基本概念
#1. 什么是解耦?
网络虚拟化的一个重要概念是软件和网络硬件的解耦。 该软件独立于物理互连基础设施的网络硬件工作。 任何可以与软件互操作的网络硬件都将始终增强功能,但这不是必需的。 请记住,您的网络硬件性能将始终限制您的网络吞吐量。
#2. 什么是控制平面?
软件和网络硬件的解耦使您可以更好地控制网络,因为所有逻辑都驻留在软件中。 网络的这种控制方面称为控制平面。 控制平面提供了对网络进行配置、监控、故障排除和允许自动化的方法。
#3. 什么是数据平面?
网络硬件构成了数据平面,其中所有数据都从源转发到目标。 数据的管理驻留在控制平面; 然而,数据平面由所有网络硬件组成,其主要功能是通过线路将流量从源转发到目的地。
#4. 什么是管理平面?
管理平面主要由 NSX 管理器组成。 NSX 管理器是一个集中式网络管理组件,主要允许单个管理点。 它还提供了 REST API,用户可以使用它来执行所有 NSX 功能和操作。 在部署阶段,在部署和配置 NSX 设备时建立管理平面。 该管理平面直接与控制平面和数据平面交互。
#5 . 什么是逻辑交换?
NSX 允许创建 L2 和 L3 逻辑交换,从而在逻辑网络之间实现工作负载隔离和 IP 地址空间分离。 NSX 可以在虚拟空间中创建逻辑广播域,从而无需在物理交换机上创建任何逻辑网络。 这意味着您不再局限于 4096 个物理广播域 (VLAN)。
#6. 什么是 NSX 网关服务?
Edge 网关服务将您的逻辑网络与物理网络互连。 这意味着连接到逻辑网络的虚拟机可以通过网关直接向您的物理网络发送和接收流量。
#7. 什么是逻辑路由?
可以使用 NSX 创建多个虚拟广播域(逻辑网络)。 由于多个虚拟机订阅了这些域,因此能够将流量从一个逻辑交换机路由到另一个逻辑交换机变得至关重要。
#8. 什么是逻辑路由中的东西向流量?
东西向流量是数据中心内虚拟机之间的流量。 在当前上下文中,这通常是 VMware 环境中逻辑交换机之间的流量。
#9. 什么是南北交通?
南北流量是指进出数据中心的流量。 这是进入您的数据中心或离开您的数据中心的任何流量。
#10 . 什么是逻辑防火墙?
逻辑防火墙有两种类型:分布式防火墙和边缘防火墙。 理想情况下部署分布式防火墙以保护任何东西向流量,而边缘防火墙则保护任何南北向流量。 分布式逻辑防火墙允许您根据 IP 地址、VLAN、虚拟机名称和 vCenter 对象等属性构建规则。 Edge 网关具有防火墙服务,可用于对南北流量施加安全和访问限制。
#11. 什么是负载均衡器?
逻辑负载平衡器在多个服务器之间分配传入请求以允许负载分配,同时从最终用户提取此功能。 逻辑负载均衡器还可以用作高可用性( HA ) 机制,以确保您的应用程序具有最长的正常运行时间。 必须部署 Edge 服务网关实例才能启用负载平衡器服务。
#12. 什么是服务编辑器?
服务组合器允许您将网络和多个安全服务分配给安全组。 属于这些安全组的虚拟机会自动分配服务。
#13. 什么是数据安全?
NSX 数据安全提供对敏感数据的可见性,确保数据保护,并报告任何违反合规性的情况。 对指定虚拟机的数据安全扫描允许 NSX 根据适用于这些虚拟机的安全策略分析和报告任何违规行为。
#14. NSX 6.2 的最大配置
| 描述 | 限制 |
| vCenter | 1 |
| NSX 管理器 | 1 |
| DRS 群集 | 12 |
| NSX 控制器 | 3 |
| 每个集群的主机数 | 32 |
| 每个传输区域的主机 | 256 |
| 逻辑交换机 | 10,000 |
| 逻辑交换机端口 | 50,000 |
| 每个主机的 DLR | 1,000 |
| 每个 NSX 的 DLR | 1,200 |
| 每个 NSX Manager 的 Edge 服务网关 | 2,000 |
NSX 核心组件
#15. 定义 NSX Manager?
NSX 管理器允许我们在环境中创建、配置和管理 NSX 组件。 NSX 管理器提供图形用户界面和 REST API,使您能够与各种 NSX 组件进行交互。 NSX Manager 是一个虚拟机,您可以将其作为 OVA 下载并部署在由 vCenter 管理的任何 ESX 主机上。
#16 . 定义 NSX Controller 集群?
NSX 控制器提供控制平面功能,以将逻辑路由和 VXLAN 网络信息分发到底层虚拟机管理程序。 控制器部署为虚拟设备,应部署在连接到的同一 vCenter NSX 管理器中。 在生产环境中,建议至少部署三个控制器。 我们需要确保将 DRS 蚂蚁关联规则配置为在单独的 ESXi 主机上部署控制器,以获得更好的可用性和可扩展性。
#17. 什么是 VXLAN?
VXLAN 是第 2 层之上第 3 层隧道协议,它允许逻辑网段在可路由网络上扩展。 这是通过使用额外的 UPD、IP 和 VXLAN 标头封装以太网帧来实现的。 因此,这会将数据包的大小增加 50 个字节。 因此,VMware 建议将物理基础架构中的所有接口和任何关联的 vSwitch 的 MTU 大小增加到至少 1,600 字节。
#18. 什么是 VTEP?
当一个虚拟机生成用于同一虚拟网络上的另一个虚拟机的流量时,运行源和目标虚拟机的主机称为VXLAN 隧道端点( VTEP )。 VTEP 在主机上配置为单独的 VMKernel 接口。
VXLAN 帧中的外部 IP 标头块包含包含源管理程序和目标管理程序的源 IP 地址和目标 IP 地址。 当数据包离开源虚拟机时,它会在源虚拟机管理程序处封装并发送到目标虚拟机管理程序。 收到此数据包后,目标虚拟机管理程序会解封装以太网帧并将其转发到目标虚拟机。
NSX Manager 准备好 ESXi 主机后,我们需要配置 VTEP。 NSX 支持每台主机使用多个 VXLAN vmknic 以实现上行链路负载平衡功能。 除此之外,还支持访客 VLAN 标记。
#19. 描述运输区?
传输区域定义了跨多个虚拟分布式交换机的多个 ESXi 集群的逻辑交换机的扩展。 传输区域使逻辑交换机能够跨多个虚拟分布式交换机进行扩展。 作为该传输区域一部分的任何 ESXi 主机都可以将虚拟机作为该逻辑网络的一部分。 逻辑交换机始终作为传输区域的一部分创建,并且 ESXi 主机可以参与其中。
#20. 什么是通用运输区?
通用传输区域允许逻辑交换机跨越多个 vCenter 的多个主机。 通用传输区域始终由主 NSX 服务器创建并与辅助 NSX 管理器同步。
#21 . 什么是 NSX Edge 服务网关?
NSX Edge 服务网关( ESG ) 提供一组功能丰富的服务,其中包括 NAT、路由、防火墙、负载平衡、L2/L3 VPN 和 DHCP/DNS 中继。 NSX API 允许按需部署、配置和使用这些服务中的每一个。 您可以将 NSX Edge 安装为 ESG 或 DLR。
Edge 设备(包括 ESG 和 DLR)的数量限制为一台主机上的 250 个。 Edge 服务网关部署为来自 NSX 管理器的虚拟机,可使用 vSphere Web 客户端访问。
注意:只有允许 NSX 操作和安全管理的企业管理员角色才能部署 Edge 服务网关:
#22. 描述 NSX 中的分布式防火墙?
NSX 使用在 ESXi 管理程序内核中运行的分布式防火墙提供 L2-L4 状态防火墙服务。 由于防火墙是 ESXi 内核的一项功能,因此它提供了大量吞吐量并以近线速率执行。 NSX 在最初准备 ESXi 主机时,通过部署内核 VIB—— VMware 互联互通服务插入平台( VSIP ) 将分布式防火墙服务安装在内核中。 VSIP 负责监控和执行流经数据平面的所有流量的安全策略。 随着更多 ESXi 主机的添加,分布式防火墙( DFW ) 吞吐量和性能水平扩展。
#23. 什么是跨 vCenter NSX?
从 NSX 6.2 开始,您可以使用跨 vCenter 功能管理多个 vCenter NSX 环境。 这允许您从单个主 NSX 管理器管理多个 vCenter NSX 环境。 在跨 vCenter 部署中,多个 vCenter 都与每个 vCenter 各自的 NSX Manager 配对。 一个 NSX Manager 被分配为主,而其他 NSX Manager 成为次要。 此主 NSX 管理器现在可以部署提供控制平面的通用控制器集群。 与独立的 vCenter-NSX 部署不同,辅助 NSX 管理器不部署自己的控制器集群。
# 24.什么是 VPN?
虚拟专用网络( VPN ) 允许您将远程设备或站点安全地连接到您的公司基础设施。 NSX Edge 支持三种类型的 VPN 连接。 SSL VPN-Plus、IP-SEC VPN 和 L2 VPN。
#25. 什么是 SSL VPN-Plus?
SSL VPN-Plus 允许远程用户安全地访问专用网络中的应用程序和服务器。 SSL VPN-Plus 有两种配置模式:网络访问模式和Web 访问模式。 在网络访问模式下,远程用户可以安全地访问内部专用网络。 这是由远程用户下载并安装在其操作系统上的 VPN 客户端完成的。 在Web 访问模式下,远程用户无需任何VPN 客户端软件即可访问私有网络。
#26. 什么是 IPSec VPN?
NSX Edge 服务网关支持站点到站点 IPSEC VPN,允许您将 NSX Edge 服务网关支持的网络连接到远程站点的另一台设备。 NSX Edge 可以与远程站点建立安全隧道,以确保站点之间的流量安全。 Edge 网关可以建立的隧道数量取决于部署的 Edge 网关的大小。 在配置 IPsec VPN 之前,请确保在 Edge 上行链路上禁用动态路由,以允许为任何 VPN 流量定义的特定路由。
注意:自签名证书不能与 IPSEC VPN 一起使用。
#27. 什么是 L2 VPN
L2 VPN 允许您跨多个站点扩展多个逻辑网络。 网络可以是传统的 VLAN 和 VXLAN。 在这样的部署中,虚拟机可以在站点之间移动而无需更改其 IP 地址。 L2 VPN 部署为客户端和服务器,其中目标 Edge 是服务器,源 Edge 是客户端。 客户端和服务器都学习本地和远程站点的 MAC 地址。 对于不受 NSX 环境支持的任何站点,可以部署独立的 NSX Edge 网关。
NSX 功能服务
#28. 在跨 vCenter NSX 环境中可以安装和配置多少个 NSX Manager?
只能有一个主 NSX Manager 和最多七个辅助 NSX Manager。 您可以选择一个主 NSX 管理器,然后您可以开始创建通用对象并部署通用控制器集群。 通用控制器集群将为跨 vCenter NSX 环境提供控制平面。 请记住,在跨 vCenter 环境中,辅助 NSX Manager 没有自己的控制器集群。
#29. 什么是 Segment ID 池,以及如何分配它?
每个 VXLAN 隧道都有一个分段 ID (VNI),您必须为每个 NSX Manager 指定一个分段 ID 池。 所有流量都将绑定到其分段 ID,这允许隔离。
#30. 什么是 L2 桥接器?
逻辑交换机可以使用 L2 网桥连接到物理交换机 VLAN。 这允许您通过将逻辑 VXLAN 与物理 VLAN 桥接来扩展虚拟逻辑网络以访问现有物理网络。 此 L2 桥接是使用映射到物理网络上单个物理 VLAN 的 NSX Edge 逻辑路由器完成的。
但是,L2 网桥不应用于连接两个不同的物理 VLAN 或两个不同的逻辑交换机。 您也不能使用通用逻辑路由器来配置桥接,并且不能将网桥添加到通用逻辑交换机。 这意味着在多 vCenter NSX 环境中,您无法通过 L2 桥接将逻辑交换机扩展到另一个数据中心的物理 VLAN。
边缘服务网关
#31. 什么是等价多路径 (ECMP) 路由?
ECMP 允许通过多个最佳路径将下一跳数据包转发到单个目的地,这些最佳路径可以使用 OSPF 和 BGP 等路由协议静态或动态添加。 在定义静态路由时,这些多条路径以逗号分隔值的形式添加。
#32. 直连、静态、外部 BGP 等的默认范围是什么?
取值范围为 1 到 255,默认范围为:已连接 (0)、静态 (1)、外部 BGP (20)、OSPF 区域内 (30)、OSPF 区域间 (110) 和内部 BGP (200) .
注意:通过在路由配置中编辑默认网关配置,将在“管理距离”中输入上述任何值。
#33. 什么是开放最短路径优先 (OSPF)?
OSPF 是一种路由协议,它使用链路状态路由算法并在单个自治系统内运行。
#34. 什么是 OSPF 中的正常重启?
即使 OSPF 进程正在重新启动, Graceful Restart 也允许不间断的数据包转发。 这有助于无中断的数据包路由。
#35. 什么是 OSPF 中的非末节区域 (NSSA)?
NSSA 通过依赖到外部目的地的默认路由来防止外部自治系统链路状态通告的泛滥。 NSSA 通常放置在 OSPF 路由域的边缘。
#36. 什么是BGP?
BGP 是一种外部网关协议,旨在在 Internet 上的自治系统( AS ) 之间交换路由信息。 BGP 与连接到两个或多个 ISP 的大型组织的网络管理员以及连接到其他网络提供商的 Internet 服务提供商相关。 如果您是小型企业网络的管理员或最终用户,那么您可能不需要了解 BGP。
#37. 什么是路由分发?
在使用多个路由协议的环境中,路由重分配可以实现跨协议路由共享。
#38. 什么是第 4 层负载均衡器?
第 4 层负载平衡器根据 IP 和 TCP 或 UDP 端口做出路由决策。 它具有客户端和服务器之间交换的流量的数据包视图,并逐个数据包进行决策。 第 4 层连接是在客户端和服务器之间建立的。
#39. 什么是第 7 层负载均衡器?
第 7 层负载平衡器根据 IP、TCP 或 UDP 端口或它可以从应用程序协议(主要是 HTTP)获得的其他信息来做出路由决策。 第 7 层负载均衡器充当代理并维护两个 TCP 连接:一个与客户端连接,另一个与服务器连接。
#40. 什么是配置负载均衡器的应用程序配置文件?
在我们创建一个虚拟服务器以映射到池之前,我们必须定义一个应用程序配置文件来定义特定类型的网络流量的行为。 收到流量后,虚拟服务器会根据配置文件中定义的值处理流量。 这允许更好地控制管理您的网络流量:
#41. 什么是子接口?
子接口或内部接口是创建并映射到物理接口的逻辑接口。 子接口只是将一个物理接口划分为多个逻辑接口。 该逻辑接口使用父物理接口来移动数据。 请记住,您不能为 HA 使用子接口,因为心跳需要在 Edge 设备之间从一个管理程序到另一个管理程序遍历物理端口。
#42. 为什么您的环境需要强制同步 NSX Edge?
强制同步是一项功能,可将 Edge 配置从 NSX Manager 同步到环境中的所有组件。 同步操作从 NSX Manager 启动到 NSX Edge,刷新并重新加载 Edge 配置。
#43. 为什么需要在您的虚拟环境中配置远程 Syslog 服务器?
VMware 建议配置 Syslog 服务器以避免 Edge 设备上的日志泛滥。 启用日志记录后,日志将本地存储在 Edge 设备上并占用空间。 如果不选中,这可能会对 Edge 设备的性能产生影响,还可能导致 Edge 设备因磁盘空间不足而停止。
服务编辑器
#44. 什么是安全策略?
安全策略是适用于虚拟机、网络或防火墙服务的规则集。 安全策略是可重用的规则集,可应用于安全组。 安全策略表达了三种类型的规则集:
- 端点服务:基于访客的服务,例如防病毒解决方案和漏洞管理
- 防火墙规则:分布式防火墙策略
- 网络自省服务:入侵检测系统和加密等网络服务
这些规则适用于属于与此策略关联的安全组的所有对象和虚拟机。
监控
#44. 什么是 NSX 中的端点监控?
Endpoint Monitor 提供对操作系统中运行的应用程序的洞察力和可见性,以确保正确实施安全策略。 Endpoint Monitoring 需要安装来宾自省。 在虚拟机上,您需要安装一个来宾自省驱动程序,它是 VMware 工具安装的一部分。
#45. 什么是流量监控?
NSX 流量监控功能允许对进出受保护虚拟机的流量进行详细监控。 流量监控可以唯一地识别不同的机器和服务交换数据,并且在启用时可以识别哪些机器正在通过特定应用程序交换数据。 流量监控还允许实时监控 TCP 和 UDP 连接,并可用作有效的取证工具。
注意:只能为启用了防火墙的 NSX 部署启用流监控。
#46. 什么是跟踪流?
Traceflow 是一个有趣的工具,旨在允许管理员通过以与传统 Packet Tracer 应用程序类似的方式跟踪数据包流来无缝地排除其虚拟网络环境的故障。 Traceflow 使您能够将数据包注入网络并监控其通过网络的流量。 此流程允许您监控网络并识别瓶颈或中断等问题。
管理 NSX
#48. Syslog 服务器如何在 NSX 中工作?
通过使用远程 Syslog 服务器配置 NSX Manager,您可以收集、查看所有日志文件并将其保存到一个中央位置。 这允许您出于合规目的存储日志; 当您使用 VMware vRealize Log Insight 等工具时,您可以创建警报并使用内置搜索引擎查看日志。
#49. NSX 中的备份和还原如何工作?
备份对于允许您在系统故障期间适当还原的 NSX 环境至关重要。 除了 vCenter,您还可以在 NSX Manager、控制器集群、NSX Edge、防火墙规则和 Service Composer 上执行备份操作。 所有这些都可以单独备份和恢复。
#50。 什么是 SNMP 陷阱?
简单网络管理协议( SNMP ) 陷阱是从启用 SNMP 的远程设备发送到收集器的警报消息。 您可以配置 SNMP 代理以转发 SNMP 陷阱。
默认情况下,SNMP 陷阱机制处于禁用状态。 启用 SNMP 陷阱时,仅向 SNMP 管理器发送严重和高严重性通知。
我希望你喜欢阅读这篇文章。 祝你面试顺利!