让我们深入探讨一些 VMware NSX 的面试题,这些问题旨在帮助那些希望在网络虚拟化领域获得认证的求职者和专业人士。
VMware 在 2012 年 7 月收购了 Nicira 公司,从而获得了 NSX 技术。最初,NSX 主要应用于基于 Xen 的虚拟机管理程序中的网络虚拟化。NSX 的核心理念是将物理网络层抽象化,实现网络虚拟化,从而使软件能够在动态配置和更新的虚拟机管理程序上运行。目前,NSX 主要有两个版本:NSX-T,专门为多虚拟机管理程序和云原生应用程序设计;以及 NSX-V,专为 vSphere 环境量身定制。
NSX 代表了现代 IT 基础设施的未来方向,它提供了丰富的功能来管理和保护虚拟基础设施。 值得注意的是,财富 100 强企业中有 82% 都采用了 VMware NSX。随着企业迅速采用 VMware NSX,对经验丰富的专业人员的需求持续增长。
为了帮助大家更好地准备面试,我们精心准备了一系列面试问题,并附带了详细的解释性答案。
这些面试问题涵盖以下关键技术领域:
- 基本概念
- NSX 核心组件
- NSX 功能服务
- 边缘服务网关
- 服务编排
- 监控
- 管理 NSX
NSX 的基本概念
#1. 什么是解耦?
网络虚拟化的一个关键概念是软件与网络硬件的解耦。 软件独立于物理互联基础设施的网络硬件运行。虽然与软件兼容的网络硬件可以增强功能,但这不是强制性的。需要注意的是,网络硬件的性能始终会限制网络的吞吐量。
#2. 什么是控制平面?
软件和网络硬件的解耦使得对网络的控制更加精细,因为所有逻辑都存在于软件中。 网络的这个控制层面被称为控制平面。 控制平面提供了配置、监控、故障排除以及网络自动化的方法。
#3. 什么是数据平面?
网络硬件构成了数据平面,所有的数据都通过这里从源头转发到目的地。数据的管理由控制平面负责,而数据平面由所有网络硬件组成,其主要功能是通过线路将流量从源端转发到目的端。
#4. 什么是管理平面?
管理平面主要由 NSX Manager 组成。 NSX Manager 是一个集中式的网络管理组件,它主要提供了一个单一的管理入口。 它还提供了一个 REST API,用户可以通过该 API 执行所有的 NSX 功能和操作。在部署阶段,管理平面会在部署和配置 NSX 设备时建立。 管理平面直接与控制平面和数据平面进行交互。
#5. 什么是逻辑交换?
NSX 允许创建 L2 和 L3 逻辑交换,从而实现工作负载隔离以及逻辑网络之间的 IP 地址空间分离。NSX 可以在虚拟空间中创建逻辑广播域,而无需在物理交换机上创建任何逻辑网络。 这意味着不再受限于 4096 个物理广播域 (VLAN) 的限制。
#6. 什么是 NSX 网关服务?
边缘网关服务将逻辑网络与物理网络互连。 这意味着连接到逻辑网络的虚拟机可以通过网关直接向物理网络发送和接收流量。
#7. 什么是逻辑路由?
可以使用 NSX 创建多个虚拟广播域(逻辑网络)。由于多个虚拟机订阅了这些域,因此能够将流量从一个逻辑交换机路由到另一个逻辑交换机至关重要。
#8. 什么是逻辑路由中的东西向流量?
东西向流量是指数据中心内部虚拟机之间的流量。在当前的架构中,这通常是指 VMware 环境中逻辑交换机之间的流量。
#9. 什么是南北向流量?
南北向流量是指进出数据中心的流量。 任何进入或离开数据中心的流量都属于南北向流量。
#10. 什么是逻辑防火墙?
逻辑防火墙有两种类型:分布式防火墙和边缘防火墙。 分布式防火墙最适合用于保护任何东西向流量,而边缘防火墙则用于保护任何南北向流量。 分布式逻辑防火墙允许根据 IP 地址、VLAN、虚拟机名称和 vCenter 对象等属性来构建规则。边缘网关具有防火墙服务,可用于对南北向流量施加安全和访问限制。
#11. 什么是负载均衡器?
逻辑负载均衡器在多个服务器之间分配传入的请求,以实现负载均衡,同时对最终用户隐藏该功能。逻辑负载均衡器还可以用作高可用性 (HA) 机制,以确保应用程序具有最大的正常运行时间。必须部署边缘服务网关实例才能启用负载均衡器服务。
#12. 什么是服务编排?
服务组合器允许将网络和多个安全服务分配给安全组。 属于这些安全组的虚拟机将自动分配到这些服务。
#13. 什么是数据安全?
NSX 数据安全提供对敏感数据的可见性,确保数据保护,并报告任何违反合规性的行为。 对特定虚拟机进行数据安全扫描使 NSX 能够根据适用于这些虚拟机的安全策略来分析和报告任何违规行为。
#14. NSX 6.2 的最大配置
| 描述 | 限制 |
| vCenter | 1个 |
| NSX 管理器 | 1个 |
| DRS 集群 | 12个 |
| NSX 控制器 | 3个 |
| 每个集群的主机 | 32个 |
| 每个传输区域的主机 | 256个 |
| 逻辑交换机 | 10,000个 |
| 逻辑交换机端口 | 50,000个 |
| 每个主机的 DLR | 1,000个 |
| 每个 NSX 的 DLR | 1,200个 |
| 每个 NSX Manager 的边缘服务网关 | 2,000个 |
NSX 核心组件
#15. 定义 NSX Manager?
NSX Manager 允许在环境中创建、配置和管理 NSX 组件。NSX Manager 提供图形用户界面和 REST API,方便用户与各种 NSX 组件进行交互。 NSX Manager 是一个虚拟机,可以将其作为 OVA 文件下载并部署在 vCenter 管理的任何 ESX 主机上。
#16. 定义 NSX Controller 集群?
NSX 控制器提供了控制平面功能,用于将逻辑路由和 VXLAN 网络信息分发到底层虚拟机管理程序。 控制器作为虚拟设备部署,应部署在与 NSX Manager 连接的同一 vCenter 中。 在生产环境中,建议至少部署三个控制器。 我们需要确保 DRS 反亲和性规则配置为将控制器部署在不同的 ESXi 主机上,以获得更好的可用性和可扩展性。
#17. 什么是 VXLAN?
VXLAN 是一种第 2 层到第 3 层隧道协议,允许逻辑网段在可路由网络上进行扩展。 这是通过使用额外的 UDP、IP 和 VXLAN 标头来封装以太网帧来实现的。这会使数据包的大小增加 50 字节。 因此,VMware 建议将物理基础设施和任何相关的 vSwitch 中所有接口的 MTU 大小增加到至少 1600 字节。
#18. 什么是 VTEP?
当虚拟机生成用于同一虚拟网络上另一个虚拟机的流量时,运行源虚拟机和目标虚拟机的主机被称为 VXLAN 隧道端点 (VTEP)。VTEP 在主机上配置为单独的 VMKernel 接口。
VXLAN 帧中的外部 IP 标头块包含源和目标 IP 地址,这些地址包含了源虚拟机管理程序和目标虚拟机管理程序的地址。当数据包离开源虚拟机时,它会在源虚拟机管理程序中被封装,并发送到目标虚拟机管理程序。 收到此数据包后,目标虚拟机管理程序会解封装以太网帧并将其转发到目标虚拟机。
当 NSX Manager 准备好 ESXi 主机后,我们需要配置 VTEP。 NSX 支持每台主机使用多个 VXLAN vmknic 以实现上行链路负载均衡功能。 除此之外,还支持来宾 VLAN 标记。
#19. 描述传输区域?
传输区域定义了逻辑交换机在多个虚拟分布式交换机的多个 ESXi 集群中的扩展范围。传输区域允许逻辑交换机跨越多个虚拟分布式交换机。 属于该传输区域的任何 ESXi 主机都可以将虚拟机作为该逻辑网络的一部分。 逻辑交换机始终作为传输区域的一部分创建,而 ESXi 主机可以参与其中。
#20. 什么是通用传输区域?
通用传输区域允许逻辑交换机跨越多个 vCenter 的多个主机。 通用传输区域始终由主 NSX 服务器创建,并与辅助 NSX 管理器同步。
#21. 什么是 NSX Edge 服务网关?
NSX Edge 服务网关 (ESG) 提供了一套丰富的功能,包括 NAT、路由、防火墙、负载平衡、L2/L3 VPN 和 DHCP/DNS 中继。 NSX API 允许按需部署、配置和使用所有这些服务。 可以将 NSX Edge 安装为 ESG 或 DLR。
单台主机上的 Edge 设备(包括 ESG 和 DLR)数量限制为 250 个。 Edge 服务网关作为来自 NSX Manager 的虚拟机部署,可以使用 vSphere Web Client 进行访问。
请注意,只有拥有允许 NSX 操作和安全管理的企业管理员角色的用户才能部署 Edge 服务网关。
#22. 描述 NSX 中的分布式防火墙?
NSX 使用在 ESXi 虚拟机管理程序内核中运行的分布式防火墙提供 L2-L4 状态防火墙服务。由于防火墙是 ESXi 内核的一项功能,因此它提供了极高的吞吐量,并以接近线速的速度执行。 当 NSX 最初准备 ESXi 主机时,会通过部署内核 VIB(VMware 互联网络服务插入平台 (VSIP))将分布式防火墙服务安装到内核中。 VSIP 负责监控和执行流经数据平面的所有流量的安全策略。 随着更多 ESXi 主机的添加,分布式防火墙 (DFW) 的吞吐量和性能会水平扩展。
#23. 什么是跨 vCenter NSX?
从 NSX 6.2 开始,可以使用跨 vCenter 功能来管理多个 vCenter NSX 环境。 这种方式允许从单个主 NSX Manager 管理多个 vCenter NSX 环境。 在跨 vCenter 部署中,多个 vCenter 都与每个 vCenter 自己的 NSX Manager 配对。 其中一个 NSX Manager 被指定为主,而其他 NSX Manager 则成为辅助。 这个主 NSX Manager 现在可以部署一个提供控制平面的通用控制器集群。 与独立的 vCenter-NSX 部署不同,辅助 NSX Manager 不会部署自己的控制器集群。
#24. 什么是 VPN?
虚拟专用网络 (VPN) 允许将远程设备或站点安全地连接到企业的基础设施。 NSX Edge 支持三种类型的 VPN 连接:SSL VPN-Plus、IP-SEC VPN 和 L2 VPN。
#25. 什么是 SSL VPN-Plus?
SSL VPN-Plus 允许远程用户安全地访问专用网络中的应用程序和服务器。可以配置 SSL VPN-Plus 的两种模式:网络访问模式和 Web 访问模式。在网络访问模式下,远程用户可以安全地访问内部私有网络。这是通过远程用户下载并安装在其操作系统上的 VPN 客户端实现的。在 Web 访问模式下,远程用户无需任何 VPN 客户端软件即可访问私有网络。
#26. 什么是 IPSec VPN?
NSX Edge 服务网关支持站点到站点的 IPSEC VPN,从而允许将 NSX Edge 服务网关支持的网络连接到远程站点的另一个设备。NSX Edge 可以与远程站点建立安全隧道,以允许站点之间安全地传输流量。 Edge 网关可以建立的隧道数量取决于部署的 Edge 网关的大小。 在配置 IPsec VPN 之前,请确保在 Edge 上行链路上禁用动态路由,以便为任何 VPN 流量定义特定的路由。
请注意,自签名证书不能用于 IPSEC VPN。
#27. 什么是 L2 VPN?
L2 VPN 允许在多个站点之间扩展多个逻辑网络。 网络可以是传统的 VLAN 和 VXLAN。 在这种部署中,虚拟机可以在站点之间移动而无需更改其 IP 地址。 L2 VPN 部署为客户端和服务器,目标 Edge 为服务器,源 Edge 为客户端。 客户端和服务器都会学习本地和远程站点的 MAC 地址。 对于不受 NSX 环境支持的任何站点,可以部署独立的 NSX Edge 网关。
NSX 功能服务
#28. 在跨 vCenter NSX 环境中可以安装和配置多少个 NSX Manager?
只能有一个主 NSX Manager 和最多七个辅助 NSX Manager。 可以选择一个主 NSX Manager,然后开始创建通用对象并部署通用控制器集群。 通用控制器集群将为跨 vCenter NSX 环境提供控制平面。 请记住,在跨 vCenter 环境中,辅助 NSX Manager 没有自己的控制器集群。
#29. 什么是分段 ID 池,以及如何分配?
每个 VXLAN 隧道都有一个分段 ID (VNI),必须为每个 NSX Manager 指定一个分段 ID 池。 所有流量都将绑定到其分段 ID,从而实现隔离。
#30. 什么是二层桥?
可以使用 L2 网桥将逻辑交换机连接到物理交换机的 VLAN。 这允许通过桥接逻辑 VXLAN 和物理 VLAN 来扩展虚拟逻辑网络,以访问现有的物理网络。 这种 L2 桥接是通过 NSX Edge 逻辑路由器完成的,该路由器映射到物理网络上的单个物理 VLAN。
但是,不应使用二层桥接来连接两个不同的物理 VLAN 或两个不同的逻辑交换机。 也不能使用通用逻辑路由器来配置桥接,并且不能将网桥添加到通用逻辑交换机。 这意味着在多 vCenter NSX 环境中,无法通过 L2 桥接将逻辑交换机扩展到另一个数据中心的物理 VLAN。
边缘服务网关
#31. 什么是等价多路径 (ECMP) 路由?
ECMP 允许下一跳数据包通过多个最佳路径转发到单个目的地,这些最佳路径可以使用 OSPF 和 BGP 等路由协议静态或动态添加。 在定义静态路由时,这些多条路径以逗号分隔值的形式添加。
#32. 直接连接、静态、外部 BGP 等的默认范围是什么?
取值范围为 1 到 255,默认范围为:Connected (0)、Static (1)、External BGP (20)、OSPF intra-area (30)、OSPF inter-area (110) 和 Internal BGP (200)。
请注意,以上任何值都将通过编辑路由配置中的默认网关配置来输入“管理距离”。
#33. 什么是开放最短路径优先 (OSPF)?
OSPF 是一种路由协议,它使用链路状态路由算法,并在单个自治系统中运行。
#34. 什么是 OSPF 中的优雅重启?
优雅重启允许即使在 OSPF 进程重新启动时也可以进行不间断的数据包转发。 这有助于实现不中断的数据包路由。
#35. 什么是 OSPF 中的非末节区域 (NSSA)?
NSSA 通过依赖到外部目的地的默认路由来防止外部自治系统链路状态通告的泛滥。 NSSA 通常位于 OSPF 路由域的边缘。
#36. 什么是 BGP?
BGP 是一种外部网关协议,旨在在 Internet 上的自治系统 (AS) 之间交换路由信息。 BGP 与连接到两个或多个 ISP 的大型组织的网络管理员以及连接到其他网络提供商的互联网服务提供商相关。 如果是小型企业网络的管理员或最终用户,可能不需要了解 BGP。
#37. 什么是路由分配?
在使用多种路由协议的环境中,路由重分发可以实现跨协议路由共享。
#38. 什么是第 4 层负载均衡器?
第 4 层负载均衡器根据 IP 和 TCP 或 UDP 端口做出路由决策。它具有客户端和服务器之间交换的流量的数据包视图,并逐个数据包做出决策。 第 4 层连接在客户端和服务器之间建立。
#39. 什么是第 7 层负载均衡器?
第 7 层负载均衡器根据 IP、TCP 或 UDP 端口,或者它可以从应用程序协议(主要是 HTTP)获取的其他信息来做出路由决策。 第 7 层负载均衡器充当代理并维护两个 TCP 连接:一个与客户端连接,一个与服务器连接。
#40. 配置负载均衡器中的应用程序配置文件是什么?
在创建映射到池的虚拟服务器之前,必须定义一个应用程序配置文件来定义特定类型的网络流量的行为。 收到流量后,虚拟服务器将根据配置文件中定义的值处理流量。 这允许更好地控制管理网络流量。
#41. 什么是子接口?
子接口或内部接口是创建并映射到物理接口的逻辑接口。 子接口只是将一个物理接口划分为多个逻辑接口。 此逻辑接口使用父物理接口来传输数据。 请注意,不能将子接口用于 HA,因为心跳需要在 Edge 设备之间从一个虚拟机管理程序遍历物理端口到另一个虚拟机管理程序。
#42. 为什么环境需要强制同步 NSX Edge?
强制同步是一项功能,可以将 NSX Manager 中的 Edge 配置同步到环境中的所有组件。 同步操作从 NSX Manager 启动到 NSX Edge,刷新并重新加载 Edge 配置。
#43. 为什么需要在虚拟环境中配置远程 Syslog 服务器?
VMware 建议配置 Syslog 服务器,以避免 Edge 设备上的日志泛滥。 启用日志记录后,日志会本地存储在 Edge 设备上并占用空间。 如果不加以处理,可能会对 Edge 设备的性能产生影响,并且还可能导致 Edge 设备因磁盘空间不足而停止。
服务编排
#44. 什么是安全策略?
安全策略是一组适用于虚拟机、网络或防火墙服务的规则。 安全策略是可应用于安全组的可重用规则集。 安全策略表达了三种类型的规则集:
- 端点服务:基于访客的服务,例如防病毒解决方案和漏洞管理。
- 防火墙规则:分布式防火墙策略。
- 网络自检服务:入侵检测系统和加密等网络服务。
这些规则适用于属于与此策略关联的安全组的所有对象和虚拟机。
监控
#45. NSX 中的端点监控是什么?
端点监控可以深入了解操作系统中运行的应用程序,以确保安全策略的正确执行。 端点监控需要安装 Guest Introspection。 在虚拟机上,需要安装 Guest Introspection 驱动程序,它是 VMware 工具安装的一部分。
#46. 什么是流量监控?
NSX 流量监控是一项允许详细监控进出受保护虚拟机的流量的功能。流量监控可以唯一地识别交换数据的不同机器和服务,并且在启用时可以识别哪些机器正在通过特定应用程序交换数据。 流量监控还允许实时监控 TCP 和 UDP 连接,并可用作有效的取证工具。
请注意,只能为启用了防火墙的 NSX 部署启用流量监控。
#47. 什么是跟踪流?
跟踪流是一个强大的工具,允许管理员通过以类似于传统的 Packet Tracer 应用程序的方式跟踪数据包流来无缝地排除虚拟网络环境的故障。 跟踪流使用户能够将数据包注入网络并监控其在网络中的流动。 此过程允许监控网络,并识别瓶颈或中断等问题。
管理 NSX
#48. Syslog 服务器在 NSX 中是如何工作的?
通过使用远程 Syslog 服务器配置 NSX Manager,可以将所有日志文件收集、查看并保存到一个中央位置。 这样可以出于合规性目的存储日志; 当使用 VMware vRealize Log insight 等工具时,可以创建警报并使用内置搜索引擎来查看日志。
#49. 备份和还原在 NSX 中是如何工作的?
备份对于 NSX 环境至关重要,它可以允许在系统故障期间适当地还原它们。 除了 vCenter 之外,还可以在 NSX Manager、控制器集群、NSX Edge、防火墙规则和 Service Composer 上执行备份操作。 所有这些都可以单独备份和还原。
#50. 什么是 SNMP 陷阱?
简单网络管理协议 (SNMP) 陷阱是从支持 SNMP 的远程设备发送到收集器的告警消息。 可以将 SNMP 代理配置为转发 SNMP 陷阱。
默认情况下,SNMP 陷阱机制处于禁用状态。 启用 SNMP 陷阱时,只会向 SNMP 管理器发送严重和高严重性通知。
希望这篇文章对您有所帮助。 祝您面试顺利! 👍