Нека да разгледаме няколко въпроса за интервю за VMware NSX, за да помогнем на търсещите работа и професионалистите, които искат да получат сертификат за мрежова виртуализация.
VMware придоби NSX от Nicira през юли 2012 г., който беше използван предимно за мрежова виртуализация в базиран на Xen хипервизор. NSX абстрахира физическия слой (виртуализира мрежата), така че софтуерът да работи в горната част на хипервайзора, който е динамично конфигуриран и актуализиран. В момента NSX има две версии: NSX-T (предназначена за мулти-хипервизори и облачни приложения) и NSX-V (предназначена само за vSphere среди).
NSX е бъдещето на модерните ИТ инфраструктури, което предлага богати възможности за управление и защита на вашата виртуална инфраструктура. 82% от богатството 100 са приели VMware NSX. Тъй като фирмите бързо приемат VMware NSX, опитната работна сила винаги е в голямо търсене.
За тази цел сме подготвили няколко въпроса за интервю с изяснителни отговори
Тези въпроси за интервю са категоризирани в следните технически области:
- Основни понятия
- Основни компоненти на NSX
- Функционални услуги на NSX
- Edge Services Gateway
- Композитор на услугата
- Мониторинг
- Управление на NSX
Съдържание
Основни концепции на NSX
#1. Какво е отделяне?
Важна концепция на мрежовата виртуализация е отделянето на софтуера и мрежовия хардуер. Софтуерът работи независимо от мрежовия хардуер, който физически свързва инфраструктурата. Всеки мрежов хардуер, който може да взаимодейства със софтуера, винаги ще подобри функционалността, но не е необходимо. Не забравяйте, че производителността на вашия мрежов хардуер винаги ще ограничава вашата пропускателна способност по кабела.
#2. Какво е Control Plane?
Разделянето на софтуера и мрежовия хардуер ви позволява да контролирате мрежата си по-добре, защото цялата логика се намира в софтуера. Този контролен аспект на вашата мрежа се нарича контролна равнина. Контролната равнина предоставя средства за конфигуриране, наблюдение, отстраняване на неизправности и разрешаване на автоматизация срещу мрежата.
#3. Какво е Data Plane?
Мрежовият хардуер формира равнината на данните, където всички данни се препращат от източника към местоназначението. Управлението на данните се намира в контролната равнина; равнината на данни обаче се състои от целия мрежов хардуер, чиято основна функция е да препраща трафик по кабела от източника до дестинацията.
#4. Какво представлява равнината на управление?
Равнината на управление се състои основно от мениджъра на NSX. Мениджърът на NSX е централизиран компонент за управление на мрежата и позволява основно една точка за управление. Той също така предоставя REST API, който потребителят може да използва, за да изпълнява всички NSX функции и действия. По време на фазата на разгръщане, равнината на управление се установява, когато устройството NSX е разгърнато и конфигурирано. Тази равнина на управление взаимодейства директно с равнината на управление, а също и с равнината на данни.
#5. Какво е логическо превключване?
NSX позволява възможността за създаване на L2 и L3 логическо превключване, което позволява изолиране на работното натоварване и разделяне на IP адресното пространство между логическите мрежи. NSX може да създава логически излъчвани домейни във виртуалното пространство, което предотвратява необходимостта от създаване на логически мрежи на физическите комутатори. Това означава, че вече не сте ограничени до 4096 физически излъчвани домейна (VLAN).
#6. Какво представляват услугите на NSX Gateway?
Услугите на Edge gateway свързват вашите логически мрежи с вашите физически мрежи. Това означава, че виртуална машина, свързана към логическа мрежа, може да изпраща и получава трафик директно към вашата физическа мрежа през шлюза.
#7. Какво е логическо маршрутизиране?
Множество виртуални излъчващи домейни (логически мрежи) могат да бъдат създадени с помощта на NSX. Тъй като множество виртуални машини се абонират за тези домейни, става изключително важно да можете да насочвате трафика от един логически комутатор към друг.
#8. Какво представлява трафикът изток-запад в логическото маршрутизиране?
Трафикът изток-запад е трафик между виртуални машини в рамките на център за данни. В настоящия контекст това обикновено ще бъде трафик между логически комутатори в среда на VMware.
#9. Какво представлява трафикът север-юг?
Трафикът север-юг е трафик, който влиза и излиза от вашия център за данни. Това е всеки трафик, който влиза или напуска вашия център за данни.
#10. Какво е логическа защитна стена?
Логическите защитни стени са два вида: разпределена защитна стена и защитна стена Edge. Разпределената защитна стена е идеално разгърната за защита на всеки трафик изток-запад, докато защитната стена Edge защитава всеки трафик север-юг. Разпределената логическа защитна стена ви позволява да създавате правила въз основа на атрибути, които включват IP адреси, VLAN, имена на виртуални машини и vCenter обекти. Шлюзът Edge включва услуга за защитна стена, която може да се използва за налагане на ограничения за сигурност и достъп на трафика север-юг.
#11. Какво е Load Balancer?
Логическият балансьор на натоварването разпределя входящите заявки между множество сървъри, за да позволи разпределение на натоварването, като същевременно абстрахира тази функционалност от крайните потребители. Логическият балансьор на натоварването може да се използва и като механизъм за висока достъпност (HA), за да се гарантира, че вашето приложение има най-голямо време за работа. Трябва да бъде внедрен екземпляр на шлюз на Edge services, за да се активира услугата за балансиране на натоварването.
#12. Какво е Service Composer?
Композиторът на услуги ви позволява да разпределите мрежа и множество услуги за сигурност към групи за сигурност. Виртуалните машини, които са част от тези групи за сигурност, автоматично получават услугите.
#13. Какво е сигурност на данните?
Сигурността на данните NSX осигурява видимост на чувствителни данни, гарантира защита на данните и докладва за всякакви нарушения на съответствието. Сканирането за сигурност на данните на определени виртуални машини позволява на NSX да анализира и докладва всякакви нарушения въз основа на политиката за сигурност, която се прилага за тези виртуални машини.
#14. Максимална конфигурация на NSX 6.2
Описание
Лимит
vCenters
1
Мениджъри на NSX
1
DRS клъстери
12
NSX контролери
3
Хостове на клъстер
32
Хостове на транспортна зона
256
Логически превключватели
10 000
Портове за логически комутатори
50 000
DLR на хост
1000
DLR за NSX
1200
Edge service gateways за NSX Manager
2000
Основни компоненти на NSX
#15. Определете NSX Manager?
NSX мениджърът ни позволява да създаваме, конфигурираме и управляваме NSX компоненти в среда. NSX мениджърът предоставя графичен потребителски интерфейс и REST API, които ви позволяват да взаимодействате с различни NSX компоненти. NSX Manager е виртуална машина, която можете да изтеглите като OVA и да я разположите на всеки ESX хост, управляван от vCenter.
#16. Дефиниране на NSX Controller Cluster?
NSX контролерът осигурява функционалност на контролна равнина за разпространение на логическа маршрутизация и VXLAN мрежова информация към основния хипервизор. Контролерите се внедряват като виртуални устройства и трябва да се внедряват в същия vCenter NSX мениджър, към който е свързан. В производствена среда се препоръчва да се разположат минимум три контролера. Трябва да гарантираме, че правилата за анти-афинитет на DRS са конфигурирани за разполагане на контролери на отделен ESXi хост за по-добра наличност и мащабируемост.
#17. Какво е VXLAN?
VXLAN е протокол за тунелиране от слой 2 над слой 3, който позволява на логическите мрежови сегменти да се разширяват в маршрутизирани мрежи. Това се постига чрез капсулиране на Ethernet рамката с допълнителни UPD, IP и VXLAN хедъри. Следователно, това увеличава размера на пакета с 50 байта. Следователно VMware препоръчва увеличаване на размера на MTU до минимум 1600 байта за всички интерфейси във физическата инфраструктура и всички свързани vSwitches.
#18. Какво е VTEP?
Когато виртуална машина генерира трафик, предназначен за друга виртуална машина в същата виртуална мрежа, хостовете, на които се изпълняват виртуалните машини източник и дестинация, се наричат VXLAN тунелни крайни точки (VTEP). VTEPs са конфигурирани като отделни VMKernel интерфейси на хостовете.
Външният IP заглавен блок във VXLAN рамката съдържа IP адресите на източника и местоназначението, които съдържат хипервайзора на източника и хипервайзора на местоназначението. Когато пакет напусне виртуалната машина източник, той се капсулира в хипервайзора източник и се изпраща до целевия хипервизор. При получаване на този пакет целевият хипервизор декапсулира Ethernet рамката и я препраща към целевата виртуална машина.
След като NSX Manager подготви ESXi хоста, трябва да конфигурираме VTEP. NSX поддържа множество VXLAN vmknics на хост за функции за балансиране на натоварването на връзката нагоре. В допълнение към това се поддържа и гост VLAN маркиране.
#19. Опишете транспортната зона?
Транспортната зона дефинира разширението на логически комутатор в множество ESXi клъстери, които обхващат множество виртуални разпределени комутатори. Транспортната зона позволява на логически комутатор да се простира в множество виртуални разпределени комутатори. Всички ESXi хостове, които са част от тази транспортна зона, могат да имат виртуални машини като част от тази логическа мрежа. Логически превключвател винаги се създава като част от транспортна зона и ESXi хостовете могат да участват в тях.
#20. Какво е универсална транспортна зона?
Универсалната транспортна зона позволява на логически превключвател да обхваща множество хостове в множество vCenters. Универсална транспортна зона винаги се създава от основния NSX сървър и се синхронизира с вторичните NSX мениджъри.
#21. Какво представлява NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) предлага богат на функции набор от услуги, които включват NAT, маршрутизиране, защитна стена, балансиране на натоварването, L2/L3 VPN и DHCP/DNS реле. NSX API позволява всяка от тези услуги да бъде внедрена, конфигурирана и използвана при поискване. Можете да инсталирате NSX Edge като ESG или като DLR.
Броят на устройствата Edge, включително ESG и DLR, е ограничен до 250 на хост. Edge Services Gateway се внедрява като виртуална машина от мениджъра на NSX, който се осъществява чрез уеб клиента vSphere.
Забележка: Само ролята на корпоративния администратор, която позволява NSX операции и управление на сигурността, може да разположи шлюз за Edge услуги:
#22. Опишете разпределената защитна стена в NSX?
NSX предоставя L2-L4 stateful защитна стена, използвайки разпределена защитна стена, която работи в ядрото на ESXi хипервайзор. Тъй като защитната стена е функция на ядрото на ESXi, тя предлага огромна пропускателна способност и работи със скорост, близка до линията. Когато NSX първоначално подготвя ESXi хоста, разпределената услуга за защитна стена се инсталира в ядрото чрез внедряване на ядрото VIB—VMware платформа за вмъкване на мрежови мрежи (VSIP). VSIP е отговорен за наблюдението и прилагането на политики за сигурност на целия трафик, преминаващ през равнината на данни. Пропускателната способност и производителността на разпределената защитна стена (DFW) се мащабират хоризонтално с добавянето на повече ESXi хостове.
#23. Какво е Cross-vCenter NSX?
Започвайки от NSX 6.2, можете да управлявате множество vCenter NSX среди, като използвате функцията cross-vCenter. Това ви позволява да управлявате множество vCenter NSX среди от един първичен NSX мениджър. При кръстосано внедряване на vCenter, множество vCentri са свързани със собствен NSX Manager на vCenter. Един мениджър на NSX е назначен за първичен, докато други мениджъри на NSX стават второстепенни. Този първичен мениджър на NSX вече може да разположи универсален контролен клъстер, който осигурява контролната равнина. За разлика от самостоятелното внедряване на vCenter-NSX, вторичните NSX мениджъри не внедряват свои собствени контролерни клъстери.
# 24. Какво е VPN?
Виртуалните частни мрежи (VPN) ви позволяват да свържете сигурно отдалечено устройство или сайт към вашата корпоративна инфраструктура. NSX Edge поддържа три типа VPN свързаност. SSL VPN-Plus, IP-SEC VPN и L2 VPN.
#25. Какво е SSL VPN-Plus?
SSL VPN-Plus позволява на отдалечените потребители да имат защитен достъп до приложения и сървъри в частна мрежа. Има два режима, в които SSL VPN-Plus може да бъде конфигуриран: режим на мрежов достъп и режим на уеб достъп. В режим на мрежов достъп отдалечен потребител може да има защитен достъп до вътрешната частна мрежа. Това се прави от VPN клиент, който отдалеченият потребител изтегля и инсталира на своята операционна система. В режим на уеб достъп отдалеченият потребител може да осъществява достъп до частните мрежи без клиентски софтуер за VPN.
#26. Какво е IPSec VPN?
Шлюзът за услуги NSX Edge поддържа IPSEC VPN от сайт до сайт, който ви позволява да свържете мрежа, поддържана от шлюз за услуги NSX Edge, към друго устройство на отдалечения сайт. NSX Edge може да установи сигурни тунели с отдалечени сайтове, за да позволи сигурен трафик между сайтовете. Броят на тунелите, които един Edge gateway може да установи, зависи от размера на разположения edge gateway. Преди да конфигурирате IPsec VPN, уверете се, че динамичното маршрутизиране е деактивирано на връзката нагоре на Edge, за да позволи определени маршрути за всеки VPN трафик.
Забележка: Самоподписаните сертификати не могат да се използват с IPSEC VPN.
#27. Какво е L2 VPN
L2 VPN ви позволява да разпънете множество логически мрежи в множество сайтове. Мрежите могат да бъдат както традиционни VLAN, така и VXLAN. При такова внедряване виртуална машина може да се движи между сайтове, без да променя своя IP адрес. L2 VPN се внедрява като клиент и сървър, където дестинационният Edge е сървърът, а изходният Edge е клиентът. И клиентът, и сървърът научават MAC адресите както на локалните, така и на отдалечените сайтове. За всички сайтове, които не са подкрепени от NSX среда, може да се внедри самостоятелен NSX Edge gateway.
Функционални услуги на NSX
#28. Колко NSX мениджъри могат да бъдат инсталирани и конфигурирани в среда на vCenter NSX?
Може да има само един първичен NSX мениджър и до седем вторични NSX мениджъри. Можете да изберете един основен NSX мениджър, след което можете да започнете да създавате универсални обекти и да разгръщате универсални контролерни клъстери. Универсалният контролен клъстер ще осигури контролната равнина за кръстосаната vCenter NSX среда. Не забравяйте, че в кръстосана vCenter среда вторичните NSX мениджъри нямат свои собствени клъстери на контролери.
#29. Какво представлява пулът ID на сегменти и как да го присвоите?
Всеки VXLAN тунел има ИД на сегмент (VNI) и вие трябва да укажете пул от ИД на сегменти за всеки NSX Manager. Целият трафик ще бъде обвързан с идентификатора на сегмента, което позволява изолация.
#30. Какво е L2 Bridge?
Логически комутатор може да бъде свързан към физически комутатор VLAN с помощта на L2 мост. Това ви позволява да разширите вашите виртуални логически мрежи за достъп до съществуващи физически мрежи чрез свързване на логическата VXLAN с физическата VLAN. Това L2 мостово свързване се осъществява с помощта на логически рутер NSX Edge, който картографира към единична физическа VLAN във физическата мрежа.
L2 мостовете обаче не трябва да се използват за свързване на две различни физически VLAN или два различни логически комутатора. Също така не можете да използвате универсален логически рутер за конфигуриране на мостово свързване и мост не може да бъде добавен към универсален логически комутатор. Това означава, че в мулти-vCenter NSX среда не можете да разширите логическо превключване към физическа VLAN в друг център за данни чрез L2 мост.
Edge Services Gateway
#31. Какво е многопътно маршрутизиране с равни разходи (ECMP)?
ECMP позволява пакетът за следващ хоп да бъде препратен към една дестинация по множество най-добри пътища, които могат да се добавят статично или динамично с помощта на протоколи за маршрутизиране като OSPF и BGP. Тези множество пътища се добавят като стойности, разделени със запетая, когато се дефинират статичните маршрути.
#32. Какви са диапазоните по подразбиране за директно свързан, статичен, външен BGP и т.н.?
Стойността варира от 1 до 255, а диапазоните по подразбиране са: Свързан (0), Статичен (1), Външен BGP (20), OSPF вътрешнообластен (30), OSPF междуобластен (110) и Вътрешен BGP (200) .
Забележка: Всяка от горните стойности ще бъде въведена в „Admin Distance“ чрез редактиране на конфигурацията на шлюза по подразбиране в Routing Configuration.
#33. Какво е първо отвореният най-кратък път (OSPF)?
OSPF е протокол за маршрутизиране, който използва алгоритъм за маршрутизиране на състоянието на връзката и работи в рамките на една автономна система.
#34. Какво е грациозно рестартиране в OSPF?
Грациозното рестартиране позволява непрекъснато пренасочване на пакети, дори ако OSPF процесът се рестартира. Това помага при маршрутизирането на пакети без прекъсване.
#35. Какво е Not-So-Stubby Area (NSSA) в OSPF?
NSSA предотвратява наводняването на реклами за състоянието на връзката на външна автономна система, като разчита на маршрутите по подразбиране към външни дестинации. NSSA обикновено се поставят на ръба на домейн за маршрутизиране на OSPF.
#36. Какво е BGP?
BGP е протокол за външен шлюз, предназначен за обмен на информация за маршрутизиране между автономни системи (AS) в интернет. BGP е подходящ за мрежови администратори на големи организации, които се свързват с два или повече интернет доставчици и доставчици на интернет услуги, които се свързват с други мрежови доставчици. Ако сте администратор на малка корпоративна мрежа или краен потребител, вероятно не е нужно да знаете за BGP.
#37. Какво е разпределение на маршрута?
В среда, в която се използват множество протоколи за маршрутизиране, преразпределението на маршрута позволява споделяне на маршрут между протоколи.
#38. Какво представлява Layer 4 Load balancer?
Layer 4 load balancer взема решения за маршрутизиране въз основа на IP адреси и TCP или UDP портове. Той има пакетен изглед на обменения трафик между клиента и сървъра и взема решения пакет по пакет. Връзката от слой 4 се установява между клиент и сървър.
#39. Какво представлява Layer 7 load balancer?
Балансьор на натоварването на слой 7 взема решения за маршрутизиране въз основа на IP, TCP или UDP портове или друга информация, която може да получи от протокола на приложението (главно HTTP). Балансерът на натоварването на слой 7 действа като прокси и поддържа две TCP връзки: една с клиента и една със сървъра.
#40. Какво е Application Profile при конфигурирането на Load Balancer?
Преди да създадем виртуален сървър за картографиране към пула, трябва да дефинираме профил на приложение, който определя поведението на определен тип мрежов трафик. Когато се получи трафик, виртуалният сървър обработва трафика въз основа на стойностите, дефинирани в профила. Това позволява по-голям контрол върху управлението на вашия мрежов трафик:
#41. Какво представлява подинтерфейсът?
Подинтерфейс или вътрешен интерфейс е логически интерфейс, който е създаден и картографиран към физическия интерфейс. Подинтерфейсите са просто разделяне на физически интерфейс на множество логически интерфейси. Този логически интерфейс използва родителския физически интерфейс за преместване на данни. Не забравяйте, че не можете да използвате подинтерфейси за HA, защото сърдечният ритъм трябва да премине през физически порт от един хипервизор към друг между Edge устройствата.
#42. Защо Force Sync NSX Edge е необходим за вашата среда?
Принудителното синхронизиране е функция, която синхронизира конфигурацията на Edge от NSX Manager към всички негови компоненти в среда. Действие за синхронизиране се инициира от NSX Manager към NSX Edge, което опреснява и презарежда конфигурацията на Edge.
#43. Защо е необходимо да конфигурирате отдалечен Syslog сървър във вашата виртуална среда?
VMware препоръчва конфигуриране на Syslog сървъри, за да се избегне наводняване на регистрационни файлове на устройствата Edge. Когато регистрирането е активирано, регистрационните файлове се съхраняват локално на устройството Edge и заемат място. Ако не бъде отметнато, това може да повлияе върху производителността на устройството Edge и също може да доведе до спиране на устройството Edge поради липса на дисково пространство.
Композитор на услугата
#44. Какво представляват политиките за сигурност?
Политиките за сигурност са набори от правила, които се прилагат към услуги на виртуална машина, мрежа или защитна стена. Политиките за сигурност са набори от правила за многократна употреба, които могат да се прилагат към групи за сигурност. Политиките за сигурност изразяват три типа набори от правила:
- Крайни услуги: услуги, базирани на гости, като антивирусни решения и управление на уязвимости
- Правила на защитната стена: Разпределени правила на защитната стена
- Услуги за интроспекция на мрежата: Мрежови услуги като системи за откриване на проникване и криптиране
Тези правила се прилагат към всички обекти и виртуални машини, които са част от група за защита, към която е свързана тази политика.
Мониторинг
#44. Какво представлява мониторингът на крайни точки в NSX?
Endpoint Monitor предоставя представа и видимост на приложенията, работещи в операционна система, за да се гарантира, че политиките за сигурност се прилагат правилно. Endpoint Monitoring изисква интроспекция на гостите да бъде инсталирана. На виртуални машини ще трябва да инсталирате драйвер за интроспекция за гости, който е част от инсталацията на инструментите на VMware.
#45. Какво е мониторинг на потока?
Мониторингът на NSX Flow е функция, която позволява подробно наблюдение на трафика към и от защитени виртуални машини. Наблюдението на потока може уникално да идентифицира различни машини и услуги, които обменят данни и, когато е активирано, може да идентифицира кои машини обменят данни през конкретни приложения. Мониторингът на потока също позволява мониторинг на живо на TCP и UDP връзки и може да се използва като ефективен криминалистичен инструмент.
Забележка: Наблюдението на потока може да бъде включено само за внедрявания на NSX, където е активирана защитна стена.
#46. Какво е Traceflow?
Traceflow е интересен инструмент, създаден, за да позволи на администраторите безпроблемно да отстраняват неизправности във виртуалната си мрежова среда чрез проследяване на пакетен поток по начин, подобен на наследеното приложение Packet Tracer. Traceflow ви позволява да инжектирате пакет в мрежата и да наблюдавате потока му в мрежата. Този поток ви позволява да наблюдавате вашата мрежа и да идентифицирате проблеми като тесни места или прекъсвания.
Управление на NSX
#48. Как работи Syslog сървърът в NSX?
Конфигурирането на NSX Manager с отдалечен Syslog сървър ви позволява да събирате, преглеждате и запазвате всички регистрационни файлове на централно място. Това ви позволява да съхранявате регистрационни файлове за целите на съответствието; когато използвате инструмент като VMware vRealize Log insight, можете да създавате аларми и да използвате вградената търсачка за преглед на регистрационните файлове.
#49. Как работят архивирането и възстановяването в NSX?
Резервните копия са критични за NSX среда, която ви позволява да ги възстановите по подходящ начин по време на повреда на системата. Освен vCenter, можете също да извършвате операции по архивиране на NSX Manager, клъстери на контролери, NSX Edge, правила на защитната стена и Service Composer. Всички те могат да бъдат архивирани и възстановени поотделно.
#50. Какво представлява SNMP trap?
Прихващанията на обикновен протокол за управление на мрежата (SNMP) са предупредителни съобщения, изпратени от отдалечено SNMP-активирано устройство до колектор. Можете да конфигурирате SNMP агента да препраща SNMP капани.
По подразбиране механизмът за прихващане на SNMP е деактивиран. Само критични и високосериозни известия се изпращат до SNMP мениджъра, когато SNMP прихващането е активирано.
Надявам се, че ви е било приятно да прочетете тази публикация. Успех с интервюто! 👍