50 nejlepších otázek a odpovědí v rámci rozhovoru s VMware NSX

Pojďme se podívat na několik otázek, které se mohou objevit u pohovoru zaměřeného na VMware NSX. Tyto otázky jsou užitečné pro uchazeče o zaměstnání i pro profesionály, kteří se chtějí certifikovat v oblasti virtualizace sítí.

Společnost VMware získala NSX od firmy Nicira v červenci 2012. Původně se NSX používal především pro virtualizaci sítí v hypervizorech založených na Xenu. NSX provádí abstrakci fyzické vrstvy (virtualizuje síť) a umožňuje tak softwaru běžet nad hypervizorem. Tento software se dynamicky konfiguruje a aktualizuje. V současné době existují dvě verze NSX: NSX-T (určený pro multi-hypervizorová a cloudová nativní prostředí) a NSX-V (pouze pro prostředí vSphere).

NSX je považován za budoucnost moderních IT infrastruktur a nabízí rozsáhlé možnosti pro správu a zabezpečení virtuální infrastruktury. 82 % společností ze žebříčku Fortune 100 již přijalo VMware NSX. S rostoucím zájmem podniků o VMware NSX je také vysoká poptávka po zkušených odbornících.

Proto jsme pro vás připravili několik otázek s podrobnými odpověďmi, které vám pomohou při přípravě na pohovor.

Otázky pro pohovor jsou rozděleny do těchto technických oblastí:

• Základní pojmy
• Základní komponenty NSX
• Funkční služby NSX
• Edge Services Gateway
• Service Composer
• Monitorování
• Správa NSX

Základní koncepty NSX

#1. Co je to oddělení?

Důležitým konceptem virtualizace sítí je oddělení softwaru od síťového hardwaru. Software funguje nezávisle na fyzickém síťovém hardwaru, který propojuje infrastrukturu. Jakýkoli síťový hardware, který dokáže se softwarem spolupracovat, může zlepšit funkčnost, ale není to nutné. Je důležité si uvědomit, že propustnost sítě bude vždy omezena výkonem fyzického síťového hardwaru.

#2. Co je Control Plane?

Oddělení softwaru a síťového hardwaru umožňuje lepší řízení sítě, protože veškerá logika se nachází v softwaru. Tento řídicí aspekt sítě se nazývá řídicí rovina (Control Plane). Řídicí rovina poskytuje prostředky pro konfiguraci, monitorování, řešení problémů a umožňuje automatizaci sítě.

#3. Co je Datová rovina?

Datová rovina (Data Plane) je tvořena síťovým hardwarem, kterým jsou přenášena data ze zdroje do cíle. Správa dat je úkolem řídicí roviny. Datová rovina se však skládá z veškerého síťového hardwaru, jehož primárním úkolem je přenášet data po kabelu ze zdroje do cíle.

#4. Co je Management Plane?

Řídicí rovinu primárně tvoří NSX Manager. NSX Manager je centrální bod správy sítě, který umožňuje jednotnou správu. Poskytuje také REST API, které může uživatel použít pro provádění všech funkcí a akcí NSX. Během fáze nasazení se při implementaci a konfiguraci zařízení NSX vytvoří také rovina správy. Tato rovina správy přímo komunikuje s rovinou řízení a datovou rovinou.

#5. Co je Logické přepínání?

NSX umožňuje vytvářet logické přepínače L2 a L3, které izolují pracovní zátěže a oddělují adresní prostory IP mezi logickými sítěmi. NSX dokáže vytvořit logické broadcastové domény ve virtuálním prostoru, čímž odpadá nutnost vytvářet logické sítě na fyzických přepínačích. To znamená, že nejste omezeni na 4096 fyzických broadcastových domén (VLAN).

#6. Co jsou NSX Edge Services?

Služby brány Edge (Edge Services) propojují logické sítě s fyzickými sítěmi. Virtuální počítač připojený k logické síti může prostřednictvím brány odesílat a přijímat provoz přímo do fyzické sítě.

#7. Co je Logické směrování?

Pomocí NSX lze vytvořit více virtuálních broadcastových domén (logických sítí). Vzhledem k tomu, že se k těmto doménám připojuje více virtuálních počítačů, je důležité zajistit možnost směrování provozu mezi logickými přepínači.

#8. Co je provoz East-West v logickém směrování?

Provoz East-West je provoz mezi virtuálními počítači v datovém centru. V kontextu VMware se jedná obvykle o provoz mezi logickými přepínači.

#9. Co je provoz North-South?

Provoz North-South je provoz, který vstupuje do datového centra nebo z něj odchází. Jedná se o veškerý provoz, který proudí dovnitř nebo ven z datového centra.

#10. Co je Logický firewall?

Logické firewally existují ve dvou formách: Distribuovaný firewall a Edge firewall. Distribuovaný firewall se ideálně nasazuje k ochraně provozu East-West, zatímco Edge firewall chrání provoz North-South. Distribuovaný logický firewall umožňuje vytvářet pravidla na základě atributů, které zahrnují IP adresy, VLAN, názvy virtuálních počítačů a objekty vCenter. Brána Edge obsahuje firewallovou službu, která se používá k zabezpečení a omezení přístupu k provozu North-South.

#11. Co je Load Balancer?

Logický nástroj pro vyrovnávání zátěže (Load Balancer) rozděluje příchozí požadavky mezi více serverů, aby rozložil zátěž. Zároveň je tato funkce pro koncové uživatele transparentní. Logický nástroj pro vyrovnávání zátěže může sloužit také jako mechanismus vysoké dostupnosti (HA) a zajistit maximální dostupnost aplikací. Pro spuštění služby vyrovnávání zátěže je nutné nasadit instanci Edge Services Gateway.

#12. Co je Service Composer?

Service Composer umožňuje přiřazovat síťové a bezpečnostní služby do skupin zabezpečení. Virtuálním počítačům, které jsou členy těchto skupin, jsou automaticky přiřazeny odpovídající služby.

#13. Co je Zabezpečení dat?

Zabezpečení dat NSX (Data Security) poskytuje přehled o citlivých datech, zajišťuje jejich ochranu a generuje hlášení o případných porušeních předpisů. Kontrola zabezpečení dat na určených virtuálních počítačích umožňuje NSX analyzovat a hlásit porušení na základě bezpečnostních zásad, které pro dané virtuální počítače platí.

#14. Maximální konfigurace NSX 6.2

Základní komponenty NSX

#15. Definovat NSX Manager?

NSX Manager umožňuje vytvářet, konfigurovat a spravovat komponenty NSX v prostředí. NSX Manager poskytuje grafické uživatelské rozhraní a REST API pro interakci s různými komponentami NSX. NSX Manager je virtuální stroj, který lze stáhnout jako OVA a nasadit na libovolného hostitele ESX spravovaného vCenter.

#16. Definovat NSX Controller Cluster?

NSX Controller zajišťuje řídicí rovinu pro distribuci informací o logickém směrování a síti VXLAN do podkladového hypervizoru. Řadiče jsou nasazovány jako virtuální zařízení a měly by se nacházet ve stejném vCenter, ke kterému je připojen NSX. Pro produkční prostředí doporučujeme nasadit minimálně tři řadiče. Je také důležité zajistit, aby byla pro řadiče nakonfigurována pravidla afinity DRS, pro jejich nasazení na samostatné hostitele ESXi, čímž se zlepší dostupnost a škálovatelnost.

#17. Co je VXLAN?

VXLAN je tunelovací protokol vrstvy 2 přes vrstvu 3, který umožňuje rozšíření segmentů logické sítě do směrovatelných sítí. Toho se dosahuje zapouzdřením ethernetového rámce s dalšími hlavičkami UDP, IP a VXLAN. Zvětšuje se tak velikost paketu o 50 bajtů. VMware proto doporučuje zvýšit velikost MTU na minimálně 1600 bajtů pro všechna rozhraní fyzické infrastruktury a související vSwitche.

#18. Co je VTEP?

Když virtuální stroj generuje provoz určený pro jiný virtuální stroj ve stejné virtuální síti, hostitelé, na kterých běží zdrojové a cílové virtuální stroje, se nazývají koncové body tunelu VXLAN (VTEP). VTEP jsou na hostitelích konfigurovány jako samostatná rozhraní VMkernel.

Vnější blok hlavičky IP v rámci VXLAN obsahuje zdrojové a cílové IP adresy, které obsahují zdrojový hypervizor a cílový hypervizor. Když paket opustí zdrojový virtuální počítač, je zapouzdřen ve zdrojovém hypervizoru a odeslán do cílového hypervizoru. Po přijetí paketu cílový hypervizor dekapsuluje ethernetový rámec a předá jej cílovému virtuálnímu počítači.

Po přípravě hostitele ESXi pomocí NSX Manager je potřeba nakonfigurovat VTEP. NSX podporuje více VXLAN vmknic na hostitele pro vyrovnávání zátěže uplinku. Podporováno je také značkování Guest VLAN.

#19. Popište dopravní zónu?

Dopravní zóna (Transport zone) definuje rozšíření logického přepínače přes více klastrů ESXi, které pokrývají několik virtuálních distribuovaných přepínačů. Umožňuje, aby se logický přepínač rozšířil přes více virtuálních distribuovaných přepínačů. Všichni hostitelé ESXi, kteří jsou součástí této transportní zóny, mohou mít virtuální počítače jako součást této logické sítě. Logický přepínač je vždy vytvářen jako součást transportní zóny a hostitelé ESXi se mohou připojit.

#20. Co je Univerzální dopravní zóna?

Univerzální transportní zóna umožňuje logickému přepínači pokrýt více hostitelů v několika vCenter. Univerzální transportní zóna je vždy vytvářena primárním serverem NSX a je synchronizována se sekundárními NSX managery.

#21. Co je NSX Edge Services Gateway?

NSX Edge Services Gateway (ESG) nabízí rozsáhlou sadu služeb, včetně NAT, směrování, firewallu, vyvažování zátěže, L2/L3 VPN a DHCP/DNS relay. NSX API umožňuje nasadit, konfigurovat a používat všechny tyto služby na vyžádání. NSX Edge lze instalovat jako ESG nebo jako DLR.

Počet zařízení Edge, včetně ESG a DLR, je omezen na 250 na hostitele. Brána Edge Services Gateway se nasazuje jako virtuální počítač z NSX Manager, ke kterému se přistupuje pomocí vSphere Web Client.

Poznámka: Bránu služeb Edge může nasadit pouze role podnikového administrátora, která umožňuje provoz NSX a správu zabezpečení.

#22. Popište distribuovaný firewall v NSX?

NSX poskytuje služby stavového firewallu L2-L4 pomocí distribuovaného firewallu, který běží v jádru hypervizoru ESXi. Vzhledem k tomu, že firewall je funkcí jádra ESXi, nabízí obrovskou propustnost a pracuje s rychlostí blízkou linkové rychlosti. Při první přípravě hostitele ESXi s NSX je služba distribuovaného firewallu instalována do jádra nasazením VIB — VMware internetworking service insertion platform (VSIP). VSIP je zodpovědný za monitorování a vynucování bezpečnostních zásad u veškerého provozu procházejícího datovou rovinou. Propustnost a výkon distribuovaného firewallu (DFW) se horizontálně škálují s přibývajícími hostiteli ESXi.

#23. Co je Cross-vCenter NSX?

Počínaje verzí NSX 6.2 je možné spravovat více prostředí vCenter NSX pomocí funkce cross-vCenter. Tato funkce umožňuje spravovat více prostředí vCenter NSX z jediného primárního NSX Manageru. V nasazení cross-vCenter je několik vCenter spárováno s vlastním NSX Managerem ve vCenter. Jeden NSX manager je nastaven jako primární, zatímco ostatní se stávají sekundárními. Primární NSX manager může nasadit univerzální cluster řadičů, který poskytuje řídicí rovinu. Na rozdíl od samostatných nasazení vCenter-NSX, sekundární NSX managery nenasazují vlastní clustery řadičů.

#24. Co je VPN?

Virtuální privátní sítě (VPN) umožňují bezpečné připojení vzdáleného zařízení nebo lokality k podnikové infrastruktuře. NSX Edge podporuje tři typy připojení VPN: SSL VPN-Plus, IP-SEC VPN a L2 VPN.

#25. Co je SSL VPN-Plus?

SSL VPN-Plus umožňuje vzdáleným uživatelům bezpečný přístup k aplikacím a serverům v privátní síti. SSL VPN-Plus lze konfigurovat ve dvou režimech: režim přístupu k síti a režim přístupu na web. V režimu síťového přístupu může vzdálený uživatel bezpečně přistupovat k interní privátní síti. To se provádí pomocí VPN klienta, kterého si vzdálený uživatel stáhne a nainstaluje do svého operačního systému. V režimu webového přístupu má vzdálený uživatel přístup k privátním sítím bez jakéhokoli klientského softwaru VPN.

#26. Co je IPSec VPN?

NSX Edge Services Gateway podporuje síťovou IPSEC VPN typu site-to-site, která umožňuje připojit síť spravovanou NSX Edge Services Gateway k jinému zařízení na vzdáleném místě. NSX Edge dokáže vytvořit zabezpečené tunely se vzdálenými lokalitami, což umožní bezpečný tok provozu mezi lokalitami. Počet tunelů, které může brána Edge vytvořit, závisí na velikosti nasazené brány Edge. Před konfigurací IPsec VPN je nutné zajistit, aby bylo na uplinku Edge zakázáno dynamické směrování a povolily se specifické trasy definované pro veškerý VPN provoz.

Poznámka: S IPSEC VPN nelze používat certifikáty s vlastním podpisem.

#27. Co je L2 VPN?

L2 VPN umožňuje rozšířit více logických sítí do několika lokalit. Sítě mohou být jak tradiční VLAN, tak VXLAN. V takovémto nasazení se virtuální stroj může přesouvat mezi lokalitami, aniž by musel měnit svoji IP adresu. L2 VPN se nasazuje jako klient a server, kde je cílový Edge server a zdrojový Edge je klient. Klient i server se učí MAC adresy místních i vzdálených lokalit. Pro všechny lokality, které nejsou spravované prostředím NSX, lze nasadit samostatnou bránu NSX Edge.

Funkční služby NSX

#28. Kolik NSX Managerů lze nainstalovat a nakonfigurovat v prostředí NSX cross-vCenter?

Může existovat pouze jeden primární NSX Manager a až sedm sekundárních NSX Managerů. Po výběru primárního NSX managera je možné začít vytvářet univerzální objekty a nasazovat také univerzální clustery řadičů. Univerzální cluster řadičů bude poskytovat řídicí rovinu pro prostředí cross-vCenter NSX. Je důležité si uvědomit, že v prostředí cross-vCenter nemají sekundární NSX managery vlastní clustery řadičů.

#29. Co je Segment ID Pool a jak jej přiřadit?

Každý tunel VXLAN má ID segmentu (VNI) a pro každého NSX managera je nutné zadat Segment ID Pool. Veškerý provoz bude svázán s jeho ID segmentu, což umožňuje izolaci.

#30. Co je L2 Bridge?

Logický přepínač lze pomocí L2 bridge připojit k fyzickému přepínači VLAN. To umožňuje rozšířit virtuální logické sítě pro přístup ke stávajícím fyzickým sítím propojením logické VXLAN s fyzickou VLAN. Toto L2 přemostění se provádí pomocí logického směrovače NSX Edge, který je mapován na jednu fyzickou VLAN ve fyzické síti.

Mosty L2 by se neměly používat k propojení dvou různých fyzických VLAN nebo dvou různých logických přepínačů. Pro konfiguraci přemostění nelze použít univerzální logický směrovač a most nelze přidat k univerzálnímu logickému přepínači. To znamená, že v multi-vCenter NSX prostředí není možné pomocí L2 bridge rozšířit logický přepínač do fyzické VLAN v jiném datovém centru.

Edge Services Gateway

#31. Co je směrování ECMP (Equal Cost Multi-Path)?

ECMP umožňuje předávání paketů do jednoho cíle více optimálními cestami, které lze přidat staticky nebo dynamicky pomocí směrovacích protokolů, jako jsou OSPF a BGP. Vícenásobné cesty se přidávají jako hodnoty oddělené čárkami při definování statických tras.

#32. Jaké jsou výchozí rozsahy pro Direct Connected, Static, External BGP atd.?

Rozsah hodnot je 1 až 255 a výchozí rozsahy jsou: Direct Connected (0), Static (1), External BGP (20), OSPF intra-area (30), OSPF inter-area (110) a Internal BGP (200).

Poznámka: Libovolná z výše uvedených hodnot bude vložena do „Administrativní vzdálenosti“ úpravou výchozí brány v konfiguraci směrování.

#33. Co je Open Shortest Path First (OSPF)?

OSPF je směrovací protokol, který využívá link-state směrovací algoritmus a funguje v rámci jednoho autonomního systému.

#34. Co je Graceful Restart v OSPF?

Graceful Restart umožňuje nepřetržité předávání paketů i během restartu procesu OSPF. Pomáhá tak zajistit nerušivé směrování paketů.

#35. Co je Not-So-Stubby Area (NSSA) v OSPF?

NSSA zabraňuje zahlcení externími inzeráty stavu spojení autonomního systému tím, že se spoléhá na výchozí trasy k externím cílům. NSSA se obvykle nacházejí na okraji směrovací domény OSPF.

#36. Co je BGP?

BGP je protokol vnější brány určený k výměně informací o směrování mezi autonomními systémy (AS) na internetu. BGP je relevantní pro síťové administrátory velkých organizací, které se připojují ke dvěma nebo více ISP, a pro poskytovatele internetových služeb, kteří se připojují k jiným síťovým providerům. Pokud jste administrátor malé podnikové sítě nebo koncový uživatel, pak pravděpodobně BGP nepotřebujete znát.

#37. Co je Redistribuce tras?

V prostředí, kde se používá více směrovacích protokolů, redistribuce směrování umožňuje sdílení směrování mezi protokoly.

#38. Co je Layer 4 Load Balancer?

Load Balancer vrstvy 4 (Layer 4) rozhoduje o směrování na základě IP adres a portů TCP nebo UDP. Má pohled na provoz na úrovni paketů a rozhoduje na základě jednotlivých paketů. Spojení vrstvy 4 je vytvářeno mezi klientem a serverem.

#39. Co je Layer 7 Load Balancer?

Load Balancer vrstvy 7 (Layer 7) rozhoduje o směrování na základě IP adres, portů TCP nebo UDP nebo jiných informací, které získává z aplikačního protokolu (především HTTP). Load balancer vrstvy 7 funguje jako proxy a udržuje dvě TCP spojení: jedno s klientem a jedno se serverem.

#40. Co je Aplikační profil při konfiguraci Load Balanceru?

Před vytvořením virtuálního serveru pro mapování do fondu je nutné definovat aplikační profil, který definuje chování konkrétního typu síťového provozu. Když je přijat provoz, virtuální server jej zpracuje na základě hodnot definovaných v profilu. To umožňuje větší kontrolu nad správou síťového provozu.

#41. Co je Podrozhraní?

Podrozhraní nebo také dílčí rozhraní je logické rozhraní, které je vytvořeno a namapováno na fyzické rozhraní. Podrozhraní jsou jednoduše rozdělením fyzického rozhraní na několik logických rozhraní. Logické rozhraní používá nadřazené fyzické rozhraní pro přesun dat. Je důležité si pamatovat, že pro HA nelze použít dílčí rozhraní, protože srdeční tep musí procházet fyzickým portem z jednoho hypervizoru do druhého mezi zařízeními Edge.

#42. Proč je nutné Force Sync NSX Edge pro vaše prostředí?

Force Sync je funkce, která synchronizuje konfiguraci Edge z NSX Manageru se všemi jeho komponentami v prostředí. Akce synchronizace se spouští z NSX Manager do NSX Edge, což obnovuje a znovu načítá konfiguraci Edge.

#43. Proč je ve vašem virtuálním prostředí nutný vzdálený Syslog server?

VMware doporučuje konfigurovat Syslog servery, aby se zabránilo zahlcení logů na zařízeních Edge. Když je protokolování povoleno, logy se ukládají lokálně na zařízení Edge a zabírají diskový prostor. Pokud se protokoly neodesílají na externí server, může to ovlivnit výkon zařízení Edge a vést k zastavení zařízení Edge z důvodu nedostatku diskového prostoru.

Service Composer

#44. Co jsou Bezpečnostní zásady?

Bezpečnostní zásady (Security Policy) jsou sady pravidel, která platí pro virtuální počítače, sítě nebo firewallové služby. Zásady zabezpečení jsou opakovaně použitelné sady pravidel, které lze použít na skupiny zabezpečení. Bezpečnostní zásady definují tři typy sad pravidel:

• Služby koncových bodů: Služby hostů, jako jsou antivirová řešení a správa zranitelností.
• Firewallová pravidla: Distribuované zásady firewallu.
• Služby síťové introspekce: Síťové služby, jako jsou systémy detekce průniku a šifrování.

Tato pravidla platí pro všechny objekty a virtuální počítače, které jsou součástí skupiny zabezpečení, ke které je daná zásada přiřazena.

Monitorování

#45. Co je Endpoint Monitoring v NSX?

Endpoint Monitoring poskytuje přehled a viditelnost aplikací spuštěných v rámci operačního systému, aby se zajistilo správné vynucování bezpečnostních zásad. Endpoint Monitoring vyžaduje instalaci guest introspekce. Na virtuálních počítačích je nutné nainstalovat ovladač pro guest introspekci, který je součástí instalace VMware Tools.

#46. Co je sledování toku?

NSX Flow monitoring je funkce, která umožňuje podrobné sledování provozu do a z chráněných virtuálních počítačů. Sledování toku dokáže jednoznačně identifikovat různé stroje a služby, které si vyměňují data a pokud je povoleno, dokáže určit, které stroje si vyměňují data prostřednictvím konkrétních aplikací. Flow monitoring také umožňuje živé sledování TCP a UDP spojení a může být použit jako efektivní forenzní nástroj.

Poznámka: Sledování toku lze zapnout pouze pro nasazení NSX, kde je povolen firewall.

#47. Co je Traceflow?

Traceflow je nástroj určený k tomu, aby administrátoři mohli snadno odstraňovat problémy ve svém virtuálním síťovém prostředí. Umožňuje sledování toku paketů podobným způsobem jako starší aplikace Packet Tracer. Traceflow umožňuje vložit paket do sítě a sledovat jeho tok. Tento tok umožňuje monitorovat síť a identifikovat případné problémy, jako jsou úzká hrdla nebo přerušení spojení.

Správa NSX

#48. Jak funguje Syslog server v NSX?

Konfigurace NSX Manageru se vzdáleným Syslog serverem umožňuje shromažďovat, prohlížet a ukládat všechny log soubory do centrálního umístění. To umožňuje ukládání logů pro účely dodržování předpisů. Při použití nástroje jako je VMware vRealize Log Insight je možné vytvářet alarmy a používat vestavěný vyhledávač k prohlížení logů.

#49. Jak funguje zálohování a obnova v NSX?

Zálohování je klíčové pro prostředí NSX, protože umožňuje případnou obnovu během selhání systému. Kromě vCenter je také možné provádět operace zálohování NSX Manageru, clusterů řadičů, NSX Edge, firewallových pravidel a Service Composeru. Všechny tyto komponenty lze zálohovat a obnovovat jednotlivě.

#50. Co je SNMP Trap?

SNMP (Simple Network Management Protocol) Traps jsou varovné zprávy odesílané ze vzdáleného zařízení s podporou SNMP do kolektoru. SNMP agenta lze nakonfigurovat tak, aby forwardoval SNMP Traps.

Mechanismus SNMP Trap je ve výchozím nastavení zakázán. Pokud je SNMP Trap povolen, do SNMP manageru se odesílají pouze kritická a vysoce závažná upozornění.

Doufám, že se vám tento článek líbil. Přeji hodně štěstí u vašeho pohovoru! 👍