Top 50 VMware NSX-interviewspørgsmål og -svar

Af
Tweet
Share
Share
Pin

Lad os se på et par VMware NSX-interviewspørgsmål for at hjælpe jobsøgende og fagfolk, der ønsker at blive certificeret i netværksvirtualisering.

VMware købte NSX fra Nicira i juli 2012, som primært blev brugt til netværksvirtualisering i en Xen-baseret hypervisor. NSX abstraherer det fysiske lag (virtualiser netværket), så softwaren kører på toppen af ​​hypervisoren, som er dynamisk konfigureret og opdateret. I øjeblikket har NSX to versioner: NSX-T (designet til multi-hypervisorer og cloud-native applikationer) og NSX-V (kun designet til vSphere-miljøer).

NSX er fremtiden for moderne it-infrastrukturer, der tilbyder rige muligheder for at administrere og sikre din virtuelle infrastruktur. 82% af Fortune 100 har taget VMware NSX til sig. Med virksomheder, der hurtigt vedtager VMware NSX, er en erfaren arbejdsstyrke altid i høj efterspørgsel.

Til dette formål har vi udarbejdet nogle interviewspørgsmål med forklarende svar

Disse interviewspørgsmål er kategoriseret i følgende tekniske områder:

  • Basale koncepter
  • NSX kernekomponenter
  • NSX funktionelle tjenester
  • Edge Services Gateway
  • Service Komponist
  • Overvågning
  • Håndtering af NSX

Indholdsfortegnelse

Grundlæggende koncepter for NSX

#1. Hvad er afkobling?

Et vigtigt koncept for netværksvirtualisering er afkoblingen af ​​software og netværkshardware. Softwaren fungerer uafhængigt af den netværkshardware, der fysisk forbinder infrastrukturen. Enhver netværkshardware, der kan interoperere med softwaren, vil altid forbedre funktionaliteten, men det er ikke nødvendigt. Husk, at dit netværks hardwareydeevne altid vil begrænse din gennemstrømning på ledningen.

#2. Hvad er kontrolplan?

Afkoblingen af ​​software og netværkshardware giver dig mulighed for bedre at kontrollere dit netværk, fordi al logikken ligger i softwaren. Dette kontrolaspekt af dit netværk kaldes kontrolplanet. Kontrolplanet giver mulighed for at konfigurere, overvåge, fejlfinde og tillade automatisering mod netværket.

#3. Hvad er Data Plane?

Netværkshardwaren danner dataplanet, hvor alle data videresendes fra kilde til destination. Håndteringen af ​​data ligger i kontrolplanet; dataplanet består dog af al netværkshardware, hvis primære funktion er at videresende trafik over ledningen fra kilde til destination.

#4. Hvad er ledelsesplanet?

Ledelsesplanet består primært af NSX-manageren. NSX-manageren er en centraliseret netværksstyringskomponent og giver primært mulighed for et enkelt administrationspunkt. Det giver også REST API, som en bruger kan bruge til at udføre alle NSX-funktioner og -handlinger. Under implementeringsfasen etableres administrationsplanet, når NSX-enheden er implementeret og konfigureret. Dette styringsplan interagerer direkte med kontrolplanet og også dataplanet.

#5. Hvad er logisk skift?

NSX giver mulighed for at skabe L2 og L3 logisk switching, der muliggør isolering af arbejdsbelastning og adskillelse af IP-adresserum mellem logiske netværk. NSX kan oprette logiske broadcast-domæner i det virtuelle rum, der forhindrer behovet for at oprette logiske netværk på de fysiske switche. Det betyder, at du ikke længere er begrænset til 4096 fysiske broadcast-domæner (VLAN’er).

#6. Hvad er NSX Gateway Services?

Edge-gateway-tjenesterne forbinder dine logiske netværk med dine fysiske netværk. Det betyder, at en virtuel maskine forbundet til et logisk netværk kan sende og modtage trafik direkte til dit fysiske netværk gennem gatewayen.

#7. Hvad er logisk routing?

Flere virtuelle broadcast-domæner (logiske netværk) kan oprettes ved hjælp af NSX. Da flere virtuelle maskiner abonnerer på disse domæner, bliver det afgørende at kunne dirigere trafik fra en logisk switch til en anden.

  Sådan skriver du N med Tilde på toppen (Ñ ñ): Fuld guide

#8. Hvad er øst-vest trafik i logisk ruteføring?

Øst-vest trafik er trafik mellem virtuelle maskiner i et datacenter. I den nuværende sammenhæng vil dette typisk være trafik mellem logiske switches i et VMware-miljø.

#9. Hvad er nord-syd trafik?

Nord-syd-trafik er trafik, der bevæger sig ind og ud af dit datacenter. Dette er enhver trafik, der enten kommer ind i dit datacenter eller forlader dit datacenter.

#10. Hvad er en logisk firewall?

Logiske firewalls er af to typer: distribueret firewall og Edge firewall. En distribueret firewall er ideelt installeret til at beskytte enhver øst-vest trafik, mens en Edge firewall beskytter al nord-syd trafik. En distribueret logisk firewall giver dig mulighed for at bygge regler baseret på attributter, der inkluderer IP-adresser, VLAN’er, virtuelle maskinenavne og vCenter-objekter. Edge-gatewayen har en firewall-tjeneste, der kan bruges til at pålægge sikkerhed og adgangsbegrænsninger på nord-syd-trafik.

#11. Hvad er en Load Balancer?

Den logiske belastningsbalancer distribuerer indgående anmodninger mellem flere servere for at tillade belastningsfordeling, mens denne funktionalitet abstraheres fra slutbrugere. Den logiske belastningsbalancer kan også bruges som høj tilgængelighed (HA) mekanisme for at sikre, at din applikation har mest oppetid. En Edge Services gateway-instans skal implementeres for at aktivere load balancer-tjenesten.

#12. Hvad er Service Composer?

Tjenestekomponisten giver dig mulighed for at allokere netværk og flere sikkerhedstjenester til sikkerhedsgrupper. Virtuelle maskiner, der er en del af disse sikkerhedsgrupper, tildeles automatisk tjenesterne.

#13. Hvad er datasikkerhed?

NSX datasikkerhed giver synlighed i følsomme data, sikrer databeskyttelse og rapporterer tilbage om eventuelle overtrædelser af overholdelse. En datasikkerhedsscanning på udpegede virtuelle maskiner gør det muligt for NSX at analysere og rapportere eventuelle overtrædelser baseret på den sikkerhedspolitik, der gælder for disse virtuelle maskiner.

#14. Konfiguration Maksimum af NSX 6.2

Beskrivelse
Begrænse
vCenters
1
NSX ledere
1
DRS klynger
12
NSX controllere
3
Værter pr. klynge
32
Værter pr. transportzone
256
Logiske kontakter
10.000
Logiske switchporte
50.000
DLR’er pr. vært
1.000
DLR til NSX
1.200
Edge-servicegateways pr. NSX Manager
2.000

NSX kernekomponenter

#15. Definere NSX Manager?

NSX-manageren giver os mulighed for at oprette, konfigurere og administrere NSX-komponenter i et miljø. NSX-manageren giver en grafisk brugergrænseflade og REST API’er, der gør det muligt for dig at interagere med forskellige NSX-komponenter. NSX Manager er en virtuel maskine, som du kan downloade som en OVA og implementere den på enhver ESX-vært, der administreres af vCenter.

#16. Definere NSX Controller Cluster?

NSX-controlleren leverer en kontrolplanfunktionalitet til at distribuere logisk routing og VXLAN-netværksinformation til den underliggende hypervisor. Controllere implementeres som virtuelle apparater og bør implementeres i den samme vCenter NSX-manager, som er tilsluttet. I et produktionsmiljø anbefales det at installere mindst tre controllere. Vi skal sikre, at DRS ant-affinitetsregler er konfigureret til at implementere controllere på en separat ESXi-vært for bedre tilgængelighed og skalerbarhed.

#17. Hvad er VXLAN?

VXLAN er en lag 2 over lag 3 tunnelingsprotokol, der tillader logiske netværkssegmenter at udvide på routbare netværk. Dette opnås ved at indkapsle Ethernet-rammen med yderligere UPD-, IP- og VXLAN-headere. Dette øger pakkens størrelse med 50 bytes. Derfor anbefaler VMware at øge MTU-størrelsen til minimum 1.600 bytes for alle grænseflader i den fysiske infrastruktur og eventuelle tilknyttede vSwitches.

#18. Hvad er VTEP?

Når en virtuel maskine genererer trafik beregnet til en anden virtuel maskine på det samme virtuelle netværk, kaldes de værter, som de virtuelle kilde- og destinationsmaskiner kører på, VXLAN tunnel endpoints (VTEP). VTEP’er er konfigureret som separate VMKernel-grænseflader på værterne.

Den ydre IP-headerblok i VXLAN-rammen indeholder kilde- og destinations-IP-adresserne, der indeholder kildehypervisoren og destinationshypervisoren. Når en pakke forlader den virtuelle kildemaskine, indkapsles den ved kildehypervisoren og sendes til målhypervisoren. Ved modtagelse af denne pakke dekapsler målhypervisoren Ethernet-rammen og videresender den til den virtuelle destinationsmaskine.

Når NSX Manager forbereder ESXi-værten, skal vi konfigurere VTEP. NSX understøtter flere VXLAN-vmknics pr. vært til uplink-belastningsbalanceringsfunktioner. Ud over dette understøttes også Guest VLAN-tagging.

#19. Beskriv transportzone?

En transportzone definerer udvidelsen af ​​en logisk switch på tværs af flere ESXi-klynger, der spænder over flere virtuelle distribuerede switches. En transportzone gør det muligt for en logisk switch at strække sig over flere virtuelle distribuerede switche. Alle ESXi-værter, der er en del af denne transportzone, kan have virtuelle maskiner som en del af det logiske netværk. En logisk switch oprettes altid som en del af en transportzone, og ESXi-værter kan deltage i dem.

#20. Hvad er Universal Transport Zone?

En universel transportzone tillader en logisk switch til at spænde over flere værter på tværs af flere vCenters. En universel transportzone oprettes altid af den primære NSX-server og synkroniseres med de sekundære NSX-managere.

#21. Hvad er NSX Edge Services Gateway?

NSX Edge Services Gateway (ESG) tilbyder et funktionsrigt sæt tjenester, der inkluderer NAT, routing, firewall, belastningsbalancering, L2/L3 VPN og DHCP/DNS-relæ. NSX API tillader hver af disse tjenester at blive implementeret, konfigureret og forbrugt on-demand. Du kan installere NSX Edge som en ESG eller som en DLR.

  Sådan flettes Excel-filer

Antallet af Edge-apparater, inklusive ESG’er og DLR’er, er begrænset til 250 på en vært. Edge Services Gateway er implementeret som en virtuel maskine fra NSX-manageren, som tilgås ved hjælp af vSphere-webklienten.

Bemærk: Kun virksomhedens administratorrolle, som giver mulighed for NSX-operationer og sikkerhedsstyring, kan implementere en Edge-servicegateway:

#22. Beskriv distribueret firewall i NSX?

NSX leverer L2-L4 stateful firewall-tjenester ved hjælp af en distribueret firewall, der kører i ESXi hypervisorkernen. Fordi firewallen er en funktion af ESXi-kernen, tilbyder den massiv gennemstrømning og yder med en nær-line hastighed. Når NSX indledningsvis forbereder ESXi-værten, installeres den distribuerede firewall-tjeneste i kernen ved at implementere kerne VIB—VMware internetworking service insertion platform (VSIP). VSIP er ansvarlig for at overvåge og håndhæve sikkerhedspolitikker på al den trafik, der flyder gennem dataplanet. Den distribuerede firewall (DFW) gennemløb og ydeevne skaleres vandret, efterhånden som flere ESXi-værter tilføjes.

#23. Hvad er Cross-vCenter NSX?

Fra NSX 6.2 kan du administrere flere vCenter NSX-miljøer ved hjælp af cross-vCenter-funktionaliteten. Dette giver dig mulighed for at administrere flere vCenter NSX-miljøer fra en enkelt primær NSX-manager. I en cross-vCenter-implementering er flere vCenters alle parret med deres egen NSX Manager pr. vCenter. Én NSX-manager tildeles den primære, mens andre NSX-managere bliver sekundære. Denne primære NSX-manager kan nu implementere en universel controller-klynge, der leverer kontrolplanet. I modsætning til en selvstændig vCenter-NSX-implementering, implementerer sekundære NSX-administratorer ikke deres egne controller-klynger.

# 24. Hvad er en VPN?

Virtuelle private netværk (VPN’er) giver dig mulighed for sikkert at forbinde en ekstern enhed eller et eksternt websted til din virksomheds infrastruktur. NSX Edge understøtter tre typer VPN-forbindelse. SSL VPN-Plus, IP-SEC VPN og L2 VPN.

#25. Hvad er SSL VPN-Plus?

SSL VPN-Plus giver fjernbrugere mulighed for sikker adgang til applikationer og servere i et privat netværk. Der er to tilstande, hvor SSL VPN-Plus kan konfigureres: netværksadgangstilstand og webadgangstilstand. I netværksadgangstilstand kan en fjernbruger få adgang til det interne private netværk sikkert. Dette gøres af en VPN-klient, som fjernbrugeren downloader og installerer på deres operativsystem. I webadgangstilstand kan fjernbrugeren få adgang til de private netværk uden VPN-klientsoftware.

#26. Hvad er IPSec VPN?

NSX Edge-tjenestegatewayen understøtter en site-to-site IPSEC VPN, der giver dig mulighed for at forbinde et NSX Edge-tjenester gateway-støttet netværk til en anden enhed på det eksterne sted. NSX Edge kan etablere sikre tunneler med fjerntliggende websteder for at tillade sikker trafikstrøm mellem websteder. Antallet af tunneler, en Edge-gateway kan etablere, afhænger af størrelsen af ​​den installerede edge-gateway. Før du konfigurerer IPsec VPN, skal du sikre dig, at dynamisk routing er deaktiveret på Edge-uplinket for at tillade specifikke ruter defineret for enhver VPN-trafik.

Bemærk: Selvsignerede certifikater kan ikke bruges med en IPSEC VPN.

#27. Hvad er L2 VPN

En L2 VPN giver dig mulighed for at strække flere logiske netværk på tværs af flere websteder. Netværkene kan både være traditionelle VLAN’er og VXLAN’er. I en sådan implementering kan en virtuel maskine flytte mellem websteder uden at ændre sin IP-adresse. En L2 VPN er implementeret som en klient og server, hvor destination Edge er serveren, og kilde Edge er klienten. Både klienten og serveren lærer MAC-adresserne på både lokale og eksterne websteder. For alle websteder, der ikke er understøttet af et NSX-miljø, kan en selvstændig NSX Edge-gateway implementeres.

NSX funktionelle tjenester

#28. Hvor mange kan NSX-managere installeres og konfigureres i et cross-vCenter NSX-miljø?

Der kan kun være én primær NSX-manager og op til syv sekundære NSX-managere. Du kan vælge én primær NSX-manager, hvorefter du kan begynde at oprette universelle objekter og også implementere universelle controller-klynger. Den universelle controller-klynge vil levere kontrolplanet for cross-vCenter NSX-miljøet. Husk, at i et cross-vCenter-miljø har de sekundære NSX-managere ikke deres egne controller-klynger.

#29. Hvad er segment-id-puljen, og hvordan tildeler man den?

Hver VXLAN-tunnel har et segment-id (VNI), og du skal angive en segment-id-pulje for hver NSX Manager. Al trafik vil være bundet til dets segment-id, hvilket giver mulighed for isolering.

#30. Hvad er L2 Bridge?

En logisk switch kan forbindes til en fysisk switch VLAN ved hjælp af en L2-bro. Dette giver dig mulighed for at udvide dine virtuelle logiske netværk til at få adgang til eksisterende fysiske netværk ved at bygge bro mellem det logiske VXLAN og det fysiske VLAN. Denne L2-brodannelse opnås ved hjælp af en logisk NSX Edge-router, der kortlægges til et enkelt fysisk VLAN på det fysiske netværk.

L2-broer bør dog ikke bruges til at forbinde to forskellige fysiske VLAN’er eller to forskellige logiske switches. Du kan heller ikke bruge en universel logisk router til at konfigurere brodannelse, og en bro kan ikke tilføjes til en universel logisk switch. Det betyder, at du i et multi-vCenter NSX-miljø ikke kan udvide en logisk switch til et fysisk VLAN i et andet datacenter gennem L2-brodannelse.

  Document Workflow Automation er nemt med airSlate

Edge Services Gateway

#31. Hvad er Equal Cost Multi-Path (ECMP) Routing?

ECMP tillader, at næste-hop-pakken kan videresendes til en enkelt destination over flere bedste stier, der kan tilføjes statisk eller dynamisk ved hjælp af routingprotokoller såsom OSPF og BGP. Disse flere stier tilføjes som kommaseparerede værdier, når de statiske ruter defineres.

#32. Hvad er standardintervallerne for direkte tilsluttet, statisk, ekstern BGP osv.?

Værdien går fra 1 til 255, og standardintervallerne er: Forbundet (0), Statisk (1), Ekstern BGP (20), OSPF intra-område (30), OSPF inter-område (110) og Intern BGP (200) .

Bemærk: Enhver af ovenstående værdier vil blive indtastet i “Admin Distance” ved at redigere standardgateway-konfigurationen i Routing Configuration.

#33. Hvad er Open Shortest Path First (OSPF)?

OSPF er en routingprotokol, der bruger en link-state routing-algoritme og fungerer inden for et enkelt autonomt system.

#34. Hvad er Graceful Restart i OSPF?

Graceful Restart giver mulighed for non-stop pakkevideresendelse, selvom OSPF-processen genstartes. Dette hjælper med ikke-forstyrrende pakkerouting.

#35. Hvad er Not-So-Stubby Area (NSSA) i OSPF?

NSSA forhindrer oversvømmelse af reklamer for et eksternt autonomt system med linktilstand ved at stole på standardruterne til eksterne destinationer. NSSA’er er typisk placeret på kanten af ​​et OSPF-routingdomæne.

#36. Hvad er BGP?

BGP er en udvendig gateway-protokol designet til at udveksle routinginformation mellem autonome systemer (AS) på internettet. BGP er relevant for netværksadministratorer af store organisationer, der opretter forbindelse til to eller flere internetudbydere, og internetudbydere, der opretter forbindelse til andre netværksudbydere. Hvis du er administrator af et lille virksomhedsnetværk eller en slutbruger, så behøver du sandsynligvis ikke kende til BGP.

#37. Hvad er rutedistribution?

I et miljø, hvor der bruges flere routingprotokoller, muliggør ruteomfordeling mulighed for rutedeling på tværs af protokoller.

#38. Hvad er Layer 4 Load balancer?

Layer 4 load balancer tager routing-beslutninger baseret på IP’er og TCP- eller UDP-porte. Den har en pakkevisning af trafikken, der udveksles mellem klienten og en server og tager beslutninger pakke for pakke. Lag 4-forbindelsen etableres mellem en klient og en server.

#39. Hvad er Layer 7 load balancer?

En lag 7 load balancer tager routingbeslutninger baseret på IP’er, TCP eller UDP-porte eller andre oplysninger, den kan få fra applikationsprotokollen (hovedsageligt HTTP). Laag 7-belastningsbalanceren fungerer som en proxy og vedligeholder to TCP-forbindelser: en med klienten og en med serveren.

#40. Hvad er applikationsprofil ved konfiguration af Load Balancer?

Før vi opretter en virtuel server, der skal kortlægges til puljen, skal vi definere en applikationsprofil, der definerer adfærden for en bestemt type netværkstrafik. Når der modtages trafik, behandler den virtuelle server trafikken baseret på de værdier, der er defineret i profilen. Dette giver mulighed for større kontrol over styring af din netværkstrafik:

#41. Hvad er undergrænsefladen?

En undergrænseflade, eller en intern grænseflade, er en logisk grænseflade, der oprettes og tilknyttes den fysiske grænseflade. Undergrænseflader er simpelthen en opdeling af en fysisk grænseflade i flere logiske grænseflader. Denne logiske grænseflade bruger den overordnede fysiske grænseflade til at flytte data. Husk, at du ikke kan bruge undergrænseflader til HA, fordi et hjerteslag skal krydse en fysisk port fra en hypervisor til en anden mellem Edge-apparaterne.

#42. Hvorfor er Force Sync NSX Edge nødvendigt for dit miljø?

Force sync er en funktion, der synkroniserer Edge-konfigurationen fra NSX Manager til alle dens komponenter i et miljø. En synkroniseringshandling startes fra NSX Manager til NSX Edge, der opdaterer og genindlæser Edge-konfigurationen.

#43. Hvorfor er en ekstern Syslog-server nødvendig for at konfigurere i dit virtuelle miljø?

VMware anbefaler at konfigurere Syslog-servere for at undgå log oversvømmelser på Edge-apparaterne. Når logning er aktiveret, gemmes logfiler lokalt på Edge-enheden og optager plads. Hvis det ikke er markeret, kan dette have en indvirkning på ydeevnen på Edge-apparatet og kan også resultere i, at Edge-apparatet stopper på grund af mangel på diskplads.

Service Komponist

#44. Hvad er sikkerhedspolitikker?

Sikkerhedspolitikker er sæt regler, der gælder for en virtuel maskine, netværk eller firewalltjenester. Sikkerhedspolitikker er genbrugelige regelsæt, der kan anvendes på sikkerhedsgrupper. Sikkerhedspolitikker udtrykker tre typer regelsæt:

  • Endpoint Services: Gæstebaserede tjenester såsom antivirusløsninger og sårbarhedshåndtering
  • Firewall-regler: Distribuerede firewall-politikker
  • Netværksintrospektionstjenester: Netværkstjenester såsom indtrængningsdetektionssystemer og kryptering

Disse regler anvendes på alle objekter og virtuelle maskiner, der er en del af en sikkerhedsgruppe, som denne politik er knyttet til.

Overvågning

#44. Hvad er endepunktsovervågning i NSX?

Endpoint Monitor giver indsigt og synlighed i applikationer, der kører i et operativsystem for at sikre, at sikkerhedspolitikker håndhæves korrekt. Endpoint Monitoring kræver gæst-introspektion for at blive installeret. På virtuelle maskiner skal du installere en gæsteintrospektionsdriver, som er en del af VMware-værktøjsinstallationen.

#45. Hvad er flowovervågning?

NSX Flow-overvågning er en funktion, der tillader detaljeret trafikovervågning til og fra beskyttede virtuelle maskiner. Flowovervågning kan entydigt identificere forskellige maskiner og tjenester, der udveksler data, og, når den er aktiveret, kan den identificere, hvilke maskiner der udveksler data over specifikke applikationer. Flowovervågning tillader også live-overvågning af TCP- og UDP-forbindelser og kan bruges som et effektivt retsmedicinsk værktøj.

Bemærk: Flowovervågning kan kun aktiveres for NSX-implementeringer, hvor en firewall er aktiveret.

#46. Hvad er Traceflow?

Traceflow er et interessant værktøj bygget til at give administratorer mulighed for problemfrit at fejlfinde deres virtuelle netværksmiljø ved at spore et pakkeflow på samme måde som den gamle Packet Tracer-applikation. Traceflow giver dig mulighed for at injicere en pakke i netværket og overvåge dens flow på tværs af netværket. Dette flow giver dig mulighed for at overvåge dit netværk og identificere problemer såsom flaskehalse eller forstyrrelser.

Håndtering af NSX

#48. Hvordan fungerer Syslog-serveren i NSX?

Konfiguration af NSX Manager med en ekstern Syslog-server giver dig mulighed for at indsamle, se og gemme alle logfiler på en central placering. Dette giver dig mulighed for at gemme logfiler til overholdelsesformål; når du bruger et værktøj såsom VMware vRealize Log indsigt, kan du oprette alarmer og bruge den indbyggede søgemaskine til at gennemgå logfiler.

#49. Hvordan fungerer sikkerhedskopiering og gendannelse i NSX?

Sikkerhedskopier er afgørende for et NSX-miljø, der giver dig mulighed for at gendanne dem korrekt under en systemfejl. Udover vCenter kan du også udføre sikkerhedskopiering på NSX Manager, controller-klynger, NSX Edge, firewall-regler og Service Composer. Alle disse kan sikkerhedskopieres og gendannes individuelt.

#50. Hvad er SNMP-fælden?

SNMP-fælder (Simple Network Management Protocol) er advarselsmeddelelser, der sendes fra en ekstern SNMP-aktiveret enhed til en samler. Du kan konfigurere SNMP-agenten til at videresende SNMP-fælder.

Som standard er SNMP-fældemekanismen deaktiveret. Kun kritiske og høje meddelelser sendes til SNMP-manageren, når SNMP-fælden er aktiveret.

Jeg håber du har nydt at læse dette indlæg. Held og lykke med dit interview! 👍