Låt oss titta på några VMware NSX-intervjufrågor för att hjälpa arbetssökande och yrkesverksamma som vill bli certifierade i nätverksvirtualisering.
VMware förvärvade NSX från Nicira i juli 2012, som främst användes för nätverksvirtualisering i en Xen-baserad hypervisor. NSX abstraherar det fysiska lagret (virtualisera nätverket) så att programvara körs på toppen av hypervisorn, som är dynamiskt konfigurerad och uppdaterad. För närvarande har NSX två versioner: NSX-T (designad för multi-hypervisorer och molnbaserade applikationer) och NSX-V (designad endast för vSphere-miljöer).
NSX är framtiden för modern IT-infrastruktur som erbjuder rika möjligheter att hantera och säkra din virtuella infrastruktur. 82 % av Fortune 100 har antagit VMware NSX. Med företag som snabbt använder VMware NSX är en erfaren arbetsstyrka alltid efterfrågad.
För detta ändamål har vi förberett några intervjufrågor med förklarande svar
Dessa intervjufrågor är kategoriserade i följande tekniska områden:
- Grundläggande koncept
- NSX kärnkomponenter
- NSX funktionella tjänster
- Edge Services Gateway
- Servicekompositör
- Övervakning
- Hantera NSX
Innehållsförteckning
Grundläggande koncept för NSX
#1. Vad är frikoppling?
Ett viktigt koncept för nätverksvirtualisering är frikopplingen av mjukvara och nätverkshårdvara. Mjukvaran fungerar oberoende av nätverkshårdvaran som fysiskt kopplar samman infrastrukturen. All nätverkshårdvara som kan samverka med programvaran kommer alltid att förbättra funktionaliteten, men det är inte nödvändigt. Kom ihåg att din nätverkshårdvaruprestanda alltid kommer att begränsa din genomströmning på kabeln.
#2. Vad är kontrollplan?
Frikopplingen av mjukvara och nätverkshårdvara gör att du kan kontrollera ditt nätverk bättre eftersom all logik finns i programvaran. Denna kontrollaspekt av ditt nätverk kallas kontrollplanet. Kontrollplanet ger möjlighet att konfigurera, övervaka, felsöka och tillåta automatisering mot nätverket.
#3. Vad är Data Plane?
Nätverkshårdvaran bildar dataplanet där all data vidarebefordras från källa till destination. Hanteringen av data finns i kontrollplanet; dock består dataplanet av all nätverkshårdvara vars primära funktion är att vidarebefordra trafik över tråden från källa till destination.
#4. Vad är ledningsplanet?
Ledningsplanet består i första hand av NSX-chefen. NSX-hanteraren är en centraliserad nätverkshanteringskomponent och möjliggör i första hand en enda hanteringspunkt. Den tillhandahåller också REST API som en användare kan använda för att utföra alla NSX-funktioner och -åtgärder. Under driftsättningsfasen upprättas hanteringsplanet när NSX-enheten distribueras och konfigureras. Detta hanteringsplan interagerar direkt med kontrollplanet och även dataplanet.
#5. Vad är logisk växling?
NSX tillåter möjligheten att skapa L2 och L3 logisk växling som möjliggör arbetsbelastningsisolering och separering av IP-adressutrymme mellan logiska nätverk. NSX kan skapa logiska sändningsdomäner i det virtuella utrymmet som förhindrar behovet av att skapa några logiska nätverk på de fysiska switcharna. Detta innebär att du inte längre är begränsad till 4096 fysiska sändningsdomäner (VLAN).
#6. Vad är NSX Gateway Services?
Edge-gatewaytjänsterna kopplar ihop dina logiska nätverk med dina fysiska nätverk. Detta innebär att en virtuell maskin ansluten till ett logiskt nätverk kan skicka och ta emot trafik direkt till ditt fysiska nätverk genom gatewayen.
#7. Vad är logisk routing?
Flera virtuella sändningsdomäner (logiska nätverk) kan skapas med NSX. Eftersom flera virtuella maskiner prenumererar på dessa domäner, blir det avgörande att kunna dirigera trafik från en logisk switch till en annan.
#8. Vad är öst-västtrafik i logisk routing?
Öst-västtrafik är trafik mellan virtuella maskiner i ett datacenter. I det aktuella sammanhanget kommer detta vanligtvis att vara trafik mellan logiska switchar i en VMware-miljö.
#9. Vad är nord-sydtrafik?
Nord-sydtrafik är trafik som rör sig in och ut från ditt datacenter. Detta är all trafik som antingen kommer in i ditt datacenter eller lämnar ditt datacenter.
#10. Vad är en logisk brandvägg?
Logiska brandväggar är av två typer: distribuerad brandvägg och Edge-brandvägg. En distribuerad brandvägg är idealiskt utplacerad för att skydda all öst-västlig trafik, medan en Edge-brandvägg skyddar all nord-sydlig trafik. En distribuerad logisk brandvägg låter dig bygga regler baserade på attribut som inkluderar IP-adresser, VLAN, virtuella maskinnamn och vCenter-objekt. Edge-gatewayen har en brandväggstjänst som kan användas för att införa säkerhets- och åtkomstbegränsningar för nord-sydlig trafik.
#11. Vad är en lastbalanserare?
Den logiska lastbalanseraren distribuerar inkommande förfrågningar mellan flera servrar för att tillåta lastfördelning samtidigt som denna funktionalitet abstraheras från slutanvändare. Den logiska lastbalanseraren kan också användas som mekanism för hög tillgänglighet (HA) för att säkerställa att din applikation har störst drifttid. En Edge Services gateway-instans måste distribueras för att belastningsbalanseringstjänsten ska kunna aktiveras.
#12. Vad är Service Composer?
Tjänstekomponeraren låter dig allokera nätverk och flera säkerhetstjänster till säkerhetsgrupper. Virtuella maskiner som ingår i dessa säkerhetsgrupper tilldelas automatiskt tjänsterna.
#13. Vad är datasäkerhet?
NSX datasäkerhet ger insyn i känsliga data, säkerställer dataskydd och rapporterar tillbaka om eventuella överträdelser. En datasäkerhetsskanning på utsedda virtuella maskiner tillåter NSX att analysera och rapportera eventuella överträdelser baserat på säkerhetspolicyn som gäller för dessa virtuella maskiner.
#14. Konfiguration Maximum för NSX 6.2
Beskrivning
Begränsa
vCenters
1
NSX-chefer
1
DRS-kluster
12
NSX styrenheter
3
Värdar per kluster
32
Värdar per transportzon
256
Logiska omkopplare
10 000
Logiska switchportar
50 000
DLR per värd
1 000
DLR för NSX
1 200
Edge service gateways per NSX Manager
2 000
NSX kärnkomponenter
#15. Definiera NSX Manager?
NSX-hanteraren låter oss skapa, konfigurera och hantera NSX-komponenter i en miljö. NSX-hanteraren tillhandahåller ett grafiskt användargränssnitt och REST-API:er som gör att du kan interagera med olika NSX-komponenter. NSX Manager är en virtuell maskin som du kan ladda ner som en OVA och distribuera den på vilken ESX-värd som helst som hanteras av vCenter.
#16. Definiera NSX Controller Cluster?
NSX-styrenheten tillhandahåller en kontrollplansfunktionalitet för att distribuera logisk routing och VXLAN-nätverksinformation till den underliggande hypervisorn. Styrenheter distribueras som virtuella enheter och bör distribueras i samma vCenter NSX-hanterare som är ansluten till. I en produktionsmiljö rekommenderas det att installera minst tre kontroller. Vi måste säkerställa att DRS-antaffinitetsregler är konfigurerade för att distribuera kontroller på en separat ESXi-värd för bättre tillgänglighet och skalbarhet.
#17. Vad är VXLAN?
VXLAN är ett lager 2 över lager 3 tunnelprotokoll som tillåter logiska nätverkssegment att utökas på routbara nätverk. Detta uppnås genom att kapsla in Ethernet-ramen med ytterligare UPD-, IP- och VXLAN-huvuden. Följaktligen ökar detta storleken på paketet med 50 byte. Därför rekommenderar VMware att MTU-storleken ökar till minst 1 600 byte för alla gränssnitt i den fysiska infrastrukturen och eventuella associerade vSwitches.
#18. Vad är VTEP?
När en virtuell maskin genererar trafik som är avsedd för en annan virtuell maskin på samma virtuella nätverk, kallas värddatorerna på vilka de virtuella käll- och destinationsdatorerna körs VXLAN tunnel endpoints (VTEP). VTEP är konfigurerade som separata VMKernel-gränssnitt på värdarna.
Det yttre IP-huvudblocket i VXLAN-ramen innehåller käll- och destinations-IP-adresserna som innehåller källhypervisorn och destinationshypervisorn. När ett paket lämnar den virtuella källmaskinen, kapslas det in vid källhypervisorn och skickas till målhypervisorn. Vid mottagande av detta paket dekapslar målhypervisorn Ethernet-ramen och vidarebefordrar den till den virtuella destinationsmaskinen.
När NSX Manager förbereder ESXi-värden måste vi konfigurera VTEP. NSX stöder flera VXLAN-vmknics per värd för upplänkslastbalanseringsfunktioner. Utöver detta stöds även Guest VLAN-taggning.
#19. Beskriv transportzon?
En transportzon definierar förlängningen av en logisk switch över flera ESXi-kluster som sträcker sig över flera virtuella distribuerade switchar. En transportzon gör det möjligt för en logisk switch att sträcka sig över flera virtuella distribuerade switchar. Alla ESXi-värdar som är en del av denna transportzon kan ha virtuella maskiner som en del av det logiska nätverket. En logisk switch skapas alltid som en del av en transportzon, och ESXi-värdar kan delta i dem.
#20. Vad är Universal Transport Zone?
En universell transportzon tillåter en logisk switch att sträcka sig över flera värdar över flera vCenters. En universell transportzon skapas alltid av den primära NSX-servern och synkroniseras med de sekundära NSX-hanterarna.
#21. Vad är NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) erbjuder en funktionsrik uppsättning tjänster som inkluderar NAT, routing, brandvägg, lastbalansering, L2/L3 VPN och DHCP/DNS-relä. NSX API gör att var och en av dessa tjänster kan distribueras, konfigureras och konsumeras på begäran. Du kan installera NSX Edge som en ESG eller som en DLR.
Antalet Edge-apparater, inklusive ESG och DLR, är begränsat till 250 på en värd. Edge Services Gateway distribueras som en virtuell maskin från NSX-hanteraren, som nås med vSphere-webbklienten.
Obs: Endast företagets administratörsroll, som tillåter NSX-operationer och säkerhetshantering, kan distribuera en Edge-tjänster-gateway:
#22. Beskriv distribuerad brandvägg i NSX?
NSX tillhandahåller L2-L4-statliga brandväggstjänster med hjälp av en distribuerad brandvägg som körs i ESXi hypervisorkärnan. Eftersom brandväggen är en funktion av ESXi-kärnan, erbjuder den massiv genomströmning och presterar med en nära linjehastighet. När NSX initialt förbereder ESXi-värden, installeras den distribuerade brandväggstjänsten i kärnan genom att distribuera kärnan VIB—VMware Internetworking Service Insertion Platform (VSIP). VSIP ansvarar för att övervaka och upprätthålla säkerhetspolicyer för all trafik som flödar genom dataplanet. Den distribuerade brandväggen (DFW) genomströmning och prestanda skalas horisontellt när fler ESXi-värdar läggs till.
#23. Vad är Cross-vCenter NSX?
Från och med NSX 6.2 kan du hantera flera vCenter NSX-miljöer med cross-vCenter-funktionen. Detta gör att du kan hantera flera vCenter NSX-miljöer från en enda primär NSX-hanterare. I en cross-vCenter-distribution är flera vCenters alla parade med sin egen NSX Manager per vCenter. En NSX-hanterare tilldelas den primära medan andra NSX-hanterare blir sekundära. Denna primära NSX-hanterare kan nu distribuera ett universellt styrenhetskluster som tillhandahåller kontrollplanet. Till skillnad från en fristående vCenter-NSX-distribution, distribuerar sekundära NSX-hanterare inte sina egna kontrollerkluster.
# 24. Vad är ett VPN?
Med virtuella privata nätverk (VPN) kan du säkert ansluta en fjärrenhet eller plats till din företagsinfrastruktur. NSX Edge stöder tre typer av VPN-anslutning. SSL VPN-Plus, IP-SEC VPN och L2 VPN.
#25. Vad är SSL VPN-Plus?
SSL VPN-Plus låter fjärranvändare komma åt applikationer och servrar i ett privat nätverk på ett säkert sätt. Det finns två lägen där SSL VPN-Plus kan konfigureras: nätverksåtkomstläge och webbåtkomstläge. I nätverksåtkomstläget kan en fjärranvändare komma åt det interna privata nätverket på ett säkert sätt. Detta görs av en VPN-klient som fjärranvändaren laddar ner och installerar på sitt operativsystem. I webbåtkomstläge kan fjärranvändaren komma åt de privata nätverken utan någon VPN-klientmjukvara.
#26. Vad är IPSec VPN?
NSX Edge-tjänstgatewayen stöder en plats-till-plats IPSEC VPN som gör att du kan ansluta ett NSX Edge-tjänster gateway-stödda nätverk till en annan enhet på fjärrplatsen. NSX Edge kan upprätta säkra tunnlar med avlägsna platser för att möjliggöra säkert trafikflöde mellan platser. Antalet tunnlar som en Edge-gateway kan upprätta beror på storleken på den utplacerade edge-gatewayen. Innan du konfigurerar IPsec VPN, se till att dynamisk routing är inaktiverad på Edge-upplänken för att tillåta specifika rutter definierade för all VPN-trafik.
Obs: Självsignerade certifikat kan inte användas med en IPSEC VPN.
#27. Vad är L2 VPN
En L2 VPN låter dig sträcka ut flera logiska nätverk över flera webbplatser. Nätverken kan vara både traditionella VLAN och VXLAN. I en sådan distribution kan en virtuell maskin flytta mellan webbplatser utan att ändra sin IP-adress. En L2 VPN distribueras som en klient och server där destination Edge är servern och källan Edge är klienten. Både klienten och servern lär sig MAC-adresserna för både lokala och avlägsna platser. För alla webbplatser som inte backas upp av en NSX-miljö kan en fristående NSX Edge-gateway distribueras.
NSX funktionella tjänster
#28. Hur många kan NSX-hanterare installeras och konfigureras i en cross-vCenter NSX-miljö?
Det kan bara finnas en primär NSX-hanterare och upp till sju sekundära NSX-hanterare. Du kan välja en primär NSX-hanterare, varefter du kan börja skapa universella objekt och även distribuera universella kontrollerkluster. Det universella styrenhetsklustret kommer att tillhandahålla kontrollplanet för cross-vCenter NSX-miljön. Kom ihåg att i en cross-vCenter-miljö har de sekundära NSX-hanterarna inte sina egna kontrollerkluster.
#29. Vad är segment-ID-poolen och hur tilldelar man den?
Varje VXLAN-tunnel har ett segment-ID (VNI), och du måste ange en segment-ID-pool för varje NSX Manager. All trafik kommer att bindas till dess segment-ID, vilket möjliggör isolering.
#30. Vad är L2 Bridge?
En logisk switch kan anslutas till en fysisk switch VLAN med hjälp av en L2-brygga. Detta gör att du kan utöka dina virtuella logiska nätverk för att komma åt befintliga fysiska nätverk genom att överbrygga det logiska VXLAN med det fysiska VLAN. Denna L2-bryggning åstadkoms med en logisk NSX Edge-router som mappas till ett enda fysiskt VLAN på det fysiska nätverket.
L2-bryggor bör dock inte användas för att ansluta två olika fysiska VLAN eller två olika logiska switchar. Du kan inte heller använda en universell logisk router för att konfigurera bryggning, och en brygga kan inte läggas till en universell logisk switch. Detta innebär att i en multi-vCenter NSX-miljö kan du inte utöka en logisk switch till ett fysiskt VLAN vid ett annat datacenter genom L2-bryggning.
Edge Services Gateway
#31. Vad är Equal Cost Multi-Path (ECMP) routing?
ECMP tillåter att nästa-hopp-paketet vidarebefordras till en enda destination över flera bästa vägar som kan läggas till statiskt eller dynamiskt med hjälp av routingprotokoll som OSPF och BGP. Dessa flera sökvägar läggs till som kommaseparerade värden när de statiska rutterna definieras.
#32. Vilka är standardintervallen för direktanslutna, statiska, externa BGP, etc.?
Värdet sträcker sig från 1 till 255 och standardintervallen är: Ansluten (0), Statisk (1), Extern BGP (20), OSPF inom området (30), OSPF mellan området (110) och Intern BGP (200) .
Obs: Vilket som helst av ovanstående värden kommer att matas in i ”Admin Distance” genom att redigera standardgatewaykonfigurationen i Routing Configuration.
#33. Vad är Open Shortest Path First (OSPF)?
OSPF är ett routingprotokoll som använder en länk-tillstånds routingalgoritm och fungerar inom ett enda autonomt system.
#34. Vad är Graceful Restart i OSPF?
Graceful Restart möjliggör non-stop paketvidarebefordran även om OSPF-processen startas om. Detta hjälper till med icke-störande paketdirigering.
#35. Vad är Not-So-Stubby Area (NSSA) i OSPF?
NSSA förhindrar översvämning av annonser från ett externt autonomt system för länktillstånd genom att förlita sig på standardvägarna till externa destinationer. NSSA:er är vanligtvis placerade vid kanten av en OSPF-routingdomän.
#36. Vad är BGP?
BGP är ett externt gateway-protokoll designat för att utbyta routinginformation mellan autonoma system (AS) på internet. BGP är relevant för nätverksadministratörer för stora organisationer som ansluter till två eller flera internetleverantörer och internetleverantörer som ansluter till andra nätverksleverantörer. Om du är administratör för ett litet företagsnätverk eller en slutanvändare, behöver du förmodligen inte känna till BGP.
#37. Vad är ruttdistribution?
I en miljö där flera routingprotokoll används, möjliggör ruttomfördelning ruttdelning över protokoll.
#38. Vad är Layer 4 Load balancer?
Layer 4 load balancer tar routingbeslut baserat på IP:er och TCP- eller UDP-portar. Den har en paketvy av trafiken som utbyts mellan klienten och en server och fattar beslut paket för paket. Lager 4-anslutningen upprättas mellan en klient och en server.
#39. Vad är Layer 7 load balancer?
En lager 7 belastningsutjämnare tar routingbeslut baserat på IP-, TCP- eller UDP-portar eller annan information som den kan få från applikationsprotokollet (främst HTTP). Lastbalanseraren för lager 7 fungerar som en proxy och upprätthåller två TCP-anslutningar: en med klienten och en med servern.
#40. Vad är applikationsprofil vid konfiguration av Load Balancer?
Innan vi skapar en virtuell server för att mappa till poolen måste vi definiera en applikationsprofil som definierar beteendet för en viss typ av nätverkstrafik. När trafik tas emot bearbetar den virtuella servern trafiken baserat på de värden som definieras i profilen. Detta möjliggör större kontroll över hanteringen av din nätverkstrafik:
#41. Vad är undergränssnittet?
Ett undergränssnitt, eller ett internt gränssnitt, är ett logiskt gränssnitt som skapas och mappas till det fysiska gränssnittet. Undergränssnitt är helt enkelt en uppdelning av ett fysiskt gränssnitt i flera logiska gränssnitt. Detta logiska gränssnitt använder det överordnade fysiska gränssnittet för att flytta data. Kom ihåg att du inte kan använda undergränssnitt för HA eftersom ett hjärtslag måste passera en fysisk port från en hypervisor till en annan mellan Edge-apparaterna.
#42. Varför är Force Sync NSX Edge nödvändigt för din miljö?
Force sync är en funktion som synkroniserar Edge-konfigurationen från NSX Manager till alla dess komponenter i en miljö. En synkroniseringsåtgärd initieras från NSX Manager till NSX Edge som uppdaterar och laddar om Edge-konfigurationen.
#43. Varför behövs en fjärransluten Syslog-server för att konfigurera i din virtuella miljö?
VMware rekommenderar att du konfigurerar Syslog-servrar för att undvika loggöversvämningar på Edge-enheterna. När loggning är aktiverad lagras loggar lokalt på Edge-enheten och tar upp utrymme. Om det inte är markerat kan detta påverka Edge-enhetens prestanda och kan även leda till att Edge-enheten stannar på grund av brist på diskutrymme.
Servicekompositör
#44. Vad är säkerhetspolicyer?
Säkerhetspolicyer är uppsättningar regler som gäller för en virtuell maskin, nätverk eller brandväggstjänster. Säkerhetspolicyer är återanvändbara regeluppsättningar som kan tillämpas på säkerhetsgrupper. Säkerhetspolicyer uttrycker tre typer av regeluppsättningar:
- Endpoint Services: Gästbaserade tjänster som antiviruslösningar och sårbarhetshantering
- Brandväggsregler: Distribuerade brandväggspolicyer
- Nätverksintrospektionstjänster: Nätverkstjänster som intrångsdetekteringssystem och kryptering
Dessa regler tillämpas på alla objekt och virtuella maskiner som ingår i en säkerhetsgrupp som denna policy är kopplad till.
Övervakning
#44. Vad är Endpoint Monitoring i NSX?
Endpoint Monitor ger insikt och synlighet i applikationer som körs i ett operativsystem för att säkerställa att säkerhetspolicyer tillämpas korrekt. Endpoint Monitoring kräver introspektion av gästerna för att vara installerad. På virtuella maskiner måste du installera en drivrutin för gästintrospektion, som är en del av VMware-verktygsinstallationen.
#45. Vad är flödesövervakning?
NSX Flow monitoring är en funktion som tillåter detaljerad trafikövervakning till och från skyddade virtuella maskiner. Flödesövervakning kan unikt identifiera olika maskiner och tjänster som utbyter data och, när den är aktiverad, kan den identifiera vilka maskiner som utbyter data över specifika applikationer. Flödesövervakning tillåter även liveövervakning av TCP- och UDP-anslutningar och kan användas som ett effektivt kriminaltekniskt verktyg.
Obs: Flödesövervakning kan endast aktiveras för NSX-distributioner där en brandvägg är aktiverad.
#46. Vad är Traceflow?
Traceflow är ett intressant verktyg byggt för att tillåta administratörer att sömlöst felsöka sin virtuella nätverksmiljö genom att spåra ett paketflöde på ett liknande sätt som den äldre Packet Tracer-applikationen. Traceflow gör att du kan injicera ett paket i nätverket och övervaka dess flöde över nätverket. Detta flöde låter dig övervaka ditt nätverk och identifiera problem som flaskhalsar eller störningar.
Hantera NSX
#48. Hur fungerar Syslog-servern i NSX?
Genom att konfigurera NSX Manager med en fjärransluten Syslog-server kan du samla in, visa och spara alla loggfiler på en central plats. Detta låter dig lagra loggar för efterlevnadsändamål; när du använder ett verktyg som VMware vRealize Log insight kan du skapa larm och använda den inbyggda sökmotorn för att granska loggar.
#49. Hur fungerar säkerhetskopiering och återställning i NSX?
Säkerhetskopieringar är avgörande för en NSX-miljö som låter dig återställa dem på lämpligt sätt under ett systemfel. Förutom vCenter kan du även utföra säkerhetskopiering på NSX Manager, kontrollerkluster, NSX Edge, brandväggsregler och Service Composer. Alla dessa kan säkerhetskopieras och återställas individuellt.
#50. Vad är SNMP-fällan?
SNMP-fällor (Simple Network Management Protocol) är varningsmeddelanden som skickas från en fjärransluten SNMP-enhet till en samlare. Du kan konfigurera SNMP-agenten att vidarebefordra SNMP-fällor.
Som standard är SNMP-fällmekanismen inaktiverad. Endast kritiska meddelanden och aviseringar med hög stränghet skickas till SNMP-hanteraren när SNMP-fällan är aktiverad.
Jag hoppas att du har gillat att läsa det här inlägget. Lycka till med din intervju! 👍