前 50 個 VMware NSX 面試問題和答案
已發表: 2021-10-06讓我們看一些 VMware NSX 面試問題,以幫助希望獲得網絡虛擬化認證的求職者和專業人士。
VMware 於 2012 年 7 月從 Nicira 手中收購了 NSX,NSX 主要用於基於 Xen 的虛擬機管理程序中的網絡虛擬化。 NSX 抽象了物理層(虛擬化網絡),以便軟件運行在動態配置和更新的管理程序之上。 目前,NSX 有兩個版本:NSX-T(專為多虛擬機管理程序和雲原生應用而設計)和 NSX-V(專為 vSphere 環境設計)。
NSX 是現代 IT 基礎架構的未來,它提供了豐富的功能來管理和保護您的虛擬基礎架構。 82% 的財富 100 強企業都採用了 VMware NSX。 隨著企業迅速採用 VMware NSX,對經驗豐富的勞動力的需求一直很高。
為此,我們準備了一些帶有解釋性答案的面試問題
這些面試問題分為以下技術領域:
- 基本概念
- NSX 核心組件
- NSX 功能服務
- 邊緣服務網關
- 服務編輯器
- 監控
- 管理 NSX
NSX 的基本概念
#1. 什麼是解耦?
網絡虛擬化的一個重要概念是軟件和網絡硬件的解耦。 該軟件獨立於物理互連基礎設施的網絡硬件工作。 任何可以與軟件互操作的網絡硬件都將始終增強功能,但這不是必需的。 請記住,您的網絡硬件性能將始終限制您的網絡吞吐量。
#2. 什麼是控制平面?
軟件和網絡硬件的解耦使您可以更好地控製網絡,因為所有邏輯都駐留在軟件中。 網絡的這種控制方面稱為控制平面。 控制平面提供了對網絡進行配置、監控、故障排除和允許自動化的方法。
#3. 什麼是數據平面?
網絡硬件構成了數據平面,其中所有數據都從源轉發到目標。 數據的管理駐留在控制平面; 然而,數據平面由所有網絡硬件組成,其主要功能是通過線路將流量從源轉發到目的地。
#4. 什麼是管理平面?
管理平面主要由 NSX 管理器組成。 NSX 管理器是一個集中式網絡管理組件,主要允許單個管理點。 它還提供了 REST API,用戶可以使用它來執行所有 NSX 功能和操作。 在部署階段,在部署和配置 NSX 設備時建立管理平面。 該管理平面直接與控制平面和數據平面交互。
#5 . 什麼是邏輯交換?
NSX 允許創建 L2 和 L3 邏輯交換,從而在邏輯網絡之間實現工作負載隔離和 IP 地址空間分離。 NSX 可以在虛擬空間中創建邏輯廣播域,從而無需在物理交換機上創建任何邏輯網絡。 這意味著您不再局限於 4096 個物理廣播域 (VLAN)。
#6. 什麼是 NSX 網關服務?
Edge 網關服務將您的邏輯網絡與物理網絡互連。 這意味著連接到邏輯網絡的虛擬機可以通過網關直接向您的物理網絡發送和接收流量。
#7. 什麼是邏輯路由?
可以使用 NSX 創建多個虛擬廣播域(邏輯網絡)。 由於多個虛擬機訂閱了這些域,因此能夠將流量從一個邏輯交換機路由到另一個邏輯交換機變得至關重要。
#8. 什麼是邏輯路由中的東西向流量?
東西向流量是數據中心內虛擬機之間的流量。 在當前上下文中,這通常是 VMware 環境中邏輯交換機之間的流量。
#9. 什麼是南北交通?
南北流量是指進出數據中心的流量。 這是進入您的數據中心或離開您的數據中心的任何流量。
#10 . 什麼是邏輯防火牆?
邏輯防火牆有兩種類型:分佈式防火牆和邊緣防火牆。 理想情況下部署分佈式防火牆以保護任何東西向流量,而邊緣防火牆則保護任何南北向流量。 分佈式邏輯防火牆允許您根據 IP 地址、VLAN、虛擬機名稱和 vCenter 對像等屬性構建規則。 Edge 網關具有防火牆服務,可用於對南北流量施加安全和訪問限制。
#11. 什麼是負載均衡器?
邏輯負載平衡器在多個服務器之間分配傳入請求以允許負載分配,同時從最終用戶提取此功能。 邏輯負載均衡器還可以用作高可用性( HA ) 機制,以確保您的應用程序具有最長的正常運行時間。 必須部署 Edge 服務網關實例才能啟用負載平衡器服務。
#12. 什麼是服務編輯器?
服務組合器允許您將網絡和多個安全服務分配給安全組。 屬於這些安全組的虛擬機會自動分配服務。
#13. 什麼是數據安全?
NSX 數據安全提供對敏感數據的可見性,確保數據保護,並報告任何違反合規性的情況。 對指定虛擬機的數據安全掃描允許 NSX 根據適用於這些虛擬機的安全策略分析和報告任何違規行為。
#14. NSX 6.2 的最大配置
| 描述 | 限制 |
| vCenter | 1 |
| NSX 管理器 | 1 |
| DRS 群集 | 12 |
| NSX 控制器 | 3 |
| 每個集群的主機數 | 32 |
| 每個傳輸區域的主機 | 256 |
| 邏輯交換機 | 10,000 |
| 邏輯交換機端口 | 50,000 |
| 每個主機的 DLR | 1,000 |
| 每個 NSX 的 DLR | 1,200 |
| 每個 NSX Manager 的 Edge 服務網關 | 2,000 |
NSX 核心組件
#15. 定義 NSX Manager?
NSX 管理器允許我們在環境中創建、配置和管理 NSX 組件。 NSX 管理器提供圖形用戶界面和 REST API,使您能夠與各種 NSX 組件進行交互。 NSX Manager 是一個虛擬機,您可以將其作為 OVA 下載並部署在由 vCenter 管理的任何 ESX 主機上。
#16 . 定義 NSX Controller 集群?
NSX 控制器提供控制平面功能,以將邏輯路由和 VXLAN 網絡信息分發到底層虛擬機管理程序。 控制器部署為虛擬設備,應部署在連接到的同一 vCenter NSX 管理器中。 在生產環境中,建議至少部署三個控制器。 我們需要確保將 DRS 螞蟻關聯規則配置為在單獨的 ESXi 主機上部署控制器,以獲得更好的可用性和可擴展性。
#17. 什麼是 VXLAN?
VXLAN 是第 2 層之上第 3 層隧道協議,它允許邏輯網段在可路由網絡上擴展。 這是通過使用額外的 UPD、IP 和 VXLAN 標頭封裝以太網幀來實現的。 因此,這會將數據包的大小增加 50 個字節。 因此,VMware 建議將物理基礎架構中的所有接口和任何關聯的 vSwitch 的 MTU 大小增加到至少 1,600 字節。
#18. 什麼是 VTEP?
當一個虛擬機生成用於同一虛擬網絡上的另一個虛擬機的流量時,運行源和目標虛擬機的主機稱為VXLAN 隧道端點( VTEP )。 VTEP 在主機上配置為單獨的 VMKernel 接口。
VXLAN 幀中的外部 IP 標頭塊包含包含源管理程序和目標管理程序的源 IP 地址和目標 IP 地址。 當數據包離開源虛擬機時,它會在源虛擬機管理程序處封裝並發送到目標虛擬機管理程序。 收到此數據包後,目標虛擬機管理程序會解封裝以太網幀並將其轉發到目標虛擬機。
NSX Manager 準備好 ESXi 主機後,我們需要配置 VTEP。 NSX 支持每台主機使用多個 VXLAN vmknic 以實現上行鏈路負載平衡功能。 除此之外,還支持訪客 VLAN 標記。
#19. 描述運輸區?
傳輸區域定義了跨多個虛擬分佈式交換機的多個 ESXi 集群的邏輯交換機的擴展。 傳輸區域使邏輯交換機能夠跨多個虛擬分佈式交換機進行擴展。 作為該傳輸區域一部分的任何 ESXi 主機都可以將虛擬機作為該邏輯網絡的一部分。 邏輯交換機始終作為傳輸區域的一部分創建,並且 ESXi 主機可以參與其中。
#20. 什麼是通用運輸區?
通用傳輸區域允許邏輯交換機跨越多個 vCenter 的多個主機。 通用傳輸區域始終由主 NSX 服務器創建並與輔助 NSX 管理器同步。
#21 . 什麼是 NSX Edge 服務網關?
NSX Edge 服務網關( ESG ) 提供一組功能豐富的服務,其中包括 NAT、路由、防火牆、負載平衡、L2/L3 VPN 和 DHCP/DNS 中繼。 NSX API 允許按需部署、配置和使用這些服務中的每一個。 您可以將 NSX Edge 安裝為 ESG 或 DLR。
Edge 設備(包括 ESG 和 DLR)的數量限制為一台主機上的 250 個。 Edge 服務網關部署為來自 NSX 管理器的虛擬機,可使用 vSphere Web 客戶端訪問。
注意:只有允許 NSX 操作和安全管理的企業管理員角色才能部署 Edge 服務網關:
#22. 描述 NSX 中的分佈式防火牆?
NSX 使用在 ESXi 管理程序內核中運行的分佈式防火牆提供 L2-L4 狀態防火牆服務。 由於防火牆是 ESXi 內核的一項功能,因此它提供了大量吞吐量並以近線速率執行。 NSX 在最初準備 ESXi 主機時,通過部署內核 VIB—— VMware 互聯互通服務插入平台( VSIP ) 將分佈式防火牆服務安裝在內核中。 VSIP 負責監控和執行流經數據平面的所有流量的安全策略。 隨著更多 ESXi 主機的添加,分佈式防火牆( DFW ) 吞吐量和性能水平擴展。
#23. 什麼是跨 vCenter NSX?
從 NSX 6.2 開始,您可以使用跨 vCenter 功能管理多個 vCenter NSX 環境。 這允許您從單個主 NSX 管理器管理多個 vCenter NSX 環境。 在跨 vCenter 部署中,多個 vCenter 都與每個 vCenter 各自的 NSX Manager 配對。 一個 NSX Manager 被分配為主,而其他 NSX Manager 成為次要。 此主 NSX 管理器現在可以部署提供控制平面的通用控制器集群。 與獨立的 vCenter-NSX 部署不同,輔助 NSX 管理器不部署自己的控制器集群。
# 24.什麼是 VPN?
虛擬專用網絡( VPN ) 允許您將遠程設備或站點安全地連接到您的公司基礎設施。 NSX Edge 支持三種類型的 VPN 連接。 SSL VPN-Plus、IP-SEC VPN 和 L2 VPN。
#25. 什麼是 SSL VPN-Plus?
SSL VPN-Plus 允許遠程用戶安全地訪問專用網絡中的應用程序和服務器。 SSL VPN-Plus 有兩種配置模式:網絡訪問模式和Web 訪問模式。 在網絡訪問模式下,遠程用戶可以安全地訪問內部專用網絡。 這是由遠程用戶下載並安裝在其操作系統上的 VPN 客戶端完成的。 在Web 訪問模式下,遠程用戶無需任何VPN 客戶端軟件即可訪問私有網絡。
#26. 什麼是 IPSec VPN?
NSX Edge 服務網關支持站點到站點 IPSEC VPN,允許您將 NSX Edge 服務網關支持的網絡連接到遠程站點的另一台設備。 NSX Edge 可以與遠程站點建立安全隧道,以確保站點之間的流量安全。 Edge 網關可以建立的隧道數量取決於部署的 Edge 網關的大小。 在配置 IPsec VPN 之前,請確保在 Edge 上行鏈路上禁用動態路由,以允許為任何 VPN 流量定義的特定路由。
注意:自簽名證書不能與 IPSEC VPN 一起使用。
#27. 什麼是 L2 VPN
L2 VPN 允許您跨多個站點擴展多個邏輯網絡。 網絡可以是傳統的 VLAN 和 VXLAN。 在這樣的部署中,虛擬機可以在站點之間移動而無需更改其 IP 地址。 L2 VPN 部署為客戶端和服務器,其中目標 Edge 是服務器,源 Edge 是客戶端。 客戶端和服務器都學習本地和遠程站點的 MAC 地址。 對於不受 NSX 環境支持的任何站點,可以部署獨立的 NSX Edge 網關。
NSX 功能服務
#28. 在跨 vCenter NSX 環境中可以安裝和配置多少個 NSX Manager?
只能有一個主 NSX Manager 和最多七個輔助 NSX Manager。 您可以選擇一個主 NSX 管理器,然後您可以開始創建通用對象並部署通用控制器集群。 通用控制器集群將為跨 vCenter NSX 環境提供控制平面。 請記住,在跨 vCenter 環境中,輔助 NSX Manager 沒有自己的控制器集群。
#29. 什麼是 Segment ID 池,以及如何分配它?
每個 VXLAN 隧道都有一個分段 ID (VNI),您必須為每個 NSX Manager 指定一個分段 ID 池。 所有流量都將綁定到其分段 ID,這允許隔離。
#30. 什麼是 L2 橋接器?
邏輯交換機可以使用 L2 網橋連接到物理交換機 VLAN。 這允許您通過將邏輯 VXLAN 與物理 VLAN 橋接來擴展虛擬邏輯網絡以訪問現有物理網絡。 此 L2 橋接是使用映射到物理網絡上單個物理 VLAN 的 NSX Edge 邏輯路由器完成的。
但是,L2 網橋不應用於連接兩個不同的物理 VLAN 或兩個不同的邏輯交換機。 您也不能使用通用邏輯路由器來配置橋接,並且不能將網橋添加到通用邏輯交換機。 這意味著在多 vCenter NSX 環境中,您無法通過 L2 橋接將邏輯交換機擴展到另一個數據中心的物理 VLAN。
邊緣服務網關
#31. 什麼是等價多路徑 (ECMP) 路由?
ECMP 允許通過多個最佳路徑將下一跳數據包轉發到單個目的地,這些最佳路徑可以使用 OSPF 和 BGP 等路由協議靜態或動態添加。 在定義靜態路由時,這些多條路徑以逗號分隔值的形式添加。
#32. 直連、靜態、外部 BGP 等的默認範圍是什麼?
取值範圍為 1 到 255,默認範圍為:已連接 (0)、靜態 (1)、外部 BGP (20)、OSPF 區域內 (30)、OSPF 區域間 (110) 和內部 BGP (200) .
注意:通過在路由配置中編輯默認網關配置,將在“管理距離”中輸入上述任何值。
#33. 什麼是開放最短路徑優先 (OSPF)?
OSPF 是一種路由協議,它使用鏈路狀態路由算法並在單個自治系統內運行。
#34. 什麼是 OSPF 中的正常重啟?
即使 OSPF 進程正在重新啟動, Graceful Restart 也允許不間斷的數據包轉發。 這有助於無中斷的數據包路由。
#35. 什麼是 OSPF 中的非末節區域 (NSSA)?
NSSA 通過依賴到外部目的地的默認路由來防止外部自治系統鏈路狀態通告的氾濫。 NSSA 通常放置在 OSPF 路由域的邊緣。
#36. 什麼是BGP?
BGP 是一種外部網關協議,旨在在 Internet 上的自治系統( AS ) 之間交換路由信息。 BGP 與連接到兩個或多個 ISP 的大型組織的網絡管理員以及連接到其他網絡提供商的 Internet 服務提供商相關。 如果您是小型企業網絡的管理員或最終用戶,那麼您可能不需要了解 BGP。
#37. 什麼是路由分發?
在使用多個路由協議的環境中,路由重分配可以實現跨協議路由共享。
#38. 什麼是第 4 層負載均衡器?
第 4 層負載平衡器根據 IP 和 TCP 或 UDP 端口做出路由決策。 它具有客戶端和服務器之間交換的流量的數據包視圖,並逐個數據包進行決策。 第 4 層連接是在客戶端和服務器之間建立的。
#39. 什麼是第 7 層負載均衡器?
第 7 層負載平衡器根據 IP、TCP 或 UDP 端口或它可以從應用程序協議(主要是 HTTP)獲得的其他信息來做出路由決策。 第 7 層負載均衡器充當代理並維護兩個 TCP 連接:一個與客戶端連接,另一個與服務器連接。
#40. 什麼是配置負載均衡器的應用程序配置文件?
在我們創建一個虛擬服務器以映射到池之前,我們必須定義一個應用程序配置文件來定義特定類型的網絡流量的行為。 收到流量後,虛擬服務器會根據配置文件中定義的值處理流量。 這允許更好地控制管理您的網絡流量:
#41. 什麼是子接口?
子接口或內部接口是創建並映射到物理接口的邏輯接口。 子接口只是將一個物理接口劃分為多個邏輯接口。 該邏輯接口使用父物理接口來移動數據。 請記住,您不能為 HA 使用子接口,因為心跳需要在 Edge 設備之間從一個管理程序到另一個管理程序遍歷物理端口。
#42. 為什麼您的環境需要強制同步 NSX Edge?
強制同步是一項功能,可將 Edge 配置從 NSX Manager 同步到環境中的所有組件。 同步操作從 NSX Manager 啟動到 NSX Edge,刷新並重新加載 Edge 配置。
#43. 為什麼需要在您的虛擬環境中配置遠程 Syslog 服務器?
VMware 建議配置 Syslog 服務器以避免 Edge 設備上的日誌氾濫。 啟用日誌記錄後,日誌將本地存儲在 Edge 設備上並佔用空間。 如果不選中,這可能會對 Edge 設備的性能產生影響,還可能導致 Edge 設備因磁盤空間不足而停止。
服務編輯器
#44. 什麼是安全策略?
安全策略是適用於虛擬機、網絡或防火牆服務的規則集。 安全策略是可重用的規則集,可應用於安全組。 安全策略表達了三種類型的規則集:
- 端點服務:基於訪客的服務,例如防病毒解決方案和漏洞管理
- 防火牆規則:分佈式防火牆策略
- 網絡自省服務:入侵檢測系統和加密等網絡服務
這些規則適用於屬於與此策略關聯的安全組的所有對象和虛擬機。
監控
#44. 什麼是 NSX 中的端點監控?
Endpoint Monitor 提供對操作系統中運行的應用程序的洞察力和可見性,以確保正確實施安全策略。 Endpoint Monitoring 需要安裝來賓自省。 在虛擬機上,您需要安裝一個來賓自省驅動程序,它是 VMware 工具安裝的一部分。
#45. 什麼是流量監控?
NSX 流量監控功能允許對進出受保護虛擬機的流量進行詳細監控。 流量監控可以唯一地識別不同的機器和服務交換數據,並且在啟用時可以識別哪些機器正在通過特定應用程序交換數據。 流量監控還允許實時監控 TCP 和 UDP 連接,並可用作有效的取證工具。
注意:只能為啟用了防火牆的 NSX 部署啟用流監控。
#46. 什麼是跟踪流?
Traceflow 是一個有趣的工具,旨在允許管理員通過以與傳統 Packet Tracer 應用程序類似的方式跟踪數據包流來無縫地排除其虛擬網絡環境的故障。 Traceflow 使您能夠將數據包注入網絡並監控其通過網絡的流量。 此流程允許您監控網絡並識別瓶頸或中斷等問題。
管理 NSX
#48. Syslog 服務器如何在 NSX 中工作?
通過使用遠程 Syslog 服務器配置 NSX Manager,您可以收集、查看所有日誌文件並將其保存到一個中央位置。 這允許您出於合規目的存儲日誌; 當您使用 VMware vRealize Log Insight 等工具時,您可以創建警報並使用內置搜索引擎查看日誌。
#49. NSX 中的備份和還原如何工作?
備份對於允許您在系統故障期間適當還原的 NSX 環境至關重要。 除了 vCenter,您還可以在 NSX Manager、控制器集群、NSX Edge、防火牆規則和 Service Composer 上執行備份操作。 所有這些都可以單獨備份和恢復。
#50。 什麼是 SNMP 陷阱?
簡單網絡管理協議( SNMP ) 陷阱是從啟用 SNMP 的遠程設備發送到收集器的警報消息。 您可以配置 SNMP 代理以轉發 SNMP 陷阱。
默認情況下,SNMP 陷阱機制處於禁用狀態。 啟用 SNMP 陷阱時,僅向 SNMP 管理器發送嚴重和高嚴重性通知。
我希望你喜歡閱讀這篇文章。 祝你面試順利!