Le 50 principali domande e risposte per le interviste VMware NSX

Analizziamo alcune domande tipiche di un colloquio di lavoro incentrato su VMware NSX, utili sia per chi cerca impiego sia per i professionisti che mirano a ottenere una certificazione nell’ambito della virtualizzazione di rete.

VMware ha integrato NSX nel proprio portfolio attraverso l’acquisizione di Nicira nel luglio del 2012. Inizialmente, NSX era impiegato principalmente per la virtualizzazione di rete in ambienti basati su hypervisor Xen. La particolarità di NSX risiede nell’astrazione del livello fisico della rete (virtualizzazione), consentendo l’esecuzione del software direttamente sull’hypervisor, con configurazioni e aggiornamenti dinamici. Attualmente, NSX si presenta in due versioni distinte: NSX-T, progettata per contesti multi-hypervisor e applicazioni cloud-native, e NSX-V, specificatamente pensata per gli ambienti vSphere.

NSX si profila come la tecnologia cardine per le infrastrutture IT moderne, offrendo funzionalità all’avanguardia per la gestione e la protezione di ambienti virtualizzati. Un indicatore significativo dell’adozione di questa tecnologia è rappresentato dal fatto che l’82% delle aziende Fortune 100 ha già implementato VMware NSX. In un contesto di rapida espansione dell’adozione di VMware NSX, emerge una forte domanda di professionisti qualificati.

Per agevolare la preparazione a colloqui tecnici, abbiamo raccolto una serie di domande, corredate da risposte esplicative.

Questi quesiti sono organizzati in base alle seguenti aree tematiche:

  • Concetti di base
  • Componenti chiave di NSX
  • Servizi funzionali NSX
  • Gateway dei servizi perimetrali
  • Service Composer
  • Monitoraggio
  • Gestione di NSX

Concetti fondamentali di NSX

#1. Che cosa si intende per disaccoppiamento?

Il disaccoppiamento, un concetto centrale nella virtualizzazione di rete, si riferisce alla separazione tra software e hardware di rete. In pratica, il software opera indipendentemente dall’hardware fisico che costituisce l’infrastruttura. Sebbene l’hardware di rete, se compatibile, possa migliorare le funzionalità, la sua presenza non è strettamente necessaria. È importante ricordare che le prestazioni dell’hardware di rete costituiscono sempre un limite al throughput su cavo.

#2. Che cos’è il piano di controllo?

La disgiunzione tra software e hardware di rete consente un controllo più efficace della rete, dato che la logica risiede interamente nel software. Questa capacità di controllo della rete è identificata come piano di controllo, il quale permette di configurare, monitorare, risolvere problemi e abilitare l’automazione della rete stessa.

#3. Che cos’è il piano dati?

L’hardware di rete costituisce il piano dati, attraverso il quale transitano tutti i dati, dall’origine alla destinazione. Sebbene la gestione dei dati sia compito del piano di controllo, il piano dati è composto dall’insieme di hardware di rete la cui funzione primaria è l’inoltro del traffico via cavo tra i punti di origine e destinazione.

#4. Cos’è il piano di gestione?

Il piano di gestione è principalmente composto dal manager NSX. Questo componente centralizzato per la gestione della rete, permette un punto di controllo unificato e fornisce un’API REST attraverso la quale è possibile eseguire tutte le funzioni e azioni di NSX. Il piano di gestione si attiva durante la fase di implementazione, contestualmente alla distribuzione e configurazione dell’appliance NSX, interagendo sia con il piano di controllo che con il piano dati.

#5. Che cos’è lo switching logico?

NSX consente la creazione di switch logici L2 e L3 che garantiscono l’isolamento dei carichi di lavoro e la separazione degli spazi di indirizzamento IP tra reti logiche. NSX è in grado di creare domini di broadcast logici nello spazio virtuale, eliminando la necessità di configurare reti logiche su switch fisici. Questo implica la rimozione del vincolo di 4096 domini di broadcast fisici (VLAN).

#6. Cosa sono i servizi gateway NSX?

I servizi gateway Edge fungono da intermediari tra reti logiche e reti fisiche, permettendo a una macchina virtuale connessa a una rete logica di inviare e ricevere traffico direttamente sulla rete fisica tramite il gateway.

#7. Che cos’è il routing logico?

Grazie a NSX, è possibile creare molteplici domini di trasmissione virtuali (reti logiche). Con l’aumento delle macchine virtuali connesse a tali domini, diventa essenziale la capacità di instradare il traffico tra i vari switch logici.

#8. Cosa si intende per traffico est-ovest nel contesto logico?

Il traffico est-ovest è il flusso di dati tra macchine virtuali all’interno dello stesso data center. Nel contesto odierno, si riferisce tipicamente al traffico che si sposta tra diversi switch logici in un ambiente VMware.

#9. Cosa si intende per traffico nord-sud?

Il traffico nord-sud si riferisce al flusso di dati in entrata e in uscita dal data center, comprendendo qualsiasi comunicazione che attraversa i confini del data center.

#10. Che cos’è un firewall logico?

I firewall logici si suddividono in due categorie: firewall distribuito e firewall Edge. Il firewall distribuito è ideale per la protezione del traffico est-ovest, mentre il firewall Edge è progettato per il traffico nord-sud. Il firewall logico distribuito consente la definizione di regole basate su attributi quali indirizzi IP, VLAN, nomi di macchine virtuali e oggetti vCenter. Il gateway Edge include un servizio firewall che può essere sfruttato per imporre restrizioni di sicurezza e accesso al traffico nord-sud.

#11. Che cos’è un bilanciatore di carico?

Il bilanciatore di carico logico distribuisce le richieste in ingresso tra più server, al fine di ottimizzare il carico di lavoro, rendendo tale processo trasparente per gli utenti finali. Il bilanciatore può anche essere implementato come meccanismo di alta disponibilità (HA) per assicurare la massima operatività delle applicazioni. L’abilitazione del servizio di bilanciamento del carico richiede l’implementazione di un’istanza del gateway dei servizi Edge.

#12. Che cos’è Service Composer?

Service Composer permette di assegnare servizi di rete e di sicurezza a gruppi di sicurezza. Le macchine virtuali appartenenti a tali gruppi vengono automaticamente assegnate ai servizi definiti.

#13. Che cos’è la sicurezza dei dati?

La funzionalità di sicurezza dei dati di NSX fornisce visibilità sui dati sensibili, assicura la loro protezione e notifica eventuali violazioni della conformità. Attraverso una scansione di sicurezza dei dati eseguita su macchine virtuali selezionate, NSX è in grado di analizzare e segnalare eventuali anomalie in base alla politica di sicurezza configurata.

#14. Configurazione massima di NSX 6.2

Descrizione
Limite

vCenter 1
Manager NSX 1
Cluster DRS 12
Controller NSX 3
Host per cluster 32
Host per zona di trasporto 256
Switch logici 10.000
Porte switch logiche 50.000
DLR per host 1.000
DLR per NSX 1.200
Gateway del servizio perimetrale per NSX Manager 2.000

Componenti essenziali di NSX

#15. Definire NSX Manager?

NSX Manager è lo strumento che consente la creazione, la configurazione e la gestione dei componenti NSX all’interno dell’ambiente. NSX Manager fornisce un’interfaccia utente grafica e API REST per l’interazione con i diversi componenti NSX. NSX Manager è una macchina virtuale, disponibile come OVA, distribuibile su qualsiasi host ESX gestito da vCenter.

#16. Definire il cluster di controller NSX?

Il controller NSX fornisce il piano di controllo per la distribuzione del routing logico e delle informazioni di rete VXLAN all’hypervisor sottostante. I controller, distribuiti come appliance virtuali, devono essere nello stesso vCenter NSX Manager a cui sono collegati. In ambienti di produzione, è consigliabile distribuire almeno tre controller. È fondamentale configurare regole di anti-affinità DRS per distribuire i controller su host ESXi separati, ottimizzando la disponibilità e la scalabilità.

#17. Cos’è VXLAN?

VXLAN è un protocollo di tunneling di livello 2 su livello 3 che permette di estendere segmenti di rete logici su reti instradabili. Questo viene ottenuto incapsulando il frame Ethernet con header UPD, IP e VXLAN aggiuntivi, aumentando la dimensione del pacchetto di 50 byte. Per questo motivo, VMware raccomanda di incrementare la dimensione dell’MTU ad un minimo di 1.600 byte per tutte le interfacce nell’infrastruttura fisica e per i vSwitch correlati.

#18. Che cos’è VTEP?

Quando una macchina virtuale genera traffico destinato a un’altra macchina virtuale all’interno della stessa rete virtuale, gli host su cui sono in esecuzione le macchine virtuali, sia di origine che di destinazione, sono identificati come VXLAN Tunnel Endpoints (VTEP). I VTEP sono configurati come interfacce VMKernel distinte sugli host.

L’header IP esterno del frame VXLAN contiene gli indirizzi IP sorgente e destinazione degli hypervisor coinvolti. Quando un pacchetto lascia la macchina virtuale di origine, viene incapsulato nell’hypervisor corrispondente e inviato all’hypervisor di destinazione. Al ricevimento, l’hypervisor di destinazione decapsula il frame Ethernet e lo indirizza alla macchina virtuale di destinazione.

Una volta che NSX Manager ha preparato l’host ESXi, è necessario configurare i VTEP. NSX supporta molteplici VXLAN vmknics per host, al fine di abilitare il bilanciamento del carico in uplink. È supportata anche la codifica della VLAN guest.

#19. Descrivi la zona di trasporto?

La zona di trasporto definisce l’estensione di uno switch logico attraverso vari cluster ESXi, estendendosi su più switch virtuali distribuiti. Questo consente a uno switch logico di coprire più switch virtuali distribuiti. Qualsiasi host ESXi all’interno di questa zona di trasporto può ospitare macchine virtuali appartenenti a quella specifica rete logica. Uno switch logico viene sempre creato all’interno di una zona di trasporto, a cui gli host ESXi possono aderire.

#20. Cos’è la zona di trasporto universale?

Una zona di trasporto universale consente a uno switch logico di estendersi su più host distribuiti in diversi vCenter. La zona di trasporto universale viene creata dal server NSX primario e sincronizzata con i gestori NSX secondari.

#21. Che cos’è NSX Edge Services Gateway?

NSX Edge Services Gateway (ESG) offre un set completo di servizi, tra cui NAT, routing, firewall, bilanciamento del carico, VPN L2/L3 e inoltro DHCP/DNS. L’API di NSX permette di implementare, configurare e gestire ciascuno di questi servizi on-demand. NSX Edge può essere installato sia come ESG che come DLR.

Il numero di appliance Edge, incluse ESG e DLR, è limitato a 250 per host. Edge Services Gateway è distribuito come macchina virtuale da NSX Manager, accessibile tramite il client web vSphere.

Nota: la distribuzione di un gateway dei servizi Edge è consentita unicamente al ruolo di amministratore aziendale, abilitato alle operazioni NSX e alla gestione della sicurezza.

#22. Descrivi il firewall distribuito in NSX?

NSX offre servizi firewall stateful L2-L4 grazie ad un firewall distribuito che opera nel kernel dell’hypervisor ESXi. Essendo una funzione del kernel, il firewall garantisce elevati livelli di throughput e prestazioni. Durante la preparazione iniziale dell’host ESXi, il servizio firewall distribuito viene installato nel kernel attraverso la distribuzione del VIB del kernel: la piattaforma VSIP (VMware Service Insertion Platform). VSIP è responsabile del monitoraggio e dell’applicazione delle politiche di sicurezza per tutto il traffico che attraversa il piano dati. Il throughput e le prestazioni del firewall distribuito (DFW) aumentano in modo scalabile con l’aggiunta di host ESXi.

#23. Che cos’è Cross-vCenter NSX?

A partire da NSX 6.2, è possibile gestire diversi ambienti vCenter NSX sfruttando la funzionalità cross-vCenter. Questa consente la gestione di molteplici ambienti vCenter NSX tramite un unico manager NSX primario. In una configurazione cross-vCenter, ciascun vCenter è associato al proprio NSX Manager. Un NSX Manager viene designato come primario, mentre gli altri diventano secondari. Il manager NSX primario è abilitato alla distribuzione di un cluster di controller universale che fornisce il piano di controllo. A differenza delle implementazioni vCenter-NSX autonome, i manager NSX secondari non distribuiscono i propri cluster di controller.

#24. Che cos’è una VPN?

Le reti private virtuali (VPN) permettono di connettere in modo sicuro un dispositivo o un sito remoto all’infrastruttura aziendale. NSX Edge supporta tre tipi di connettività VPN: SSL VPN-Plus, IP-SEC VPN e VPN L2.

#25. Che cos’è SSL VPN Plus?

SSL VPN-Plus consente agli utenti remoti di accedere in modo sicuro ad applicazioni e server su una rete privata. Esistono due modalità di configurazione per SSL VPN-Plus: accesso alla rete e accesso al web. Nella modalità di accesso alla rete, un utente remoto può accedere in modo sicuro alla rete privata interna attraverso un client VPN che viene scaricato e installato sul proprio sistema operativo. In modalità di accesso web, è possibile accedere alle reti private senza la necessità di un software client VPN.

#26. Che cos’è IPSec VPN?

Il gateway dei servizi NSX Edge supporta una VPN IPSEC site-to-site, consentendo la connessione tra una rete supportata dal gateway dei servizi NSX Edge e un altro dispositivo in un sito remoto. NSX Edge è in grado di stabilire tunnel protetti con siti remoti per garantire un flusso di traffico sicuro. Il numero di tunnel che un gateway Edge può creare dipende dalle dimensioni del gateway Edge implementato. Prima di configurare IPsec VPN, è necessario disabilitare il routing dinamico sull’uplink Edge per consentire percorsi specifici definiti per il traffico VPN.

Nota: i certificati autofirmati non possono essere utilizzati con una VPN IPSEC.

#27. Che cos’è la VPN L2

Una VPN L2 permette di estendere più reti logiche su vari siti, siano esse VLAN tradizionali o VXLAN. In questo scenario, una macchina virtuale può spostarsi tra i siti senza modificare il proprio indirizzo IP. La VPN L2 viene implementata come client e server, dove l’Edge di destinazione è il server e l’Edge di origine è il client. Sia il client che il server apprendono gli indirizzi MAC dei siti locali e remoti. Per i siti non supportati da un ambiente NSX, è possibile implementare un gateway NSX Edge standalone.

Servizi funzionali NSX

#28. Quanti manager NSX possono essere installati e configurati in un ambiente NSX cross-vCenter?

In un ambiente cross-vCenter, può esserci un solo manager NSX primario e fino a sette manager NSX secondari. Dopo aver selezionato il manager NSX primario, è possibile procedere alla creazione di oggetti universali e all’implementazione di cluster di controller universali. Il cluster di controller universale fornirà il piano di controllo per l’ambiente cross-vCenter NSX. È importante ricordare che in un ambiente cross-vCenter, i manager NSX secondari non hanno i propri cluster di controller.

#29. Che cos’è il pool di ID segmento e come assegnarlo?

Ogni tunnel VXLAN è associato a un ID segmento (VNI). È necessario specificare un pool di ID segmento per ciascun NSX Manager. Tutto il traffico sarà vincolato all’ID segmento, garantendo l’isolamento.

#30. Che cos’è il bridge L2?

Uno switch logico può essere collegato ad una VLAN fisica tramite un bridge L2. Ciò permette di estendere le reti logiche virtuali, garantendo l’accesso alle reti fisiche esistenti, collegando la VXLAN logica con la VLAN fisica. Il bridging L2 si realizza attraverso un router logico NSX Edge che si mappa su una singola VLAN fisica della rete fisica.

Tuttavia, i bridge L2 non dovrebbero essere utilizzati per collegare due VLAN fisiche distinte o due diversi switch logici. Inoltre, non è possibile utilizzare un router logico universale per configurare il bridging, né aggiungere un bridge a uno switch logico universale. Ciò significa che in un ambiente NSX multi-vCenter, non è possibile estendere uno switch logico a una VLAN fisica di un altro data center tramite il bridging L2.

Gateway dei servizi perimetrali

#31. Che cos’è il routing ECMP (Equal Cost Multi-Path)?

ECMP consente l’inoltro del pacchetto di hop successivo verso una destinazione singola attraverso molteplici percorsi ottimali, che possono essere aggiunti staticamente o dinamicamente tramite protocolli di routing quali OSPF e BGP. Questi percorsi multipli sono aggiunti come valori separati da virgole nella definizione dei percorsi statici.

#32. Quali sono gli intervalli predefiniti per BGP connesso direttamente, statico, esterno, ecc.?

I valori variano da 1 a 255, con i seguenti intervalli predefiniti: Connesso (0), Statico (1), BGP esterno (20), OSPF intra-area (30), OSPF inter-area (110) e BGP interno (200).

Nota: ciascuno dei valori sopra indicati sarà inserito in “Distanza amministrativa” tramite la modifica della configurazione del gateway predefinito in Configurazione di routing.

#33. Che cos’è Open Shortest Path First (OSPF)?

OSPF è un protocollo di routing che utilizza un algoritmo di routing link-state e opera all’interno di un unico sistema autonomo.

#34. Che cos’è il Graceful Restart in OSPF?

Graceful Restart consente l’inoltro ininterrotto dei pacchetti anche nel caso in cui il processo OSPF venga riavviato, assicurando la continuità del routing dei pacchetti.

#35. Che cos’è l’area non così tozza (NSSA) in OSPF?

NSSA previene l’inondazione di annunci sullo stato dei collegamenti di un sistema autonomo esterno, basandosi su percorsi predefiniti verso destinazioni esterne. Le NSSA sono generalmente posizionate all’estremità di un dominio di routing OSPF.

#36. Cos’è BGP?

BGP è un protocollo gateway esterno, progettato per lo scambio di informazioni di routing tra sistemi autonomi (AS) su Internet. BGP è rilevante per gli amministratori di rete di grandi organizzazioni che si connettono a due o più ISP e per i fornitori di servizi Internet che si collegano ad altri fornitori di rete. Se si tratta di una piccola rete aziendale o di un utente finale, è probabile che la conoscenza di BGP non sia necessaria.

#37. Cos’è la ridistribuzione del percorso?

In un ambiente che utilizza molteplici protocolli di routing, la ridistribuzione del percorso consente la condivisione del percorso tra protocolli diversi.

#38. Che cos’è il bilanciamento del carico di livello 4?

Il bilanciatore di carico di livello 4 prende decisioni di routing basandosi su IP e porte TCP o UDP. Questo offre una visuale a pacchetto del traffico scambiato tra client e server, prendendo decisioni per singolo pacchetto. La connessione di livello 4 viene stabilita tra il client e il server.

#39. Che cos’è il bilanciamento del carico di livello 7?

Un bilanciatore di carico di livello 7 prende decisioni di routing basandosi su IP, porte TCP o UDP, o su altre informazioni derivate dal protocollo applicativo (principalmente HTTP). Il bilanciamento del carico di livello 7 funge da proxy, mantenendo due connessioni TCP: una con il client e una con il server.

#40. Che cos’è il profilo dell’applicazione nella configurazione di Load Balancer?

Prima di creare un server virtuale da mappare al pool, è necessario definire un profilo dell’applicazione, che specifica il comportamento di un determinato tipo di traffico di rete. Quando il traffico viene ricevuto, il server virtuale lo elabora basandosi sui valori definiti nel profilo, garantendo un maggior controllo sulla gestione del traffico.

#41. Qual è la sottointerfaccia?

Una sottointerfaccia, o interfaccia interna, è un’interfaccia logica creata e mappata sull’interfaccia fisica. Le sottointerfacce rappresentano la divisione di un’interfaccia fisica in più interfacce logiche, che utilizzano l’interfaccia fisica padre per il transito dei dati. È importante notare che le sottointerfacce non possono essere utilizzate per la configurazione HA, dato che un heartbeat deve transitare attraverso una porta fisica tra hypervisor, tra le appliance Edge.

#42. Perché la sincronizzazione forzata NSX Edge è necessaria per il tuo ambiente?

La sincronizzazione forzata è una funzionalità che sincronizza la configurazione di Edge da NSX Manager a tutti i suoi componenti. Un’azione di sincronizzazione avviata da NSX Manager verso NSX Edge aggiorna e ricarica la configurazione di Edge.

#43. Perché è necessario configurare un server Syslog remoto nel proprio ambiente virtuale?

VMware consiglia di configurare i server Syslog per prevenire il sovraccarico di log sulle appliance Edge. Quando la registrazione è attiva, i log sono memorizzati localmente nell’appliance Edge, consumando spazio. Se non configurato, questo può influire sulle prestazioni dell’appliance Edge e persino causarne l’arresto per esaurimento dello spazio su disco.

Service Composer

#44. Cosa sono le politiche di sicurezza?

Le politiche di sicurezza sono insiemi di regole applicate a una macchina virtuale, una rete o a servizi firewall. Sono regole riutilizzabili, che possono essere applicate a gruppi di sicurezza. Le politiche di sicurezza esprimono tre tipi di set di regole:

  • Servizi endpoint: servizi basati su guest, come antivirus e gestione delle vulnerabilità.
  • Regole firewall: politiche del firewall distribuito.
  • Servizi di introspezione di rete: servizi di rete, come sistemi di rilevamento intrusioni e crittografia.

Queste regole sono applicate a tutti gli oggetti e le macchine virtuali appartenenti a un gruppo di sicurezza a cui la politica è associata.

Monitoraggio

#44. Che cos’è il monitoraggio degli endpoint in NSX?

Endpoint Monitor fornisce informazioni dettagliate e visibilità sulle applicazioni in esecuzione all’interno di un sistema operativo, assicurando l’applicazione corretta delle politiche di sicurezza. Il monitoraggio degli endpoint richiede l’installazione dell’introspezione guest, che a sua volta implica l’installazione di un driver di introspezione guest sulle macchine virtuali, nell’ambito dell’installazione degli strumenti VMware.

#45. Che cos’è il monitoraggio del flusso?

Il monitoraggio del flusso di NSX è una funzionalità che consente il monitoraggio dettagliato del traffico da e verso le macchine virtuali protette. Questo strumento identifica macchine e servizi che scambiano dati e, se attivato, è in grado di identificare quali macchine stanno scambiando dati su applicazioni specifiche. Il monitoraggio del flusso abilita anche il monitoraggio in tempo reale delle connessioni TCP e UDP, rivelandosi un valido strumento per l’analisi forense.

Nota: il monitoraggio del flusso può essere attivato solo per le distribuzioni NSX in cui è abilitato un firewall.

#46. Cos’è Traceflow?

Traceflow è un tool di troubleshooting che permette agli amministratori di monitorare un flusso di pacchetti in modo simile al tradizionale Packet Tracer. Traceflow consente l’iniezione di un pacchetto nella rete e il monitoraggio del suo percorso attraverso la rete, identificando potenziali colli di bottiglia o interruzioni.

Gestione di NSX

#48. Come funziona il server Syslog in NSX?

La configurazione di NSX Manager con un server Syslog remoto permette la centralizzazione della raccolta, visualizzazione e memorizzazione di tutti i file di registro. Questo consente l’archiviazione dei registri per scopi di conformità; inoltre, utilizzando strumenti quali VMware vRealize Log insight, è possibile creare allarmi e sfruttare il motore di ricerca integrato per la revisione dei log.

#49. Come funzionano il backup e il ripristino in NSX?

I backup sono fondamentali per un ambiente NSX, consentendo il ripristino appropriato in caso di errori di sistema. Oltre a vCenter, è possibile eseguire backup su NSX Manager, cluster di controller, NSX Edge, regole firewall e Service Composer, che possono essere ripristinati singolarmente.

#50. Qual è la trappola SNMP?

Le trap SNMP (Simple Network Management Protocol) sono messaggi di avviso inviati da un dispositivo remoto abilitato SNMP ad un raccoglitore. È possibile configurare l’agente SNMP per l’inoltro delle trap SNMP.

Per impostazione predefinita, il meccanismo trap SNMP è disabilitato. Le notifiche critiche e ad alta gravità sono inviate al gestore SNMP solo quando il trap SNMP è abilitato.

Spero che questo articolo sia stato utile. In bocca al lupo per il colloquio! 👍