Розглянемо перелік питань, що можуть бути задані на співбесіді з VMware NSX. Це допоможе кандидатам та професіоналам, які прагнуть отримати сертифікацію в сфері віртуалізації мереж, краще підготуватися.
VMware придбала NSX у компанії Nicira в липні 2012 року. Спочатку ця технологія використовувалася для віртуалізації мереж в гіпервізорі на базі Xen. NSX втілює концепцію абстрагування фізичного рівня (віртуалізації мережі), що дозволяє програмному забезпеченню працювати поверх гіпервізора, забезпечуючи динамічну конфігурацію та оновлення. На сьогоднішній день існують дві версії NSX: NSX-T (розроблена для використання з різними гіпервізорами та хмарними додатками) і NSX-V (орієнтована на середовища vSphere).
NSX є перспективним напрямком розвитку сучасних ІТ-інфраструктур, пропонуючи широкі можливості для керування та захисту віртуальних ресурсів. За статистикою, 82% з топ-100 компаній вже використовують VMware NSX. Оскільки підприємства активно впроваджують цю технологію, потреба в кваліфікованих фахівцях постійно зростає.
Для підготовки до співбесіди ми підготували добірку питань з розгорнутими відповідями.
Ці питання поділені на такі технічні категорії:
- Базові концепції
- Ключові компоненти NSX
- Функціональні можливості NSX
- Шлюз Edge Services
- Композитор служб
- Моніторинг
- Управління NSX
Основні поняття NSX
#1. Що таке роз’єднання (decoupling)?
Ключовою ідеєю віртуалізації мережі є розмежування програмного забезпечення та апаратного забезпечення мережі. Програмне забезпечення працює незалежно від фізичного мережевого обладнання. Мережеве обладнання, здатне взаємодіяти з ПЗ, поліпшує функціональність, але це не є обов’язковою умовою. Важливо пам’ятати, що пропускна здатність мережі завжди обмежена продуктивністю мережевого обладнання.
#2. Що таке площина керування (Control Plane)?
Відокремлення ПЗ від апаратного забезпечення надає більш ефективний контроль над мережею, оскільки вся логіка розміщена в програмній частині. Ця сфера управління мережею називається площиною керування. Вона забезпечує інструменти для конфігурування, моніторингу, усунення проблем та автоматизації мережевих процесів.
#3. Що таке площина даних (Data Plane)?
Мережеве обладнання формує площину даних, через яку передаються всі дані від джерела до місця призначення. Управління даними здійснюється через площину керування, однак площина даних складається з усього мережевого обладнання, основна функція якого – це передача трафіку по мережі.
#4. Що таке площина управління (Management Plane)?
Площина управління переважно включає NSX Manager. Це централізований компонент для управління мережею, що забезпечує єдину точку контролю. Він також надає REST API, який дозволяє користувачам виконувати всі необхідні функції та дії в NSX. Під час розгортання, площина управління встановлюється, коли пристрій NSX розгорнуто та налаштовано. Вона безпосередньо взаємодіє з площиною керування та площиною даних.
#5. Що таке логічне перемикання (Logical Switching)?
NSX дозволяє створювати логічні перемикачі L2 та L3, що забезпечують ізоляцію робочих навантажень та поділ IP-адрес між логічними мережами. NSX створює логічні широкомовні домени у віртуальному просторі, виключаючи необхідність в їх створенні на фізичних комутаторах. Це означає, що обмеження в 4096 фізичних широкомовних доменів (VLAN) більше не актуальне.
#6. Що таке служби шлюзу NSX (NSX Gateway Services)?
Служби шлюзу Edge забезпечують зв’язок між вашими логічними та фізичними мережами. Це дозволяє віртуальним машинам, підключеним до логічної мережі, надсилати та отримувати трафік безпосередньо через шлюз у вашу фізичну мережу.
#7. Що таке логічна маршрутизація (Logical Routing)?
NSX дозволяє створювати кілька віртуальних широкомовних доменів (логічних мереж). Оскільки до цих доменів підключаються різні віртуальні машини, можливість маршрутизації трафіку між логічними комутаторами є критично важливою.
#8. Що таке трафік “Схід-Захід” в логічній маршрутизації (East-West Traffic)?
Трафік “Схід-Захід” – це обмін даними між віртуальними машинами всередині центру обробки даних. Зазвичай це трафік між логічними комутаторами у середовищі VMware.
#9. Що таке трафік “Північ-Південь” (North-South Traffic)?
Трафік “Північ-Південь” – це потік даних, який надходить у центр обробки даних та виходить з нього. Це будь-який трафік, який перетинає межі вашого центру обробки даних.
#10. Що таке логічний брандмауер (Logical Firewall)?
Існують два типи логічних брандмауерів: розподілений та крайовий. Розподілений брандмауер ефективний для захисту трафіку “Схід-Захід”, тоді як крайовий брандмауер захищає трафік “Північ-Південь”. Розподілений логічний брандмауер дозволяє створювати правила на основі атрибутів, таких як IP-адреси, VLAN, імена віртуальних машин та об’єкти vCenter. Шлюз Edge має службу брандмауера, яка дозволяє встановлювати захист та обмеження доступу до трафіку “Північ-Південь”.
#11. Що таке балансувальник навантаження (Load Balancer)?
Логічний балансувальник навантаження розподіляє вхідні запити між декількома серверами, забезпечуючи розподіл навантаження та абстрагуючи цю функцію від кінцевих користувачів. Балансувальник навантаження також може використовуватись як механізм високої доступності (HA), щоб забезпечити максимальний час безвідмовної роботи для ваших додатків. Для використання служби балансування навантаження необхідно розгорнути екземпляр шлюзу Edge Services.
#12. Що таке Service Composer?
Компоновщик служб дозволяє розподіляти мережеві служби та служби безпеки для груп безпеки. Віртуальним машинам, які є частиною цих груп, автоматично призначаються відповідні служби.
#13. Що таке Data Security?
Безпека даних NSX забезпечує видимість конфіденційних даних, їх захист, а також інформування про будь-які порушення відповідності. Сканування безпеки даних на певних віртуальних машинах дозволяє NSX аналізувати та повідомляти про будь-які порушення, виходячи з політики безпеки, застосованої до цих віртуальних машин.
#14. Максимальна конфігурація NSX 6.2
| Опис | Ліміт |
| vCenters | 1 |
| Менеджери NSX | 1 |
| Кластери DRS | 12 |
| Контролери NSX | 3 |
| Хостів на кластер | 32 |
| Хости на транспортну зону | 256 |
| Логічні перемикачі | 10 000 |
| Порти логічного комутатора | 50 000 |
| DLR на хост | 1000 |
| DLR для NSX | 1200 |
| Шлюзи граничних служб на NSX Manager | 2000 |
Основні компоненти NSX
#15. Що таке NSX Manager?
NSX Manager дозволяє нам створювати, налаштовувати та керувати компонентами NSX у середовищі. Він надає графічний інтерфейс користувача та REST API для взаємодії з різними компонентами. NSX Manager — це віртуальна машина, яку можна завантажити як OVA та розгорнути на будь-якому хості ESX, керованому vCenter.
#16. Що таке кластер контролерів NSX?
Контролер NSX забезпечує функціонал рівня управління для розподілу інформації про логічну маршрутизацію та мережеву інформацію VXLAN до гіпервізора. Контролери розгортаються як віртуальні пристрої і повинні бути розгорнуті в тому ж vCenter, до якого підключений NSX Manager. Рекомендовано розгортати мінімум три контролери у виробничому середовищі. Також необхідно забезпечити налаштування правил DRS ant-affinity для розгортання контролерів на різних хостах ESXi, що поліпшить доступність та масштабованість.
#17. Що таке VXLAN?
VXLAN – це протокол тунелювання рівня 2 поверх рівня 3, що дозволяє розширювати логічні мережеві сегменти в мережах з можливістю маршрутизації. Це досягається шляхом інкапсуляції кадру Ethernet додатковими заголовками UPD, IP та VXLAN. В результаті, розмір пакета збільшується на 50 байт. Тому VMware рекомендує збільшити MTU до мінімум 1600 байт для всіх інтерфейсів у фізичній інфраструктурі та пов’язаних vSwitches.
#18. Що таке VTEP?
Коли віртуальна машина генерує трафік, призначений для іншої віртуальної машини в тій же віртуальній мережі, хости, на яких працюють ці віртуальні машини, називаються кінцевими точками тунелю VXLAN (VTEP). VTEP налаштовуються як окремі інтерфейси VMKernel на хостах.
Зовнішній IP-заголовок в кадрі VXLAN містить IP-адреси джерела та призначення, які вказують на гіпервізор джерела та гіпервізор призначення. Коли пакет залишає вихідну віртуальну машину, він інкапсулюється у вихідному гіпервізорі та надсилається до цільового. Після отримання пакету, цільовий гіпервізор декапсулює кадр Ethernet та пересилає його віртуальній машині призначення.
Після підготовки хосту ESXi за допомогою NSX Manager, необхідно налаштувати VTEP. NSX підтримує кілька vmknic VXLAN на хост для функцій балансування навантаження висхідної лінії зв’язку. Також підтримується тегування гостьової VLAN.
#19. Опишіть транспортну зону (Transport Zone)?
Транспортна зона визначає область дії логічного комутатора між декількома кластерами ESXi, які можуть охоплювати декілька віртуальних розподілених комутаторів. Транспортна зона дозволяє логічному комутатору поширюватися на кілька віртуальних комутаторів. Будь-який хост ESXi, що входить до цієї транспортної зони, може мати віртуальні машини, що є частиною цієї логічної мережі. Логічний комутатор завжди створюється в рамках транспортної зони, і хости ESXi можуть в ній брати участь.
#20. Що таке універсальна транспортна зона (Universal Transport Zone)?
Універсальна транспортна зона дозволяє логічному комутатору поширюватися на кілька хостів в різних vCenter. Така зона створюється на основному сервері NSX і синхронізується з вторинними менеджерами NSX.
#21. Що таке NSX Edge Services Gateway?
Шлюз NSX Edge Services (ESG) надає широкий спектр служб, таких як NAT, маршрутизація, брандмауер, балансування навантаження, L2/L3 VPN та ретрансляція DHCP/DNS. NSX API дозволяє розгортати, налаштовувати та використовувати кожну з цих служб при необхідності. NSX Edge можна встановити як ESG або DLR.
Кількість пристроїв Edge, включаючи ESG та DLR, обмежена 250 на хост. Шлюз Edge Services Gateway розгортається як віртуальна машина з NSX Manager, доступ до якого здійснюється через веб-клієнт vSphere.
Примітка: Тільки роль адміністратора підприємства, яка дозволяє виконувати операції та керування безпекою NSX, може розгорнути шлюз Edge Services.
#22. Опишіть розподілений брандмауер у NSX?
NSX надає послуги брандмауера з контролем стану L2-L4 через розподілений брандмауер, який працює в ядрі гіпервізора ESXi. Оскільки брандмауер є частиною ядра ESXi, він забезпечує високу пропускну здатність та працює на швидкості, близькій до лінії. Коли NSX готує хост ESXi, служба розподіленого брандмауера встановлюється в ядро шляхом розгортання VIB ядра — VMware internetworking service insertion platform (VSIP). VSIP відповідає за моніторинг та застосування політики безпеки для всього трафіку, що проходить через площину даних. Пропускна здатність та продуктивність розподіленого брандмауера (DFW) масштабуються горизонтально при додаванні нових хостів ESXi.
#23. Що таке Cross-vCenter NSX?
Починаючи з NSX 6.2, можна керувати декількома середовищами vCenter NSX за допомогою функції крос-vCenter. Це дозволяє управляти різними vCenter NSX з одного головного NSX Manager. В розгортанні крос-vCenter декілька vCenter об’єднані зі своїм NSX Manager. Один менеджер NSX вибирається основним, а інші стають вторинними. Головний NSX Manager може розгорнути універсальний кластер контролерів, який забезпечує площину керування. На відміну від автономного розгортання vCenter-NSX, вторинні NSX Manager не розгортають власних кластерів контролерів.
#24. Що таке VPN?
Віртуальні приватні мережі (VPN) забезпечують безпечне підключення віддаленого пристрою або сайту до корпоративної інфраструктури. NSX Edge підтримує три типи VPN-з’єднань: SSL VPN-Plus, IP-SEC VPN та L2 VPN.
#25. Що таке SSL VPN-Plus?
SSL VPN-Plus дозволяє віддаленим користувачам безпечно отримувати доступ до програм та серверів в приватній мережі. Є два режими налаштування SSL VPN-Plus: режим доступу до мережі та режим веб-доступу. В режимі доступу до мережі користувач може безпечно підключитися до внутрішньої приватної мережі через VPN-клієнт, який він повинен завантажити та встановити на своїй ОС. В режимі веб-доступу користувач отримує доступ до приватних мереж без використання VPN-клієнта.
#26. Що таке IPSec VPN?
Сервісний шлюз NSX Edge підтримує мережеву IPSEC VPN, що дозволяє з’єднати мережу, що підтримується NSX Edge, з іншим пристроєм на віддаленому сайті. NSX Edge може встановлювати захищені тунелі з віддаленими сайтами, забезпечуючи безпечний потік трафіку. Кількість тунелів, які може встановити шлюз, залежить від розміру розгорнутого шлюзу. Перед налаштуванням IPsec VPN, необхідно відключити динамічну маршрутизацію на висхідній лінії Edge, щоб дозволити маршрути, визначені для трафіку VPN.
Примітка: Самопідписані сертифікати не можна використовувати з IPSEC VPN.
#27. Що таке L2 VPN?
L2 VPN дозволяє розширити декілька логічних мереж на різні сайти. Ці мережі можуть бути як традиційними VLAN, так і VXLAN. У такому випадку віртуальна машина може переміщатися між сайтами, не змінюючи IP-адресу. L2 VPN розгортається як клієнт та сервер, де кінцевий край є сервером, а вихідний край – клієнтом. І клієнт, і сервер вивчають MAC-адреси локальних та віддалених сайтів. Для сайтів, що не підтримуються середовищем NSX, можна розгорнути автономний NSX Edge.
Функціональні служби NSX
#28. Скільки менеджерів NSX можна встановити та налаштувати в середовищі cross-vCenter NSX?
Може бути лише один основний менеджер NSX та до семи вторинних. Після вибору головного менеджера можна створювати універсальні об’єкти та розгортати універсальні кластери контролерів, що забезпечують площину управління для середовища vCenter NSX. Важливо пам’ятати, що в середовищі cross-vCenter, вторинні менеджери NSX не мають власних кластерів контролерів.
#29. Що таке пул ідентифікаторів сегментів (Segment ID pool) і як його призначити?
Кожен тунель VXLAN має ідентифікатор сегмента (VNI), і необхідно вказати пул ідентифікаторів сегментів для кожного менеджера NSX. Весь трафік буде прив’язаний до відповідного ідентифікатора, що забезпечує ізоляцію.
#30. Що таке міст L2 (L2 bridge)?
Логічний комутатор можна підключити до VLAN фізичного комутатора за допомогою мосту L2. Це дозволяє розширити віртуальні логічні мережі для доступу до існуючих фізичних мереж шляхом з’єднання VXLAN з фізичним VLAN. Цей міст L2 реалізується за допомогою логічного маршрутизатора NSX Edge, що відображається на один фізичний VLAN у фізичній мережі.
Однак, мости L2 не слід використовувати для з’єднання двох різних фізичних VLAN або двох різних логічних комутаторів. Також не можна використовувати універсальний логічний маршрутизатор для налаштування мосту, а сам міст не можна додати до універсального логічного комутатора. Це означає, що в середовищі multi-vCenter NSX неможливо розширити логічний комутатор до фізичного VLAN в іншому центрі обробки даних за допомогою моста L2.
Шлюз Edge Services
#31. Що таке рівноцінна багатоканальна маршрутизація (ECMP)?
ECMP дозволяє пересилати пакети наступного стрибка до одного місця призначення через декілька найкращих шляхів, що можуть бути додані статично або динамічно за допомогою протоколів маршрутизації, таких як OSPF і BGP. Ці шляхи задаються як значення, розділені комами, під час визначення статичних маршрутів.
#32. Які діапазони за замовчуванням для прямо підключених, статичних, зовнішніх BGP тощо?
Значення варіюється від 1 до 255, а діапазони за замовчуванням такі: підключений (0), статичний (1), зовнішній BGP (20), OSPF в межах області (30), OSPF між областями (110) та внутрішній BGP (200).
Примітка: Будь-яке з перелічених значень вводиться у поле “Admin Distance” шляхом редагування конфігурації шлюзу за замовчуванням в “Routing Configuration”.
#33. Що таке Open Shortest Path First (OSPF)?
OSPF — це протокол маршрутизації, що використовує алгоритм маршрутизації за станом з’єднання та працює в одній автономній системі.
#34. Що таке плавний перезапуск (Graceful Restart) в OSPF?
Graceful Restart забезпечує безперервне пересилання пакетів, навіть якщо процес OSPF перезапускається, тим самим підтримуючи безперервність маршрутизації.
#35. Що таке Not-So-Stubby Area (NSSA) в OSPF?
NSSA запобігає переповненню оголошень про стан зв’язку зовнішньої автономної системи, використовуючи маршрути за замовчуванням до зовнішніх пунктів призначення. NSSA зазвичай розміщується на межі домену маршрутизації OSPF.
#36. Що таке BGP?
BGP — це зовнішній протокол шлюзу, що призначений для обміну маршрутною інформацією між автономними системами (AS) в інтернеті. BGP є актуальним для мережевих адміністраторів великих організацій, які підключаються до двох або більше інтернет-провайдерів, та інтернет-провайдерів, що з’єднуються з іншими мережами. Якщо ви адміністратор невеликої корпоративної мережі, або кінцевий користувач, ймовірно, вам не потрібно глибоке розуміння BGP.
#37. Що таке перерозподіл маршрутів (Route redistribution)?
В середовищі, де використовується декілька протоколів маршрутизації, перерозподіл маршрутів дозволяє обмінюватись маршрутною інформацією між цими протоколами.
#38. Що таке балансувальник навантаження рівня 4 (Layer 4 Load Balancer)?
Балансувальник навантаження рівня 4 приймає рішення про маршрутизацію на основі IP-адрес та портів TCP або UDP. Він перевіряє трафік, яким обмінюються клієнт та сервер, і приймає рішення пакет за пакетом. З’єднання рівня 4 встановлюється між клієнтом та сервером.
#39. Що таке балансувальник навантаження рівня 7 (Layer 7 Load Balancer)?
Балансувальник навантаження рівня 7 приймає рішення про маршрутизацію на основі IP-адрес, портів TCP або UDP, або іншої інформації, отриманої з протоколу програми (найчастіше HTTP). Балансувальник рівня 7 працює як проксі-сервер та підтримує два TCP-з’єднання: одне з клієнтом, друге – з сервером.
#40. Що таке профіль програми (Application Profile) в налаштуванні балансувальника навантаження?
Перед створенням віртуального сервера, що пов’язаний з пулом, необхідно визначити профіль програми, що визначає поведінку певного типу мережевого трафіку. При отриманні трафіку, віртуальний сервер обробляє його згідно з параметрами, визначеними в профілі. Це дозволяє більш точно керувати трафіком.
#41. Що таке підинтерфейс (Subinterface)?
Підинтерфейс, або внутрішній інтерфейс, є логічним інтерфейсом, створеним на основі фізичного інтерфейсу. Він є розділенням фізичного інтерфейсу на кілька логічних. Підинтерфейс використовує батьківський фізичний інтерфейс для передачі даних. Важливо пам’ятати, що підинтерфейси не можна використовувати для високої доступності, оскільки пульс має проходити через фізичний порт між пристроями Edge.
#42. Чому Force Sync NSX Edge необхідний у вашому середовищі?
Примусова синхронізація – це функція, що синхронізує конфігурацію Edge з NSX Manager та всіма його компонентами в середовищі. Дія синхронізації ініціюється з NSX Manager до NSX Edge, що оновлює та перезавантажує конфігурацію Edge.
#43. Чому віддалений сервер Syslog необхідний у вашому віртуальному середовищі?
VMware рекомендує налаштовувати сервери Syslog для запобігання переповненню журналів на пристроях Edge. Коли журналювання включено, журнали зберігаються локально на пристрої Edge, що займає дисковий простір. Це може вплинути на продуктивність пристрою, та навіть призвести до його зупинки через брак місця.
Композитор служби
#44. Що таке політики безпеки (Security Policies)?
Політики безпеки – це набори правил, що застосовуються до віртуальних машин, мереж чи служб брандмауера. Це багаторазові набори правил, що можна застосовувати до груп безпеки. Політики виражають три типи наборів правил:
- Служби кінцевих точок: гостьові послуги, такі як антивірусні рішення та керування вразливостями.
- Правила брандмауера: розподілені політики брандмауера.
- Служби мережевої перевірки: мережеві служби, такі як системи виявлення вторгнень та шифрування.
Ці правила застосовуються до всіх об’єктів та віртуальних машин, що є частиною групи безпеки, з якою пов’язана політика.
Моніторинг
#45. Що таке моніторинг кінцевої точки в NSX?
Моніторинг кінцевих точок забезпечує розуміння та видимість додатків, що працюють в операційній системі, щоб гарантувати правильне виконання політики безпеки. Для моніторингу кінцевих точок необхідна гостьова інтроспекція. На віртуальних машинах необхідно встановити гостьовий драйвер інтроспекції, що є частиною VMware Tools.
#46. Що таке моніторинг потоку (Flow Monitoring)?
Моніторинг NSX Flow дозволяє детально відслідковувати трафік до та від захищених віртуальних машин. Він може однозначно ідентифікувати різні машини та служби, що обмінюються даними, та визначати, які машини обмінюються даними через певні програми. Моніторинг потоку також дозволяє відслідковувати з’єднання TCP та UDP в режимі реального часу та може використовуватись як ефективний інструмент для аналізу інцидентів.
Примітка: Моніторинг потоку можна включити тільки для розгортань NSX, де включений брандмауер.
#47. Що таке Traceflow?
Traceflow — це інструмент, розроблений для спрощення виявлення проблем у віртуальному мережевому середовищі шляхом відстеження потоку пакетів, подібного до програми Packet Tracer. Traceflow дозволяє вставити пакет в мережу та контролювати його потік. Це дозволяє виявляти вузькі місця або збої.
Управління NSX
#48. Як працює сервер Syslog в NSX?
Налаштування NSX Manager з віддаленим сервером Syslog дозволяє збирати, переглядати та зберігати всі файли журналів в центральному місці. Це дозволяє зберігати журнали для цілей відповідності. Використовуючи інструменти, такі як VMware vRealize Log insight, можна створювати сповіщення та використовувати вбудовану пошукову систему для аналізу журналів.
#49. Як працює резервне копіювання та відновлення в NSX?
Резервні копії є критично важливими для середовища NSX, забезпечуючи можливість відновлення в разі збою системи. Окрім vCenter, можна створювати резервні копії NSX Manager, кластерів контролерів, NSX Edge, правил брандмауера та Service Composer. Всі ці елементи можна окремо копіювати та відновлювати.
#50. Що таке SNMP Trap?
Пастки протоколу простого керування мережею (SNMP) — це повідомлення, що надсилаються з віддаленого пристрою з підтримкою SNMP до збирача. Ви можете налаштувати SNMP-агент для пересилання таких повідомлень.
За замовчуванням механізм перехоплення SNMP вимкнений. Якщо його ввімкнено, то менеджеру SNMP надсилаються лише критичні сповіщення та сповіщення високої серйозності.
Сподіваємося, ця інформація була корисною. Успіхів на співбесіді! 👍