Veamos algunas preguntas de la entrevista de VMware NSX para ayudar a los buscadores de empleo y a los profesionales que desean obtener la certificación en virtualización de redes.
VMware adquirió NSX de Nicira en julio de 2012, que se utilizó principalmente para la virtualización de redes en un hipervisor basado en Xen. NSX abstrae la capa física (virtualiza la red) para que el software se ejecute en la parte superior del hipervisor, que se configura y actualiza dinámicamente. Actualmente, NSX tiene dos versiones: NSX-T (diseñado para múltiples hipervisores y aplicaciones nativas de la nube) y NSX-V (diseñado solo para entornos de vSphere).
NSX es el futuro de las infraestructuras de TI modernas que ofrece capacidades ricas para administrar y proteger su infraestructura virtual. El 82 % de Fortune 100 ha adoptado VMware NSX. Dado que las empresas adoptan rápidamente VMware NSX, una fuerza laboral experimentada siempre tiene una gran demanda.
Para ello, hemos preparado unas preguntas de entrevista con respuestas explicativas.
Estas preguntas de la entrevista se clasifican en las siguientes áreas técnicas:
- Conceptos básicos
- Componentes principales de NSX
- Servicios funcionales de NSX
- Puerta de enlace de servicios perimetrales
- Compositor de servicios
- Vigilancia
- Administración de NSX
Tabla de contenido
Conceptos básicos de NSX
#1. ¿Qué es el desacoplamiento?
Un concepto importante de la virtualización de redes es el desacoplamiento de software y hardware de red. El software funciona independientemente del hardware de red que interconecta físicamente la infraestructura. Cualquier hardware de red que pueda interoperar con el software siempre mejorará la funcionalidad, pero no es necesario. Recuerde que el rendimiento del hardware de su red siempre limitará su rendimiento en el cable.
#2. ¿Qué es el Plano de Control?
El desacoplamiento del software y el hardware de red le permite controlar mejor su red porque toda la lógica reside en el software. Este aspecto de control de su red se denomina plano de control. El plano de control proporciona los medios para configurar, monitorear, solucionar problemas y permitir la automatización contra la red.
#3. ¿Qué es el plano de datos?
El hardware de red forma el plano de datos donde todos los datos se envían desde el origen hasta el destino. La gestión de datos reside en el plano de control; sin embargo, el plano de datos consta de todo el hardware de red cuya función principal es reenviar el tráfico a través del cable desde el origen hasta el destino.
#4. ¿Qué es el Plano de Gestión?
El plano de administración consiste principalmente en el administrador de NSX. El administrador de NSX es un componente de administración de red centralizado y principalmente permite un único punto de administración. También proporciona la API REST que un usuario puede usar para realizar todas las funciones y acciones de NSX. Durante la fase de implementación, el plano de administración se establece cuando se implementa y configura el dispositivo NSX. Este plano de gestión interactúa directamente con el plano de control y también con el plano de datos.
#5. ¿Qué es la conmutación lógica?
NSX permite la capacidad de crear conmutación lógica L2 y L3 que permite el aislamiento de cargas de trabajo y la separación del espacio de direcciones IP entre redes lógicas. NSX puede crear dominios de difusión lógicos en el espacio virtual que evitan la necesidad de crear redes lógicas en los conmutadores físicos. Esto significa que ya no está limitado a 4096 dominios de transmisión física (VLAN).
#6. ¿Qué son los servicios de puerta de enlace de NSX?
Los servicios de puerta de enlace Edge interconectan sus redes lógicas con sus redes físicas. Esto significa que una máquina virtual conectada a una red lógica puede enviar y recibir tráfico directamente a su red física a través de la puerta de enlace.
#7. ¿Qué es el enrutamiento lógico?
Se pueden crear varios dominios de difusión virtual (redes lógicas) mediante NSX. Dado que varias máquinas virtuales se suscriben a estos dominios, se vuelve crucial poder enrutar el tráfico de un conmutador lógico a otro.
#8. ¿Qué es el tráfico este-oeste en el enrutamiento lógico?
El tráfico este-oeste es el tráfico entre máquinas virtuales dentro de un centro de datos. En el contexto actual, normalmente será tráfico entre conmutadores lógicos en un entorno de VMware.
#9. ¿Qué es el Tráfico Norte-Sur?
El tráfico norte-sur es el tráfico que entra y sale de su centro de datos. Este es cualquier tráfico que ingresa a su centro de datos o sale de su centro de datos.
#10. ¿Qué es un cortafuegos lógico?
Los firewalls lógicos son de dos tipos: firewall distribuido y firewall perimetral. Idealmente, se implementa un firewall distribuido para proteger cualquier tráfico de este a oeste, mientras que un firewall Edge protege cualquier tráfico de norte a sur. Un firewall lógico distribuido le permite crear reglas basadas en atributos que incluyen direcciones IP, VLAN, nombres de máquinas virtuales y objetos de vCenter. La puerta de enlace Edge cuenta con un servicio de firewall que se puede utilizar para imponer restricciones de acceso y seguridad en el tráfico de norte a sur.
#11. ¿Qué es un balanceador de carga?
El equilibrador de carga lógico distribuye las solicitudes entrantes entre varios servidores para permitir la distribución de la carga y abstraer esta funcionalidad de los usuarios finales. El equilibrador de carga lógico también se puede utilizar como mecanismo de alta disponibilidad (HA) para garantizar que su aplicación tenga el mayor tiempo de actividad. Se debe implementar una instancia de puerta de enlace de servicios perimetrales para habilitar el servicio del equilibrador de carga.
#12. ¿Qué es Compositor de servicios?
El compositor de servicios le permite asignar redes y múltiples servicios de seguridad a grupos de seguridad. A las máquinas virtuales que forman parte de estos grupos de seguridad se les asignan automáticamente los servicios.
#13. ¿Qué es la seguridad de datos?
La seguridad de datos de NSX proporciona visibilidad de los datos confidenciales, garantiza la protección de datos e informa sobre cualquier infracción de cumplimiento. Un análisis de seguridad de datos en máquinas virtuales designadas permite que NSX analice e informe cualquier infracción según la política de seguridad que se aplica a estas máquinas virtuales.
#14. Configuración máxima de NSX 6.2
Descripción
Límite
vCenters
1
Administradores de NSX
1
Clústeres de DRS
12
Controladores NSX
3
Hosts por clúster
32
Hosts por Zona de Transporte
256
Conmutadores lógicos
10,000
Puertos de conmutador lógico
50,000
DLR por host
1,000
DLR por NSX
1200
Puertas de enlace de servicios perimetrales por NSX Manager
2,000
Componentes principales de NSX
#15. ¿Definir NSX Manager?
El administrador de NSX nos permite crear, configurar y administrar componentes de NSX en un entorno. El administrador de NSX proporciona una interfaz gráfica de usuario y API REST que le permiten interactuar con varios componentes de NSX. NSX Manager es una máquina virtual que puede descargar como OVA e implementarla en cualquier host ESX administrado por vCenter.
#dieciséis. ¿Definir el clúster de NSX Controller?
NSX Controller proporciona una funcionalidad de plano de control para distribuir enrutamiento lógico e información de red VXLAN al hipervisor subyacente. Los controladores se implementan como dispositivos virtuales y deben implementarse en el mismo vCenter NSX Manager al que está conectado. En un entorno de producción, se recomienda implementar un mínimo de tres controladores. Necesitamos asegurarnos de que las reglas de afinidad de hormigas de DRS estén configuradas para implementar controladores en un host ESXi separado para una mejor disponibilidad y escalabilidad.
#17. ¿Qué es VXLAN?
VXLAN es un protocolo de tunelización de capa 2 sobre capa 3 que permite que los segmentos de red lógicos se extiendan en redes enrutables. Esto se logra encapsulando la trama Ethernet con encabezados UPD, IP y VXLAN adicionales. En consecuencia, esto aumenta el tamaño del paquete en 50 bytes. Por lo tanto, VMware recomienda aumentar el tamaño de la MTU a un mínimo de 1600 bytes para todas las interfaces de la infraestructura física y cualquier vSwitch asociado.
#18. ¿Qué es VTEP?
Cuando una máquina virtual genera tráfico destinado a otra máquina virtual en la misma red virtual, los hosts en los que se ejecutan las máquinas virtuales de origen y de destino se denominan puntos finales de túnel VXLAN (VTEP). Los VTEP se configuran como interfaces VMKernel separadas en los hosts.
El bloque de encabezado IP externo en el marco VXLAN contiene las direcciones IP de origen y destino que contienen el hipervisor de origen y el hipervisor de destino. Cuando un paquete sale de la máquina virtual de origen, se encapsula en el hipervisor de origen y se envía al hipervisor de destino. Al recibir este paquete, el hipervisor de destino desencapsula la trama de Ethernet y la reenvía a la máquina virtual de destino.
Una vez que NSX Manager prepara el host ESXi, debemos configurar VTEP. NSX admite múltiples VXLAN vmknics por host para funciones de balanceo de carga de enlace ascendente. Además de esto, también se admite el etiquetado de VLAN para invitados.
#19. Describa Zona de Transporte?
Una zona de transporte define la extensión de un conmutador lógico en varios clústeres de ESXi que abarcan varios conmutadores distribuidos virtuales. Una zona de transporte permite que un conmutador lógico se extienda a través de varios conmutadores distribuidos virtuales. Cualquier host ESXi que forme parte de esta zona de transporte puede tener máquinas virtuales como parte de esa red lógica. Siempre se crea un conmutador lógico como parte de una zona de transporte y los hosts ESXi pueden participar en ellos.
#20. ¿Qué es la Zona de Transporte Universal?
Una zona de transporte universal permite que un conmutador lógico abarque múltiples hosts en múltiples vCenters. El servidor de NSX principal siempre crea una zona de transporte universal y se sincroniza con los administradores de NSX secundarios.
#21. ¿Qué es la puerta de enlace de servicios NSX Edge?
NSX Edge Services Gateway (ESG) ofrece un conjunto de servicios rico en características que incluyen NAT, enrutamiento, firewall, equilibrio de carga, VPN L2/L3 y retransmisión DHCP/DNS. La API de NSX permite que cada uno de estos servicios se implemente, configure y consuma a pedido. Puede instalar NSX Edge como ESG o como DLR.
La cantidad de dispositivos Edge, incluidos ESG y DLR, está limitada a 250 en un host. Edge Services Gateway se implementa como una máquina virtual desde el administrador de NSX, al que se accede mediante el cliente web de vSphere.
Nota: Solo el rol de administrador empresarial, que permite la administración de seguridad y las operaciones de NSX, puede implementar una puerta de enlace de servicios Edge:
#22. ¿Describa el firewall distribuido en NSX?
NSX proporciona servicios de firewall con estado L2-L4 mediante un firewall distribuido que se ejecuta en el kernel del hipervisor ESXi. Debido a que el firewall es una función del kernel de ESXi, ofrece un rendimiento masivo y funciona a una velocidad cercana a la línea. Cuando NSX prepara inicialmente el host ESXi, el servicio de firewall distribuido se instala en el kernel mediante la implementación del kernel VIB: plataforma de inserción de servicios de interconexión (VSIP) de VMware. VSIP es responsable de monitorear y hacer cumplir las políticas de seguridad en todo el tráfico que fluye a través del plano de datos. El rendimiento y el rendimiento del firewall distribuido (DFW) escalan horizontalmente a medida que se agregan más hosts ESXi.
#23. ¿Qué es Cross-vCenter NSX?
A partir de NSX 6.2, puede administrar varios entornos de vCenter NSX mediante la funcionalidad cross-vCenter. Esto le permite administrar varios entornos de vCenter NSX desde un único administrador principal de NSX. En una implementación entre vCenter, varios vCenter se emparejan con su propio NSX Manager por vCenter. Un administrador de NSX se asigna como principal, mientras que otros administradores de NSX se convierten en secundarios. Este administrador principal de NSX ahora puede implementar un clúster de controlador universal que proporciona el plano de control. A diferencia de una implementación de vCenter-NSX independiente, los administradores de NSX secundarios no implementan sus propios clústeres de controladores.
# 24. ¿Qué es una VPN?
Las redes privadas virtuales (VPN) le permiten conectar de manera segura un dispositivo o sitio remoto a su infraestructura corporativa. NSX Edge admite tres tipos de conectividad VPN. SSL VPN-Plus, IP-SEC VPN y L2 VPN.
#25. ¿Qué es SSL VPN-Plus?
SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones y servidores en una red privada de forma segura. Hay dos modos en los que se puede configurar SSL VPN-Plus: modo de acceso a la red y modo de acceso a la web. En el modo de acceso a la red, un usuario remoto puede acceder a la red privada interna de forma segura. Esto lo hace un cliente VPN que el usuario remoto descarga e instala en su sistema operativo. En el modo de acceso web, el usuario remoto puede acceder a las redes privadas sin ningún software de cliente VPN.
#26. ¿Qué es IPSec VPN?
La puerta de enlace de servicios de NSX Edge es compatible con una VPN IPSEC de sitio a sitio que le permite conectar una red respaldada por la puerta de enlace de servicios de NSX Edge a otro dispositivo en el sitio remoto. NSX Edge puede establecer túneles seguros con sitios remotos para permitir un flujo de tráfico seguro entre sitios. La cantidad de túneles que puede establecer una puerta de enlace Edge depende del tamaño de la puerta de enlace Edge implementada. Antes de configurar IPsec VPN, asegúrese de que el enrutamiento dinámico esté deshabilitado en el enlace ascendente de Edge para permitir rutas específicas definidas para cualquier tráfico de VPN.
Nota: Los certificados autofirmados no se pueden usar con una VPN IPSEC.
#27. ¿Qué es VPN L2?
Una VPN L2 le permite ampliar varias redes lógicas en varios sitios. Las redes pueden ser tanto VLAN tradicionales como VXLAN. En tal implementación, una máquina virtual puede moverse entre sitios sin cambiar su dirección IP. Una VPN L2 se implementa como cliente y servidor, donde el borde de destino es el servidor y el borde de origen es el cliente. Tanto el cliente como el servidor aprenden las direcciones MAC de los sitios locales y remotos. Para cualquier sitio que no esté respaldado por un entorno NSX, se puede implementar una puerta de enlace NSX Edge independiente.
Servicios funcionales de NSX
#28. ¿Cuántos administradores de NSX se pueden instalar y configurar en un entorno Cross-vCenter NSX?
Solo puede haber un administrador de NSX principal y hasta siete administradores de NSX secundarios. Puede seleccionar un administrador de NSX principal, luego de lo cual puede comenzar a crear objetos universales e implementar también clústeres de controladores universales. El clúster de controlador universal proporcionará el plano de control para el entorno de cross-vCenter NSX. Recuerde que en un entorno de vCenter cruzado, los administradores de NSX secundarios no tienen sus propios clústeres de controladores.
#29. ¿Qué es el grupo de ID de segmento y cómo asignarlo?
Cada túnel VXLAN tiene un ID de segmento (VNI) y debe especificar un grupo de ID de segmento para cada NSX Manager. Todo el tráfico estará vinculado a su ID de segmento, lo que permite el aislamiento.
#30. ¿Qué es el Puente L2?
Un conmutador lógico se puede conectar a una VLAN de conmutador físico mediante un puente L2. Esto le permite ampliar sus redes lógicas virtuales para acceder a las redes físicas existentes conectando la VXLAN lógica con la VLAN física. Este puente L2 se logra mediante un enrutador lógico NSX Edge que se asigna a una sola VLAN física en la red física.
Sin embargo, los puentes L2 no deben usarse para conectar dos VLAN físicas diferentes o dos conmutadores lógicos diferentes. Tampoco puede usar un enrutador lógico universal para configurar puentes, y no se puede agregar un puente a un conmutador lógico universal. Esto significa que en un entorno de varios vCenter NSX, no puede extender un conmutador lógico a una VLAN física en otro centro de datos a través del puente L2.
Puerta de enlace de servicios perimetrales
#31. ¿Qué es el enrutamiento de rutas múltiples de igual costo (ECMP)?
ECMP permite que el paquete del siguiente salto se reenvíe a un solo destino a través de múltiples mejores rutas que se pueden agregar de forma estática o dinámica mediante protocolos de enrutamiento como OSPF y BGP. Estas rutas múltiples se agregan como valores separados por comas al definir las rutas estáticas.
#32. ¿Cuáles son los rangos predeterminados para BGP estático, externo, conectado directamente, etc.?
El valor varía de 1 a 255 y los rangos predeterminados son: Conectado (0), Estático (1), BGP externo (20), OSPF dentro del área (30), OSPF entre áreas (110) y BGP interno (200) .
Nota: Cualquiera de los valores anteriores se ingresará en «Distancia de administrador» al editar la configuración de Puerta de enlace predeterminada en Configuración de enrutamiento.
#33. ¿Qué es abrir primero la ruta más corta (OSPF)?
OSPF es un protocolo de enrutamiento que utiliza un algoritmo de enrutamiento de estado de enlace y opera dentro de un único sistema autónomo.
#34. ¿Qué es el reinicio elegante en OSPF?
Graceful Restart permite el reenvío continuo de paquetes incluso si el proceso OSPF se está reiniciando. Esto ayuda en el enrutamiento de paquetes sin interrupciones.
#35. ¿Qué es el área no tan rechoncha (NSSA) en OSPF?
NSSA evita la inundación de anuncios de estado de enlace de un sistema autónomo externo al confiar en las rutas predeterminadas a destinos externos. Los NSSA generalmente se colocan en el borde de un dominio de enrutamiento OSPF.
#36. ¿Qué es BGP?
El BGP es un protocolo de puerta de enlace exterior diseñado para intercambiar información de enrutamiento entre sistemas autónomos (AS) en Internet. BGP es relevante para los administradores de red de grandes organizaciones que se conectan a dos o más ISP y proveedores de servicios de Internet que se conectan a otros proveedores de red. Si usted es el administrador de una pequeña red corporativa o un usuario final, probablemente no necesite saber acerca de BGP.
#37. ¿Qué es la distribución de rutas?
En un entorno en el que se utilizan varios protocolos de enrutamiento, la redistribución de rutas permite compartir rutas entre protocolos.
#38. ¿Qué es el equilibrador de carga de capa 4?
El balanceador de carga de capa 4 toma decisiones de enrutamiento basadas en IP y puertos TCP o UDP. Tiene una vista de paquetes del tráfico intercambiado entre el cliente y un servidor y toma decisiones paquete por paquete. La conexión de capa 4 se establece entre un cliente y un servidor.
#39. ¿Qué es el balanceador de carga de capa 7?
Un balanceador de carga de capa 7 toma decisiones de enrutamiento en función de los puertos IP, TCP o UDP, u otra información que pueda obtener del protocolo de la aplicación (principalmente HTTP). El balanceador de carga de capa 7 actúa como un proxy y mantiene dos conexiones TCP: una con el cliente y otra con el servidor.
#40. ¿Qué es el perfil de aplicación en la configuración de Load Balancer?
Antes de crear un servidor virtual para asignarlo al grupo, debemos definir un perfil de aplicación que defina el comportamiento de un tipo particular de tráfico de red. Cuando se recibe tráfico, el servidor virtual procesa el tráfico en función de los valores definidos en el perfil. Esto permite un mayor control sobre la gestión del tráfico de su red:
#41. ¿Qué es la subinterfaz?
Una subinterfaz, o una interfaz interna, es una interfaz lógica que se crea y se asigna a la interfaz física. Las subinterfaces son simplemente una división de una interfaz física en múltiples interfaces lógicas. Esta interfaz lógica utiliza la interfaz física principal para mover datos. Recuerde que no puede usar subinterfaces para HA porque un latido debe atravesar un puerto físico de un hipervisor a otro entre los dispositivos Edge.
#42. ¿Por qué Force Sync NSX Edge es necesario para su entorno?
La sincronización forzada es una función que sincroniza la configuración de Edge de NSX Manager con todos sus componentes en un entorno. Se inicia una acción de sincronización desde NSX Manager a NSX Edge que actualiza y vuelve a cargar la configuración de Edge.
#43. ¿Por qué es necesario configurar un servidor Syslog remoto en su entorno virtual?
VMware recomienda configurar servidores Syslog para evitar la inundación de registros en los dispositivos Edge. Cuando el registro está habilitado, los registros se almacenan localmente en el dispositivo Edge y consumen espacio. Si no se marca, esto puede tener un impacto en el rendimiento del dispositivo Edge y también puede provocar que el dispositivo Edge se detenga debido a la falta de espacio en disco.
Compositor de servicios
#44. ¿Qué son las Políticas de Seguridad?
Las políticas de seguridad son conjuntos de reglas que se aplican a una máquina virtual, red o servicios de firewall. Las políticas de seguridad son conjuntos de reglas reutilizables que se pueden aplicar a los grupos de seguridad. Las políticas de seguridad expresan tres tipos de conjuntos de reglas:
- Servicios de punto final: servicios basados en invitados, como soluciones antivirus y gestión de vulnerabilidades
- Reglas de firewall: políticas de firewall distribuidas
- Servicios de introspección de red: servicios de red como sistemas de detección de intrusos y cifrado
Estas reglas se aplican a todos los objetos y máquinas virtuales que forman parte de un grupo de seguridad al que está asociada esta política.
Vigilancia
#44. ¿Qué es el monitoreo de puntos finales en NSX?
Endpoint Monitor proporciona información y visibilidad de las aplicaciones que se ejecutan dentro de un sistema operativo para garantizar que las políticas de seguridad se apliquen correctamente. Endpoint Monitoring requiere que se instale la introspección de invitados. En las máquinas virtuales, deberá instalar un controlador de introspección invitado, que forma parte de la instalación de las herramientas de VMware.
#45. ¿Qué es el Monitoreo de Flujo?
El monitoreo de NSX Flow es una característica que permite el monitoreo detallado del tráfico hacia y desde las máquinas virtuales protegidas. El monitoreo de flujo puede identificar de manera única diferentes máquinas y servicios que intercambian datos y, cuando está habilitado, puede identificar qué máquinas están intercambiando datos sobre aplicaciones específicas. El monitoreo de flujo también permite el monitoreo en vivo de las conexiones TCP y UDP y puede usarse como una herramienta forense efectiva.
Nota: La supervisión de flujo solo se puede activar para las implementaciones de NSX en las que está habilitado un firewall.
#46. ¿Qué es Traceflow?
Traceflow es una herramienta interesante creada para permitir a los administradores solucionar sin problemas su entorno de red virtual al rastrear un flujo de paquetes de manera similar a la aplicación Packet Tracer heredada. Traceflow le permite inyectar un paquete en la red y monitorear su flujo a través de la red. Este flujo le permite monitorear su red e identificar problemas como cuellos de botella o interrupciones.
Administración de NSX
#48. ¿Cómo funciona el servidor Syslog en NSX?
La configuración de NSX Manager con un servidor Syslog remoto le permite recopilar, ver y guardar todos los archivos de registro en una ubicación central. Esto le permite almacenar registros con fines de cumplimiento; cuando utiliza una herramienta como VMware vRealize Log insight, puede crear alarmas y utilizar el motor de búsqueda integrado para revisar los registros.
#49. ¿Cómo funcionan la copia de seguridad y la restauración en NSX?
Las copias de seguridad son críticas para un entorno NSX que le permite restaurarlas adecuadamente durante una falla del sistema. Además de vCenter, también puede realizar operaciones de respaldo en NSX Manager, clústeres de controladores, NSX Edge, reglas de firewall y Service Composer. Todos estos pueden ser respaldados y restaurados individualmente.
#50. ¿Qué es la trampa SNMP?
Las trampas del protocolo simple de administración de red (SNMP) son mensajes de alerta que se envían desde un dispositivo remoto habilitado para SNMP a un recopilador. Puede configurar el agente SNMP para reenviar capturas SNMP.
De forma predeterminada, el mecanismo de captura de SNMP está deshabilitado. Solo las notificaciones críticas y de gravedad alta se envían al administrador de SNMP cuando la captura de SNMP está habilitada.
Espero que hayas disfrutado leyendo este post. Buena suerte con tu entrevista! 👍