Vi ska nu utforska några intervjufrågor om VMware NSX. Dessa är avsedda att underlätta för jobbsökande och IT-proffs som siktar på certifiering inom nätverksvirtualisering.
VMware förvärvade NSX från Nicira i juli 2012. Inledningsvis användes NSX främst för nätverksvirtualisering i en Xen-baserad hypervisor. NSX skapar en abstraktion av det fysiska lagret (genom att virtualisera nätverket) så att mjukvara kan köras ovanpå hypervisorn. Detta möjliggör dynamisk konfiguration och uppdatering. Idag finns det två huvudversioner av NSX: NSX-T, som är anpassad för flera hypervisorer och molnbaserade applikationer, och NSX-V, som är specifikt utformad för vSphere-miljöer.
NSX representerar framtiden för modern IT-infrastruktur och erbjuder omfattande möjligheter att hantera och skydda din virtuella miljö. Hela 82% av Fortune 100-företagen har implementerat VMware NSX. I takt med att företag snabbt anammar VMware NSX ökar efterfrågan på kompetent personal inom området.
Med detta i åtanke har vi samlat ihop en serie intervjufrågor, tillsammans med förklarande svar.
Dessa frågor är indelade i följande tekniska kategorier:
- Grundläggande koncept
- NSX kärnkomponenter
- NSX funktionella tjänster
- Edge Services Gateway
- Service Composer
- Övervakning
- Hantering av NSX
Grundläggande NSX-koncept
#1. Vad innebär frikoppling?
Ett centralt begrepp inom nätverksvirtualisering är frikoppling av mjukvara från nätverkshårdvara. Mjukvaran kan fungera oberoende av den fysiska nätverksinfrastrukturen. Även om nätverkshårdvara som kan samverka med mjukvaran kan förbättra funktionaliteten, är detta inte nödvändigt. Det är viktigt att komma ihåg att nätverkshårdvarans prestanda alltid kommer att vara en begränsande faktor för din kabelanslutna genomströmning.
#2. Vad är ett kontrollplan?
Genom att frikoppla mjukvara och hårdvara får du bättre kontroll över nätverket, eftersom all logik ligger i mjukvaran. Denna kontrollfunktion i nätverket kallas för kontrollplan. Kontrollplanet möjliggör konfigurering, övervakning, felsökning och automatisering av nätverket.
#3. Vad menas med dataplan?
Nätverkshårdvaran utgör dataplanet, där all data transporteras från källa till destination. Även om hanteringen av data sker i kontrollplanet, så består dataplanet av all nätverkshårdvara vars huvuduppgift är att överföra trafik från källa till destination.
#4. Vad är hanteringsplan?
Hanteringsplanet består primärt av NSX Manager. NSX Manager är en central nätverkshanteringskomponent som tillhandahåller en enda kontrollpunkt. Den erbjuder även ett REST API som användare kan använda för att utföra alla NSX-funktioner. Hanteringsplanet skapas under driftsättningen när NSX-enheten installeras och konfigureras. Detta hanteringsplan interagerar direkt med både kontroll- och dataplan.
#5. Vad är logisk växling?
Med NSX kan du skapa logiska switchar på lager 2 och 3, vilket möjliggör isolering av arbetsbelastning och separation av IP-adressutrymme mellan logiska nätverk. NSX kan skapa logiska sändningsdomäner i den virtuella miljön, vilket eliminerar behovet av att skapa logiska nätverk på de fysiska switcharna. Detta innebär att du inte längre är begränsad till 4096 fysiska sändningsdomäner (VLAN).
#6. Vad är NSX Gateway Services?
Edge-gatewaytjänsterna kopplar samman dina logiska nätverk med dina fysiska nätverk. Detta innebär att en virtuell maskin som är ansluten till ett logiskt nätverk kan skicka och ta emot trafik direkt till ditt fysiska nätverk via gatewayen.
#7. Vad innebär logisk routing?
Med NSX kan du skapa flera virtuella sändningsdomäner (logiska nätverk). Eftersom flera virtuella maskiner använder dessa domäner blir det viktigt att kunna dirigera trafik mellan olika logiska switchar.
#8. Vad menas med öst-västtrafik i logisk routing?
Öst-västtrafik är all trafik som sker mellan virtuella maskiner inom ett datacenter. I detta sammanhang avser det oftast trafik mellan logiska switchar i en VMware-miljö.
#9. Vad är nord-sydtrafik?
Nord-sydtrafik är all trafik som rör sig in och ut ur ditt datacenter. Det handlar om all inkommande och utgående trafik.
#10. Vad är en logisk brandvägg?
Logiska brandväggar finns i två varianter: distribuerad brandvägg och Edge-brandvägg. Den distribuerade brandväggen är bäst lämpad för att skydda öst-västtrafik, medan Edge-brandväggen skyddar nord-sydtrafik. En distribuerad logisk brandvägg ger dig möjlighet att skapa regler baserade på attribut som IP-adresser, VLAN, virtuella maskinnamn och vCenter-objekt. Edge-gatewayen har en brandväggstjänst som kan användas för att implementera säkerhets- och åtkomstbegränsningar för nord-sydtrafik.
#11. Vad är en lastbalanserare?
En logisk lastbalanserare fördelar inkommande förfrågningar över flera servrar för att uppnå lastbalansering, samtidigt som denna funktion är abstraherad för slutanvändarna. Den logiska lastbalanseraren kan även användas som en hög tillgänglighetsmekanism (HA) för att säkerställa maximal drifttid för din applikation. För att aktivera lastbalanseringstjänsten måste en Edge Services Gateway-instans installeras.
#12. Vad är Service Composer?
Med Service Composer kan du allokera nätverks- och säkerhetstjänster till olika säkerhetsgrupper. Virtuella maskiner som ingår i dessa grupper tilldelas automatiskt de angivna tjänsterna.
#13. Vad är datasäkerhet?
NSX:s datasäkerhetsfunktion ger insyn i känslig data, säkerställer dataskydd och rapporterar eventuella överträdelser. Genom en datasäkerhetsskanning av utvalda virtuella maskiner kan NSX analysera och rapportera eventuella brott mot de säkerhetsregler som gäller för dessa maskiner.
#14. Konfigurationsmaxima för NSX 6.2
| Beskrivning | Gräns |
| vCenters | 1 |
| NSX Managers | 1 |
| DRS-kluster | 12 |
| NSX Controllers | 3 |
| Värdar per kluster | 32 |
| Värdar per transportzon | 256 |
| Logiska switchar | 10 000 |
| Logiska switchportar | 50 000 |
| DLR per värd | 1 000 |
| DLR för NSX | 1 200 |
| Edge service gateways per NSX Manager | 2 000 |
NSX kärnkomponenter
#15. Definiera NSX Manager?
Med NSX Manager kan vi skapa, konfigurera och hantera NSX-komponenter i en miljö. NSX Manager tillhandahåller ett grafiskt användargränssnitt och REST-API:er för interaktion med olika NSX-komponenter. NSX Manager är en virtuell maskin som kan laddas ner som en OVA och distribueras på valfri ESX-värd som hanteras av vCenter.
#16. Definiera NSX Controller Cluster?
NSX-styrenheten tillhandahåller en kontrollplansfunktion för att distribuera logisk routing och VXLAN-nätverksinformation till den underliggande hypervisorn. Styrenheter distribueras som virtuella enheter och bör installeras i samma vCenter som den NSX Manager de är anslutna till. I en produktionsmiljö rekommenderas minst tre styrenheter. Det är viktigt att konfigurera DRS-antaffinitetsregler för att distribuera styrenheter på separata ESXi-värdar för ökad tillgänglighet och skalbarhet.
#17. Vad är VXLAN?
VXLAN är ett lager 2-tunnelprotokoll över lager 3 som möjliggör utökning av logiska nätverkssegment över routbara nätverk. Detta uppnås genom att kapsla in Ethernet-ramen med ytterligare UPD-, IP- och VXLAN-huvuden. Detta ökar paketstorleken med 50 byte. Därför rekommenderar VMware att MTU-storleken ökas till minst 1600 byte för alla gränssnitt i den fysiska infrastrukturen och eventuella relaterade vSwitches.
#18. Vad är VTEP?
När en virtuell maskin genererar trafik som är avsedd för en annan virtuell maskin på samma virtuella nätverk, kallas värdarna där de virtuella käll- och destinationsmaskinerna körs för VXLAN tunnel endpoints (VTEP). VTEP konfigureras som separata VMKernel-gränssnitt på värdarna.
Det yttre IP-huvudet i VXLAN-ramen innehåller käll- och destinations-IP-adresserna för käll- respektive destinationshypervisorn. När ett paket lämnar den virtuella källmaskinen, kapslas det in vid källhypervisorn och skickas till destinationshypervisorn. Vid mottagandet dekapslar destinationshypervisorn Ethernet-ramen och skickar den vidare till den virtuella destinationsmaskinen.
När NSX Manager förbereder ESXi-värdarna måste vi konfigurera VTEP. NSX stöder flera VXLAN vmknics per värd för upplänkslastbalansering. Dessutom stöds även gäst-VLAN-taggning.
#19. Beskriv en transportzon?
En transportzon definierar utsträckningen av en logisk switch över flera ESXi-kluster som spänner över flera virtuella distribuerade switchar. En transportzon gör det möjligt för en logisk switch att sträcka sig över flera virtuella distribuerade switchar. Alla ESXi-värdar som ingår i denna transportzon kan ha virtuella maskiner som en del av det logiska nätverket. En logisk switch skapas alltid som en del av en transportzon, och ESXi-värdar kan ansluta till dem.
#20. Vad är en universell transportzon?
En universell transportzon tillåter en logisk switch att sträcka sig över flera värdar och flera vCenters. En universell transportzon skapas alltid av den primära NSX-servern och synkroniseras med de sekundära NSX-hanterarna.
#21. Vad är NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) erbjuder en omfattande uppsättning tjänster som inkluderar NAT, routing, brandvägg, lastbalansering, L2/L3 VPN och DHCP/DNS-relä. Med NSX API kan var och en av dessa tjänster distribueras, konfigureras och användas på begäran. Du kan installera NSX Edge antingen som en ESG eller som en DLR.
Antalet Edge-enheter, inklusive ESG och DLR, är begränsat till 250 per värd. Edge Services Gateway distribueras som en virtuell maskin från NSX Manager, som nås via vSphere-webbklienten.
Observera: Endast användare med företagsadministratörsrollen, som ger behörighet till NSX-operationer och säkerhetshantering, kan distribuera en Edge-tjänstegateway:
#22. Beskriv distribuerad brandvägg i NSX?
NSX erbjuder L2-L4 tillståndskänsliga brandväggstjänster genom en distribuerad brandvägg som körs i ESXi-hypervisorkärnan. Eftersom brandväggen är en del av ESXi-kärnan, ger den hög genomströmning och prestanda nära ledningshastighet. När NSX initialt förbereder ESXi-värdarna installeras den distribuerade brandväggstjänsten i kärnan genom att distribuera kärn-VIB:en (VMware Internetworking Service Insertion Platform (VSIP). VSIP ansvarar för att övervaka och upprätthålla säkerhetsregler för all trafik som flyter genom dataplanet. Genomströmning och prestanda för den distribuerade brandväggen (DFW) skalas horisontellt när fler ESXi-värdar läggs till.
#23. Vad är Cross-vCenter NSX?
Från och med NSX 6.2 kan du hantera flera vCenter NSX-miljöer med hjälp av cross-vCenter-funktionen. Detta ger dig möjlighet att hantera flera vCenter NSX-miljöer från en enda primär NSX Manager. I en cross-vCenter-distribution är flera vCenters alla parkopplade med sin egen NSX Manager per vCenter. En NSX Manager tilldelas rollen som primär, medan de andra blir sekundära. Denna primära NSX Manager kan nu distribuera ett universellt styrenhetskluster som tillhandahåller kontrollplanet. Till skillnad från en fristående vCenter NSX-distribution, distribuerar de sekundära NSX-hanterarna inte egna styrenhetskluster.
#24. Vad är ett VPN?
Med virtuella privata nätverk (VPN) kan du säkert ansluta en fjärrenhet eller plats till din företagsinfrastruktur. NSX Edge stöder tre typer av VPN-anslutning: SSL VPN-Plus, IP-SEC VPN och L2 VPN.
#25. Vad är SSL VPN-Plus?
SSL VPN-Plus ger fjärranvändare säker åtkomst till applikationer och servrar i ett privat nätverk. SSL VPN-Plus kan konfigureras i två lägen: nätverksåtkomstläge och webbåtkomstläge. I nätverksåtkomstläget får fjärranvändare säker åtkomst till det interna privata nätverket via en VPN-klient som laddas ner och installeras på användarens operativsystem. I webbåtkomstläget kan fjärranvändare få åtkomst till privata nätverk utan VPN-klientmjukvara.
#26. Vad är IPSec VPN?
NSX Edge-tjänstegatewayen stöder en plats-till-plats IPSEC VPN som gör att du kan ansluta ett NSX Edge-tjänstegateway-stödt nätverk till en annan enhet på en avlägsen plats. NSX Edge kan upprätta säkra tunnlar med avlägsna platser för att möjliggöra säker trafik mellan platser. Antalet tunnlar som en Edge-gateway kan upprätta beror på storleken på den utplacerade Edge-gatewayen. Innan du konfigurerar IPsec VPN, se till att dynamisk routing är inaktiverad på Edge-upplänken för att tillåta specifika rutter som definieras för all VPN-trafik.
Observera: Självsignerade certifikat kan inte användas med en IPSEC VPN.
#27. Vad är L2 VPN?
En L2 VPN låter dig utöka flera logiska nätverk över flera platser. Nätverken kan vara traditionella VLAN eller VXLAN. I en sådan distribution kan en virtuell maskin flyttas mellan olika platser utan att ändra sin IP-adress. En L2 VPN distribueras som en klient och server, där destinations-Edge är servern och käll-Edge är klienten. Både klienten och servern lär sig MAC-adresserna för både lokala och fjärranslutna platser. För alla platser som inte stöds av en NSX-miljö kan en fristående NSX Edge-gateway distribueras.
NSX funktionella tjänster
#28. Hur många NSX-hanterare kan installeras och konfigureras i en cross-vCenter NSX-miljö?
Det kan finnas en primär NSX Manager och upp till sju sekundära NSX Managers. Du kan välja en primär NSX Manager, och sedan börja skapa universella objekt och distribuera universella styrenhetskluster. Det universella styrenhetsklustret kommer att tillhandahålla kontrollplanet för cross-vCenter NSX-miljön. Det är viktigt att komma ihåg att i en cross-vCenter-miljö har de sekundära NSX Managers inte sina egna styrenhetskluster.
#29. Vad är segment-ID-poolen och hur tilldelas den?
Varje VXLAN-tunnel har ett segment-ID (VNI), och du måste ange en segment-ID-pool för varje NSX Manager. All trafik kommer att bindas till sitt respektive segment-ID, vilket möjliggör isolering.
#30. Vad är en L2-brygga?
En logisk switch kan anslutas till en fysisk switch VLAN med hjälp av en L2-brygga. Detta gör att du kan utöka dina virtuella logiska nätverk för att få åtkomst till befintliga fysiska nätverk genom att överbrygga den logiska VXLAN med det fysiska VLAN. Denna L2-bryggning utförs med en logisk NSX Edge-router som mappas till ett enda fysiskt VLAN i det fysiska nätverket.
Det är dock viktigt att inte använda L2-bryggor för att ansluta två olika fysiska VLAN eller två olika logiska switchar. Du kan inte heller använda en universell logisk router för att konfigurera bryggning, och en brygga kan inte läggas till en universell logisk switch. Detta innebär att i en NSX-miljö med flera vCenters kan du inte utöka en logisk switch till ett fysiskt VLAN i ett annat datacenter via L2-bryggning.
Edge Services Gateway
#31. Vad är Equal Cost Multi-Path (ECMP) routing?
ECMP möjliggör att ett paket skickas till en enda destination över flera vägar med samma kostnad. Dessa vägar kan läggas till statiskt eller dynamiskt med hjälp av routingprotokoll som OSPF och BGP. Dessa flera sökvägar läggs till som kommaseparerade värden när statiska rutter definieras.
#32. Vilka är standardintervallen för direktanslutna, statiska, externa BGP, etc.?
Värdet sträcker sig från 1 till 255. Standardintervallen är: Ansluten (0), Statisk (1), Extern BGP (20), OSPF inom området (30), OSPF mellan områden (110) och Intern BGP (200).
Observera: Valfritt av dessa värden matas in i ”Admin Distance” genom att redigera standardgatewaykonfigurationen i Routing Configuration.
#33. Vad är Open Shortest Path First (OSPF)?
OSPF är ett routingprotokoll som använder en länk-tillståndsruttalgoritm och fungerar inom ett enda autonomt system.
#34. Vad är Graceful Restart i OSPF?
Graceful Restart möjliggör obruten paketvidarebefordran även om OSPF-processen startas om. Detta bidrar till en icke-störande paketdirigering.
#35. Vad är Not-So-Stubby Area (NSSA) i OSPF?
NSSA förhindrar att annonser för länktillstånd översvämmas från ett externt autonomt system genom att förlita sig på standardvägar till externa destinationer. NSSA är vanligtvis placerade i kanten av en OSPF-routingdomän.
#36. Vad är BGP?
BGP är ett externt gateway-protokoll som är utformat för att utbyta routinginformation mellan autonoma system (AS) på internet. BGP är relevant för nätverksadministratörer inom stora organisationer som ansluter till två eller fler internetleverantörer och för internetleverantörer som ansluter till andra nätverksleverantörer. Om du administrerar ett litet företagsnätverk eller är slutanvändare behöver du förmodligen inte veta mycket om BGP.
#37. Vad är ruttdistribution?
I en miljö där flera routingprotokoll används möjliggör ruttdistribution delning av rutter över olika protokoll.
#38. Vad är en Layer 4-lastbalanserare?
En Layer 4-lastbalanserare fattar routingbeslut baserat på IP-adresser och TCP- eller UDP-portar. Den har en paketvy av trafiken som utbyts mellan klienten och en server och fattar beslut paket för paket. En Layer 4-anslutning upprättas direkt mellan en klient och en server.
#39. Vad är en Layer 7-lastbalanserare?
En Layer 7-lastbalanserare fattar routingbeslut baserat på IP-adresser, TCP- eller UDP-portar, eller annan information som den kan hämta från applikationsprotokollet (oftast HTTP). En Layer 7-lastbalanserare fungerar som en proxy och upprätthåller två TCP-anslutningar: en med klienten och en med servern.
#40. Vad är en applikationsprofil vid konfiguration av en lastbalanserare?
Innan du skapar en virtuell server för att mappa till en pool måste du definiera en applikationsprofil som beskriver hur en viss typ av nätverkstrafik ska hanteras. När trafiken tas emot hanteras den av den virtuella servern utifrån inställningarna som definierats i profilen. Detta ger dig bättre kontroll över hur din nätverkstrafik hanteras.
#41. Vad är ett undergränssnitt?
Ett undergränssnitt, eller ett internt gränssnitt, är ett logiskt gränssnitt som skapas och kopplas till det fysiska gränssnittet. Undergränssnitt är en uppdelning av ett fysiskt gränssnitt i flera logiska gränssnitt. Detta logiska gränssnitt använder det överordnade fysiska gränssnittet för att överföra data. Det är viktigt att komma ihåg att du inte kan använda undergränssnitt för HA eftersom ett hjärtslag måste passera en fysisk port mellan hypervisorerna på Edge-enheterna.
#42. Varför är Force Sync NSX Edge nödvändigt för din miljö?
Force sync är en funktion som synkroniserar Edge-konfigurationen från NSX Manager till alla dess komponenter i en miljö. En synkroniseringsåtgärd initieras från NSX Manager till NSX Edge, vilket uppdaterar och laddar om Edge-konfigurationen.
#43. Varför behövs en fjärransluten Syslog-server för att konfigurera i din virtuella miljö?
VMware rekommenderar att konfigurera Syslog-servrar för att undvika att loggarna svämmar över på Edge-enheterna. När loggning är aktiverad lagras loggarna lokalt på Edge-enheten och tar upp utrymme. Om detta utrymme inte hanteras korrekt kan det påverka Edge-enhetens prestanda och i värsta fall göra att den stannar på grund av brist på diskutrymme.
Service Composer
#44. Vad är säkerhetspolicyer?
Säkerhetspolicyer är samlingar av regler som appliceras på virtuella maskiner, nätverk eller brandväggstjänster. Säkerhetspolicyer är återanvändbara regeluppsättningar som kan tillämpas på säkerhetsgrupper. Säkerhetspolicyer innefattar tre typer av regeluppsättningar:
- Endpoint Services: Gästbaserade tjänster som antiviruslösningar och sårbarhetshantering
- Brandväggsregler: Distribuerade brandväggspolicyer
- Nätverksintrospektionstjänster: Nätverkstjänster som intrångsdetekteringssystem och kryptering
Dessa regler tillämpas på alla objekt och virtuella maskiner som ingår i en säkerhetsgrupp som den aktuella policyn är kopplad till.
Övervakning
#44. Vad är Endpoint Monitoring i NSX?
Endpoint Monitoring ger insikt och synlighet i applikationer som körs i ett operativsystem för att säkerställa att säkerhetspolicyerna tillämpas korrekt. Endpoint Monitoring kräver att gästintrospektion är installerad. På virtuella maskiner måste du installera en drivrutin för gästintrospektion, som ingår i VMware-verktygen.
#45. Vad är flödesövervakning?
NSX Flödesövervakning är en funktion som ger detaljerad trafikövervakning till och från skyddade virtuella maskiner. Flödesövervakning kan identifiera olika maskiner och tjänster som utbyter data, och om den aktiveras kan den identifiera vilka maskiner som utbyter data via specifika applikationer. Flödesövervakning ger också liveövervakning av TCP- och UDP-anslutningar och kan användas som ett effektivt verktyg för kriminaltekniska undersökningar.
Observera: Flödesövervakning kan endast aktiveras för NSX-distributioner där en brandvägg är aktiverad.
#46. Vad är Traceflow?
Traceflow är ett användbart verktyg som gör det möjligt för administratörer att felsöka sin virtuella nätverksmiljö genom att spåra ett pakets flöde på samma sätt som den äldre Packet Tracer-applikationen. Med Traceflow kan du injicera ett paket i nätverket och övervaka dess flöde. Denna övervakning hjälper dig att identifiera problem som flaskhalsar eller störningar i ditt nätverk.
Hantering av NSX
#48. Hur fungerar Syslog-servern i NSX?
Genom att konfigurera NSX Manager med en fjärransluten Syslog-server kan du samla in, visa och spara alla loggfiler på en central plats. Detta gör det möjligt att lagra loggar för efterlevnadsändamål. När du använder ett verktyg som VMware vRealize Log insight kan du skapa larm och använda den inbyggda sökmotorn för att granska loggarna.
#49. Hur fungerar säkerhetskopiering och återställning i NSX?
Säkerhetskopior är viktiga för en NSX-miljö, eftersom de ger dig möjlighet att återställa systemet vid ett systemfel. Förutom vCenter kan du också göra säkerhetskopiering av NSX Manager, styrenhetskluster, NSX Edge, brandväggsregler och Service Composer. Alla dessa komponenter kan säkerhetskopieras och återställas individuellt.
#50. Vad är SNMP-fällan?
SNMP-fällor (Simple Network Management Protocol) är varningsmeddelanden som skickas från en fjärransluten SNMP-enhet till en samlare. Du kan konfigurera SNMP-agenten att vidarebefordra SNMP-fällor.
Som standard är SNMP-fällmekanismen inaktiverad. Endast kritiska meddelanden och aviseringar med hög allvarlighetsgrad skickas till SNMP-hanteraren när SNMP-fällan är aktiverad.
Jag hoppas att du har tyckt om den här sammanfattningen. Lycka till med din intervju! 👍