La oss utforske noen spørsmål som ofte dukker opp i VMware NSX-intervjuer. Dette er ment for jobbsøkere og fagfolk som sikter mot en sertifisering innen nettverksvirtualisering.
VMware innlemmet NSX etter oppkjøpet av Nicira i juli 2012. Opprinnelig var NSX primært rettet mot nettverksvirtualisering i et Xen-basert hypervisor-miljø. NSX fungerer ved å abstrahere det fysiske nettverkslaget og lar programvare operere oppå hypervisoren. Dette muliggjør dynamisk konfigurasjon og oppdatering av nettverket. For øyeblikket finnes det to hovedvarianter av NSX: NSX-T, som er designet for å håndtere flere hypervisorer og skybaserte applikasjoner, og NSX-V, som er spesifikt utviklet for vSphere-miljøer.
NSX representerer fremtiden for moderne IT-infrastruktur, og tilbyr avanserte funksjoner for administrasjon og sikkerhet i virtuelle miljøer. En betydelig andel av Fortune 100-selskaper, hele 82%, har tatt i bruk VMware NSX. Med en slik rask adopsjon er etterspørselen etter kompetent personell innen NSX høy.
Med dette i tankene har vi satt sammen en samling intervjuspørsmål med detaljerte svar for å bistå i forberedelsene dine.
Spørsmålene er organisert i følgende tekniske kategorier:
- Grunnleggende konsepter
- NSX kjernekomponenter
- NSX funksjonelle tjenester
- Edge Services Gateway
- Tjenestekomponent
- Overvåking
- Administrere NSX
Grunnleggende NSX-konsepter
#1. Hva er en frakobling?
Et sentralt konsept innen nettverksvirtualisering er frakoblingen mellom programvare og nettverksmaskinvare. Programvaren opererer uavhengig av den fysiske maskinvaren som utgjør infrastrukturen. Selv om kompatibel maskinvare kan forbedre funksjonaliteten, er det ikke en nødvendighet. Det er viktig å huske at nettverksmaskinvarens ytelse alltid vil sette en grense for gjennomstrømningen i ledningen.
#2. Hva er kontrollplanet?
Frakoblingen mellom programvare og maskinvare gir forbedret kontroll over nettverket, da all logikk ligger i programvaren. Denne styringsaspektet av nettverket kalles kontrollplanet. Det muliggjør konfigurasjon, overvåking, feilsøking og automatisering av nettverket.
#3. Hva er dataplanet?
Dataplanet består av selve nettverksmaskinvaren, hvor all data videresendes fra kilde til destinasjon. Databehandlingen ligger i kontrollplanet, mens dataplanet består av maskinvarens funksjon – å videresende trafikk fra kilde til destinasjon.
#4. Hva er styringsplanet?
Styringsplanet består primært av NSX-manageren, som er en sentralisert komponent for nettverksadministrasjon. Den tilbyr et enkelt administrasjonspunkt og et REST API for å utføre alle NSX-funksjoner og -handlinger. Styringsplanet etableres under distribusjonen når NSX-enheten er distribuert og konfigurert. Dette planet samhandler direkte med både kontroll- og dataplanet.
#5. Hva er logisk svitsjing?
NSX gir mulighet til å opprette L2 og L3 logisk svitsjing, noe som muliggjør arbeidsbelastningsisolering og separasjon av IP-adresserom mellom logiske nettverk. NSX kan generere logiske kringkastingsdomener i det virtuelle rommet, slik at det ikke er nødvendig å opprette logiske nettverk på de fysiske bryterne. Dette betyr at man ikke lenger er begrenset til 4096 fysiske kringkastingsdomener (VLAN).
#6. Hva er NSX Gateway Services?
Edge-gateway-tjenestene binder dine logiske nettverk til de fysiske. Dette gir virtuelle maskiner i et logisk nettverk mulighet til å kommunisere direkte med det fysiske nettverket gjennom gatewayen.
#7. Hva er logisk ruting?
Med NSX kan man opprette flere virtuelle kringkastingsdomener (logiske nettverk). Etter hvert som virtuelle maskiner kobles til disse domenene, blir det essensielt å kunne rute trafikk mellom dem.
#8. Hva menes med øst-vest-trafikk i logisk ruting?
Øst-vest-trafikk refererer til kommunikasjon mellom virtuelle maskiner i et datasenter. I praksis betyr dette oftest trafikk mellom logiske brytere i et VMware-miljø.
#9. Hva er nord-sør-trafikk?
Nord-sør-trafikk er trafikk som beveger seg inn i eller ut av datasenteret ditt. Dette omfatter all trafikk som enten går inn i eller forlater datasenteret.
#10. Hva er en logisk brannmur?
Logiske brannmurer kommer i to varianter: distribuert brannmur og Edge-brannmur. Den distribuerte brannmuren er ideell for å beskytte øst-vest-trafikk, mens Edge-brannmuren sikrer nord-sør-trafikk. En distribuert brannmur lar deg bygge regler basert på attributter som inkluderer IP-adresser, VLAN, virtuelle maskinnavn og vCenter-objekter. Edge-gatewayen har en brannmurtjeneste som brukes til å håndheve sikkerhet og tilgangsbegrensninger på nord-sør-trafikk.
#11. Hva er en lastbalanserer?
En logisk lastbalanserer distribuerer innkommende forespørsler mellom flere servere, noe som gir lastfordeling uten at det er synlig for sluttbrukerne. Den kan også fungere som en høy tilgjengelighetsmekanisme (HA), noe som sikrer at applikasjonen din har maksimal oppetid. For å aktivere lastbalanseringstjenesten, må en Edge Services gateway-instans være distribuert.
#12. Hva er Service Composer?
Tjenestekomponisten lar deg tildele nettverks- og sikkerhetstjenester til sikkerhetsgrupper. Virtuelle maskiner i disse sikkerhetsgruppene får automatisk tildelt de relevante tjenestene.
#13. Hva er datasikkerhet?
NSX datasikkerhet gir innsyn i sensitive data, sikrer databeskyttelse og rapporterer om brudd på samsvar. En datasikkerhetsskanning på utpekte virtuelle maskiner lar NSX analysere og rapportere eventuelle brudd i henhold til gjeldende sikkerhetspolicy.
#14. Konfigurasjonsmaksimum for NSX 6.2
| Beskrivelse | Grense |
| vCenters | 1 |
| NSX-ledere | 1 |
| DRS-klynger | 12 |
| NSX-kontrollere | 3 |
| Verter per klynge | 32 |
| Verter per transportsone | 256 |
| Logiske brytere | 10 000 |
| Logiske bryterporter | 50 000 |
| DLR-er per vert | 1000 |
| DLR per NSX | 1200 |
| Edge-tjenestegatewayer per NSX Manager | 2000 |
NSX kjernekomponenter
#15. Definere NSX Manager?
NSX-manageren brukes til å opprette, konfigurere og administrere NSX-komponenter i et miljø. NSX-manageren gir både et grafisk brukergrensesnitt og REST API-er for å samhandle med NSX-komponenter. NSX Manager er en virtuell maskin som lastes ned som en OVA og distribueres på en hvilken som helst ESX-vert som styres av vCenter.
#16. Definere NSX Controller Cluster?
NSX-kontrolleren tilbyr en kontrollplanfunksjonalitet som distribuerer informasjon om logisk ruting og VXLAN-nettverk til den underliggende hypervisoren. Kontrollere distribueres som virtuelle enheter og bør være i samme vCenter som NSX-manageren. I et produksjonsmiljø anbefales det å distribuere minst tre kontrollere. DRS-anttilhørighetsregler må konfigureres for å distribuere kontrollere på separate ESXi-verter for høyere tilgjengelighet og skalerbarhet.
#17. Hva er VXLAN?
VXLAN er en lag 2 over lag 3 tunnelprotokoll som lar logiske nettverkssegmenter strekkes over rutbare nettverk. Dette oppnås ved å legge til ekstra UDP-, IP- og VXLAN-hoder i Ethernet-rammen, som resulterer i at pakkestørrelsen øker med 50 byte. VMware anbefaler derfor å øke MTU-størrelsen til minimum 1600 byte for alle grensesnitt i den fysiske infrastrukturen og eventuelle tilknyttede vSwitcher.
#18. Hva er VTEP?
Når en virtuell maskin sender trafikk til en annen maskin på det samme virtuelle nettverket, kalles vertene der kilde- og destinasjonsmaskinene kjører for VXLAN tunnel endpoints (VTEP). VTEP-er er konfigurert som separate VMkernel-grensesnitt på vertene.
Den ytre IP-headerblokken i VXLAN-rammen inneholder kilde- og destinasjons-IP-adressene, som viser hypervisorene for kilden og destinasjonen. Når en pakke forlater kildevirtualmaskinen, innkapsles den ved kildehypervisoren og sendes til målhypervisoren. Når pakken mottas, dekapsler målhypervisoren Ethernet-rammen og videresender den til den virtuelle destinasjonsmaskinen.
VTEP må konfigureres når NSX Manager forbereder ESXi-verten. NSX støtter flere VXLAN vmknics per vert for opplink-lastbalansering. I tillegg støttes også gjeste-VLAN-tagging.
#19. Beskriv transportsonen?
En transportsone definerer utvidelsen av en logisk bryter over flere ESXi-klynger på tvers av flere virtuelle distribuerte brytere. En transportsone gir en logisk bryter mulighet til å strekke seg over flere virtuelle distribuerte svitsjer. Alle ESXi-verter som er en del av denne transportsonen, kan ha virtuelle maskiner som deltar i det logiske nettverket. En logisk bryter opprettes alltid innenfor en transportsone, og ESXi-verter kan være en del av dem.
#20. Hva er en Universal Transport Zone?
En universell transportsone lar en logisk bryter strekke seg over flere verter i flere vCenters. Den opprettes av den primære NSX-serveren og synkroniseres med de sekundære NSX-administratorene.
#21. Hva er NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) leverer en rekke funksjoner, inkludert NAT, ruting, brannmur, lastbalansering, L2/L3 VPN og DHCP/DNS-relé. NSX API gjør det mulig å distribuere, konfigurere og bruke hver av disse tjenestene etter behov. Du kan installere NSX Edge som en ESG eller som en DLR.
Antallet Edge-enheter, inkludert ESG-er og DLR-er, er begrenset til 250 per vert. Edge Services Gateway distribueres som en virtuell maskin fra NSX-manageren via vSphere-webklienten.
Merk: Kun bedriftsadministratorrollen, som tillater NSX-operasjoner og sikkerhetsadministrasjon, kan distribuere en Edge-tjenestegateway.
#22. Beskriv den distribuerte brannmuren i NSX?
NSX tilbyr L2-L4 stateful brannmurtjenester gjennom en distribuert brannmur som kjører i ESXi-hypervisorkjernen. Fordi brannmuren er en kjernefunksjon i ESXi, gir den høy gjennomstrømning og ytelse med nesten linjehastighet. Når NSX forbereder ESXi-verten, installeres den distribuerte brannmurtjenesten i kjernen ved å distribuere kjernen VIB – VMware internetworking service insertion platform (VSIP). VSIP er ansvarlig for å overvåke og håndheve sikkerhetspolicyer på all trafikk som flyter gjennom dataplanet. Den distribuerte brannmuren (DFW) gjennomstrømning og ytelse skalerer horisontalt etter hvert som flere ESXi-verter legges til.
#23. Hva er Cross-vCenter NSX?
Siden NSX 6.2 kan flere vCenter NSX-miljøer administreres med cross-vCenter-funksjonalitet. Dette tillater administrasjon av flere vCenter NSX-miljøer fra en enkelt primær NSX-administrator. I en cross-vCenter-distribusjon er flere vCenters koblet sammen med sin egen NSX Manager per vCenter. En NSX-manager blir definert som primær, mens andre blir sekundære. Den primære NSX-lederen kan distribuere en universell kontrollerklynge som tilbyr kontrollplanet. Sekundære NSX-administratorer distribuerer ikke sine egne kontrollerklynger, i motsetning til en frittstående vCenter NSX-distribusjon.
#24. Hva er en VPN?
Virtuelle private nettverk (VPN) brukes til å koble en ekstern enhet eller et nettsted sikkert til bedriftens infrastruktur. NSX Edge støtter tre typer VPN-tilkobling: SSL VPN-Plus, IP-SEC VPN og L2 VPN.
#25. Hva er SSL VPN-Plus?
SSL VPN-Plus gir eksterne brukere sikker tilgang til applikasjoner og servere i et privat nettverk. Det kan konfigureres i to moduser: nettverkstilgang og nettbasert tilgang. I nettverkstilgang kan eksterne brukere få sikker tilgang til det interne nettverket ved hjelp av en VPN-klient som de laster ned og installerer. Med nettbasert tilgang får de tilgang til private nettverk uten klientprogramvare.
#26. Hva er IPSec VPN?
NSX Edge-tjenestegatewayen støtter en sted-til-sted IPSEC VPN som lar deg koble et NSX Edge-nettverk til en ekstern enhet. NSX Edge kan etablere sikre tunneler med eksterne nettsteder for sikker trafikk mellom nettsteder. Antallet tunneler en Edge-gateway kan etablere, avhenger av størrelsen på den utplasserte Edge-gatewayen. Før du konfigurerer IPsec VPN, må du deaktivere dynamisk ruting på Edge-opplinken for å definere spesifikke ruter for all VPN-trafikk.
Merk: Selvsignerte sertifikater kan ikke brukes med en IPSEC VPN.
#27. Hva er L2 VPN?
L2 VPN lar deg strekke flere logiske nettverk på tvers av flere nettsteder. Nettverkene kan være både tradisjonelle VLAN og VXLAN. I en slik distribusjon kan virtuelle maskiner flytte mellom nettsteder uten å endre IP-adressen. L2 VPN distribueres som en klient og server, der destinasjons-Edge er serveren, og kilde-Edge er klienten. Både klienten og serveren lærer MAC-adressene til både lokale og eksterne nettsteder. En frittstående NSX Edge-gateway kan distribueres for nettsteder som ikke støttes av et NSX-miljø.
NSX funksjonelle tjenester
#28. Hvor mange NSX-administratorer kan installeres og konfigureres i et cross-vCenter NSX-miljø?
Det kan kun være én primær NSX-manager og opptil syv sekundære. Etter å ha valgt en primær NSX-manager, kan du begynne å opprette universelle objekter og distribuere universelle kontrollerklynger. Den universelle kontrollerklyngen tilbyr kontrollplanet for hele cross-vCenter NSX-miljøet. Husk at i et cross-vCenter-miljø har ikke de sekundære NSX-administratorene sine egne kontrollerklynger.
#29. Hva er segment-ID-poolen, og hvordan tildeles den?
Hver VXLAN-tunnel har en segment-ID (VNI), og en segment-ID-pool må spesifiseres for hver NSX Manager. All trafikk vil være knyttet til segment-ID-en, som muliggjør isolasjon.
#30. Hva er L2 Bridge?
En logisk bryter kan kobles til et fysisk VLAN ved hjelp av en L2-bro. Dette gjør at virtuelle logiske nettverk kan få tilgang til eksisterende fysiske nettverk ved å bygge bro mellom det logiske VXLAN og det fysiske VLAN. L2-broen opprettes ved hjelp av en NSX Edge logisk ruter, som tilordnes et enkelt fysisk VLAN på det fysiske nettverket.
L2-broer skal ikke brukes til å koble sammen to forskjellige fysiske VLAN eller to forskjellige logiske brytere. Det er heller ikke mulig å bruke en universell logisk ruter til å konfigurere brobygging, og en bro kan ikke legges til en universell logisk bryter. Dette betyr at i et multi-vCenter NSX-miljø kan du ikke utvide en logisk bryter til et fysisk VLAN ved et annet datasenter gjennom L2-bro.
Edge Services Gateway
#31. Hva er Equal Cost Multi-Path (ECMP)-ruting?
ECMP videresender neste hopp-pakken til en enkelt destinasjon over flere optimale stier, som kan legges til statisk eller dynamisk ved å bruke rutingprotokoller som OSPF og BGP. Disse stiene legges til som kommaseparerte verdier når statiske ruter defineres.
#32. Hva er standardområdene for direkte tilkoblet, statisk, ekstern BGP osv.?
Verdien varierer fra 1 til 255, og standardområdene er: Tilkoblet (0), Statisk (1), Ekstern BGP (20), OSPF intra-område (30), OSPF inter-område (110) og Intern BGP (200).
Merk: Enhver av verdiene ovenfor kan settes inn i «Admin Distance» ved å redigere standard gateway-konfigurasjonen i Ruting Configuration.
#33. Hva er Open Shortest Path First (OSPF)?
OSPF er en rutingprotokoll som bruker en link-state ruting-algoritme og opererer innenfor et enkelt autonomt system.
#34. Hva er Graceful Restart i OSPF?
Graceful Restart tillater pakkevideresending uten avbrudd selv om OSPF-prosessen startes på nytt, noe som bidrar til uavbrutt pakkeruting.
#35. Hva er Not-So-Stubby Area (NSSA) i OSPF?
NSSA forhindrer oversvømmelse av reklame for et eksternt autonomt system ved å bruke standardruter til eksterne destinasjoner. NSSA-er plasseres vanligvis i utkanten av et OSPF-rutingsdomene.
#36. Hva er BGP?
BGP er en utvendig gateway-protokoll utviklet for å utveksle ruteinformasjon mellom autonome systemer (AS) på internett. BGP er relevant for nettverksadministratorer i store organisasjoner som kobler til flere internettleverandører og internettleverandører som kobler seg til andre nettverksleverandører. Små bedrifter og sluttbrukere vil sannsynligvis ikke trenge kunnskap om BGP.
#37. Hva er rutedistribusjon?
I et miljø som bruker flere rutingprotokoller, muliggjør ruteomfordeling deling av ruter mellom disse protokollene.
#38. Hva er Layer 4 Load Balancer?
En Layer 4-lastbalanserer tar rutebeslutninger basert på IP-er og TCP- eller UDP-porter. Den har en pakkevisning av trafikken som utveksles mellom klienten og en server, og tar beslutninger for hver pakke. En lag 4-forbindelse etableres mellom en klient og en server.
#39. Hva er Layer 7 Load Balancer?
En lag 7-lastbalanserer tar rutebeslutninger basert på IP-er, TCP- eller UDP-porter, eller annen informasjon den henter fra applikasjonsprotokollen (primært HTTP). En lag 7-lastbalanserer fungerer som en proxy og opprettholder to TCP-forbindelser: en med klienten og en med serveren.
#40. Hva er en applikasjonsprofil ved konfigurering av lastbalansering?
Før en virtuell server kartlegges til et basseng, må en applikasjonsprofil defineres. Denne profilen bestemmer hvordan en spesifikk type nettverkstrafikk skal behandles. Når trafikk mottas, behandler den virtuelle serveren trafikken basert på verdiene i profilen, noe som gir bedre kontroll over nettverkstrafikkadministrasjonen.
#41. Hva er undergrensesnittet?
Et undergrensesnitt, eller et internt grensesnitt, er et logisk grensesnitt som er opprettet og tilordnet det fysiske. Undergrensesnitt er rett og slett en oppdeling av et fysisk grensesnitt i flere logiske. Disse logiske grensesnittene bruker det overordnede fysiske grensesnittet for å flytte data. Husk at undergrensesnitt ikke kan brukes for HA, ettersom hjerteslag må krysse en fysisk port fra en hypervisor til en annen mellom Edge-enheter.
#42. Hvorfor er Force Sync NSX Edge nødvendig for miljøet ditt?
Force sync synkroniserer Edge-konfigurasjonen fra NSX Manager til alle miljøets komponenter. En synkroniseringshandling startes fra NSX Manager til NSX Edge, som deretter oppdaterer og laster inn Edge-konfigurasjonen på nytt.
#43. Hvorfor er en ekstern Syslog-server nødvendig for å konfigurere i ditt virtuelle miljø?
VMware anbefaler å konfigurere Syslog-servere for å forhindre loggoversvømmelse på Edge-enhetene. Når logging er aktivert, lagres loggene lokalt på Edge-enheten, som bruker plass. Hvis dette ikke håndteres, kan det påvirke ytelsen på Edge-enheten, og den kan stoppe på grunn av mangel på diskplass.
Tjenestekomponent
#44. Hva er sikkerhetspolicyer?
Sikkerhetspolicyer er regelsamlinger som gjelder for virtuelle maskiner, nettverk eller brannmurtjenester. De er gjenbrukbare regelsett som kan brukes på sikkerhetsgrupper. Sikkerhetspolicyer definerer tre typer regelsamlinger:
- Endpoint Services: Gjestebaserte tjenester som antivirusløsninger og sårbarhetsadministrasjon.
- Brannmurregler: Distribuerte brannmurregler.
- Nettverksintrospeksjonstjenester: Nettverkstjenester som inntrengningsdeteksjonssystemer og kryptering.
Disse reglene gjelder for alle objekter og virtuelle maskiner som er en del av en sikkerhetsgruppe som denne policyen er knyttet til.
Overvåking
#44. Hva er endepunktsovervåking i NSX?
Endepunktsovervåking gir innsyn i applikasjoner som kjører i et operativsystem for å sikre at sikkerhetspolicyer håndheves korrekt. Det krever gjesteintrospeksjon for å være installert, som er en del av VMware-verktøyinstallasjonen.
#45. Hva er flytovervåking?
NSX Flowovervåking gir detaljert trafikkovervåking til og fra beskyttede virtuelle maskiner. Flytovervåking kan identifisere maskiner og tjenester som utveksler data, og når den er aktivert, identifiserer den hvilke maskiner som utveksler data over spesifikke applikasjoner. Den tillater også live overvåking av TCP- og UDP-forbindelser og kan brukes som et effektivt verktøy for feilsøking.
Merk: Flytovervåking kan bare slås på for NSX-distribusjoner der en brannmur er aktivert.
#46. Hva er Traceflow?
Traceflow lar administratorer feilsøke virtuelle nettverk ved å spore pakker på samme måte som den eldre Packet Tracer-applikasjonen. Ved å injisere en pakke i nettverket og overvåke flyten, kan man identifisere flaskehalser og andre problemer.
Administrere NSX
#48. Hvordan fungerer Syslog-serveren i NSX?
Ved å konfigurere NSX Manager med en ekstern Syslog-server, kan alle loggfiler samles inn, vises og lagres på ett sted. Dette muliggjør loggføring for samsvarsformål, og med verktøy som VMware vRealize Logginnsikt kan man opprette alarmer og søke gjennom logger.
#49. Hvordan fungerer sikkerhetskopiering og gjenoppretting i NSX?
Sikkerhetskopier er avgjørende i et NSX-miljø for å kunne gjenopprette systemet under feil. I tillegg til vCenter, kan sikkerhetskopier utføres på NSX Manager, kontrollerklynger, NSX Edge, brannmurregler og Service Composer. Alle disse kan sikkerhetskopieres og gjenopprettes individuelt.
#50. Hva er SNMP-fellen?
Simple Network Management Protocol (SNMP)-feller er varselmeldinger sendt fra en ekstern SNMP-aktivert enhet til en samler. SNMP-agenten kan konfigureres til å videresende disse varslene.
SNMP-fellemekanismen er deaktivert som standard. Kun kritiske varsler og varsler med høy alvorlighetsgrad sendes til SNMP-manageren når SNMP-fellen er aktivert.
Takk for at du leste. Lykke til i intervjuet! 👍