前50个VMware NSX面试问题和答案
让我们来看看一些VMware NSX面试问题,以帮助求职者和希望获得网络虚拟化认证的专业人士。
VMware于2012年7月从Nicira收购了NSX,该产品主要用于基于Xen的虚拟化中的网络虚拟化。NSX将物理层抽象(虚拟化网络),使软件在虚拟机监视器的顶部运行,可以进行动态配置和更新。目前,NSX有两个版本:NSX-T(设计用于多虚拟机监视器和云原生应用程序)和NSX-V(仅设计用于vSphere环境)。
NSX是现代IT基础设施的未来,为管理和保护您的虚拟基础设施提供了丰富的功能。财富100强中有82%采用了VMware NSX。随着企业快速采用VMware NSX,对经验丰富的人才需求一直很高。
为此,我们准备了一些带有解释性答案的面试问题。
这些面试问题按以下技术领域分类:
- 基本概念
- NSX核心组件
- NSX功能服务
- 边缘服务网关
- 服务组合器
- 监控
- NSX管理
NSX的基本概念
#1. 什么是解耦?
网络虚拟化的一个重要概念是软件和硬件的解耦。软件独立于物理互连基础设施上的网络硬件工作。任何能够与软件进行互操作的网络硬件都将增强功能,但这并非必需。请记住,网络硬件性能将始终限制线上的吞吐量。
#2. 什么是控制平面?
软件和网络硬件的解耦使您能够更好地控制网络,因为所有逻辑都驻留在软件中。您网络的这种控制方面称为控制平面。控制平面提供了配置、监视、故障排除和允许对网络进行自动化的手段。
#3. 什么是数据平面?
网络硬件形成数据平面,其中所有数据从源传送到目的地。数据的管理驻留在控制平面中;然而,数据平面由所有主要功能是从源到目的地在线传输流量的网络硬件组成。
#4. 什么是管理平面?
管理平面主要由NSX管理器组成。NSX管理器是一个集中的网络管理组件,主要允许单个管理点。它还提供了REST API,用户可以使用该API执行所有NSX功能和操作。在部署阶段,当部署和配置NSX设备时,管理平面就建立起来。该管理平面直接与控制平面和数据平面互动。
#5. 什么是逻辑交换?
NSX允许创建L2和L3逻辑交换,实现工作负载隔离和逻辑网络之间的间隔。NSX可以在虚拟空间中创建逻辑广播域,无需在物理交换机上创建任何逻辑网络。这意味着您不再受限于4096个物理广播域(VLAN)。
#6. 什么是NSX网关服务?
边缘网关服务将您的逻辑网络与物理网络相互连接。这意味着连接到逻辑网络的虚拟机可以通过网关直接与物理网络发送和接收流量。
#7. 什么是逻辑路由?
可以使用NSX创建多个虚拟广播域(逻辑网络)。由于多个虚拟机订阅了这些域,因此能够从一个逻辑交换机路由流量到另一个逻辑交换机变得至关重要。
#8. 什么是逻辑路由中的东西流量?
东西向流量是数据中心内虚拟机之间的流量。在当前环境中,这通常是
#9. 什么是南北流量?
南北流量是进出数据中心的流量。这是任何进入或离开数据中心的流量。
#10. 什么是逻辑防火墙?
逻辑防火墙有两种类型:分布式防火墙和边缘防火墙。分布式
#11. 什么是负载均衡器?
逻辑负载均衡器将传入的请求分发给多个服务器,以实现负载分布,同时将此功能从终端用户中抽象出来。逻辑负载均衡器还可以作为保证应用程序正常运行的高可用性(HA)机制。必须部署边缘服务网关实例才能启用负载均衡器服务。
#12. 什么是服务组合器?
服务组合器允许您为安全组分配网络和多个安全服务。属于这些安全组的虚拟机将自动分配这些服务。
#13. 什么是数据安全?
NSX数据安全提供对敏感数据的可见性,确保数据保护,并报告任何合规违规行为。对指定虚拟机进行数据安全扫描,使NSX能够基于适用于这些虚拟机的安全策略进行分析和报告任何违规行为。
#14. NSX 6.2的配置最大值
| 描述 | 限制 |
| vCenters | 1 |
| NSX管理器 | 1 |
| DRS集群 | 12 |
| NSX控制器 | 3 |
| 每个集群的主机 | 32 |
| 每个传输区的主机 | 256 |
| 逻辑交换机 | 10,000 |
| 逻辑 | 50,000 |
| 每个主机的DLR | 1,000 |
| 每个NSX的DLR | 1,200 |
| 每个NSX管理器的边缘服务网关 | 2,000 |
NSX核心组件
#15. 定义NSX管理器?
NSX管理器允许我们在环境中创建、配置和管理NSX组件。NSX管理器提供图形用户界面和REST API,使您能够与各种NSX组件进行交互。NSX管理器是一个虚拟机,您可以将其作为OVA下载并部署在任何由vCenter管理的ESX主机上。
#16. 定义NSX控制器集群?
NSX控制器提供控制平面功能,将逻辑路由和VXLAN网络信息分发到底层的超级管理程序。控制器部署为虚拟设备,并应部署在与NSX管理器相连的同一vCenter中。在生产环境中,建议至少部署三个控制器。我们需要确保配置DRS反亲和规则,以在单独的ESXi主机上部署控制器以提高可用性和可扩展性。
#17. 什么是VXLAN?
VXLAN是一种在可路由网络上扩展逻辑网络段的二层覆盖三层隧道协议。通过在以太网帧上封装附加的UPD、IP和VXLAN头部来实现。因此,这会增加数据包的大小50个字节。因此,VMware建议将物理基础设施和任何关联的vSwitches上所有接口的MTU大小增加到最小1600个字节。
#18. VTEP是什么?
当一个虚拟机生成的流量是为了在同一虚拟网络上的另一个虚拟机而生成的,源虚拟机和目标虚拟机所在的主机被称为VXLAN隧道端点(VTEP)。 VTEP被配置为主机上的单独VMKernel接口。
VXLAN帧中的外部IP头块包含源和目标IP地址,其中包含源超级处理器和目标超级处理器。当数据包离开源虚拟机时,它在源超级处理器处封装并发送到目标超级处理器。在接收到此数据包时,目标超级处理器解封装以太网帧并将其转发到目标虚拟机。
一旦NSX Manager准备好ESXi主机,我们需要配置VTEP。 NSX支持每个主机的多个VXLAN vmknics以进行上行负载平衡功能。除此之外,还支持客户VLAN标记。
#19. 描述传输区域是什么?
传输区域定义了跨多个ESXi集群的逻辑交换机的扩展,这些集群跨越多个虚拟分布式交换机。传输区域使逻辑交换机在多个虚拟分布式交换机上进行扩展。属于该传输区域的任何ESXi主机都可以作为该逻辑网络的一部分拥有虚拟机。逻辑交换机始终作为传输区域的一部分创建,ESXi主机可以参与其中。
#20. 什么是通用传输区域?
通用传输区域允许逻辑交换机跨多个主机和多个vCenters。通用传输区域始终由主NSX服务器创建,并与次要NSX管理器同步。
#21. NSX Edge服务网关是什么?
NSX Edge服务网关(ESG)提供了一套功能丰富的服务,包括NAT、路由、防火墙、负载均衡、L2/L3 VPN和DHCP/DNS中继。NSX API允许部署、配置和按需使用这些服务。您可以将NSX Edge安装为ESG或DLR。
主机上的Edge设备数量,包括ESG和DLR,限制为250个。Edge服务网关是从NSX管理器部署的虚拟机,可以使用vSphere Web客户端访问。
注意:只有企业管理员角色可以部署Edge服务网关,该角色允许进行NSX操作和安全管理。
#22. 描述NSX中的分布式防火墙是什么?
NSX使用运行在ESXi hypervisor内核中的分布式防火墙提供L2-L4有状态防火墙服务。由于防火墙是ESXi内核的功能,它具有巨大的吞吐量,并且以接近线速的速度运行。当NSX最初准备ESXi主机时,通过部署内核VIB(VMware internetworking service insertion platform,VSIP)在内核中安装分布式防火墙服务。VSIP负责对数据平面中的所有流量进行安全策略的监控和实施。随着增加更多的ESXi主机,分布式防火墙(DFW)的吞吐量和性能会水平扩展。
#23. 什么是跨vCenter NSX?
跨vCenter NSX允许逻辑交换机跨多个主机和多个vCenter。主NSX服务器创建通用传输区域,并与次要NSX管理器同步。
从NSX 6.2开始,您可以使用跨vCenter功能管理多个vCenter NSX环境。这使您可以从单个主要NSX管理器管理多个vCenter NSX环境。在跨vCenter部署中,多个vCenter都与自己的NSX管理器配对。一个NSX管理器被分配为主要管理器,而其他NSX管理器则成为次要管理器。此主要NSX管理器现在可以部署提供控制平面的通用控制器群集。与独立的vCenter-NSX部署不同,次要NSX管理器不会部署自己的控制器群集。
# 24. 什么是VPN?
虚拟专用网络(VPN)允许您安全地将远程设备或站点连接到公司基础架构。NSX Edge支持三种类型的VPN连接。SSL VPN-Plus、IP-SEC VPN和L2 VPN。
#25. 什么是SSL VPN-Plus?
SSL VPN-Plus允许远程用户安全地访问私有网络中的应用程序和服务器。VPN-Plus可以配置为两种模式: 网络访问模式和Web访问模式。在网络访问模式下,远程用户可以安全地访问内部私有网络。远程用户需下载并安装在其操作系统上的VPN客户端来实现此功能。在Web访问模式下,远程用户可以在没有任何VPN客户端软件的情况下访问私有网络。
#26. 什么是IPSec VPN?
NSX Edge服务网关支持站点到站点的IPSEC VPN,允许您将一个由NSX Edge服务网关支持的网络连接到远程站点的另一设备。NSX Edge可以与远程站点建立连接,以实现站点之间的安全流量传输。Edge网关可以建立的隧道数量取决于部署的边缘网关的大小。在配置IPsec VPN之前,请确保在Edge上行链路上禁用动态路由,以允许为任何VPN流量定义的特定路由。
注意: 不支持使用自签名证书进行IPSEC VPN。
#27. 什么是L2 VPN
L2 VPN允许您将多个逻辑网络跨多个站点进行扩展。这些网络可以是传统的VLAN和VXLAN。在这样的部署中,虚拟机可以在不更改其IP地址的情况下在站点之间移动。L2 VPN部署为客户端和服务器,其中目标Edge是服务器,源Edge是客户端。客户端和服务器都学习本地和远程站点的MAC地址。对于没有受NSX环境支持的站点,可以部署独立的NSX Edge网关。
NSX功能服务
#28. 在跨vCenter NSX环境中可以安装和配置多少个NSX管理器?
只能有一个主要NSX管理器和最多七个次要NSX管理器。您可以选择一个主要NSX管理器,然后开始创建通用对象并部署通用控制器群集。通用控制器群集将为跨vCenter NSX环境提供控制平面。请记住,在跨vCenter环境中,次要NSX管理器没有自己的控制器群集。
#29. 什么是段ID池,如何分配?
每个VXLAN隧道都有一个段ID(VNI),您必须为每个NSX管理器指定一个段ID池。所有流量将绑定到其段ID,从而实现隔离。
#30. 什么是L2桥接?
逻辑交换机可以使用L2桥接连接到物理交换机的VLAN。这允许您通过将逻辑VXLAN与物理VLAN进行桥接,将虚拟逻辑网络扩展到现有的物理网络。这种L2桥接通过映射到物理网络上的单个物理VLAN的NSX Edge逻辑路由器来实现。
然而,L2桥接器不应用于连接两个不同的物理VLAN或两个不同的逻辑交换机。您也不能使用通用逻辑路由器来配置桥接,并且桥接器不能添加到通用逻辑交换机上。这意味着在多vCenter NSX环境中,您不能通过L2桥接将逻辑交换机扩展到另一个数据中心的物理VLAN。
边缘服务网关
#31. 什么是等成本多路径(ECMP)路由?
ECMP允许将下一跳数据包通过多个最佳路径之一转发到单个目的地,这些路径可以静态地或动态地使用诸如OSPF和BGP之类的路由协议添加。当定义静态路由时,这些多个路径将作为逗号分隔的值添加。
#32. 直连、静态、外部BGP等的默认范围是什么?
该值范围从1到255,默认范围为:直连(0),静态(1),外部BGP(20),OSPF区域内(30),OSPF区域间(110),内部BGP(200)。
注意:在路由配置中通过编辑默认网关配置,任何上述值都将输入到”管理距离”中。
#33. 什么是开放式最短路径优先(OSPF)?
OSPF是一种使用链路状态路由算法的路由协议,它在单个自治系统内运行。
#34. OSPF中的优雅重启是什么?
优雅重启使得即使OSPF进程正在重新启动,也能够进行不间断的数据包转发。这有助于非中断性的数据包路由。
#35. OSPF中的NSSA是什么?
NSSA通过依赖默认路由到外部目的地来防止外部自治系统链路状态广告的泛洪。NSSA通常放置在OSPF路由域的边缘。
#36. 什么是BGP?
BGP是一种用于在互联网上的自治系统(AS)之间交换路由信息的外部网关协议。BGP与连接两个或多个ISP的大型组织的网络管理员相关,以及与其他网络提供商连接的互联网服务提供商相关。如果您是小型企业网络或终端用户的管理员,则可能不需要了解BGP。
#37. 什么是路由分发?
在使用多个路由协议的环境中,路由分发可以实现跨协议路由共享。
#38. 什么是第4层负载均衡器?
第4层负载均衡器基于IP和TCP或UDP端口进行路由决策。它对客户端和服务器之间交换的流量具有数据包视图,并逐个数据包进行决策。第4层连接是在客户端和服务器之间建立的。
#39. 什么是第7层负载均衡器?
第7层负载均衡器根据IP、TCP或UDP端口或从应用协议(主要是HTTP)获取的其他信息进行路由决策。第7层负载均衡器充当代理,并维护与客户端和服务器之间的两个TCP连接。
#40. 配置负载均衡器中的应用程序配置文件是什么?
在创建映射到池的虚拟服务器之前,我们必须定义一个应用程序配置文件,以定义特定类型的网络流量的行为。当接收到流量时,虚拟服务器根据配置文件中定义的值处理流量。这允许更好地控制管理网络流量:
#41. 什么是子接口?
子接口或内部接口是创建并映射到物理接口的逻辑接口。子接口只是将物理接口划分为多个逻辑接口。这个逻辑接口使用父物理接口来传输数据。请记住,您不能在HA中使用子接口,因为心跳需要在边缘设备之间通过物理端口传输。
#42. 为什么在您的环境中需要强制同步NSX Edge?
强制同步是一种功能,它将NSX Manager中的Edge配置与环境中的所有组件同步。同步操作从NSX Manager发起到NSX Edge,刷新并重新加载Edge配置。
#43. 为什么需要在虚拟环境中配置远程Syslog服务器?
VMware建议配置链接_8以避免边缘设备上的日志洪水。启用日志记录时,日志将本地存储在边缘设备上并占用空间。如果不受控制,这可能会对边缘设备产生性能影响,并且还可能导致边缘设备由于磁盘空间不足而停止。
服务构建器
#44. 什么是安全策略?
安全策略是应用于虚拟机、网络或防火墙服务的一组规则。安全策略是可以应用于安全组的可重用规则集。安全策略表达了三种类型的规则集:
- 端点服务:基于Guest的服务,如链接_9的解决方案和漏洞管理
- 防火墙规则:分布式防火墙策略
- 网络内省服务:网络服务,如入侵检测系统和加密
这些规则适用于所有属于与此策略相关联的安全组的对象和虚拟机。
监控
#44. NSX中的终点监控是什么?
终点监控提供对在操作系统中运行的应用程序的洞察和可见性,以确保正确执行安全策略。终点监控需要安装Guest内省。在虚拟机上,您需要安装Guest内省驱动程序,该驱动程序是VMware工具安装的一部分。
#45. 什么是流量监控?
NSX流量监控是一种允许详细流量监控进出受保护虚拟机的功能。流量监控可以唯一标识不同机器和服务之间的数据交换,并且当启用时,可以标识哪些机器通过特定应用程序交换数据。流量监控还允许实时监控TCP和UDP连接,并可用作有效的取证工具。
注意:仅在启用了防火墙的NSX部署中才能打开流量监控。
#46. 什么是Traceflow?
Traceflow是一个有趣的工具,允许管理员通过类似于传统Packet Tracer应用程序的方式无缝地排查其虚拟网络环境中的问题。Traceflow允许您将数据包注入网络并监视其在网络中的流动。这种流量允许您监视网络并识别瓶颈或中断等问题。
NSX管理
#48. NSX中的Syslog服务器如何工作?
将NSX Manager配置为远程Syslog服务器可让您将所有日志文件收集、查看和保存到一个中央位置。这样可以使您存储符合性要求的日志;当您使用诸如VMware vRealize Log insight之类的工具时,您可以创建警报并使用内置的搜索引擎来查看日志。
#49. NSX中的备份和恢复是如何工作的?
备份对于允许您在系统故障期间适当还原它们的NSX环境至关重要。除了vCenter外,您还可以在NSX Manager、控制器集群、NSX Edge、防火墙规则和Service Composer上执行备份操作。所有这些都可以单独进行备份和还原。
#50. 什么是SNMP陷阱?
简单网络管理协议(SNMP)陷阱是从远程支持SNMP的设备发送到收集器的警报消息。您可以配置SNMP代理以转发SNMP陷阱。
默认情况下,SNMP陷阱机制是禁用的。只有在启用SNMP陷阱时,才会向SNMP管理器发送关键和高严重性通知。
希望您喜欢阅读本文。祝面试好运!👍
