As 50 principais perguntas e respostas de entrevistas sobre o VMware NSX

Por
Twittar
Compartilhar
Compartilhar
Pin

Vejamos algumas perguntas da entrevista do VMware NSX para ajudar candidatos a emprego e profissionais que desejam obter certificação em virtualização de rede.

A VMware adquiriu o NSX da Nicira em julho de 2012, que era usado principalmente para virtualização de rede em um hypervisor baseado em Xen. O NSX abstrai a camada física (virtualiza a rede) para que o software seja executado na parte superior do hipervisor, que é configurado e atualizado dinamicamente. Atualmente, o NSX tem duas versões: NSX-T (projetado para vários hipervisores e aplicativos nativos da nuvem) e NSX-V (projetado apenas para ambientes vSphere).

O NSX é o futuro das infraestruturas de TI modernas que oferece recursos avançados para gerenciar e proteger sua infraestrutura virtual. 82% da Fortune 100 adotou o VMware NSX. Com as empresas adotando rapidamente o VMware NSX, uma força de trabalho experiente está sempre em alta demanda.

Para isso, preparamos algumas perguntas de entrevista com respostas explicativas

Essas perguntas da entrevista são categorizadas nas seguintes áreas técnicas:

  • Conceitos Básicos
  • Componentes principais do NSX
  • Serviços funcionais do NSX
  • Gateway de serviços de borda
  • Compositor de serviço
  • Monitoramento
  • Gerenciando o NSX

últimas postagens

Conceitos básicos do NSX

#1. O que é dissociação?

Um conceito importante de virtualização de rede é a dissociação de software e hardware de rede. O software funciona independentemente do hardware de rede que interconecta fisicamente a infraestrutura. Qualquer hardware de rede que possa interoperar com o software sempre aprimorará a funcionalidade, mas não é necessário. Lembre-se de que o desempenho do hardware de sua rede sempre limitará sua taxa de transferência na rede.

#2. O que é Plano de Controle?

A dissociação de software e hardware de rede permite que você controle melhor sua rede porque toda a lógica reside no software. Esse aspecto de controle da sua rede é chamado de plano de controle. O plano de controle fornece os meios para configurar, monitorar, solucionar problemas e permitir a automação na rede.

#3. O que é plano de dados?

O hardware de rede forma o plano de dados onde todos os dados são encaminhados da origem ao destino. A gestão dos dados reside no plano de controle; no entanto, o plano de dados consiste em todo o hardware de rede cuja função principal é encaminhar o tráfego pela rede da origem ao destino.

#4. O que é o Plano de Gestão?

O plano de gerenciamento consiste principalmente no gerenciador do NSX. O NSX Manager é um componente de gerenciamento de rede centralizado e permite principalmente um único ponto de gerenciamento. Ele também fornece a API REST que um usuário pode usar para executar todas as funções e ações do NSX. Durante a fase de implantação, o plano de gerenciamento é estabelecido quando o dispositivo NSX é implantado e configurado. Este plano de gerenciamento interage diretamente com o plano de controle e também com o plano de dados.

#5. O que é Chaveamento Lógico?

O NSX permite a capacidade de criar comutação lógica L2 e L3 que permite o isolamento da carga de trabalho e a separação do espaço de endereço IP entre as redes lógicas. O NSX pode criar domínios de broadcast lógicos no espaço virtual que evitam a necessidade de criar qualquer rede lógica nos switches físicos. Isso significa que você não está mais limitado a 4.096 domínios físicos de transmissão (VLANs).

#6. O que são serviços de gateway do NSX?

Os serviços do Edge Gateway interconectam suas redes lógicas com suas redes físicas. Isso significa que uma máquina virtual conectada a uma rede lógica pode enviar e receber tráfego diretamente para sua rede física por meio do gateway.

  Você tem Bluetooth no seu PC?

#7. O que é Roteamento Lógico?

Vários domínios de transmissão virtual (redes lógicas) podem ser criados usando o NSX. Como várias máquinas virtuais se inscrevem nesses domínios, torna-se crucial poder rotear o tráfego de um comutador lógico para outro.

#8. O que é o tráfego leste-oeste no roteamento lógico?

O tráfego leste-oeste é o tráfego entre máquinas virtuais em um data center. No contexto atual, normalmente será o tráfego entre switches lógicos em um ambiente VMware.

#9. O que é o Tráfego Norte-Sul?

O tráfego norte-sul é o tráfego que entra e sai do seu data center. É qualquer tráfego que entra ou sai do seu datacenter.

#10. O que é um firewall lógico?

Os firewalls lógicos são de dois tipos: firewall distribuído e firewall de borda. Um firewall distribuído é idealmente implantado para proteger qualquer tráfego leste-oeste, enquanto um firewall Edge protege qualquer tráfego norte-sul. Um firewall lógico distribuído permite criar regras com base em atributos que incluem endereços IP, VLANs, nomes de máquinas virtuais e objetos vCenter. O Edge Gateway possui um serviço de firewall que pode ser usado para impor restrições de segurança e acesso ao tráfego norte-sul.

#11. O que é um balanceador de carga?

O balanceador de carga lógico distribui solicitações de entrada entre vários servidores para permitir a distribuição de carga enquanto abstrai essa funcionalidade dos usuários finais. O balanceador de carga lógico também pode ser usado como mecanismo de alta disponibilidade (HA) para garantir que seu aplicativo tenha o máximo de tempo de atividade. Uma instância do gateway de serviços do Edge deve ser implantada para habilitar o serviço do balanceador de carga.

#12. O que é o Service Composer?

O compositor de serviço permite alocar rede e vários serviços de segurança para grupos de segurança. As máquinas virtuais que fazem parte desses grupos de segurança são alocadas automaticamente para os serviços.

#13. O que é Segurança de Dados?

A segurança de dados do NSX fornece visibilidade de dados confidenciais, garante a proteção de dados e relata quaisquer violações de conformidade. Uma varredura de segurança de dados em máquinas virtuais designadas permite que o NSX analise e relate quaisquer violações com base na política de segurança que se aplica a essas máquinas virtuais.

#14. Máximo de configuração do NSX 6.2

Descrição
Limite
vCenters
1
Gerenciadores do NSX
1
Clusters DRS
12
Controladores NSX
3
Hosts por Cluster
32
Hosts por zona de transporte
256
Chaves Lógicas
10.000
Portas do Switch Lógico
50.000
DLRs por host
1.000
DLR por NSX
1.200
Gateways de serviço de borda por NSX Manager
2.000

Componentes principais do NSX

#15. Definir gerenciador do NSX?

O gerenciador NSX nos permite criar, configurar e gerenciar componentes NSX em um ambiente. O gerenciador NSX fornece uma interface gráfica do usuário e APIs REST que permitem que você interaja com vários componentes NSX. O NSX Manager é uma máquina virtual que você pode baixar como um OVA e implantá-la em qualquer host ESX gerenciado pelo vCenter.

#16. Definir cluster do NSX Controller?

O controlador NSX fornece uma funcionalidade de plano de controle para distribuir roteamento lógico e informações de rede VXLAN para o hypervisor subjacente. Os controladores são implantados como dispositivos virtuais e devem ser implantados no mesmo vCenter NSX Manager conectado. Em um ambiente de produção, é recomendável implantar no mínimo três controladores. Precisamos garantir que as regras de antiafinidade do DRS sejam configuradas para implantar controladores em um host ESXi separado para melhor disponibilidade e escalabilidade.

#17. O que é VXLAN?

VXLAN é um protocolo de tunelamento de camada 2 sobre camada 3 que permite que segmentos de rede lógicos se estendam em redes roteáveis. Isso é obtido encapsulando o quadro Ethernet com cabeçalhos UPD, IP e VXLAN adicionais. Consequentemente, isso aumenta o tamanho do pacote em 50 bytes. Portanto, a VMware recomenda aumentar o tamanho da MTU para um mínimo de 1.600 bytes para todas as interfaces na infraestrutura física e quaisquer vSwitches associados.

#18. O que é VTEP?

Quando uma máquina virtual gera tráfego destinado a outra máquina virtual na mesma rede virtual, os hosts nos quais as máquinas virtuais de origem e destino são executadas são chamados de endpoints de túnel VXLAN (VTEP). Os VTEPs são configurados como interfaces VMKernel separadas nos hosts.

O bloco de cabeçalho IP externo no quadro VXLAN contém os endereços IP de origem e destino que contêm o hipervisor de origem e o hipervisor de destino. Quando um pacote deixa a máquina virtual de origem, ele é encapsulado no hipervisor de origem e enviado ao hipervisor de destino. Ao receber esse pacote, o hipervisor de destino desencapsula o quadro Ethernet e o encaminha para a máquina virtual de destino.

Assim que o NSX Manager preparar o host ESXi, precisamos configurar o VTEP. O NSX oferece suporte a vários VXLAN vmknics por host para recursos de balanceamento de carga de uplink. Além disso, a marcação de VLAN de convidado também é suportada.

#19. Descrever zona de transporte?

Uma zona de transporte define a extensão de um switch lógico em vários clusters ESXi que abrangem vários switches virtuais distribuídos. Uma zona de transporte permite que um comutador lógico se estenda por vários comutadores virtuais distribuídos. Qualquer host ESXi que faça parte dessa zona de transporte pode ter máquinas virtuais como parte dessa rede lógica. Um comutador lógico é sempre criado como parte de uma zona de transporte e os hosts ESXi podem participar deles.

#20. O que é Zona de Transporte Universal?

Uma zona de transporte universal permite que um switch lógico abranja vários hosts em vários vCenters. Uma zona de transporte universal é sempre criada pelo servidor NSX primário e é sincronizada com os gerenciadores NSX secundários.

  Maior realmente significa melhor?

#21. O que é o NSX Edge Services Gateway?

O NSX Edge Services Gateway (ESG) oferece um conjunto rico em recursos de serviços que incluem NAT, roteamento, firewall, balanceamento de carga, VPN L2/L3 e retransmissão DHCP/DNS. A API do NSX permite que cada um desses serviços seja implantado, configurado e consumido sob demanda. Você pode instalar o NSX Edge como um ESG ou como um DLR.

O número de dispositivos Edge, incluindo ESGs e DLRs, é limitado a 250 em um host. O Edge Services Gateway é implantado como uma máquina virtual do NSX Manager, que é acessado usando o vSphere Web Client.

Observação: somente a função de administrador corporativo, que permite operações do NSX e gerenciamento de segurança, pode implantar um gateway de serviços do Edge:

#22. Descrever o firewall distribuído no NSX?

O NSX fornece serviços de firewall com monitoramento de estado L2-L4 usando um firewall distribuído executado no kernel do hipervisor ESXi. Como o firewall é uma função do kernel ESXi, ele oferece uma taxa de transferência massiva e funciona a uma taxa próxima da linha. Quando o NSX prepara inicialmente o host ESXi, o serviço de firewall distribuído é instalado no kernel implantando o VIB do kernel — plataforma de inserção de serviço de interconexão de redes (VSIP) da VMware. O VSIP é responsável por monitorar e impor políticas de segurança em todo o tráfego que flui pelo plano de dados. A taxa de transferência e o desempenho do firewall distribuído (DFW) são dimensionados horizontalmente à medida que mais hosts ESXi são adicionados.

#23. O que é Cross-vCenter NSX?

A partir do NSX 6.2, você pode gerenciar vários ambientes vCenter NSX usando a funcionalidade cross-vCenter. Isso permite que você gerencie vários ambientes vCenter NSX a partir de um único gerenciador NSX principal. Em uma implantação entre vCenters, vários vCenters são emparelhados com seu próprio NSX Manager por vCenter. Um NSX Manager é atribuído como primário, enquanto outros NSX Managers se tornam secundários. Esse gerenciador NSX primário agora pode implantar um cluster de controlador universal que fornece o plano de controle. Ao contrário de uma implantação autônoma do vCenter-NSX, os gerenciadores NSX secundários não implantam seus próprios clusters de controladores.

# 24. O que é uma VPN?

As redes privadas virtuais (VPNs) permitem que você conecte com segurança um dispositivo ou site remoto à sua infraestrutura corporativa. O NSX Edge oferece suporte a três tipos de conectividade VPN. SSL VPN-Plus, IP-SEC VPN e L2 VPN.

#25. O que é SSL VPN-Plus?

O SSL VPN-Plus permite que usuários remotos acessem aplicativos e servidores em uma rede privada com segurança. Existem dois modos nos quais o SSL VPN-Plus pode ser configurado: modo de acesso à rede e modo de acesso à web. No modo de acesso à rede, um usuário remoto pode acessar a rede privada interna com segurança. Isso é feito por um cliente VPN que o usuário remoto baixa e instala em seu sistema operacional. No modo de acesso à web, o usuário remoto pode acessar as redes privadas sem nenhum software cliente VPN.

#26. O que é VPN IPSec?

O gateway de serviço NSX Edge oferece suporte a uma VPN IPSEC site a site que permite conectar uma rede com suporte de gateway de serviços NSX Edge a outro dispositivo no site remoto. O NSX Edge pode estabelecer túneis seguros com sites remotos para permitir o fluxo de tráfego seguro entre sites. O número de túneis que um Edge Gateway pode estabelecer depende do tamanho do Edge Gateway implantado. Antes de configurar a VPN IPsec, certifique-se de que o roteamento dinâmico esteja desabilitado no uplink de borda para permitir rotas específicas definidas para qualquer tráfego VPN.

Observação: certificados autoassinados não podem ser usados ​​com uma VPN IPSEC.

#27. O que é VPN L2

Uma VPN L2 permite estender várias redes lógicas em vários sites. As redes podem ser VLANs tradicionais e VXLANs. Em tal implantação, uma máquina virtual pode se mover entre sites sem alterar seu endereço IP. Uma VPN L2 é implantada como cliente e servidor em que o Edge de destino é o servidor e o Edge de origem é o cliente. Tanto o cliente quanto o servidor aprendem os endereços MAC de sites locais e remotos. Para todos os sites que não são apoiados por um ambiente NSX, um gateway NSX Edge autônomo pode ser implantado.

Serviços funcionais do NSX

#28. Quantos gerenciadores NSX podem ser instalados e configurados em um ambiente cross-vCenter NSX?

Só pode haver um gerenciador NSX primário e até sete gerenciadores NSX secundários. Você pode selecionar um gerenciador NSX primário, após o qual você pode começar a criar objetos universais e implantar clusters de controladores universais também. O cluster do controlador universal fornecerá o plano de controle para o ambiente cross-vCenter NSX. Lembre-se de que em um ambiente cross-vCenter, os gerenciadores NSX secundários não têm seus próprios clusters de controladores.

#29. O que é o pool de IDs de segmento e como atribuí-lo?

Cada túnel VXLAN tem um ID de segmento (VNI) e você deve especificar um pool de IDs de segmento para cada NSX Manager. Todo o tráfego será vinculado ao seu ID de segmento, o que permite o isolamento.

#30. O que é Ponte L2?

Um switch lógico pode ser conectado a uma VLAN de switch físico usando uma ponte L2. Isso permite que você estenda suas redes lógicas virtuais para acessar as redes físicas existentes fazendo a ponte entre a VXLAN lógica e a VLAN física. Essa ponte L2 é realizada usando um roteador lógico NSX Edge que mapeia para uma única VLAN física na rede física.

No entanto, as pontes L2 não devem ser usadas para conectar duas VLANs físicas diferentes ou dois switches lógicos diferentes. Você também não pode usar um roteador lógico universal para configurar a ponte e uma ponte não pode ser adicionada a um comutador lógico universal. Isso significa que em um ambiente multi-vCenter NSX, você não pode estender um switch lógico para uma VLAN física em outro datacenter por meio de ponte L2.

  Mesmo 25 anos depois, o Iomega Zip é inesquecível

Gateway de serviços de borda

#31. O que é Roteamento ECMP (Equal Cost Multi-Path)?

O ECMP permite que o pacote do próximo salto seja encaminhado para um único destino em vários melhores caminhos que podem ser adicionados estaticamente ou dinamicamente usando protocolos de roteamento como OSPF e BGP. Esses vários caminhos são adicionados como valores separados por vírgula ao definir as rotas estáticas.

#32. Quais são os intervalos padrão para BGP diretamente conectado, estático, externo etc.?

O valor varia de 1 a 255 e os intervalos padrão são: Connected (0), Static (1), External BGP (20), OSPF intra-area (30), OSPF inter-area (110) e Internal BGP (200) .

Nota: Qualquer um dos valores acima será inserido em “Admin Distance” editando a configuração do Gateway padrão em Routing Configuration.

#33. O que é Open Shortest Path First (OSPF)?

OSPF é um protocolo de roteamento que usa um algoritmo de roteamento link-state e opera dentro de um único sistema autônomo.

#34. O que é Graceful Restart no OSPF?

O Graceful Restart permite o encaminhamento ininterrupto de pacotes, mesmo se o processo OSPF estiver sendo reiniciado. Isso ajuda no roteamento de pacotes sem interrupções.

#35. O que é a área não tão atarracada (NSSA) no OSPF?

O NSSA impede a inundação de anúncios de estado de link de um sistema autônomo externo, contando com as rotas padrão para destinos externos. Os NSSAs geralmente são colocados na borda de um domínio de roteamento OSPF.

#36. O que é BGP?

O BGP é um protocolo de gateway externo projetado para trocar informações de roteamento entre sistemas autônomos (AS) na Internet. O BGP é relevante para administradores de rede de grandes organizações que se conectam a dois ou mais ISPs e provedores de serviços de Internet que se conectam a outros provedores de rede. Se você é o administrador de uma pequena rede corporativa ou um usuário final, provavelmente não precisa saber sobre o BGP.

#37. O que é Distribuição de Rotas?

Em um ambiente onde vários protocolos de roteamento estão sendo usados, a redistribuição de rota permite o compartilhamento de rota entre protocolos.

#38. O que é balanceador de carga de camada 4?

O balanceador de carga da camada 4 toma decisões de roteamento com base em IPs e portas TCP ou UDP. Ele tem uma visão de pacotes do tráfego trocado entre o cliente e um servidor e toma decisões pacote por pacote. A conexão da camada 4 é estabelecida entre um cliente e um servidor.

#39. O que é o balanceador de carga da camada 7?

Um balanceador de carga de camada 7 toma decisões de roteamento com base em portas IP, TCP ou UDP ou outras informações que pode obter do protocolo de aplicativo (principalmente HTTP). O balanceador de carga da camada 7 atua como um proxy e mantém duas conexões TCP: uma com o cliente e outra com o servidor.

#40. O que é perfil de aplicativo na configuração do balanceador de carga?

Antes de criarmos um servidor virtual para mapear para o pool, precisamos definir um perfil de aplicativo que defina o comportamento de um determinado tipo de tráfego de rede. Quando o tráfego é recebido, o servidor virtual processa o tráfego com base nos valores definidos no perfil. Isso permite maior controle sobre o gerenciamento do tráfego de rede:

#41. O que é a sub-interface?

Uma subinterface, ou uma interface interna, é uma interface lógica que é criada e mapeada para a interface física. As subinterfaces são simplesmente uma divisão de uma interface física em várias interfaces lógicas. Essa interface lógica usa a interface física pai para mover dados. Lembre-se de que você não pode usar subinterfaces para HA porque uma pulsação precisa atravessar uma porta física de um hypervisor para outro entre os dispositivos Edge.

#42. Por que o Force Sync NSX Edge é necessário para o seu ambiente?

Forçar sincronização é um recurso que sincroniza a configuração do Edge do NSX Manager com todos os seus componentes em um ambiente. Uma ação de sincronização é iniciada do NSX Manager para o NSX Edge que atualiza e recarrega a configuração do Edge.

#43. Por que um servidor Syslog remoto é necessário para configurar em seu ambiente virtual?

A VMware recomenda a configuração de servidores Syslog para evitar inundação de logs nos dispositivos Edge. Quando o log está ativado, os logs são armazenados localmente no dispositivo Edge e consomem espaço. Se deixado desmarcado, isso pode ter um impacto no desempenho do dispositivo Edge e também pode resultar na parada do dispositivo Edge devido à falta de espaço em disco.

Compositor de serviço

#44. O que são Políticas de Segurança?

As políticas de segurança são conjuntos de regras que se aplicam a uma máquina virtual, rede ou serviços de firewall. As políticas de segurança são conjuntos de regras reutilizáveis ​​que podem ser aplicados a grupos de segurança. As políticas de segurança expressam três tipos de conjuntos de regras:

  • Endpoint Services: serviços baseados em convidados, como soluções antivírus e gerenciamento de vulnerabilidades
  • Regras de firewall: políticas de firewall distribuídas
  • Serviços de introspecção de rede: Serviços de rede, como sistemas de detecção de intrusão e criptografia

Essas regras são aplicadas a todos os objetos e máquinas virtuais que fazem parte de um security group ao qual essa política está associada.

Monitoramento

#44. O que é monitoramento de endpoints no NSX?

O Endpoint Monitor fornece informações e visibilidade dos aplicativos executados em um sistema operacional para garantir que as políticas de segurança sejam aplicadas corretamente. O Endpoint Monitoring requer que a introspecção do convidado seja instalada. Em máquinas virtuais, você precisará instalar um driver de introspecção de convidado, que faz parte da instalação das ferramentas VMware.

#45. O que é monitoramento de fluxo?

O monitoramento do NSX Flow é um recurso que permite o monitoramento detalhado do tráfego de e para máquinas virtuais protegidas. O monitoramento de fluxo pode identificar exclusivamente diferentes máquinas e serviços que trocam dados e, quando ativado, pode identificar quais máquinas estão trocando dados em aplicativos específicos. O monitoramento de fluxo também permite o monitoramento ao vivo de conexões TCP e UDP e pode ser usado como uma ferramenta forense eficaz.

Observação: o monitoramento de fluxo só pode ser ativado para implantações do NSX em que um firewall está ativado.

#46. O que é Traceflow?

O Traceflow é uma ferramenta interessante criada para permitir que os administradores solucionem problemas de forma transparente em seu ambiente de rede virtual, rastreando um fluxo de pacotes de maneira semelhante ao aplicativo legado do Packet Tracer. O Traceflow permite injetar um pacote na rede e monitorar seu fluxo pela rede. Esse fluxo permite monitorar sua rede e identificar problemas como gargalos ou interrupções.

Gerenciando o NSX

#48. Como o servidor Syslog funciona no NSX?

A configuração do NSX Manager com um servidor Syslog remoto permite coletar, visualizar e salvar todos os arquivos de log em um local central. Isso permite que você armazene logs para fins de conformidade; ao usar uma ferramenta como o VMware vRealize Log insight, você pode criar alarmes e usar o mecanismo de pesquisa integrado para revisar os logs.

#49. Como o backup e a restauração funcionam no NSX?

Os backups são essenciais para um ambiente NSX que permite restaurá-los adequadamente durante uma falha do sistema. Além do vCenter, você também pode executar operações de backup no NSX Manager, clusters de controladores, NSX Edge, regras de firewall e Service Composer. Todos estes podem ser copiados e restaurados individualmente.

#50. O que é a armadilha SNMP?

Traps de protocolo de gerenciamento de rede simples (SNMP) são mensagens de alerta enviadas de um dispositivo remoto habilitado para SNMP para um coletor. Você pode configurar o agente SNMP para encaminhar traps SNMP.

Por padrão, o mecanismo de interceptação SNMP está desabilitado. Somente notificações críticas e de alta gravidade são enviadas ao gerenciador SNMP quando a interceptação SNMP está habilitada.

Espero que você tenha gostado de ler este post. Boa sorte com sua entrevista! 👍