Топ-50 запитань і відповідей на інтерв’ю VMware NSX

| | 0 Comments| 5:11 AM
Categories:

Давайте розглянемо декілька запитань для співбесіди з VMware NSX, щоб допомогти шукачам роботи та професіоналам, які хочуть отримати сертифікат з віртуалізації мереж.

VMware придбала NSX у Nicira в липні 2012 року, який в основному використовувався для віртуалізації мережі в гіпервізорі на основі Xen. NSX абстрагує фізичний рівень (віртуалізація мережі), щоб програмне забезпечення працювало на верхній частині гіпервізора, який динамічно налаштовувався та оновлювався. Наразі NSX має дві версії: NSX-T (розроблена для кількох гіпервізорів і хмарних програм) і NSX-V (розроблена лише для середовищ vSphere).

NSX — це майбутнє сучасних ІТ-інфраструктур, яке пропонує широкі можливості для керування та захисту вашої віртуальної інфраструктури. 82% зі 100 власників володіють VMware NSX. Підприємства швидко впроваджують VMware NSX, тому досвідчений персонал завжди користується великим попитом.

Для цього ми підготували кілька питань для співбесіди з пояснювальними відповідями

Ці запитання для співбесіди поділяються на такі технічні категорії:

  • Основні поняття
  • Основні компоненти NSX
  • Функціональні служби NSX
  • Шлюз Edge Services
  • Композитор служби
  • Моніторинг
  • Управління NSX

Основні поняття NSX

#1. Що таке декаплінг?

Важливою концепцією віртуалізації мережі є відокремлення програмного та мережевого обладнання. Програмне забезпечення працює незалежно від мережевого обладнання, яке фізично з’єднує інфраструктуру. Будь-яке мережеве обладнання, яке може взаємодіяти з програмним забезпеченням, завжди покращить функціональність, але це не обов’язково. Пам’ятайте, що продуктивність мережевого обладнання завжди обмежуватиме пропускну здатність мережі.

#2. Що таке контрольна площина?

Відокремлення програмного забезпечення від мережевого обладнання дає змогу краще контролювати мережу, оскільки вся логіка міститься в програмному забезпеченні. Цей аспект керування вашою мережею називається площиною керування. Площина керування надає засоби для конфігурації, моніторингу, усунення несправностей і дозволу автоматизації в мережі.

#3. Що таке Data Plane?

Мережне обладнання формує площину даних, де всі дані пересилаються від джерела до місця призначення. Управління даними знаходиться в площині керування; однак площина даних складається з усього мережевого обладнання, основною функцією якого є пересилання трафіку по дроту від джерела до місця призначення.

#4. Що таке площина управління?

Площина управління в основному складається з менеджера NSX. Менеджер NSX — це централізований компонент керування мережею, який переважно забезпечує єдину точку керування. Він також надає REST API, який користувач може використовувати для виконання всіх функцій і дій NSX. Під час фази розгортання площина керування встановлюється, коли пристрій NSX розгорнуто та налаштовано. Ця площина керування безпосередньо взаємодіє з площиною керування, а також із площиною даних.

#5. Що таке логічне перемикання?

NSX дозволяє створювати логічне перемикання L2 і L3, що забезпечує ізоляцію робочого навантаження та розділення простору IP-адрес між логічними мережами. NSX може створювати логічні широкомовні домени у віртуальному просторі, що запобігає необхідності створення будь-яких логічних мереж на фізичних комутаторах. Це означає, що ви більше не обмежені 4096 фізичними широкомовними доменами (VLAN).

#6. Що таке служби шлюзу NSX?

Служби межового шлюзу з’єднують ваші логічні мережі з вашими фізичними мережами. Це означає, що віртуальна машина, підключена до логічної мережі, може надсилати та отримувати трафік безпосередньо у вашу фізичну мережу через шлюз.

#7. Що таке логічна маршрутизація?

Кілька віртуальних широкомовних доменів (логічних мереж) можна створити за допомогою NSX. Оскільки кілька віртуальних машин підписуються на ці домени, стає вкрай важливою можливість маршрутизації трафіку від одного логічного комутатора до іншого.

#8. Що таке трафік Схід-Захід у логічній маршрутизації?

Трафік «Схід-Захід» — це трафік між віртуальними машинами в центрі обробки даних. У поточному контексті це зазвичай буде трафік між логічними комутаторами в середовищі VMware.

#9. Що таке рух з півночі на південь?

Трафік з півночі на південь – це трафік, що рухається до центру обробки даних і виходить із нього. Це будь-який трафік, який надходить у ваш центр обробки даних або виходить з нього.

#10. Що таке логічний брандмауер?

Логічні брандмауери бувають двох типів: розподілений брандмауер і крайовий брандмауер. Розподілений брандмауер ідеально підходить для захисту будь-якого трафіку зі сходу на захід, тоді як брандмауер Edge захищає будь-який трафік з півночі на південь. Розподілений логічний брандмауер дозволяє створювати правила на основі атрибутів, які включають IP-адреси, VLAN, імена віртуальних машин і об’єкти vCenter. Шлюз Edge має службу брандмауера, яку можна використовувати для встановлення безпеки та обмежень доступу до трафіку з півночі на південь.

#11. Що таке балансувальник навантаження?

Логічний балансувальник навантаження розподіляє вхідні запити між декількома серверами, щоб дозволити розподіл навантаження, абстрагуючись від цієї функції від кінцевих користувачів. Логічний балансувальник навантаження також можна використовувати як механізм високої доступності (HA), щоб гарантувати, що ваша програма має найбільший час безвідмовної роботи. Щоб увімкнути службу балансування навантаження, потрібно розгорнути екземпляр шлюзу граничних служб.

#12. Що таке Service Composer?

Компоновщик служб дозволяє розподіляти мережу та кілька служб безпеки за групами безпеки. Віртуальним машинам, які є частиною цих груп безпеки, автоматично призначаються служби.

#13. Що таке безпека даних?

Безпека даних NSX забезпечує видимість конфіденційних даних, забезпечує захист даних і повідомляє про будь-які порушення відповідності. Сканування безпеки даних на визначених віртуальних машинах дозволяє NSX аналізувати та повідомляти про будь-які порушення на основі політики безпеки, яка застосовується до цих віртуальних машин.

  Як увімкнути просторове аудіо для AirPods на iPhone або iPad

#14. Максимальна конфігурація NSX 6.2

опис
Ліміт
vCenters
1
Менеджери NSX
1
Кластери DRS
12
Контролери NSX
3
Хостів на кластер
32
Хости на транспортну зону
256
Логічні перемикачі
10 000
Порти логічного комутатора
50 000
DLR на хост
1000
DLR для NSX
1200
Шлюзи граничних служб на NSX Manager
2000

Основні компоненти NSX

#15. Визначити NSX Manager?

Менеджер NSX дозволяє нам створювати, налаштовувати та керувати компонентами NSX у середовищі. Менеджер NSX надає графічний інтерфейс користувача та REST API, які дозволяють вам взаємодіяти з різними компонентами NSX. NSX Manager — це віртуальна машина, яку можна завантажити як OVA та розгорнути на будь-якому хості ESX, яким керує vCenter.

#16. Визначити кластер контролера NSX?

Контролер NSX забезпечує функціональні можливості рівня керування для розподілу інформації про логічну маршрутизацію та мережеву інформацію VXLAN до основного гіпервізора. Контролери розгортаються як віртуальні пристрої та повинні бути розгорнуті в тому самому vCenter NSX manager, до якого підключено. У виробничому середовищі рекомендується розгортати мінімум три контролери. Нам потрібно переконатися, що правила DRS ant-affinity налаштовані для розгортання контролерів на окремому хості ESXi для кращої доступності та масштабованості.

#17. Що таке VXLAN?

VXLAN — це протокол тунелювання рівня 2 поверх рівня 3, який дозволяє розширювати логічні сегменти мережі в мережах з можливістю маршрутизації. Це досягається шляхом інкапсуляції кадру Ethernet додатковими заголовками UPD, IP і VXLAN. Отже, це збільшує розмір пакета на 50 байт. Тому VMware рекомендує збільшити розмір MTU до мінімум 1600 байт для всіх інтерфейсів у фізичній інфраструктурі та будь-яких пов’язаних vSwitches.

#18. Що таке VTEP?

Коли віртуальна машина генерує трафік, призначений для іншої віртуальної машини в тій самій віртуальній мережі, хости, на яких працюють віртуальні машини джерела та призначення, називаються кінцевими точками тунелю VXLAN (VTEP). VTEP налаштовані як окремі інтерфейси VMKernel на хостах.

Блок зовнішнього IP-заголовка у кадрі VXLAN містить IP-адреси джерела та призначення, які містять гіпервізор джерела та гіпервізор призначення. Коли пакет залишає вихідну віртуальну машину, він інкапсулюється у вихідному гіпервізорі та надсилається до цільового гіпервізора. Отримавши цей пакет, цільовий гіпервізор декапсулює кадр Ethernet і пересилає його на віртуальну машину призначення.

Коли NSX Manager підготує хост ESXi, нам потрібно налаштувати VTEP. NSX підтримує кілька vmknic VXLAN на хост для функцій балансування навантаження висхідної лінії зв’язку. На додаток до цього також підтримується тегування гостьової VLAN.

#19. Опишіть транспортну зону?

Транспортна зона визначає розширення логічного комутатора між кількома кластерами ESXi, які охоплюють декілька віртуальних розподілених комутаторів. Транспортна зона дозволяє логічному комутатору поширюватися на кілька віртуальних розподілених комутаторів. Будь-які хости ESXi, які є частиною цієї транспортної зони, можуть мати віртуальні машини як частину цієї логічної мережі. Логічний комутатор завжди створюється як частина транспортної зони, і хости ESXi можуть брати участь у них.

#20. Що таке універсальна транспортна зона?

Універсальна транспортна зона дозволяє логічному комутатору охоплювати кілька хостів у кількох vCenters. Універсальна транспортна зона завжди створюється основним сервером NSX і синхронізується з вторинними менеджерами NSX.

#21. Що таке NSX Edge Services Gateway?

Шлюз NSX Edge Services Gateway (ESG) пропонує багатофункціональний набір послуг, який включає NAT, маршрутизацію, брандмауер, балансування навантаження, L2/L3 VPN і ретрансляцію DHCP/DNS. NSX API дозволяє розгортати, налаштовувати та використовувати кожну з цих служб за вимогою. Ви можете встановити NSX Edge як ESG або DLR.

Кількість пристроїв Edge, включаючи ESG і DLR, обмежена 250 на хості. Шлюз Edge Services Gateway розгортається як віртуальна машина з менеджера NSX, доступ до якого здійснюється за допомогою веб-клієнта vSphere.

Примітка. Лише роль адміністратора підприємства, яка дозволяє виконувати операції та керування безпекою NSX, може розгорнути шлюз Edge Services:

#22. Опишіть розподілений брандмауер у NSX?

NSX надає послуги брандмауера з контролем стану L2-L4 за допомогою розподіленого брандмауера, який працює в ядрі гіпервізора ESXi. Оскільки брандмауер є функцією ядра ESXi, він пропонує високу пропускну здатність і працює зі швидкістю, близькою до лінійної. Коли NSX спочатку готує хост ESXi, служба розподіленого брандмауера встановлюється в ядро ​​шляхом розгортання ядра VIB — VMware internetworking service insertion platform (VSIP). VSIP відповідає за моніторинг і застосування політик безпеки для всього трафіку, що проходить через площину даних. Пропускна здатність і продуктивність розподіленого брандмауера (DFW) масштабуються горизонтально, коли додається більше хостів ESXi.

#23. Що таке Cross-vCenter NSX?

Починаючи з NSX 6.2, ви можете керувати декількома середовищами vCenter NSX за допомогою функції крос-vCenter. Це дозволяє керувати кількома середовищами vCenter NSX з одного основного менеджера NSX. У крос-vCenter розгортанні кілька vCenter поєднуються з власним NSX Manager на vCenter. Один менеджер NSX призначається основним, тоді як інші менеджери NSX стають вторинними. Цей основний менеджер NSX тепер може розгорнути універсальний кластер контролера, який забезпечує площину керування. На відміну від автономного розгортання vCenter-NSX, вторинні менеджери NSX не розгортають власні кластери контролерів.

# 24. Що таке VPN?

Віртуальні приватні мережі (VPN) дозволяють безпечно підключити віддалений пристрій або сайт до корпоративної інфраструктури. NSX Edge підтримує три типи підключення VPN. SSL VPN-Plus, IP-SEC VPN і L2 VPN.

  Як видалити обліковий запис DeviantArt

#25. Що таке SSL VPN-Plus?

SSL VPN-Plus дозволяє віддаленим користувачам безпечно отримувати доступ до програм і серверів у приватній мережі. Існує два режими, в яких можна налаштувати SSL VPN-Plus: режим доступу до мережі та режим доступу до Інтернету. У режимі доступу до мережі віддалений користувач може отримати безпечний доступ до внутрішньої приватної мережі. Це робиться клієнтом VPN, який віддалений користувач завантажує та встановлює у своїй операційній системі. У режимі веб-доступу віддалений користувач може отримати доступ до приватних мереж без клієнтського програмного забезпечення VPN.

#26. Що таке IPSec VPN?

Сервісний шлюз NSX Edge підтримує мережеву мережу IPSEC VPN, що дозволяє підключити мережу, що підтримується шлюзом служб NSX Edge, до іншого пристрою на віддаленому сайті. NSX Edge може встановлювати безпечні тунелі з віддаленими сайтами, щоб забезпечити безпечний потік трафіку між сайтами. Кількість тунелів, які може встановити граничний шлюз, залежить від розміру розгорнутого граничного шлюзу. Перш ніж налаштовувати IPsec VPN, переконайтеся, що динамічну маршрутизацію вимкнено на висхідній лінії Edge, щоб дозволити певні маршрути, визначені для будь-якого трафіку VPN.

Примітка. Самопідписані сертифікати не можна використовувати з IPSEC VPN.

#27. Що таке L2 VPN

L2 VPN дозволяє розтягнути кілька логічних мереж на кілька сайтів. Мережі можуть бути як традиційними VLAN, так і VXLAN. У такому розгортанні віртуальна машина може переміщатися між сайтами без зміни своєї IP-адреси. L2 VPN розгортається як клієнт і сервер, де кінцевий край є сервером, а вихідний край – клієнтом. І клієнт, і сервер вивчають MAC-адреси як локальних, так і віддалених сайтів. Для будь-яких сайтів, які не підтримуються середовищем NSX, можна розгорнути автономний шлюз NSX Edge.

Функціональні служби NSX

#28. Скільки менеджерів NSX можна встановити та налаштувати в середовищі cross-vCenter NSX?

Може бути лише один основний менеджер NSX і до семи вторинних менеджерів NSX. Ви можете вибрати один основний менеджер NSX, після чого ви можете почати створювати універсальні об’єкти та розгортати універсальні кластери контролерів. Універсальний кластер контролерів забезпечить площину керування для середовища vCenter NSX. Пам’ятайте, що в середовищі крос-vCenter вторинні менеджери NSX не мають власних кластерів контролерів.

#29. Що таке пул ідентифікаторів сегментів і як його призначити?

Кожен тунель VXLAN має ідентифікатор сегмента (VNI), і ви повинні вказати пул ідентифікаторів сегментів для кожного менеджера NSX. Весь трафік буде прив’язано до його ідентифікатора сегмента, що забезпечує ізоляцію.

#30. Що таке міст L2?

Логічний комутатор можна підключити до VLAN фізичного комутатора за допомогою моста L2. Це дозволяє розширити ваші віртуальні логічні мережі для доступу до існуючих фізичних мереж шляхом з’єднання логічної VXLAN з фізичною VLAN. Цей міст L2 здійснюється за допомогою логічного маршрутизатора NSX Edge, який відображається на одну фізичну VLAN у фізичній мережі.

Однак мости L2 не слід використовувати для з’єднання двох різних фізичних VLAN або двох різних логічних комутаторів. Ви також не можете використовувати універсальний логічний маршрутизатор для налаштування мосту, а міст не можна додати до універсального логічного комутатора. Це означає, що в середовищі multi-vCenter NSX ви не можете розширити логічне перемикання до фізичної VLAN в іншому центрі обробки даних за допомогою мосту L2.

Шлюз Edge Services

#31. Що таке рівнозначна багатоканальна маршрутизація (ECMP)?

ECMP дозволяє пересилати пакет наступного стрибка до одного пункту призначення через кілька найкращих шляхів, які можна додавати статично або динамічно за допомогою протоколів маршрутизації, таких як OSPF і BGP. Ці кілька шляхів додаються як значення, розділені комами, під час визначення статичних маршрутів.

#32. Які діапазони за замовчуванням для прямо підключених, статичних, зовнішніх BGP тощо?

Значення варіюється від 1 до 255, а діапазони за замовчуванням: підключений (0), статичний (1), зовнішній BGP (20), OSPF усередині області (30), OSPF між областями (110) і внутрішній BGP (200). .

Примітка. Будь-яке з наведених вище значень буде введено в «Admin Distance» шляхом редагування конфігурації шлюзу за замовчуванням у Routing Configuration.

#33. Що таке Open Shortest Path First (OSPF)?

OSPF — це протокол маршрутизації, який використовує алгоритм маршрутизації за станом зв’язку та працює в одній автономній системі.

#34. Що таке плавний перезапуск в OSPF?

Graceful Restart дозволяє безперервно пересилати пакети, навіть якщо процес OSPF перезапускається. Це сприяє безперервній маршрутизації пакетів.

#35. Що таке Not-So-Stubby Area (NSSA) в OSPF?

NSSA запобігає переповненню оголошень про стан зв’язку зовнішньої автономної системи, покладаючись на маршрути за замовчуванням до зовнішніх пунктів призначення. NSSA зазвичай розміщуються на межі домену маршрутизації OSPF.

#36. Що таке BGP?

BGP — це зовнішній протокол шлюзу, призначений для обміну інформацією про маршрути між автономними системами (AS) в Інтернеті. BGP актуальний для мережевих адміністраторів великих організацій, які підключаються до двох або більше провайдерів Інтернету, і провайдерів Інтернет-послуг, які підключаються до інших провайдерів мереж. Якщо ви адміністратор невеликої корпоративної мережі або кінцевий користувач, вам, ймовірно, не потрібно знати про BGP.

  Чи існує JCPenney Mastercard?

#37. Що таке розподіл маршрутів?

У середовищі, де використовується кілька протоколів маршрутизації, перерозподіл маршрутів дає змогу спільно використовувати маршрути між протоколами.

#38. Що таке балансир навантаження рівня 4?

Балансувальник навантаження рівня 4 приймає рішення про маршрутизацію на основі IP-адрес і портів TCP або UDP. Він має пакетний перегляд трафіку, яким обмінюються клієнт і сервер, і приймає рішення пакет за пакетом. Підключення рівня 4 встановлюється між клієнтом і сервером.

#39. Що таке балансир навантаження рівня 7?

Балансувальник навантаження рівня 7 приймає рішення про маршрутизацію на основі IP-адрес, TCP або UDP-портів або іншої інформації, яку він може отримати з протоколу програми (переважно HTTP). Балансувальник навантаження рівня 7 діє як проксі-сервер і підтримує два TCP-з’єднання: одне з клієнтом і інше з сервером.

#40. Що таке профіль програми в налаштуванні балансувальника навантаження?

Перш ніж створити віртуальний сервер для зіставлення з пулом, ми повинні визначити профіль програми, який визначає поведінку певного типу мережевого трафіку. Коли трафік отримано, віртуальний сервер обробляє трафік на основі значень, визначених у профілі. Це дає змогу краще контролювати керування мережевим трафіком:

#41. Що таке підінтерфейс?

Підінтерфейс або внутрішній інтерфейс – це логічний інтерфейс, який створюється та відображається на фізичному інтерфейсі. Підінтерфейси — це просто поділ фізичного інтерфейсу на кілька логічних інтерфейсів. Цей логічний інтерфейс використовує батьківський фізичний інтерфейс для переміщення даних. Пам’ятайте, що ви не можете використовувати підінтерфейси для високої доступності, оскільки тактовий сигнал має проходити через фізичний порт від одного гіпервізора до іншого між пристроями Edge.

#42. Чому Force Sync NSX Edge необхідний для вашого середовища?

Примусова синхронізація — це функція, яка синхронізує конфігурацію Edge з NSX Manager з усіма його компонентами в середовищі. Від NSX Manager до NSX Edge ініціюється дія синхронізації, яка оновлює та перезавантажує конфігурацію Edge.

#43. Чому віддалений сервер Syslog необхідно налаштовувати у вашому віртуальному середовищі?

VMware рекомендує налаштувати сервери Syslog, щоб уникнути затоплення журналів на пристроях Edge. Коли журналювання ввімкнено, журнали зберігаються локально на пристрої Edge і займають місце. Якщо не поставити прапорець, це може вплинути на продуктивність пристрою Edge, а також призвести до зупинки пристрою Edge через брак місця на диску.

Композитор служби

#44. Що таке політики безпеки?

Політики безпеки — це набори правил, які застосовуються до віртуальної машини, мережі чи служб брандмауера. Політики безпеки — це багаторазові набори правил, які можна застосовувати до груп безпеки. Політики безпеки виражають три типи наборів правил:

  • Служби кінцевих точок: гостьові послуги, такі як антивірусні рішення та керування вразливими місцями
  • Правила брандмауера: розподілені політики брандмауера
  • Послуги мережевої перевірки: мережеві служби, такі як системи виявлення вторгнень і шифрування

Ці правила застосовуються до всіх об’єктів і віртуальних машин, які є частиною групи безпеки, з якою пов’язана ця політика.

Моніторинг

#44. Що таке моніторинг кінцевої точки в NSX?

Монітор кінцевих точок забезпечує розуміння та видимість додатків, що працюють в операційній системі, щоб гарантувати правильне виконання політик безпеки. Для моніторингу кінцевих точок потрібне встановлення гостьової інтроспекції. На віртуальних машинах вам потрібно буде інсталювати гостьовий драйвер інтроспекції, який є частиною інсталяції інструментів VMware.

#45. Що таке моніторинг потоку?

Моніторинг NSX Flow — це функція, яка дозволяє детально відстежувати трафік до та від захищених віртуальних машин. Моніторинг потоку може однозначно ідентифікувати різні машини та служби, що обмінюються даними, і, якщо ввімкнено, може визначити, які машини обмінюються даними через певні програми. Моніторинг потоку також дозволяє відстежувати з’єднання TCP і UDP в реальному часі і може використовуватися як ефективний інструмент криміналістики.

Примітка. Моніторинг потоку можна ввімкнути лише для розгортань NSX, де ввімкнено брандмауер.

#46. Що таке Traceflow?

Traceflow — це цікавий інструмент, створений для того, щоб дозволити адміністраторам легко виправляти неполадки у своєму віртуальному мережевому середовищі, відстежуючи потік пакетів подібно до застарілої програми Packet Tracer. Traceflow дає змогу вставляти пакет у мережу та контролювати його потік у мережі. Цей потік дозволяє контролювати вашу мережу та виявляти такі проблеми, як вузькі місця або збої.

Управління NSX

#48. Як працює сервер Syslog в NSX?

Налаштування NSX Manager з віддаленим сервером Syslog дозволяє збирати, переглядати та зберігати всі файли журналу в центральному місці. Це дозволяє зберігати журнали для цілей відповідності; коли ви використовуєте такий інструмент, як VMware vRealize Log insight, ви можете створювати нагадування та використовувати вбудовану пошукову систему для перегляду журналів.

#49. Як працює резервне копіювання та відновлення в NSX?

Резервні копії є критично важливими для середовища NSX, що дозволяє відновити їх належним чином під час системного збою. Окрім vCenter, ви також можете виконувати операції резервного копіювання в NSX Manager, кластерах контролерів, NSX Edge, правилах брандмауера та Service Composer. Усе це можна створити резервну копію та відновити окремо.

#50. Що таке пастка SNMP?

Пастки протоколу простого керування мережею (SNMP) — це сповіщення, що надсилаються з віддаленого пристрою з підтримкою SNMP до збирача. Ви можете налаштувати агент SNMP для пересилання перехоплень SNMP.

За замовчуванням механізм перехоплення SNMP вимкнено. Якщо ввімкнуто перехоплення SNMP, менеджеру SNMP надсилаються лише критичні сповіщення та сповіщення високої серйозності.

Сподіваюся, вам сподобалося прочитати цю публікацію. Успіхів на співбесіді! 👍