Давайте рассмотрим несколько вопросов для собеседования по VMware NSX, которые помогут соискателям и специалистам, желающим пройти сертификацию в области виртуализации сети.
VMware приобрела NSX у Nicira в июле 2012 года, которая в основном использовалась для виртуализации сети в гипервизоре на основе Xen. NSX абстрагирует физический уровень (виртуализирует сеть), поэтому программное обеспечение работает поверх гипервизора, который динамически настраивается и обновляется. В настоящее время у NSX есть две версии: NSX-T (предназначенная для нескольких гипервизоров и облачных приложений) и NSX-V (предназначенная только для сред vSphere).
NSX — это будущее современных ИТ-инфраструктур, предлагающее широкие возможности для управления виртуальной инфраструктурой и ее защиты. 82% из 100 компаний из списка Fortune используют VMware NSX. Поскольку предприятия быстро внедряют VMware NSX, спрос на опытную рабочую силу всегда высок.
Для этого мы подготовили несколько вопросов для интервью с поясняющими ответами.
Эти вопросы интервью подразделяются на следующие технические области:
- Основные понятия
- Основные компоненты NSX
- Функциональные службы NSX
- Шлюз пограничных служб
- Композитор сервисов
- Мониторинг
- Управление NSX
Оглавление
Основные понятия NSX
№1. Что такое развязка?
Важной концепцией сетевой виртуализации является разделение программного обеспечения и сетевого оборудования. Программное обеспечение работает независимо от сетевого оборудования, которое физически связывает инфраструктуру. Любое сетевое оборудование, которое может взаимодействовать с программным обеспечением, всегда будет улучшать функциональность, но это не обязательно. Помните, что производительность вашего сетевого оборудования всегда будет ограничивать пропускную способность сети.
№ 2. Что такое плоскость управления?
Разделение программного обеспечения и сетевого оборудования позволяет лучше контролировать сеть, поскольку вся логика находится в программном обеспечении. Этот элемент управления вашей сети называется плоскостью управления. Плоскость управления предоставляет средства для настройки, мониторинга, устранения неполадок и автоматизации в сети.
№3. Что такое плоскость данных?
Сетевое оборудование формирует плоскость данных, в которой все данные передаются от источника к месту назначения. Управление данными находится в плоскости управления; однако плоскость данных состоит из всего сетевого оборудования, основной функцией которого является пересылка трафика по сети от источника к месту назначения.
№ 4. Что такое плоскость управления?
Плоскость управления в основном состоит из диспетчера NSX. Диспетчер NSX — это компонент централизованного управления сетью, который в первую очередь позволяет использовать единую точку управления. Он также предоставляет REST API, который пользователь может использовать для выполнения всех функций и действий NSX. На этапе развертывания плоскость управления устанавливается при развертывании и настройке устройства NSX. Эта плоскость управления напрямую взаимодействует с плоскостью управления, а также с плоскостью данных.
№ 5. Что такое логическое переключение?
NSX позволяет создавать логическую коммутацию L2 и L3, что обеспечивает изоляцию рабочих нагрузок и разделение пространства IP-адресов между логическими сетями. NSX может создавать логические широковещательные домены в виртуальном пространстве, что избавляет от необходимости создавать какие-либо логические сети на физических коммутаторах. Это означает, что вы больше не ограничены 4096 физическими широковещательными доменами (VLAN).
№ 6. Что такое службы шлюза NSX?
Службы пограничного шлюза соединяют ваши логические сети с физическими сетями. Это означает, что виртуальная машина, подключенная к логической сети, может отправлять и получать трафик напрямую в вашу физическую сеть через шлюз.
№ 7. Что такое логическая маршрутизация?
С помощью NSX можно создать несколько виртуальных широковещательных доменов (логических сетей). Поскольку на эти домены подписано несколько виртуальных машин, становится крайне важно иметь возможность перенаправлять трафик с одного логического коммутатора на другой.
№8. Что такое трафик Восток-Запад в логической маршрутизации?
Трафик Восток-Запад — это трафик между виртуальными машинами в центре обработки данных. В текущем контексте это обычно будет трафик между логическими коммутаторами в среде VMware.
№ 9. Что такое трафик север-юг?
Трафик с севера на юг — это трафик, входящий и исходящий из вашего центра обработки данных. Это любой трафик, который либо входит в ваш центр обработки данных, либо покидает его.
№10. Что такое логический брандмауэр?
Логические брандмауэры бывают двух типов: распределенный брандмауэр и брандмауэр Edge. Распределенный брандмауэр идеально развертывается для защиты любого трафика с востока на запад, а межсетевой экран Edge защищает любой трафик с севера на юг. Распределенный логический брандмауэр позволяет создавать правила на основе атрибутов, включающих IP-адреса, виртуальные локальные сети, имена виртуальных машин и объекты vCenter. Шлюз Edge имеет службу брандмауэра, которую можно использовать для обеспечения безопасности и ограничения доступа к трафику с севера на юг.
№ 11. Что такое балансировщик нагрузки?
Логический балансировщик нагрузки распределяет входящие запросы между несколькими серверами, чтобы обеспечить распределение нагрузки, абстрагируя эту функциональность от конечных пользователей. Логический балансировщик нагрузки также можно использовать в качестве механизма высокой доступности (HA), чтобы обеспечить максимальное время безотказной работы вашего приложения. Экземпляр шлюза пограничных служб должен быть развернут, чтобы включить службу балансировки нагрузки.
№ 12. Что такое Service Composer?
Композитор служб позволяет выделить сетевые и несколько служб безопасности в группы безопасности. Виртуальным машинам, входящим в эти группы безопасности, автоматически назначаются службы.
№ 13. Что такое безопасность данных?
Безопасность данных NSX обеспечивает видимость конфиденциальных данных, обеспечивает защиту данных и сообщает о любых нарушениях соответствия. Сканирование безопасности данных на назначенных виртуальных машинах позволяет NSX анализировать и сообщать о любых нарушениях на основе политики безопасности, которая применяется к этим виртуальным машинам.
№ 14. Максимальная конфигурация NSX 6.2
Описание
Ограничение
vCenters
1
NSX-менеджеры
1
Кластеры DRS
12
Контроллеры NSX
3
Хосты на кластер
32
Хосты на транспортную зону
256
Логические коммутаторы
10 000
Логические порты коммутатора
50 000
DLR на хост
1000
DLR на NSX
1200
Шлюзы пограничных служб на каждый NSX Manager
2000
Основные компоненты NSX
№ 15. Определить NSX Manager?
Диспетчер NSX позволяет нам создавать, настраивать и управлять компонентами NSX в среде. Диспетчер NSX предоставляет графический пользовательский интерфейс и API-интерфейсы REST, которые позволяют взаимодействовать с различными компонентами NSX. NSX Manager — это виртуальная машина, которую можно загрузить в виде файла OVA и развернуть на любом хосте ESX, управляемом vCenter.
№ 16. Определить кластер контроллеров NSX?
Контроллер NSX предоставляет функциональные возможности уровня управления для распределения информации о логической маршрутизации и сети VXLAN на базовый гипервизор. Контроллеры развертываются как виртуальные устройства и должны развертываться в том же vCenter NSX Manager, к которому подключен. В производственной среде рекомендуется развертывать минимум три контроллера. Нам необходимо убедиться, что правила ant-affinity DRS настроены для развертывания контроллеров на отдельном хосте ESXi для повышения доступности и масштабируемости.
№ 17. Что такое VXLAN?
VXLAN — это протокол туннелирования уровня 2 поверх уровня 3, который позволяет логическим сетевым сегментам расширяться в маршрутизируемых сетях. Это достигается путем инкапсуляции кадра Ethernet с дополнительными заголовками UPD, IP и VXLAN. Следовательно, это увеличивает размер пакета на 50 байт. Следовательно, VMware рекомендует увеличить размер MTU как минимум до 1600 байт для всех интерфейсов в физической инфраструктуре и всех связанных виртуальных коммутаторов.
№ 18. Что такое ВТЭП?
Когда виртуальная машина создает трафик, предназначенный для другой виртуальной машины в той же виртуальной сети, узлы, на которых работают исходная и целевая виртуальные машины, называются конечными точками туннеля VXLAN (VTEP). VTEP настраиваются как отдельные интерфейсы VMKernel на хостах.
Блок внешнего заголовка IP в кадре VXLAN содержит IP-адреса источника и назначения, которые содержат гипервизор источника и гипервизор назначения. Когда пакет покидает исходную виртуальную машину, он инкапсулируется в исходном гипервизоре и отправляется целевому гипервизору. Получив этот пакет, целевой гипервизор декапсулирует кадр Ethernet и пересылает его на виртуальную машину назначения.
Как только NSX Manager подготовит хост ESXi, нам нужно настроить VTEP. NSX поддерживает несколько vmknics VXLAN на хост для функций балансировки нагрузки восходящего канала. В дополнение к этому также поддерживается тегирование гостевых VLAN.
№ 19. Опишите транспортную зону?
Транспортная зона определяет расширение логического коммутатора на несколько кластеров ESXi, которые охватывают несколько виртуальных распределенных коммутаторов. Транспортная зона позволяет логическому коммутатору распространяться на несколько виртуальных распределенных коммутаторов. Любые хосты ESXi, являющиеся частью этой транспортной зоны, могут иметь виртуальные машины как часть этой логической сети. Логический коммутатор всегда создается как часть транспортной зоны, и в них могут участвовать хосты ESXi.
№ 20. Что такое универсальная транспортная зона?
Универсальная транспортная зона позволяет логическому коммутатору охватывать несколько хостов через несколько vCenter. Универсальная транспортная зона всегда создается основным сервером NSX и синхронизируется с дополнительными диспетчерами NSX.
№ 21. Что такое шлюз NSX Edge Services?
Шлюз NSX Edge Services (ESG) предлагает многофункциональный набор служб, включая NAT, маршрутизацию, брандмауэр, балансировку нагрузки, L2/L3 VPN и ретрансляцию DHCP/DNS. NSX API позволяет развертывать, настраивать и использовать каждую из этих служб по запросу. Вы можете установить NSX Edge как ESG или как DLR.
Количество пограничных устройств, включая ESG и DLR, ограничено 250 на хосте. Шлюз Edge Services развертывается как виртуальная машина из диспетчера NSX, доступ к которому осуществляется с помощью веб-клиента vSphere.
Примечание. Только роль администратора предприятия, которая разрешает операции NSX и управление безопасностью, может развернуть шлюз пограничных служб:
№ 22. Опишите распределенный брандмауэр в NSX?
NSX предоставляет службы брандмауэра L2-L4 с отслеживанием состояния, используя распределенный брандмауэр, работающий в ядре гипервизора ESXi. Поскольку брандмауэр является функцией ядра ESXi, он обеспечивает высокую пропускную способность и работает практически на скорости линии. Когда NSX первоначально подготавливает узел ESXi, служба распределенного брандмауэра устанавливается в ядре путем развертывания ядра VIB — платформы вставки межсетевых служб VMware (VSIP). VSIP отвечает за мониторинг и применение политик безопасности для всего трафика, проходящего через плоскость данных. Пропускная способность и производительность распределенного брандмауэра (DFW) масштабируются горизонтально по мере добавления дополнительных хостов ESXi.
№ 23. Что такое Cross-vCenter NSX?
Начиная с NSX 6.2, вы можете управлять несколькими средами vCenter NSX с помощью функции cross-vCenter. Это позволяет управлять несколькими средами vCenter NSX из одного основного диспетчера NSX. В развертывании с несколькими vCenter несколько vCenter связаны со своим собственным диспетчером NSX для каждого vCenter. Один диспетчер NSX назначается основным, а другие диспетчеры NSX становятся вторичными. Этот основной диспетчер NSX теперь может развернуть кластер универсального контроллера, который обеспечивает плоскость управления. В отличие от автономного развертывания vCenter-NSX, вторичные менеджеры NSX не развертывают свои собственные кластеры контроллеров.
# 24. Что такое VPN?
Виртуальные частные сети (VPN) позволяют безопасно подключить удаленное устройство или сайт к корпоративной инфраструктуре. NSX Edge поддерживает три типа подключения VPN. SSL VPN-Plus, IP-SEC VPN и L2 VPN.
№ 25. Что такое SSL VPN-Плюс?
SSL VPN-Plus позволяет удаленным пользователям безопасно получать доступ к приложениям и серверам в частной сети. Существует два режима, в которых можно настроить SSL VPN-Plus: режим доступа к сети и режим веб-доступа. В режиме доступа к сети удаленный пользователь может безопасно получить доступ к внутренней частной сети. Это делается с помощью VPN-клиента, который удаленный пользователь загружает и устанавливает в своей операционной системе. В режиме веб-доступа удаленный пользователь может получить доступ к частным сетям без какого-либо программного обеспечения VPN-клиента.
№ 26. Что такое IPSec VPN?
Шлюз служб NSX Edge поддерживает IPSEC VPN типа «сеть-сеть», что позволяет подключать сеть, поддерживаемую шлюзом служб NSX Edge, к другому устройству на удаленной площадке. NSX Edge может устанавливать безопасные туннели с удаленными сайтами, чтобы обеспечить безопасный поток трафика между сайтами. Количество туннелей, которые может установить пограничный шлюз, зависит от размера развернутого пограничного шлюза. Перед настройкой IPsec VPN убедитесь, что динамическая маршрутизация отключена на восходящем канале Edge, чтобы разрешить определенные маршруты, определенные для любого VPN-трафика.
Примечание. Самозаверяющие сертификаты нельзя использовать с IPSEC VPN.
№ 27. Что такое L2 VPN
L2 VPN позволяет вам растянуть несколько логических сетей на несколько сайтов. Сети могут быть как традиционными VLAN, так и VXLAN. В таком развертывании виртуальная машина может перемещаться между сайтами без изменения своего IP-адреса. L2 VPN развертывается как клиент и сервер, где конечный Edge является сервером, а исходный Edge — клиентом. И клиент, и сервер узнают MAC-адреса как локальных, так и удаленных сайтов. Для любых сайтов, которые не поддерживаются средой NSX, можно развернуть автономный шлюз NSX Edge.
Функциональные службы NSX
№ 28. Сколько менеджеров NSX можно установить и настроить в среде NSX с несколькими vCenter?
Может быть только один основной менеджер NSX и до семи дополнительных менеджеров NSX. Вы можете выбрать один основной менеджер NSX, после чего вы сможете начать создавать универсальные объекты, а также развертывать кластеры универсальных контроллеров. Универсальный кластер контроллеров предоставит плоскость управления для среды NSX с несколькими vCenter. Помните, что в среде с несколькими vCenter вторичные менеджеры NSX не имеют собственных кластеров контроллеров.
№ 29. Что такое пул идентификаторов сегментов и как его назначить?
Каждый туннель VXLAN имеет идентификатор сегмента (VNI), и вы должны указать пул идентификаторов сегмента для каждого диспетчера NSX. Весь трафик будет привязан к его идентификатору сегмента, что обеспечивает изоляцию.
№ 30. Что такое мост L2?
Логический коммутатор можно подключить к VLAN физического коммутатора с помощью моста L2. Это позволяет расширить виртуальные логические сети для доступа к существующим физическим сетям путем соединения логической VXLAN с физической VLAN. Этот мост L2 выполняется с помощью логического маршрутизатора NSX Edge, который сопоставляется с одной физической VLAN в физической сети.
Однако мосты L2 не следует использовать для соединения двух разных физических сетей VLAN или двух разных логических коммутаторов. Вы также не можете использовать универсальный логический маршрутизатор для настройки моста, а мост нельзя добавить к универсальному логическому коммутатору. Это означает, что в среде NSX с несколькими vCenter нельзя расширить логический коммутатор до физической VLAN в другом центре обработки данных с помощью моста L2.
Шлюз пограничных служб
№ 31. Что такое равноценная многопутевая маршрутизация (ECMP)?
ECMP позволяет пересылать пакет следующего перехода в одно место назначения по нескольким оптимальным путям, которые можно добавлять статически или динамически с использованием протоколов маршрутизации, таких как OSPF и BGP. Эти несколько путей добавляются как значения, разделенные запятыми, при определении статических маршрутов.
№ 32. Каковы диапазоны по умолчанию для прямого, статического, внешнего BGP и т. д.?
Значение находится в диапазоне от 1 до 255, а диапазоны по умолчанию: подключенный (0), статический (1), внешний BGP (20), внутриобластной OSPF (30), межобластной OSPF (110) и внутренний BGP (200). .
Примечание. Любое из приведенных выше значений будет введено в «Расстояние администратора» путем редактирования конфигурации шлюза по умолчанию в конфигурации маршрутизации.
№ 33. Что такое Open Shortest Path First (OSPF)?
OSPF — это протокол маршрутизации, использующий алгоритм маршрутизации на основе состояния канала и работающий в рамках одной автономной системы.
№ 34. Что такое изящный перезапуск в OSPF?
Graceful Restart позволяет безостановочно пересылать пакеты, даже если процесс OSPF перезапускается. Это помогает в маршрутизации пакетов без прерывания работы.
№ 35. Что такое Not-So-Stubby Area (NSSA) в OSPF?
NSSA предотвращает лавинную рассылку объявлений о состоянии канала внешней автономной системы, полагаясь на маршруты по умолчанию к внешним адресатам. NSSA обычно размещаются на границе домена маршрутизации OSPF.
№ 36. Что такое BGP?
BGP — это протокол внешнего шлюза, предназначенный для обмена маршрутной информацией между автономными системами (AS) в Интернете. BGP актуален для сетевых администраторов крупных организаций, которые подключаются к двум или более интернет-провайдерам, и интернет-провайдеров, которые подключаются к другим сетевым провайдерам. Если вы являетесь администратором небольшой корпоративной сети или конечным пользователем, вам, вероятно, не нужно знать о BGP.
№ 37. Что такое распределение маршрутов?
В среде, где используется несколько протоколов маршрутизации, перераспределение маршрутов обеспечивает совместное использование маршрутов между протоколами.
№ 38. Что такое балансировщик нагрузки уровня 4?
Балансировщик нагрузки уровня 4 принимает решения о маршрутизации на основе IP-адресов и портов TCP или UDP. Он имеет пакетное представление трафика, которым обмениваются клиент и сервер, и принимает решения пакет за пакетом. Соединение уровня 4 устанавливается между клиентом и сервером.
№ 39. Что такое балансировщик нагрузки уровня 7?
Балансировщик нагрузки уровня 7 принимает решения о маршрутизации на основе IP-адресов, портов TCP или UDP или другой информации, которую он может получить из протокола приложения (в основном HTTP). Балансировщик нагрузки уровня 7 действует как прокси и поддерживает два соединения TCP: одно с клиентом и одно с сервером.
№ 40. Что такое профиль приложения при настройке балансировщика нагрузки?
Прежде чем мы создадим виртуальный сервер для сопоставления с пулом, мы должны определить профиль приложения, который определяет поведение определенного типа сетевого трафика. При получении трафика виртуальный сервер обрабатывает трафик на основе значений, определенных в профиле. Это позволяет лучше контролировать управление сетевым трафиком:
№ 41. Что такое субинтерфейс?
Подинтерфейс или внутренний интерфейс — это логический интерфейс, который создается и сопоставляется с физическим интерфейсом. Подинтерфейсы — это просто разделение физического интерфейса на несколько логических интерфейсов. Этот логический интерфейс использует родительский физический интерфейс для перемещения данных. Помните, что вы не можете использовать подинтерфейсы для высокой доступности, потому что пульс должен проходить через физический порт от одного гипервизора к другому между устройствами Edge.
№ 42. Почему Force Sync NSX Edge необходим для вашей среды?
Принудительная синхронизация — это функция, которая синхронизирует конфигурацию Edge из NSX Manager со всеми его компонентами в среде. Действие синхронизации инициируется из NSX Manager в NSX Edge, которое обновляет и перезагружает конфигурацию Edge.
№ 43. Почему удаленный сервер Syslog необходимо настроить в виртуальной среде?
VMware рекомендует настроить серверы Syslog, чтобы избежать перегрузки журналов на пограничных устройствах. Когда ведение журнала включено, журналы хранятся локально на устройстве Edge и занимают место. Если этот флажок не установлен, это может повлиять на производительность устройства Edge, а также может привести к остановке устройства Edge из-за нехватки места на диске.
Композитор сервисов
№ 44. Что такое политики безопасности?
Политики безопасности — это наборы правил, которые применяются к виртуальной машине, сети или службам брандмауэра. Политики безопасности — это многократно используемые наборы правил, которые можно применять к группам безопасности. Политики безопасности выражают три типа наборов правил:
- Endpoint Services: гостевые службы, такие как антивирусные решения и управление уязвимостями.
- Правила брандмауэра: политики распределенного брандмауэра
- Услуги сетевой интроспекции: сетевые службы, такие как системы обнаружения вторжений и шифрование.
Эти правила применяются ко всем объектам и виртуальным машинам, входящим в группу безопасности, с которой связана эта политика.
Мониторинг
№ 44. Что такое мониторинг конечных точек в NSX?
Endpoint Monitor обеспечивает понимание и видимость приложений, работающих в операционной системе, чтобы обеспечить правильное применение политик безопасности. Endpoint Monitoring требует установки гостевого самоанализа. На виртуальных машинах вам потребуется установить гостевой драйвер самоанализа, который является частью установки инструментов VMware.
№ 45. Что такое мониторинг потока?
Мониторинг NSX Flow — это функция, позволяющая детально отслеживать трафик в защищенных виртуальных машинах и из них. Мониторинг потока может однозначно идентифицировать различные машины и службы, обменивающиеся данными, и, если он включен, может определить, какие машины обмениваются данными через определенные приложения. Мониторинг потока также позволяет отслеживать соединения TCP и UDP в режиме реального времени и может использоваться в качестве эффективного криминалистического инструмента.
Примечание. Мониторинг потока можно включить только для развертываний NSX, в которых включен брандмауэр.
№ 46. Что такое трассировка?
Traceflow — это интересный инструмент, созданный для того, чтобы администраторы могли беспрепятственно устранять неполадки в своей виртуальной сетевой среде, отслеживая поток пакетов аналогично устаревшему приложению Packet Tracer. Traceflow позволяет вводить пакет в сеть и отслеживать его поток по сети. Этот поток позволяет вам контролировать вашу сеть и выявлять такие проблемы, как узкие места или сбои.
Управление NSX
№ 48. Как работает сервер системного журнала в NSX?
Настройка NSX Manager с удаленным сервером Syslog позволяет собирать, просматривать и сохранять все файлы журналов в центральном расположении. Это позволяет хранить журналы для соблюдения требований; при использовании такого инструмента, как VMware vRealize Log Insight, вы можете создавать оповещения и использовать встроенную поисковую систему для просмотра журналов.
№ 49. Как резервное копирование и восстановление работают в NSX?
Резервные копии имеют решающее значение для среды NSX, поскольку позволяют надлежащим образом восстанавливать их в случае сбоя системы. Помимо vCenter, вы также можете выполнять операции резервного копирования в NSX Manager, кластерах контроллеров, NSX Edge, правилах брандмауэра и Service Composer. Все это может быть скопировано и восстановлено по отдельности.
№ 50. Что такое ловушка SNMP?
Ловушки простого протокола управления сетью (SNMP) — это предупреждающие сообщения, отправляемые с удаленного устройства с поддержкой SNMP на коллектор. Агент SNMP можно настроить для пересылки прерываний SNMP.
По умолчанию механизм ловушек SNMP отключен. Диспетчеру SNMP отправляются только критические уведомления и уведомления с высокой степенью серьезности, если включена ловушка SNMP.
Надеюсь, вам понравилось читать этот пост. Удачи на собеседовании! 👍