Vom analiza câteva întrebări frecvente la interviurile pentru roluri legate de VMware NSX, utile atât pentru cei aflați în căutarea unui loc de muncă, cât și pentru profesioniștii care aspiră la certificări în virtualizarea rețelelor.
Achiziționat de VMware de la Nicira în iulie 2012, NSX a fost inițial conceput pentru virtualizarea rețelelor în medii bazate pe hypervisorul Xen. Tehnologia NSX abstractizează stratul fizic (virtualizând rețeaua), permițând rularea software-ului deasupra hypervisorului. Această configurație este realizată și actualizată în mod dinamic. În prezent, NSX are două variante: NSX-T, ideal pentru medii multi-hypervisor și aplicații cloud-native, și NSX-V, destinat exclusiv infrastructurilor vSphere.
NSX reprezintă viitorul infrastructurilor IT moderne, oferind funcții avansate pentru gestionarea și securizarea infrastructurii virtuale. Un procent impresionant de 82% dintre companiile din Fortune 100 au adoptat VMware NSX. Odată cu creșterea rapidă a adopției, cererea pentru profesioniști cu experiență în NSX este în continuă creștere.
În acest context, am structurat o serie de întrebări de interviu, însoțite de răspunsuri detaliate pentru a oferi claritate și înțelegere.
Aceste întrebări sunt organizate pe următoarele domenii tehnice:
- Concepte fundamentale
- Componente esențiale ale NSX
- Servicii operaționale NSX
- Servicii de gateway Edge
- Service Composer
- Monitorizare
- Administrare NSX
Concepte de bază ale NSX
#1. Ce implică decuplarea în virtualizarea rețelei?
Decuplarea este un principiu central în virtualizarea rețelei, separând software-ul de hardware-ul rețelei. Astfel, software-ul operează independent de infrastructura fizică de rețea. Orice hardware compatibil va îmbunătăți funcționalitatea, deși nu este o condiție necesară. Este important de reținut că performanța hardware-ului rețelei va influența întotdeauna debitul.
#2. Ce reprezintă Control Plane?
Datorită decuplării, controlul rețelei devine mai eficient, logica fiind gestionată de software. Această componentă, denumită planul de control, permite configurarea, monitorizarea, diagnosticarea și automatizarea rețelei.
#3. Ce rol are Data Plane?
Hardware-ul rețelei formează planul de date, prin care informațiile sunt transmise de la sursă la destinație. Deși gestionarea datelor este responsabilitatea planului de control, planul de date include hardware-ul rețelei, al cărui scop este direcționarea traficului între puncte.
#4. Care este funcția Management Plane?
Planul de management este centrat în jurul NSX Manager, componenta care centralizează gestionarea rețelei. Aceasta oferă un punct unic de control și un API REST pentru a efectua toate operațiunile NSX. Planul de management este inițializat în timpul implementării NSX și interacționează direct cu planul de control și planul de date.
#5. Ce este un comutator logic?
NSX facilitează crearea de comutatoare logice L2 și L3, izolând sarcinile de lucru și separând spațiile de adrese IP între rețelele logice. NSX poate crea domenii de difuzare logice în spațiul virtual, evitând restricțiile impuse de comutatoarele fizice, depășind limita de 4096 de domenii fizice (VLAN-uri).
#6. Ce rol au serviciile NSX Gateway?
Serviciile gateway Edge fac legătura între rețelele logice și cele fizice. Acest lucru permite mașinilor virtuale conectate la o rețea logică să comunice direct cu rețeaua fizică prin intermediul gateway-ului.
#7. Ce este rutarea logică?
NSX permite crearea mai multor domenii de difuzare virtuale (rețele logice). Pe măsură ce tot mai multe mașini virtuale se conectează la aceste domenii, devine esențial să se poată direcționa traficul între comutatoarele logice.
#8. Ce este traficul est-vest în contextul rutării logice?
Traficul est-vest reprezintă comunicarea între mașinile virtuale din același centru de date, de obicei traficul între comutatoarele logice într-un mediu VMware.
#9. Ce reprezintă traficul nord-sud?
Traficul nord-sud se referă la datele care intră și ies din centrul de date, reprezentând orice comunicare care depășește granițele acestuia.
#10. Ce este un firewall logic?
Firewall-urile logice se împart în două categorii: distribuite și Edge. Un firewall distribuit este optim pentru protejarea traficului est-vest, în timp ce un firewall Edge protejează traficul nord-sud. Firewall-ul distribuit permite reguli bazate pe atribute cum ar fi adrese IP, VLAN-uri, nume de mașini virtuale și obiecte vCenter. Gateway-ul Edge oferă un serviciu de firewall pentru a impune restricții de securitate și acces pentru traficul nord-sud.
#11. Cum funcționează un Load Balancer?
Un echilibrator de încărcare logic distribuie cererile primite către mai multe servere, oferind o repartizare a încărcăturii și abstractizarea funcționalității pentru utilizatorii finali. Acesta poate fi utilizat și ca mecanism de înaltă disponibilitate (HA), pentru a asigura timpul maxim de funcționare al aplicației. Serviciul de echilibrare a încărcăturii necesită implementarea unei instanțe de gateway pentru servicii Edge.
#12. Ce rol are Service Composer?
Service Composer permite alocarea mai multor servicii de rețea și securitate unor grupuri de securitate. Serviciile sunt alocate automat mașinilor virtuale care fac parte din aceste grupuri.
#13. Ce implică securitatea datelor NSX?
Securitatea datelor NSX oferă vizibilitate asupra informațiilor sensibile, asigură protecția datelor și raportează orice încălcare a politicilor de conformitate. NSX poate analiza și raporta orice abateri pe baza politicilor de securitate aplicate mașinilor virtuale selectate.
#14. Care sunt limitele de configurare ale NSX 6.2?
| Descriere | Limită |
| vCenters | 1 |
| Manageri NSX | 1 |
| Clustere DRS | 12 |
| Controlere NSX | 3 |
| Gazde per cluster | 32 |
| Gazde pe zonă de transport | 256 |
| Comutatoare logice | 10.000 |
| Porturi logice de comutare | 50.000 |
| DLR-uri per gazdă | 1.000 |
| DLR per NSX | 1.200 |
| Gateway-uri de servicii Edge per NSX Manager | 2.000 |
Componentele de bază NSX
#15. Descrieți NSX Manager.
NSX Manager permite crearea, configurarea și gestionarea componentelor NSX într-un mediu. Acesta oferă o interfață grafică și API-uri REST pentru a interacționa cu diferite componente NSX. NSX Manager este disponibil ca mașină virtuală OVA, care poate fi implementată pe orice gazdă ESX gestionată de vCenter.
#16. Definiți clusterul de controlere NSX.
Controlerul NSX oferă funcționalitate planului de control, distribuind informațiile de rutare logică și rețea VXLAN către hypervisor. Controlerele sunt implementate ca dispozitive virtuale și ar trebui să fie asociate cu același vCenter ca NSX Manager. Pentru un mediu de producție, se recomandă minim trei controlere, configurate cu reguli anti-afinitate DRS, pentru a asigura o disponibilitate și scalabilitate sporită.
#17. Ce este VXLAN?
VXLAN este un protocol de tunel de nivel 2 peste stratul 3, care extinde segmentele de rețea logică peste rețele rutabile. Acest lucru se realizează prin încapsularea cadrului Ethernet cu antete UDP, IP și VXLAN. Această operațiune crește dimensiunea pachetului cu 50 de octeți, recomandându-se creșterea dimensiunii MTU la cel puțin 1600 de octeți pentru toate interfețele și vSwitch-urile asociate din infrastructura fizică.
#18. Ce este un VTEP?
Punctele terminale ale tunelului VXLAN (VTEP) sunt gazdele unde rulează mașinile virtuale sursă și destinație, atunci când o mașină virtuală generează trafic destinat altei mașini din aceeași rețea virtuală. VTEP-urile sunt configurate ca interfețe VMkernel separate pe gazde. Antetul IP exterior din cadrul VXLAN include adresele IP ale hypervisorului sursă și ale hypervisorului destinație. Pachetul este încapsulat la hypervisorul sursă și transmis hypervisorului țintă, unde este decapsulat și trimis mașinii virtuale destinație. NSX permite configurații VTEP multiple per gazdă pentru echilibrarea încărcăturii, precum și etichetarea Guest VLAN.
#19. Descrieți zona de transport.
O zonă de transport definește extinderea unui comutator logic pe mai multe clustere ESXi și comutatoare virtuale distribuite. Orice gazdă ESXi din zona de transport poate avea mașini virtuale ca parte a acelei rețele logice. Un comutator logic este întotdeauna creat ca parte a unei zone de transport.
#20. Ce este zona universală de transport?
Zona universală de transport permite extinderea unui comutator logic pe mai multe gazde, în multiple vCenter. Aceasta este creată de serverul NSX primar și sincronizată cu managerii NSX secundari.
#21. Ce este NSX Edge Services Gateway?
NSX Edge Services Gateway (ESG) oferă o varietate de servicii, precum NAT, rutare, firewall, echilibrare a încărcăturii, VPN L2/L3 și releu DHCP/DNS. API-ul NSX permite implementarea, configurarea și utilizarea acestor servicii la cerere. NSX Edge poate fi instalat ca ESG sau DLR. Numărul de dispozitive Edge, incluzând ESG și DLR, este limitat la 250 pe gazdă. Gateway-ul este implementat ca o mașină virtuală din NSX Manager, accesibil prin clientul web vSphere. Doar administratorii de companie cu permisiuni complete NSX pot implementa un gateway de servicii Edge.
#22. Descrieți paravanul de protecție distribuit în NSX.
NSX oferă servicii firewall L2-L4 cu stare, printr-un firewall distribuit care rulează în nucleul hypervisor ESXi. Acest firewall, fiind o funcție a nucleului, oferă un debit mare și funcționează aproape de viteza liniei. Când NSX pregătește gazda ESXi, serviciul firewall distribuit este instalat în nucleu prin implementarea nucleului VIB – VMware Internetworking Service Insertion Platform (VSIP). VSIP este responsabil pentru monitorizarea și aplicarea politicilor de securitate pentru traficul din planul de date. Debitul firewall-ului distribuit (DFW) crește odată cu adăugarea mai multor gazde ESXi.
#23. Ce este Cross-vCenter NSX?
Începând cu NSX 6.2, funcționalitatea cross-vCenter permite gestionarea mai multor medii vCenter NSX dintr-un singur manager NSX principal. În această implementare, fiecare vCenter este asociat cu propriul manager NSX. Un manager NSX este desemnat ca principal, iar ceilalți devin secundari. Managerul NSX primar poate implementa un cluster de controler universal care oferă planul de control. Spre deosebire de o implementare autonomă vCenter-NSX, managerii NSX secundari nu implementează propriile clustere de controlere.
#24. Ce reprezintă un VPN?
Rețelele private virtuale (VPN) permit conectarea securizată a unui dispozitiv sau site la distanță la infrastructura unei companii. NSX Edge suportă trei tipuri de conectivitate VPN: SSL VPN-Plus, VPN IP-SEC și VPN L2.
#25. Ce este SSL VPN-Plus?
SSL VPN-Plus permite utilizatorilor de la distanță să acceseze securizat aplicații și servere dintr-o rețea privată, prin modurile de acces la rețea sau web. În modul de acces la rețea, se folosește un client VPN pe sistemul de operare al utilizatorului. În modul de acces web, utilizatorul poate accesa rețele private fără a avea instalat un client VPN.
#26. Ce este VPN IPSec?
NSX Edge Services Gateway suportă un VPN IPSEC site-to-site, permițând conectarea unei rețele susținute de un gateway NSX Edge la un dispozitiv de la un site de la distanță. NSX Edge poate stabili tuneluri securizate pentru un flux de trafic securizat între site-uri. Numărul de tuneluri depinde de dimensiunea gateway-ului Edge implementat. Înainte de a configura un VPN IPsec, asigurați-vă că rutarea dinamică este dezactivată pe legătura ascendentă Edge. Certificatele autosemnate nu pot fi utilizate cu un VPN IPSEC.
#27. Ce este un VPN L2?
Un VPN L2 extinde mai multe rețele logice pe mai multe site-uri, fie că sunt VLAN-uri tradiționale sau VXLAN-uri. O mașină virtuală se poate muta între site-uri fără a-și schimba adresa IP. Un VPN L2 este implementat cu un client și un server, unde Edge-ul destinație este serverul, iar Edge-ul sursă este clientul. Atât clientul, cât și serverul învață adresele MAC ale site-urilor locale și de la distanță. Pentru site-urile care nu sunt susținute de NSX, poate fi implementat un gateway NSX Edge autonom.
Servicii funcționale NSX
#28. Câți manageri NSX pot fi configurați într-un mediu cross-vCenter NSX?
Într-un mediu cross-vCenter NSX, poate exista un singur manager NSX principal și până la șapte manageri NSX secundari. După selectarea managerului NSX principal, se pot crea obiecte universale și se poate implementa un cluster de controlere universale, care va oferi planul de control pentru mediul cross-vCenter NSX. Managerii NSX secundari nu au propriile clustere de controlere într-un astfel de mediu.
#29. Ce este un grup de ID-uri de segment și cum se alocă?
Fiecare tunel VXLAN are un ID de segment (VNI). Trebuie specificat un grup de ID de segment pentru fiecare NSX Manager, pentru a permite izolarea traficului, alocând fiecărui flux ID-ul său de segment.
#30. Ce este L2 Bridge?
Un comutator logic poate fi conectat la un VLAN fizic folosind un bridge L2, extinzând rețelele logice virtuale pentru a accesa rețelele fizice prin conectarea VXLAN-ului logic cu VLAN-ul fizic. Această legătură se realizează printr-un router logic NSX Edge care se mapează la un singur VLAN fizic din rețeaua fizică. Nu se recomandă utilizarea bridge-urilor L2 pentru a conecta două VLAN-uri fizice diferite sau două comutatoare logice diferite. Un router logic universal nu poate configura un bridge, iar un bridge nu poate fi adăugat unui comutator logic universal, ceea ce limitează extinderea comutatoarelor logice la VLAN-uri fizice din alte centre de date prin bridge-ul L2 într-un mediu multi-vCenter NSX.
Gateway Servicii Edge
#31. Ce este rutarea Equal Cost Multi-Path (ECMP)?
ECMP permite ca pachetul următorului hop să fie redirecționat spre o destinație folosind mai multe căi valide, adăugate static sau dinamic prin protocoale de rutare precum OSPF și BGP. Aceste căi multiple sunt adăugate ca valori separate prin virgulă în definirea rutelor statice.
#32. Care sunt intervalele implicite pentru BGP conectat direct, static, extern etc.?
Valorile variază de la 1 la 255, iar intervalele implicite sunt: Conectat (0), Static (1), BGP extern (20), intra-zonă OSPF (30), inter-zonă OSPF (110) și BGP intern (200). Orice valoare poate fi modificată în „Distanța de administrare” editând configurația Gateway implicită în Configurarea rutării.
#33. Ce este Open Shortest Path First (OSPF)?
OSPF este un protocol de rutare care utilizează un algoritm de rutare în stare de legătură și funcționează într-un singur sistem autonom.
#34. Ce este Graceful Restart în OSPF?
Graceful Restart permite redirecționarea non-stop a pachetelor chiar și în cazul repornirii procesului OSPF, contribuind la o rutare neîntreruptă a pachetelor.
#35. Ce este Not-So-Stubby Area (NSSA) în OSPF?
NSSA previne inundarea reclamelor privind starea legăturii unui sistem autonom extern, folosind rutele implicite către destinațiile externe. NSSA-urile sunt de obicei plasate la marginea unui domeniu de rutare OSPF.
#36. Ce este BGP?
BGP este un protocol de gateway exterior conceput pentru a schimba informații de rutare între sisteme autonome (AS) de pe internet. Acesta este relevant pentru administratorii de rețea ai organizațiilor mari, care se conectează la doi sau mai mulți furnizori de servicii de internet, precum și pentru furnizorii de internet care se conectează la alți furnizori de rețea. Dacă ești un administrator al unei rețele mici sau un utilizator final, BGP nu este relevant.
#37. Ce este distribuirea rutelor?
În mediile care utilizează mai multe protocoale de rutare, distribuirea rutelor permite partajarea informațiilor de rutare între acestea.
#38. Ce este un echilibrator de încărcare Layer 4?
Un echilibrator de încărcare de nivel 4 decide rutarea pe baza adreselor IP și porturilor TCP sau UDP. Acesta are o vizualizare de pachete a traficului schimbat între client și server, luând decizii la nivel de pachet. Conexiunea de nivel 4 este stabilită între client și server.
#39. Ce este un echilibrator de încărcare Layer 7?
Un echilibrator de încărcare de nivel 7 ia decizii de rutare bazate pe adrese IP, porturi TCP sau UDP sau alte informații obținute din protocolul de aplicație (în principal HTTP). Acesta acționează ca un proxy și menține două conexiuni TCP: una cu clientul și alta cu serverul.
#40. Ce este Profilul aplicației în configurarea Load Balancer?
Înainte de a crea un server virtual pentru a mapa la un pool, este necesar un profil de aplicație, care definește comportamentul unui anumit tip de trafic de rețea. Când traficul este primit, serverul virtual procesează pe baza valorilor definite în profil, permițând un control avansat al gestionării traficului.
#41. Ce este o sub-interfață?
O sub-interfață, sau o interfață internă, este o interfață logică creată și mapată la o interfață fizică. Sub-interfețele sunt, de fapt, diviziuni logice ale unei interfețe fizice în mai multe interfețe logice, care utilizează interfața fizică părinte pentru transferul de date. Nu se recomandă utilizarea sub-interfețelor pentru HA, deoarece un heartbeat trebuie să circule printr-un port fizic între dispozitivele Edge de pe hypervisoare diferite.
#42. De ce este necesară Force Sync NSX Edge?
Sincronizarea forțată este o funcție care sincronizează configurația Edge din NSX Manager cu toate componentele sale dintr-un mediu, actualizând și reîncărcând configurația Edge.
#43. De ce este necesar un server Syslog la distanță?
VMware recomandă configurarea serverelor Syslog pentru a preveni inundarea cu jurnale a dispozitivelor Edge. Când înregistrarea este activată, jurnalele sunt stocate local pe dispozitivul Edge, ocupând spațiu. Dacă spațiul nu este gestionat, se poate afecta performanța dispozitivului Edge sau se poate opri datorită lipsei de spațiu pe disc.
Service Composer
#44. Ce sunt politicile de securitate?
Politicile de securitate sunt seturi de reguli aplicate mașinilor virtuale, rețelelor sau serviciilor de firewall, reutilizabile și aplicabile grupurilor de securitate. Ele exprimă trei tipuri de seturi de reguli: servicii endpoint (ex. antivirus și gestionarea vulnerabilităților), reguli de firewall și servicii de introspecție în rețea (ex. sisteme de detectare a intruziunilor și criptarea). Aceste reguli sunt aplicate tuturor obiectelor și mașinilor virtuale care fac parte dintr-un grup de securitate căruia îi este asociată această politică.
Monitorizarea
#45. Ce este Endpoint Monitoring în NSX?
Endpoint Monitor oferă vizibilitate asupra aplicațiilor care rulează într-un sistem de operare, asigurând aplicarea corectă a politicilor de securitate. Această funcționalitate necesită instalarea introspecției oaspeților, adică a unui driver de introspecție invitat, disponibil prin instalarea instrumentelor VMware.
#46. Ce este monitorizarea fluxului?
Monitorizarea fluxului NSX permite monitorizarea detaliată a traficului către și de la mașinile virtuale protejate. Aceasta poate identifica unic mașinile și serviciile care fac schimb de date și, atunci când este activată, poate determina care mașini comunică prin anumite aplicații. Monitorizarea fluxului permite și monitorizarea în timp real a conexiunilor TCP și UDP și poate fi folosită ca instrument de investigație eficient. Această funcție este disponibilă doar pentru implementările NSX unde este activ un firewall.
#47. Ce este Traceflow?
Traceflow este un instrument conceput pentru a ajuta administratorii să depaneze mediul rețelei virtuale prin urmărirea fluxului de pachete, similar cu aplicația Packet Tracer. Traceflow permite injectarea unui pachet în rețea și monitorizarea fluxului acestuia, identificând blocajele sau întreruperile rețelei.
Gestionarea NSX
#48. Cum funcționează serverul Syslog în NSX?
Configurarea NSX Manager cu un server Syslog la distanță permite colectarea, vizualizarea și stocarea tuturor fișierelor jurnal într-o locație centralizată, util pentru conformitate, crearea alarmelor și analizarea jurnalelor cu instrumente precum VMware vRealize Log Insight.
#49. Cum funcționează backupul și restaurarea în NSX?
Backup-urile sunt esențiale pentru a permite restaurarea corectă a unui mediu NSX în caz de defecțiune a sistemului. Pe lângă vCenter, se pot efectua backup-uri și în NSX Manager, clustere de controlere, NSX Edge, reguli de firewall și Service Composer. Acestea pot fi salvate și restaurate individual.
#50. Ce este o capcană SNMP?
Capcanele protocolului simplu de gestionare a rețelei (SNMP) sunt mesaje de alertă trimise de la un dispozitiv SNMP la distanță către un colector. Agentul SNMP poate fi configurat pentru a transmite aceste capcane. Mecanismul de captare SNMP este dezactivat implicit, iar notificările critice și de mare severitate sunt trimise managerului SNMP doar când capcana SNMP este activată.
Sper că acest articol v-a fost util. Mult succes la interviu! 👍