Diamo un’occhiata ad alcune domande del colloquio VMware NSX per aiutare chi cerca lavoro e i professionisti che desiderano ottenere la certificazione nella virtualizzazione della rete.
VMware ha acquisito NSX da Nicira nel luglio 2012, che è stato utilizzato principalmente per la virtualizzazione della rete in un hypervisor basato su Xen. NSX astrae il livello fisico (virtualizza la rete) in modo che il software venga eseguito sulla parte superiore dell’hypervisor, che è configurato e aggiornato dinamicamente. Attualmente, NSX ha due versioni: NSX-T (progettata per multi-hypervisor e applicazioni cloud native) e NSX-V (progettata solo per ambienti vSphere).
NSX è il futuro delle moderne infrastrutture IT che offre funzionalità avanzate per gestire e proteggere la tua infrastruttura virtuale. L’82% della fortuna 100 ha adottato VMware NSX. Con le aziende che adottano rapidamente VMware NSX, una forza lavoro esperta è sempre molto richiesta.
A questo scopo, abbiamo preparato alcune domande di intervista con risposte esplicative
Queste domande del colloquio sono classificate nelle seguenti aree tecniche:
- Concetti basilari
- Componenti principali di NSX
- Servizi funzionali NSX
- Gateway dei servizi perimetrali
- Compositore di servizi
- Monitoraggio
- Gestire NSX
Sommario:
Concetti di base di NSX
# 1. Cos’è il disaccoppiamento?
Un concetto importante di virtualizzazione della rete è il disaccoppiamento di software e hardware di rete. Il software funziona indipendentemente dall’hardware di rete che collega fisicamente l’infrastruttura. Qualsiasi hardware di rete in grado di interagire con il software migliorerà sempre la funzionalità, ma non è necessario. Ricorda che le prestazioni dell’hardware di rete limiteranno sempre il tuo throughput sul cavo.
#2. Cos’è il piano di controllo?
Il disaccoppiamento tra software e hardware di rete consente di controllare meglio la rete perché tutta la logica risiede nel software. Questo aspetto di controllo della tua rete è chiamato piano di controllo. Il piano di controllo fornisce i mezzi per configurare, monitorare, risolvere i problemi e consentire l’automazione sulla rete.
#3. Cos’è il piano dati?
L’hardware di rete costituisce il piano dati in cui tutti i dati vengono inoltrati dall’origine alla destinazione. La gestione dei dati risiede nel piano di controllo; tuttavia, il piano dati è costituito da tutto l’hardware di rete la cui funzione principale è inoltrare il traffico via cavo dall’origine alla destinazione.
#4. Cos’è il Piano di Gestione?
Il piano di gestione è costituito principalmente dal manager NSX. Il gestore NSX è un componente di gestione della rete centralizzato e consente principalmente un unico punto di gestione. Fornisce inoltre l’API REST che un utente può utilizzare per eseguire tutte le funzioni e le azioni di NSX. Durante la fase di distribuzione, il piano di gestione viene stabilito quando l’appliance NSX viene distribuita e configurata. Questo piano di gestione interagisce direttamente con il piano di controllo e anche con il piano dati.
#5. Che cos’è la commutazione logica?
NSX consente di creare uno switch logico L2 e L3 che consente l’isolamento del carico di lavoro e la separazione dello spazio degli indirizzi IP tra le reti logiche. NSX può creare domini di trasmissione logici nello spazio virtuale che evitano la necessità di creare reti logiche sugli switch fisici. Ciò significa che non sei più limitato a 4096 domini di trasmissione fisici (VLAN).
#6. Cosa sono i servizi gateway NSX?
I servizi del gateway Edge interconnettono le reti logiche con le reti fisiche. Ciò significa che una macchina virtuale connessa a una rete logica può inviare e ricevere traffico direttamente alla rete fisica tramite il gateway.
#7. Cos’è l’instradamento logico?
È possibile creare più domini di trasmissione virtuali (reti logiche) utilizzando NSX. Poiché più macchine virtuali si iscrivono a questi domini, diventa fondamentale poter instradare il traffico da uno switch logico a un altro.
#8. Che cos’è il traffico est-ovest nel percorso logico?
Il traffico est-ovest è il traffico tra macchine virtuali all’interno di un data center. Nel contesto attuale, si tratta in genere di traffico tra switch logici in un ambiente VMware.
#9. Cos’è il traffico nord-sud?
Il traffico nord-sud è il traffico in entrata e in uscita dal tuo data center. Questo è qualsiasi traffico che entra nel tuo data center o lascia il tuo data center.
# 10. Che cos’è un firewall logico?
I firewall logici sono di due tipi: firewall distribuito e firewall Edge. Un firewall distribuito è idealmente distribuito per proteggere il traffico est-ovest, mentre un firewall Edge protegge il traffico nord-sud. Un firewall logico distribuito consente di creare regole basate su attributi che includono indirizzi IP, VLAN, nomi di macchine virtuali e oggetti vCenter. Il gateway Edge dispone di un servizio firewall che può essere utilizzato per imporre restrizioni di sicurezza e di accesso al traffico nord-sud.
# 11. Che cos’è un bilanciatore di carico?
Il sistema di bilanciamento del carico logico distribuisce le richieste in entrata tra più server per consentire la distribuzione del carico astraendo questa funzionalità dagli utenti finali. Il sistema di bilanciamento del carico logico può essere utilizzato anche come meccanismo di disponibilità elevata (HA) per garantire che l’applicazione abbia il massimo tempo di attività. È necessario distribuire un’istanza del gateway dei servizi Edge per abilitare il servizio di bilanciamento del carico.
# 12. Che cos’è Service Composer?
Il servizio di composizione consente di allocare la rete e più servizi di sicurezza a gruppi di sicurezza. Le macchine virtuali che fanno parte di questi gruppi di sicurezza vengono automaticamente allocate ai servizi.
# 13. Che cos’è la sicurezza dei dati?
La sicurezza dei dati di NSX offre visibilità sui dati sensibili, garantisce la protezione dei dati e segnala eventuali violazioni della conformità. Una scansione della sicurezza dei dati su macchine virtuali designate consente a NSX di analizzare e segnalare eventuali violazioni in base alla politica di sicurezza che si applica a queste macchine virtuali.
# 14. Configurazione massima di NSX 6.2
Descrizione
Limite
vCenter
1
Gestori NSX
1
Cluster DRS
12
Controller NSX
3
Host per cluster
32
Host per zona di trasporto
256
Interruttori logici
10.000
Porte switch logiche
50.000
DLR per host
1.000
DLR per NSX
1.200
Gateway del servizio perimetrale per NSX Manager
2.000
Componenti principali di NSX
# 15. Definire NSX Manager?
Il gestore NSX ci consente di creare, configurare e gestire i componenti NSX in un ambiente. Il gestore NSX fornisce un’interfaccia utente grafica e API REST che consentono di interagire con vari componenti di NSX. NSX Manager è una macchina virtuale che puoi scaricare come OVA e distribuirla su qualsiasi host ESX gestito da vCenter.
#16. Definire il cluster di controller NSX?
Il controller NSX fornisce una funzionalità del piano di controllo per distribuire il routing logico e le informazioni di rete VXLAN all’hypervisor sottostante. I controller vengono distribuiti come appliance virtuali e devono essere distribuiti nello stesso vCenter NSX manager a cui è connesso. In un ambiente di produzione, si consiglia di distribuire un minimo di tre controller. Dobbiamo garantire che le regole di anti-affinità DRS siano configurate per distribuire i controller su un host ESXi separato per una migliore disponibilità e scalabilità.
#17. Cos’è VXLAN?
VXLAN è un protocollo di tunneling di livello 2 su livello 3 che consente ai segmenti di rete logici di estendersi su reti instradabili. Ciò si ottiene incapsulando il frame Ethernet con ulteriori header UPD, IP e VXLAN. Di conseguenza, ciò aumenta la dimensione del pacchetto di 50 byte. Pertanto, VMware consiglia di aumentare la dimensione dell’MTU fino a un minimo di 1.600 byte per tutte le interfacce nell’infrastruttura fisica e qualsiasi vSwitch associato.
#18. Cos’è VTEP?
Quando una macchina virtuale genera traffico destinato a un’altra macchina virtuale sulla stessa rete virtuale, gli host su cui vengono eseguite le macchine virtuali di origine e di destinazione sono chiamati VXLAN Tunnel Endpoints (VTEP). I VTEP sono configurati come interfacce VMKernel separate sugli host.
Il blocco di intestazione IP esterno nel frame VXLAN contiene gli indirizzi IP di origine e di destinazione che contengono l’hypervisor di origine e l’hypervisor di destinazione. Quando un pacchetto lascia la macchina virtuale di origine, viene incapsulato nell’hypervisor di origine e inviato all’hypervisor di destinazione. Alla ricezione di questo pacchetto, l’hypervisor di destinazione decapsula il frame Ethernet e lo inoltra alla macchina virtuale di destinazione.
Una volta che NSX Manager ha preparato l’host ESXi, è necessario configurare VTEP. NSX supporta più VXLAN vmknics per host per le funzionalità di bilanciamento del carico in uplink. Oltre a questo, è supportata anche la codifica della VLAN guest.
# 19. Descrivi la zona di trasporto?
Una zona di trasporto definisce l’estensione di uno switch logico su più cluster ESXi che si estendono su più switch virtuali distribuiti. Una zona di trasporto consente a uno switch logico di estendersi su più switch distribuiti virtuali. Qualsiasi host ESXi che fa parte di questa zona di trasporto può avere macchine virtuali come parte di quella rete logica. Uno switch logico viene sempre creato come parte di una zona di trasporto e gli host ESXi possono parteciparvi.
# 20. Cos’è la zona di trasporto universale?
Una zona di trasporto universale consente a uno switch logico di estendersi su più host su più vCenter. Una zona di trasporto universale viene sempre creata dal server NSX primario ed è sincronizzata con i gestori NSX secondari.
#21. Che cos’è NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) offre un set di servizi ricco di funzionalità che include NAT, routing, firewall, bilanciamento del carico, VPN L2/L3 e inoltro DHCP/DNS. L’API di NSX consente di distribuire, configurare e utilizzare su richiesta ciascuno di questi servizi. È possibile installare NSX Edge come ESG o come DLR.
Il numero di appliance Edge, inclusi ESG e DLR, è limitato a 250 su un host. Edge Services Gateway viene distribuito come macchina virtuale da NSX Manager, a cui si accede tramite il client Web vSphere.
Nota: solo il ruolo di amministratore aziendale, che consente le operazioni NSX e la gestione della sicurezza, può distribuire un gateway dei servizi Edge:
#22. Descrivi il firewall distribuito in NSX?
NSX fornisce servizi firewall con stato L2-L4 utilizzando un firewall distribuito che viene eseguito nel kernel dell’hypervisor ESXi. Poiché il firewall è una funzione del kernel ESXi, offre un throughput enorme e funziona a una velocità prossima alla linea. Quando NSX prepara inizialmente l’host ESXi, il servizio firewall distribuito viene installato nel kernel distribuendo il VIB del kernel: la piattaforma VSIP (Internetworking Service Inserting Platform) VMware. VSIP è responsabile del monitoraggio e dell’applicazione delle politiche di sicurezza su tutto il traffico che scorre attraverso il piano dati. Il throughput e le prestazioni del firewall distribuito (DFW) scalano orizzontalmente man mano che vengono aggiunti più host ESXi.
# 23. Che cos’è Cross-vCenter NSX?
A partire da NSX 6.2, puoi gestire più ambienti vCenter NSX utilizzando la funzionalità cross-vCenter. Ciò consente di gestire più ambienti vCenter NSX da un unico gestore NSX primario. In una distribuzione cross-vCenter, più vCenter sono tutti associati al proprio NSX Manager per vCenter. A un NSX Manager viene assegnato il ruolo principale mentre gli altri NSX Manager diventano secondari. Questo manager NSX primario può ora distribuire un cluster di controller universale che fornisce il piano di controllo. A differenza di una distribuzione vCenter-NSX autonoma, i gestori NSX secondari non distribuiscono i propri cluster di controller.
# 24. Che cos’è una VPN?
Le reti private virtuali (VPN) ti consentono di connettere in modo sicuro un dispositivo o un sito remoto alla tua infrastruttura aziendale. NSX Edge supporta tre tipi di connettività VPN. SSL VPN-Plus, IP-SEC VPN e VPN L2.
#25. Cos’è SSL VPN Plus?
SSL VPN-Plus consente agli utenti remoti di accedere in modo sicuro ad applicazioni e server in una rete privata. Esistono due modalità in cui è possibile configurare SSL VPN-Plus: modalità di accesso alla rete e modalità di accesso al Web. Nella modalità di accesso alla rete, un utente remoto può accedere in modo sicuro alla rete privata interna. Questo viene fatto da un client VPN che l’utente remoto scarica e installa sul proprio sistema operativo. In modalità di accesso web, l’utente remoto può accedere alle reti private senza alcun software client VPN.
#26. Che cos’è IPSec VPN?
Il gateway del servizio NSX Edge supporta una VPN IPSEC da sito a sito che consente di connettere una rete supportata dal gateway dei servizi NSX Edge a un altro dispositivo nel sito remoto. NSX Edge può stabilire tunnel protetti con siti remoti per consentire un flusso di traffico sicuro tra i siti. Il numero di tunnel che un gateway Edge può stabilire dipende dalle dimensioni del gateway Edge distribuito. Prima di configurare IPsec VPN, assicurarsi che il routing dinamico sia disabilitato sull’uplink Edge per consentire percorsi specifici definiti per qualsiasi traffico VPN.
Nota: i certificati autofirmati non possono essere utilizzati con una VPN IPSEC.
#27. Cos’è la VPN L2
Una VPN L2 ti consente di estendere più reti logiche su più siti. Le reti possono essere sia VLAN tradizionali che VXLAN. In tale distribuzione, una macchina virtuale può spostarsi tra i siti senza modificare il proprio indirizzo IP. Una VPN L2 viene distribuita come client e server in cui l’Edge di destinazione è il server e l’Edge di origine è il client. Sia il client che il server apprendono gli indirizzi MAC dei siti locali e remoti. Per tutti i siti che non sono supportati da un ambiente NSX, è possibile distribuire un gateway NSX Edge autonomo.
Servizi funzionali NSX
#28. Quanti gestori NSX possono essere installati e configurati in un ambiente NSX cross-vCenter?
Può esserci un solo manager NSX primario e fino a sette manager NSX secondari. È possibile selezionare un gestore NSX primario, dopo di che è possibile iniziare a creare oggetti universali e anche a distribuire cluster di controller universali. Il cluster di controller universale fornirà il piano di controllo per l’ambiente cross-vCenter NSX. Ricorda che in un ambiente cross-vCenter, i gestori NSX secondari non hanno i propri cluster di controller.
#29. Che cos’è il pool di ID segmento e come assegnarlo?
Ogni tunnel VXLAN ha un ID segmento (VNI) ed è necessario specificare un pool di ID segmento per ogni NSX Manager. Tutto il traffico sarà legato al suo ID segmento, che consente l’isolamento.
#30. Cos’è il ponte L2?
Uno switch logico può essere collegato a una VLAN di switch fisica utilizzando un bridge L2. Ciò consente di estendere le reti logiche virtuali per accedere alle reti fisiche esistenti collegando la VXLAN logica con la VLAN fisica. Questo bridging L2 viene realizzato utilizzando un router logico NSX Edge che esegue il mapping a una singola VLAN fisica sulla rete fisica.
Tuttavia, i bridge L2 non devono essere utilizzati per collegare due diverse VLAN fisiche o due diversi switch logici. Inoltre, non è possibile utilizzare un router logico universale per configurare il bridging e non è possibile aggiungere un bridge a uno switch logico universale. Ciò significa che in un ambiente NSX multi-vCenter, non è possibile estendere uno switch logico a una VLAN fisica in un altro data center tramite il bridging L2.
Gateway dei servizi perimetrali
#31. Che cos’è il routing ECMP (Equal Cost Multi-Path)?
ECMP consente al pacchetto dell’hop successivo di essere inoltrato a una singola destinazione su più percorsi migliori che possono essere aggiunti staticamente o dinamicamente utilizzando protocolli di routing come OSPF e BGP. Questi percorsi multipli vengono aggiunti come valori separati da virgole durante la definizione dei percorsi statici.
#32. Quali sono gli intervalli predefiniti per BGP connesso direttamente, statico, esterno, ecc.?
I valori sono compresi tra 1 e 255 e gli intervalli predefiniti sono: Connesso (0), Statico (1), BGP esterno (20), OSPF intra-area (30), OSPF inter-area (110) e BGP interno (200) .
Nota: uno qualsiasi dei valori di cui sopra verrà inserito in “Distanza amministratore” modificando la configurazione del gateway predefinito in Configurazione di instradamento.
#33. Che cos’è Open Shortest Path First (OSPF)?
OSPF è un protocollo di routing che utilizza un algoritmo di routing link-state e opera all’interno di un unico sistema autonomo.
#34. Che cos’è il Graceful Restart in OSPF?
Graceful Restart consente l’inoltro continuo dei pacchetti anche se il processo OSPF viene riavviato. Questo aiuta nel routing dei pacchetti senza interruzioni.
#35. Che cos’è l’area non così tozza (NSSA) in OSPF?
NSSA impedisce l’inondazione di annunci sullo stato dei collegamenti di un sistema autonomo esterno facendo affidamento sui percorsi predefiniti verso destinazioni esterne. Gli NSSA sono in genere posizionati all’Edge di un dominio di routing OSPF.
#36. Cos’è BGP?
Il BGP è un protocollo gateway esterno progettato per scambiare informazioni di routing tra sistemi autonomi (AS) su Internet. BGP è rilevante per gli amministratori di rete di grandi organizzazioni che si connettono a due o più ISP e provider di servizi Internet che si connettono ad altri provider di rete. Se sei l’amministratore di una piccola rete aziendale o un utente finale, probabilmente non hai bisogno di conoscere BGP.
#37. Cos’è la distribuzione del percorso?
In un ambiente in cui vengono utilizzati più protocolli di routing, la ridistribuzione del percorso consente la condivisione del percorso tra protocolli.
#38. Che cos’è il bilanciamento del carico di livello 4?
Il sistema di bilanciamento del carico di livello 4 prende decisioni di routing in base a IP e porte TCP o UDP. Ha una vista a pacchetto del traffico scambiato tra il client e un server e prende decisioni pacchetto per pacchetto. La connessione di livello 4 viene stabilita tra un client e un server.
#39. Che cos’è il sistema di bilanciamento del carico di livello 7?
Un sistema di bilanciamento del carico di livello 7 prende decisioni di routing in base a IP, porte TCP o UDP o altre informazioni che può ottenere dal protocollo dell’applicazione (principalmente HTTP). Il bilanciamento del carico di livello 7 funge da proxy e mantiene due connessioni TCP: una con il client e una con il server.
#40. Che cos’è il profilo dell’applicazione nella configurazione di Load Balancer?
Prima di creare un server virtuale da mappare al pool, dobbiamo definire un profilo dell’applicazione che definisca il comportamento di un particolare tipo di traffico di rete. Quando il traffico viene ricevuto, il server virtuale elabora il traffico in base ai valori definiti nel profilo. Ciò consente un maggiore controllo sulla gestione del traffico di rete:
#41. Qual è la sottointerfaccia?
Una sottointerfaccia, o interfaccia interna, è un’interfaccia logica creata e mappata sull’interfaccia fisica. Le sottointerfacce sono semplicemente una divisione di un’interfaccia fisica in più interfacce logiche. Questa interfaccia logica utilizza l’interfaccia fisica padre per spostare i dati. Ricorda che non puoi utilizzare le sottointerfacce per HA perché un heartbeat deve attraversare una porta fisica da un hypervisor all’altro tra le appliance Edge.
#42. Perché Force Sync NSX Edge è necessario per il tuo ambiente?
La sincronizzazione forzata è una funzionalità che sincronizza la configurazione di Edge da NSX Manager a tutti i suoi componenti in un ambiente. Viene avviata un’azione di sincronizzazione da NSX Manager a NSX Edge che aggiorna e ricarica la configurazione di Edge.
#43. Perché è necessario un server Syslog remoto da configurare nel proprio ambiente virtuale?
VMware consiglia di configurare i server Syslog per evitare il log flood sulle appliance Edge. Quando la registrazione è abilitata, i log vengono archiviati localmente nell’appliance Edge e consumano spazio. Se lasciato deselezionato, ciò può avere un impatto sulle prestazioni dell’appliance Edge e può anche comportare l’arresto dell’appliance Edge per mancanza di spazio su disco.
Compositore di servizi
#44. Cosa sono le politiche di sicurezza?
I criteri di sicurezza sono insiemi di regole che si applicano a una macchina virtuale, rete o servizi firewall. I criteri di sicurezza sono set di regole riutilizzabili che possono essere applicati ai gruppi di sicurezza. Le politiche di sicurezza esprimono tre tipi di set di regole:
- Servizi endpoint: servizi basati su guest come soluzioni antivirus e gestione delle vulnerabilità
- Regole del firewall: criteri del firewall distribuito
- Servizi di introspezione di rete: servizi di rete come sistemi di rilevamento delle intrusioni e crittografia
Queste regole vengono applicate a tutti gli oggetti e le macchine virtuali che fanno parte di un gruppo di sicurezza a cui è associato questo criterio.
Monitoraggio
#44. Che cos’è il monitoraggio degli endpoint in NSX?
Endpoint Monitor fornisce informazioni dettagliate e visibilità sulle applicazioni in esecuzione all’interno di un sistema operativo per garantire che le policy di sicurezza vengano applicate correttamente. Il monitoraggio degli endpoint richiede l’installazione dell’introspezione guest. Sulle macchine virtuali, dovrai installare un driver di introspezione guest, che fa parte dell’installazione degli strumenti VMware.
#45. Che cos’è il monitoraggio del flusso?
Il monitoraggio del flusso di NSX è una funzionalità che consente il monitoraggio dettagliato del traffico da e verso macchine virtuali protette. Il monitoraggio del flusso può identificare in modo univoco diverse macchine e servizi che scambiano dati e, se abilitato, può identificare quali macchine stanno scambiando dati su applicazioni specifiche. Il monitoraggio del flusso consente anche il monitoraggio in tempo reale delle connessioni TCP e UDP e può essere utilizzato come un efficace strumento forense.
Nota: il monitoraggio del flusso può essere attivato solo per le distribuzioni NSX in cui è abilitato un firewall.
#46. Cos’è Traceflow?
Traceflow è uno strumento interessante creato per consentire agli amministratori di risolvere senza problemi il proprio ambiente di rete virtuale tracciando un flusso di pacchetti in modo simile all’applicazione Packet Tracer legacy. Traceflow consente di iniettare un pacchetto nella rete e monitorarne il flusso attraverso la rete. Questo flusso consente di monitorare la rete e identificare problemi come colli di bottiglia o interruzioni.
Gestire NSX
#48. Come funziona il server Syslog in NSX?
La configurazione di NSX Manager con un server Syslog remoto consente di raccogliere, visualizzare e salvare tutti i file di registro in una posizione centrale. Ciò consente di archiviare i registri ai fini della conformità; quando utilizzi uno strumento come VMware vRealize Log insight, puoi creare allarmi e utilizzare il motore di ricerca integrato per rivedere i log.
#49. Come funzionano il backup e il ripristino in NSX?
I backup sono fondamentali per un ambiente NSX che consente di ripristinarli in modo appropriato durante un errore del sistema. Oltre a vCenter, puoi anche eseguire operazioni di backup su NSX Manager, cluster di controller, NSX Edge, regole firewall e Service Composer. Tutti questi possono essere sottoposti a backup e ripristinati individualmente.
#50. Qual è la trappola SNMP?
I trap SNMP (Simple Network Management Protocol) sono messaggi di avviso inviati da un dispositivo abilitato per SNMP remoto a un raccoglitore. È possibile configurare l’agente SNMP per l’inoltro di trap SNMP.
Per impostazione predefinita, il meccanismo trap SNMP è disabilitato. Solo le notifiche critiche e di gravità elevata vengono inviate al gestore SNMP quando il trap SNMP è abilitato.
Spero che ti sia piaciuto leggere questo post. Buona fortuna con la tua intervista! 👍