etechpt.com

VMware NSX: 50 Perguntas e Respostas para Entrevistas e Certificação

Foto do autor

By luis

últimas postagens

Vamos explorar algumas questões cruciais da entrevista sobre VMware NSX, direcionadas a candidatos a emprego e profissionais que almejam certificação em virtualização de redes.

A VMware adquiriu o NSX da Nicira em julho de 2012, uma solução inicialmente focada na virtualização de redes em ambientes Xen. O NSX revoluciona a infraestrutura de rede ao abstrair a camada física, permitindo que o software opere sobre o hipervisor. Essa camada virtual é configurada e atualizada de forma dinâmica. Atualmente, existem duas versões do NSX: o NSX-T, que suporta diversos hipervisores e aplicações nativas da nuvem, e o NSX-V, exclusivo para ambientes vSphere.

O NSX representa o futuro das infraestruturas de TI, oferecendo capacidades avançadas para gerenciar e proteger ambientes virtuais. Uma parcela significativa da Fortune 100, cerca de 82%, já adotou o VMware NSX. Com essa rápida adoção, a demanda por profissionais qualificados nesta área está em constante crescimento.

Para apoiar sua preparação, compilamos uma série de perguntas comuns em entrevistas, acompanhadas de respostas explicativas.

As questões estão organizadas nas seguintes áreas técnicas:

  • Conceitos Fundamentais
  • Componentes Essenciais do NSX
  • Serviços Operacionais do NSX
  • Gateway de Serviços de Borda
  • Service Composer
  • Monitoramento
  • Gerenciamento do NSX

Conceitos Fundamentais do NSX

#1. O que significa dissociação?

Um princípio central da virtualização de redes é a dissociação entre software e hardware. O software opera independentemente da infraestrutura física de rede, que apenas interconecta os componentes. Qualquer hardware compatível com o software pode aprimorar a funcionalidade, mas não é um requisito. É importante lembrar que o desempenho do hardware de rede limitará a taxa de transferência.

#2. Qual o papel do Plano de Controle?

A dissociação entre software e hardware permite um controle mais refinado da rede, com a lógica residindo no software. Este aspecto de controle é o Plano de Controle, que oferece ferramentas para configuração, monitoramento, resolução de problemas e automação da rede.

#3. O que define o Plano de Dados?

O Plano de Dados é formado pelo hardware de rede, responsável pelo encaminhamento dos dados da origem ao destino. A gestão dos dados é feita pelo Plano de Controle, mas a função principal do Plano de Dados é o roteamento do tráfego através da rede.

#4. Qual a função do Plano de Gerenciamento?

O Plano de Gerenciamento é centralizado no NSX Manager, um componente que permite a administração centralizada da rede. Ele também oferece uma API REST para a execução de todas as funções do NSX. O Plano de Gerenciamento é estabelecido durante a implantação e interage diretamente com o Plano de Controle e o Plano de Dados.

#5. O que são Switches Lógicos?

O NSX permite a criação de switches lógicos L2 e L3, que possibilitam o isolamento de cargas de trabalho e a separação de espaços de endereçamento IP entre redes lógicas. O NSX pode criar domínios de broadcast lógicos no espaço virtual, eliminando a necessidade de redes lógicas em switches físicos. Isso também remove a limitação de 4096 domínios de broadcast físicos (VLANs).

#6. O que são serviços de gateway no NSX?

Os serviços de Edge Gateway interligam suas redes lógicas com as físicas, permitindo que máquinas virtuais em redes lógicas troquem tráfego diretamente com a rede física através do gateway.

#7. O que é Roteamento Lógico?

O NSX possibilita a criação de múltiplos domínios de broadcast virtuais (redes lógicas). Com várias máquinas virtuais nesses domínios, o roteamento do tráfego entre os switches lógicos se torna crucial.

#8. O que é tráfego leste-oeste no roteamento lógico?

O tráfego leste-oeste se refere ao tráfego entre máquinas virtuais dentro de um mesmo data center, tipicamente entre switches lógicos em ambientes VMware.

#9. O que caracteriza o Tráfego Norte-Sul?

O tráfego norte-sul é o tráfego que entra e sai do seu data center, representando qualquer tráfego de entrada ou saída.

#10. O que é um firewall lógico?

Os firewalls lógicos se dividem em duas categorias: distribuído e de borda. O firewall distribuído protege o tráfego leste-oeste, enquanto o firewall de borda protege o tráfego norte-sul. Um firewall lógico distribuído permite criar regras baseadas em atributos como endereços IP, VLANs, nomes de máquinas virtuais e objetos vCenter. O Edge Gateway oferece um serviço de firewall para impor restrições de segurança e acesso ao tráfego norte-sul.

#11. O que faz um balanceador de carga?

O balanceador de carga lógico distribui requisições de entrada entre vários servidores, permitindo a distribuição da carga e abstraindo esta funcionalidade dos usuários finais. Ele também pode ser usado como um mecanismo de alta disponibilidade (HA) para garantir a máxima disponibilidade da aplicação. O serviço de balanceamento de carga é habilitado através da implantação de uma instância do gateway de serviços Edge.

#12. Qual a função do Service Composer?

O Service Composer permite a alocação de serviços de rede e segurança a grupos de segurança, com máquinas virtuais sendo automaticamente incluídas nesses serviços.

#13. O que é Segurança de Dados?

A segurança de dados no NSX oferece visibilidade de dados confidenciais, garantindo sua proteção e reportando violações de conformidade. Análises de segurança de dados em máquinas virtuais permitem que o NSX analise e reporte violações com base na política de segurança aplicada.

#14. Quais são os limites de configuração do NSX 6.2?

Aqui está uma tabela com os limites de configuração do NSX 6.2:

Descrição Limite
vCenters 1
Gerenciadores do NSX 1
Clusters DRS 12
Controladores NSX 3
Hosts por Cluster 32
Hosts por zona de transporte 256
Chaves Lógicas 10.000
Portas do Switch Lógico 50.000
DLRs por host 1.000
DLR por NSX 1.200
Gateways de serviço de borda por NSX Manager 2.000

Componentes Principais do NSX

#15. O que é o NSX Manager?

O NSX Manager é a ferramenta que permite a criação, configuração e gerenciamento dos componentes NSX em um ambiente. Ele oferece uma interface gráfica e APIs REST para interação com os diversos componentes. O NSX Manager é uma máquina virtual, disponibilizada como um OVA, que pode ser implantada em qualquer host ESX gerenciado pelo vCenter.

#16. O que é um cluster do NSX Controller?

O cluster do NSX Controller fornece a funcionalidade de plano de controle, distribuindo informações de roteamento lógico e rede VXLAN para o hipervisor. Os controladores são implantados como dispositivos virtuais e precisam ser implementados no mesmo vCenter ao qual o NSX Manager está conectado. Em um ambiente de produção, é recomendado o uso de pelo menos três controladores, com regras de antiafinidade DRS configuradas para garantir a implantação em hosts ESXi separados para melhor disponibilidade e escalabilidade.

#17. O que é VXLAN?

VXLAN é um protocolo de tunelamento de camada 2 sobre camada 3, que possibilita a extensão de segmentos de rede lógicos através de redes roteáveis. Isso é alcançado através do encapsulamento do quadro Ethernet com cabeçalhos UPD, IP e VXLAN adicionais, aumentando o tamanho do pacote em 50 bytes. Por isso, a VMware recomenda o aumento do tamanho da MTU para, no mínimo, 1600 bytes em todas as interfaces da infraestrutura física e quaisquer vSwitches associados.

#18. O que é VTEP?

Quando uma máquina virtual gera tráfego destinado a outra na mesma rede virtual, os hosts onde as máquinas virtuais de origem e destino estão localizadas são chamados de endpoints de túnel VXLAN (VTEP). VTEPs são configurados como interfaces VMKernel separadas nos hosts.

O cabeçalho IP externo no quadro VXLAN contém os endereços IP de origem e destino dos hipervisores envolvidos. Ao sair da máquina virtual de origem, o pacote é encapsulado no hipervisor de origem e enviado ao hipervisor de destino, que desencapsula o quadro Ethernet e o envia para a máquina virtual de destino.

Após a preparação do host ESXi pelo NSX Manager, é preciso configurar o VTEP. O NSX suporta vários vmknics VXLAN por host para recursos de balanceamento de carga de uplink, e também suporta a marcação de VLAN de convidado.

#19. Descreva a Zona de Transporte.

Uma Zona de Transporte define o alcance de um switch lógico em múltiplos clusters ESXi, abrangendo diversos switches virtuais distribuídos. Uma Zona de Transporte permite que um switch lógico se expanda através de vários switches virtuais distribuídos. Qualquer host ESXi pertencente à zona de transporte pode hospedar máquinas virtuais nessa rede lógica. Um switch lógico é sempre criado como parte de uma Zona de Transporte e os hosts ESXi podem participar delas.

#20. O que é uma Zona de Transporte Universal?

Uma Zona de Transporte Universal permite que um switch lógico abranja múltiplos hosts em vários vCenters. Ela é criada pelo servidor NSX primário e sincronizada com os NSX Managers secundários.

#21. O que é o NSX Edge Services Gateway?

O NSX Edge Services Gateway (ESG) oferece um conjunto de serviços abrangente, incluindo NAT, roteamento, firewall, balanceamento de carga, VPN L2/L3 e retransmissão DHCP/DNS. A API do NSX permite a implantação, configuração e consumo sob demanda desses serviços. O NSX Edge pode ser instalado como um ESG ou como um DLR.

O número de dispositivos Edge (ESGs e DLRs) é limitado a 250 por host. O Edge Services Gateway é implantado como uma máquina virtual pelo NSX Manager, acessível via vSphere Web Client.

Atenção: A implantação de um Edge Services Gateway é restrita à função de administrador corporativo, que possui permissões para operações NSX e gerenciamento de segurança.

#22. Descreva o Firewall Distribuído no NSX.

O NSX oferece serviços de firewall com monitoramento de estado L2-L4 através de um firewall distribuído que opera no kernel do hipervisor ESXi. Por ser uma função do kernel, ele oferece alta taxa de transferência e desempenho. Durante a preparação do host ESXi pelo NSX, o serviço de firewall distribuído é instalado através do VIB do kernel, a plataforma de inserção de serviços de interconexão de redes (VSIP) da VMware. O VSIP é responsável pelo monitoramento e aplicação de políticas de segurança no tráfego que flui através do plano de dados. A taxa de transferência e o desempenho do firewall distribuído (DFW) escalam horizontalmente à medida que mais hosts ESXi são adicionados.

#23. O que é Cross-vCenter NSX?

A partir do NSX 6.2, é possível gerenciar múltiplos ambientes vCenter NSX através da funcionalidade cross-vCenter. Isso permite gerenciar vários ambientes vCenter NSX a partir de um único NSX Manager principal. Em uma implantação cross-vCenter, vários vCenters são pareados com seus próprios NSX Managers. Um NSX Manager é designado como primário e os demais como secundários. O NSX Manager primário implanta um cluster de controladores universal, que fornece o plano de controle. Ao contrário de uma implantação autônoma vCenter-NSX, os NSX Managers secundários não implantam seus próprios clusters de controladores.

#24. O que é uma VPN?

Redes privadas virtuais (VPNs) possibilitam a conexão segura de um dispositivo ou site remoto à sua infraestrutura corporativa. O NSX Edge suporta três tipos de conectividade VPN: SSL VPN-Plus, IP-SEC VPN e L2 VPN.

#25. O que é SSL VPN-Plus?

SSL VPN-Plus permite que usuários remotos acessem aplicativos e servidores em uma rede privada com segurança. A configuração do SSL VPN-Plus pode ser feita em dois modos: acesso à rede e acesso à web. No modo de acesso à rede, um cliente VPN, baixado e instalado pelo usuário, garante o acesso seguro à rede privada interna. No modo de acesso à web, o acesso à rede privada pode ser feito sem a necessidade de um software cliente VPN.

#26. O que é VPN IPSec?

O gateway de serviço NSX Edge suporta VPN IPSEC site a site, permitindo a conexão de uma rede com suporte de gateway de serviços NSX Edge a outro dispositivo em um site remoto. O NSX Edge pode estabelecer túneis seguros com sites remotos, garantindo o fluxo de tráfego seguro entre os sites. O número de túneis que um Edge Gateway pode estabelecer depende do tamanho do Edge Gateway implantado. Antes de configurar a VPN IPsec, é importante desabilitar o roteamento dinâmico no uplink de borda, para permitir rotas específicas definidas para o tráfego VPN.

Observação: certificados autoassinados não são compatíveis com VPN IPSEC.

#27. O que é VPN L2?

Uma VPN L2 possibilita a extensão de múltiplas redes lógicas entre vários sites. As redes podem ser VLANs tradicionais ou VXLANs. Com este tipo de implantação, uma máquina virtual pode se mover entre sites sem alteração de endereço IP. Uma VPN L2 é implementada como cliente e servidor, com o Edge de destino atuando como servidor e o Edge de origem como cliente. Tanto o cliente quanto o servidor aprendem os endereços MAC de sites locais e remotos. Para sites sem suporte NSX, um gateway NSX Edge autônomo pode ser implementado.

Serviços Operacionais do NSX

#28. Quantos NSX Managers podem ser instalados e configurados em um ambiente cross-vCenter NSX?

Em um ambiente cross-vCenter NSX, é permitido apenas um NSX Manager primário e até sete NSX Managers secundários. Após a seleção do NSX Manager primário, objetos universais e clusters de controladores universais podem ser criados e implantados. O cluster do controlador universal fornece o plano de controle para o ambiente cross-vCenter NSX. Importante notar que, em um ambiente cross-vCenter, os NSX Managers secundários não possuem seus próprios clusters de controladores.

#29. O que é o pool de IDs de segmento e como atribuí-lo?

Cada túnel VXLAN possui um ID de segmento (VNI) e é necessário especificar um pool de IDs de segmento para cada NSX Manager. Todo o tráfego será vinculado ao seu ID de segmento, permitindo isolamento.

#30. O que é uma Ponte L2?

Um switch lógico pode ser conectado a uma VLAN de switch físico através de uma ponte L2. Isso possibilita a extensão das redes lógicas virtuais para acessar redes físicas existentes, fazendo a ponte entre a VXLAN lógica e a VLAN física. Esta ponte L2 é estabelecida por meio de um roteador lógico NSX Edge, que mapeia para uma única VLAN física na rede física.

As pontes L2 não devem ser usadas para conectar duas VLANs físicas diferentes ou dois switches lógicos diferentes. Também não é possível utilizar um roteador lógico universal para configurar a ponte, e uma ponte não pode ser adicionada a um switch lógico universal. Isso significa que em um ambiente multi-vCenter NSX, não é possível estender um switch lógico para uma VLAN física em outro datacenter através de ponte L2.

Gateway de Serviços de Borda

#31. O que é Roteamento ECMP (Equal Cost Multi-Path)?

O ECMP permite que o pacote do próximo salto seja encaminhado para um único destino através de múltiplos caminhos de menor custo, que podem ser adicionados de forma estática ou dinâmica através de protocolos de roteamento como OSPF e BGP. Esses caminhos são especificados como valores separados por vírgula ao definir rotas estáticas.

#32. Quais são os intervalos padrão para BGP conectado diretamente, estático, externo etc.?

Os valores variam de 1 a 255 e os intervalos padrão são: Conectado (0), Estático (1), BGP externo (20), OSPF intra-área (30), OSPF inter-área (110) e BGP interno (200).

Nota: Qualquer valor acima será inserido em “Admin Distance” ao editar a configuração do Gateway padrão em Routing Configuration.

#33. O que é Open Shortest Path First (OSPF)?

OSPF é um protocolo de roteamento que utiliza um algoritmo de roteamento link-state, operando dentro de um único sistema autônomo.

#34. O que é Graceful Restart no OSPF?

O Graceful Restart permite o encaminhamento ininterrupto de pacotes, mesmo durante a reinicialização do processo OSPF, garantindo a continuidade do roteamento.

#35. O que é área não tão atarracada (NSSA) no OSPF?

A NSSA impede o fluxo de anúncios de estado de link de um sistema autônomo externo, utilizando rotas padrão para destinos externos. As NSSAs são geralmente posicionadas na borda de um domínio de roteamento OSPF.

#36. O que é BGP?

BGP é um protocolo de gateway externo utilizado para a troca de informações de roteamento entre sistemas autônomos (AS) na internet. O BGP é relevante para administradores de rede de grandes organizações com conexões a dois ou mais ISPs e provedores de serviços de internet que se conectam a outros provedores de rede. Se você é um administrador de uma pequena rede corporativa ou usuário final, provavelmente não precisará de conhecimento sobre BGP.

#37. O que é Distribuição de Rotas?

Em um ambiente com múltiplos protocolos de roteamento, a redistribuição de rotas permite o compartilhamento de rotas entre protocolos.

#38. O que é um balanceador de carga de camada 4?

O balanceador de carga de camada 4 toma decisões de roteamento baseadas em IPs e portas TCP ou UDP. Ele analisa os pacotes do tráfego trocado entre o cliente e o servidor e toma decisões pacote por pacote. A conexão da camada 4 é estabelecida entre um cliente e um servidor.

#39. O que é o balanceador de carga da camada 7?

O balanceador de carga de camada 7 toma decisões de roteamento baseadas em portas IP, TCP ou UDP, ou outras informações do protocolo de aplicação, principalmente HTTP. Ele atua como um proxy, mantendo duas conexões TCP: uma com o cliente e outra com o servidor.

#40. O que é um perfil de aplicativo na configuração do balanceador de carga?

Antes de criar um servidor virtual para mapeamento ao pool, é necessário definir um perfil de aplicativo que especifica o comportamento de um tipo específico de tráfego de rede. Ao receber tráfego, o servidor virtual o processa com base nos valores definidos no perfil, permitindo um controle mais refinado da gestão do tráfego de rede.

#41. O que é uma sub-interface?

Uma sub-interface, ou interface interna, é uma interface lógica mapeada para uma interface física. As sub-interfaces são divisões de uma interface física em várias interfaces lógicas, que utilizam a interface física pai para a movimentação de dados. Importante lembrar que sub-interfaces não podem ser usadas para HA, pois a comunicação precisa ocorrer entre portas físicas de diferentes hipervisores.

#42. Por que é necessário o Force Sync NSX Edge em seu ambiente?

Force Sync é um recurso que sincroniza a configuração do Edge do NSX Manager com todos os seus componentes em um ambiente, atualizando e recarregando a configuração do Edge.

#43. Por que configurar um servidor Syslog remoto no ambiente virtual?

A VMware recomenda a configuração de servidores Syslog para evitar o acúmulo de logs nos dispositivos Edge. Com o log ativado, os logs são armazenados localmente no dispositivo Edge, consumindo espaço. Se não controlados, isso pode impactar o desempenho do dispositivo e, eventualmente, levá-lo à paralisação por falta de espaço em disco.

Service Composer

#44. O que são Políticas de Segurança?

Políticas de segurança são conjuntos de regras aplicadas a máquinas virtuais, redes ou serviços de firewall. São conjuntos de regras reutilizáveis aplicadas a grupos de segurança, que abrangem três tipos de regras:

  • Endpoint Services: serviços baseados em convidados, como antivírus e gerenciamento de vulnerabilidades.
  • Regras de firewall: políticas de firewall distribuídas.
  • Serviços de introspecção de rede: serviços de rede como sistemas de detecção de intrusão e criptografia.

As regras são aplicadas a todos os objetos e máquinas virtuais que fazem parte de um security group ao qual esta política está associada.

Monitoramento

#45. O que é monitoramento de endpoints no NSX?

O Endpoint Monitor oferece informações e visibilidade sobre os aplicativos executados em um sistema operacional, assegurando a correta aplicação das políticas de segurança. O Endpoint Monitoring requer a instalação da introspecção do convidado, que inclui um driver de introspecção de convidado instalado como parte das ferramentas VMware.

#46. O que é monitoramento de fluxo?

O monitoramento de fluxo do NSX é um recurso que permite o monitoramento detalhado do tráfego de e para máquinas virtuais protegidas. Ele identifica máquinas e serviços trocando dados e, quando ativado, revela quais máquinas estão trocando dados em aplicativos específicos. O monitoramento de fluxo também permite o monitoramento ao vivo de conexões TCP e UDP e pode ser usado como ferramenta forense.

Importante: O monitoramento de fluxo só pode ser ativado em implantações NSX onde o firewall está ativo.

#47. O que é Traceflow?

Traceflow é uma ferramenta para solucionar problemas na rede virtual, permitindo o rastreamento do fluxo de pacotes de forma similar ao Packet Tracer. O Traceflow permite injetar um pacote na rede e monitorar seu fluxo, auxiliando na identificação de problemas como gargalos ou interrupções.

Gerenciando o NSX

#48. Como funciona o servidor Syslog no NSX?

A configuração do NSX Manager com um servidor Syslog remoto centraliza a coleta, visualização e armazenamento de logs, permitindo o armazenamento para fins de conformidade. O uso de ferramentas como o VMware vRealize Log insight permite a criação de alarmes e a revisão dos logs através do motor de busca integrado.

#49. Como funcionam backup e restauração no NSX?

Backups são cruciais para um ambiente NSX, permitindo sua restauração adequada em caso de falha. Além do vCenter, operações de backup podem ser executadas no NSX Manager, clusters de controladores, NSX Edge, regras de firewall e Service Composer. Todos esses elementos podem ser copiados e restaurados individualmente.

#50. O que é um armadilha SNMP?

Armadilhas de protocolo de gerenciamento de rede simples (SNMP) são mensagens de alerta enviadas por um dispositivo remoto habilitado para SNMP para um coletor. O agente SNMP pode ser configurado para encaminhar as armadilhas SNMP.

Por padrão, o mecanismo de interceptação SNMP é desabilitado. Somente notificações críticas e de alta gravidade são enviadas ao gerenciador SNMP quando a interceptação SNMP está habilitada.

Esperamos que este artigo tenha sido útil para sua preparação. Boa sorte em sua entrevista! 👍

6 Melhores Softwares de Notariado Online para 2024

11 Melhores Keyloggers Ocultos para Android (2024)