Lass uns einige Interviewfragen zu VMware NSX betrachten, die Arbeitssuchenden und Fachleuten helfen sollen, die eine Zertifizierung in der Netzwerkvirtualisierung anstreben.
VMware übernahm NSX im Juli 2012 von Nicira, das hauptsächlich für die Netzwerkvirtualisierung in einer Xen-basierten Hypervisor-Umgebung eingesetzt wurde. NSX abstrahiert die physische Ebene (virtualisiert das Netzwerk), sodass Software auf dem Hypervisor ausgeführt werden kann, die dynamisch konfiguriert und aktualisiert wird. Derzeit gibt es zwei Hauptvarianten von NSX: NSX-T, das für Multi-Hypervisor- und Cloud-native Anwendungen konzipiert ist, und NSX-V, das ausschließlich für vSphere-Umgebungen gedacht ist.
NSX repräsentiert die Zukunft moderner IT-Infrastrukturen und bietet umfassende Möglichkeiten zur Verwaltung und Sicherung Ihrer virtuellen Umgebung. Ein beeindruckender Anteil von 82 % der Fortune-100-Unternehmen hat VMware NSX bereits implementiert. Angesichts der raschen Einführung von VMware NSX in Unternehmen steigt die Nachfrage nach erfahrenen Fachkräften kontinuierlich.
Um Ihnen bei der Vorbereitung zu helfen, haben wir einige typische Interviewfragen mit detaillierten Erläuterungen zusammengestellt.
Diese Fragen sind nach folgenden technischen Bereichen unterteilt:
- Grundlegende Konzepte
- NSX-Kernkomponenten
- Funktionale NSX-Dienste
- Edge Services Gateway
- Service Composer
- Überwachung
- NSX-Verwaltung
Grundlegende Konzepte von NSX
#1. Was bedeutet Entkopplung?
Ein Kernelement der Netzwerkvirtualisierung ist die Entkopplung von Software und der zugrunde liegenden Netzwerkhardware. Die Software operiert unabhängig von der Hardware, die die physische Infrastruktur bereitstellt. Jede Netzwerkhardware, die mit der Software zusammenarbeiten kann, verbessert die Funktionalität, ist aber nicht zwingend erforderlich. Es ist wichtig zu bedenken, dass die Kapazität Ihrer Netzwerkhardware immer Ihren maximalen Durchsatz limitiert.
#2. Was ist die Steuerungsebene (Control Plane)?
Die Entkopplung von Software und Netzwerkhardware ermöglicht eine verbesserte Kontrolle über das Netzwerk, da die gesamte Logik in der Software enthalten ist. Dieser Aspekt der Steuerung wird als Steuerungsebene bezeichnet. Die Steuerungsebene ermöglicht die Konfiguration, Überwachung, Fehlerbehebung und Automatisierung des Netzwerks.
#3. Was ist die Datenebene (Data Plane)?
Die Netzwerkhardware bildet die Datenebene, in der alle Daten von der Quelle zum Ziel transportiert werden. Während die Datenverwaltung in der Steuerungsebene erfolgt, besteht die Datenebene aus der gesamten Netzwerkhardware, die den Datenverkehr von der Quelle zum Ziel weiterleitet.
#4. Was versteht man unter der Managementebene (Management Plane)?
Die Managementebene umfasst hauptsächlich den NSX-Manager. Der NSX Manager ist eine zentrale Komponente zur Netzwerkverwaltung und bietet einen Single Point of Management. Er stellt auch die REST-API bereit, die Benutzer verwenden können, um alle NSX-Funktionen auszuführen. Die Managementebene wird während der Bereitstellungsphase eingerichtet, wenn die NSX-Appliance bereitgestellt und konfiguriert wird. Diese Ebene interagiert direkt mit der Steuer- und der Datenebene.
#5. Was ist logisches Switching?
NSX ermöglicht die Erstellung von logischem Layer-2- und Layer-3-Switching, wodurch eine Workload-Isolierung und die Trennung von IP-Adressräumen zwischen logischen Netzwerken erreicht wird. NSX kann logische Broadcast-Domänen im virtuellen Raum schaffen, die die Notwendigkeit logischer Netzwerke auf physischen Switches beseitigen. Dies bedeutet, dass Sie nicht mehr auf 4096 physische Broadcast-Domänen (VLANs) beschränkt sind.
#6. Was sind NSX Gateway-Dienste?
Die Edge-Gateway-Dienste verbinden Ihre logischen mit Ihren physischen Netzwerken. So kann eine virtuelle Maschine, die mit einem logischen Netzwerk verbunden ist, direkt Datenverkehr über das Gateway an Ihr physisches Netzwerk senden und empfangen.
#7. Was ist logisches Routing?
NSX ermöglicht die Erstellung mehrerer virtueller Broadcast-Domänen (logische Netzwerke). Da mehrere virtuelle Maschinen diese Domänen nutzen, ist es wichtig, Datenverkehr von einem logischen Switch zu einem anderen zu routen.
#8. Was ist Ost-West-Verkehr im Kontext von logischem Routing?
Ost-West-Datenverkehr bezieht sich auf den Datenfluss zwischen virtuellen Maschinen innerhalb eines Rechenzentrums. Typischerweise handelt es sich dabei um Datenverkehr zwischen logischen Switches in einer VMware-Umgebung.
#9. Was versteht man unter Nord-Süd-Verkehr?
Nord-Süd-Verkehr beschreibt Datenverkehr, der in Ihr Rechenzentrum ein- oder ausgeht. Dies umfasst den gesamten Datenverkehr, der Ihr Rechenzentrum entweder betritt oder verlässt.
#10. Was ist eine logische Firewall?
Es gibt zwei Haupttypen von logischen Firewalls: die Distributed Firewall und die Edge Firewall. Die Distributed Firewall ist ideal für den Schutz von Ost-West-Datenverkehr, während die Edge Firewall den Nord-Süd-Datenverkehr sichert. Mit der Distributed Firewall können Sie Regeln basierend auf verschiedenen Attributen erstellen, darunter IP-Adressen, VLANs, VM-Namen und vCenter-Objekte. Das Edge Gateway verfügt über eine integrierte Firewall, die zur Durchsetzung von Sicherheits- und Zugriffsbeschränkungen für den Nord-Süd-Datenverkehr verwendet werden kann.
#11. Was ist ein Load Balancer?
Ein logischer Load Balancer verteilt eingehende Anfragen auf mehrere Server, um eine Lastverteilung zu gewährleisten, während diese Funktion für Endbenutzer abstrahiert wird. Der Load Balancer kann auch für Hochverfügbarkeit (HA) eingesetzt werden, um die maximale Betriebszeit Ihrer Anwendungen sicherzustellen. Eine Edge Services Gateway-Instanz muss bereitgestellt werden, um den Load-Balancing-Dienst zu aktivieren.
#12. Was macht der Service Composer?
Mit dem Service Composer können Sie Netzwerk- und verschiedene Sicherheitsdienste Sicherheitsgruppen zuordnen. Virtuelle Maschinen, die zu diesen Gruppen gehören, erhalten automatisch die zugewiesenen Dienste.
#13. Was ist Datensicherheit im Kontext von NSX?
Die NSX-Datensicherheit ermöglicht Einblicke in sensible Daten, gewährleistet Datenschutz und meldet alle Compliance-Verstöße. Durch einen Datensicherheitsscan auf bestimmten virtuellen Maschinen kann NSX Verstöße basierend auf der für diese Maschinen geltenden Sicherheitsrichtlinie analysieren und melden.
#14. Maximale Konfiguration für NSX 6.2
| Beschreibung | Limit |
| vCenter | 1 |
| NSX Manager | 1 |
| DRS-Cluster | 12 |
| NSX-Controller | 3 |
| Hosts pro Cluster | 32 |
| Hosts pro Transportzone | 256 |
| Logische Switches | 10.000 |
| Logische Switch-Ports | 50.000 |
| DLRs pro Host | 1.000 |
| DLR pro NSX | 1.200 |
| Edge-Service-Gateways pro NSX Manager | 2.000 |
NSX-Kernkomponenten
#15. Erklären Sie den NSX Manager?
Der NSX Manager ermöglicht die Erstellung, Konfiguration und Verwaltung von NSX-Komponenten in einer Umgebung. Er bietet eine grafische Benutzeroberfläche und REST-APIs für die Interaktion mit den verschiedenen NSX-Elementen. Der NSX Manager ist eine virtuelle Maschine, die als OVA heruntergeladen und auf jedem von vCenter verwalteten ESX-Host bereitgestellt werden kann.
#16. Was ist ein NSX-Controller-Cluster?
Der NSX Controller bietet eine Steuerungsebenenfunktion zur Verteilung von logischen Routing- und VXLAN-Netzwerkinformationen an den zugrunde liegenden Hypervisor. Controller werden als virtuelle Appliances bereitgestellt und sollten in demselben vCenter wie der NSX Manager, mit dem eine Verbindung besteht, installiert werden. Für eine Produktionsumgebung wird empfohlen, mindestens drei Controller bereitzustellen. Es ist wichtig sicherzustellen, dass DRS-Anti-Affinitätsregeln konfiguriert sind, um Controller auf separaten ESXi-Hosts zu platzieren und so eine bessere Verfügbarkeit und Skalierbarkeit zu erreichen.
#17. Was ist VXLAN?
VXLAN ist ein Layer-2-over-Layer-3-Tunneling-Protokoll, das die Erweiterung logischer Netzwerksegmente über routingfähige Netzwerke hinweg ermöglicht. Dies wird erreicht, indem Ethernet-Frames mit zusätzlichen UDP-, IP- und VXLAN-Headern gekapselt werden. Dadurch erhöht sich die Paketgröße um 50 Byte. VMware empfiehlt daher, die MTU-Größe für alle Schnittstellen in der physischen Infrastruktur und den zugehörigen vSwitches auf mindestens 1600 Bytes zu erhöhen.
#18. Was ist ein VTEP?
Wenn eine virtuelle Maschine Datenverkehr erzeugt, der für eine andere virtuelle Maschine im gleichen virtuellen Netzwerk bestimmt ist, werden die Hosts, auf denen die Quell- und Zielmaschinen laufen, als VXLAN-Tunnelendpunkte (VTEP) bezeichnet. VTEPs werden als separate VMkernel-Schnittstellen auf den Hosts konfiguriert.
Der äußere IP-Header-Block in einem VXLAN-Frame enthält die Quell- und Ziel-IP-Adressen, die den Quell- und Ziel-Hypervisor angeben. Wenn ein Paket die virtuelle Quellmaschine verlässt, wird es auf dem Quell-Hypervisor gekapselt und an den Ziel-Hypervisor gesendet. Beim Empfang des Pakets entkapselt der Ziel-Hypervisor den Ethernet-Frame und leitet ihn an die virtuelle Zielmaschine weiter.
Nach der Vorbereitung des ESXi-Hosts durch den NSX Manager müssen die VTEPs konfiguriert werden. NSX unterstützt mehrere VXLAN-vmknics pro Host für Uplink-Lastverteilungsfunktionen. Darüber hinaus wird auch Gast-VLAN-Tagging unterstützt.
#19. Beschreiben Sie die Transportzone?
Eine Transportzone definiert die Ausdehnung eines logischen Switches über mehrere ESXi-Cluster, die sich über mehrere virtuelle Distributed Switches erstrecken. Eine Transportzone ermöglicht es, dass sich ein logischer Switch über mehrere vSwitches erstreckt. Alle ESXi-Hosts, die Teil dieser Transportzone sind, können virtuelle Maschinen in diesem logischen Netzwerk haben. Ein logischer Switch wird immer als Teil einer Transportzone erstellt, und ESXi-Hosts können dieser beitreten.
#20. Was ist eine universelle Transportzone?
Eine universelle Transportzone ermöglicht es einem logischen Switch, mehrere Hosts über mehrere vCenter-Instanzen hinweg zu umfassen. Sie wird immer auf dem primären NSX-Server erstellt und mit den sekundären NSX-Managern synchronisiert.
#21. Was ist das NSX Edge Services Gateway?
Das NSX Edge Services Gateway (ESG) bietet eine vielseitige Reihe von Diensten, darunter NAT, Routing, Firewall, Load Balancing, Layer-2/Layer-3-VPN und DHCP/DNS-Relay. Mit der NSX-API können diese Dienste nach Bedarf bereitgestellt, konfiguriert und genutzt werden. Sie können NSX Edge als ESG oder als Distributed Logical Router (DLR) installieren.
Die Anzahl der Edge-Appliances, einschließlich ESGs und DLRs, ist auf 250 pro Host begrenzt. Das Edge Services Gateway wird vom NSX Manager als virtuelle Maschine bereitgestellt, auf die über den vSphere-Webclient zugegriffen wird.
Hinweis: Nur die Unternehmensadministratorrolle, die NSX-Operationen und Sicherheitsverwaltung zulässt, kann ein Edge Services Gateway bereitstellen.
#22. Beschreiben Sie die Distributed Firewall in NSX?
NSX bietet zustandsbehaftete Layer-2-bis-Layer-4-Firewall-Dienste mithilfe einer Distributed Firewall, die im ESXi-Hypervisor-Kernel läuft. Da die Firewall Teil des ESXi-Kernels ist, bietet sie einen enormen Durchsatz und eine nahezu Leitungsgeschwindigkeitsleistung. Wenn NSX einen ESXi-Host vorbereitet, wird der Distributed Firewall-Dienst durch die Bereitstellung des Kernel-VIB – VMware Internetworking Service Insertion Platform (VSIP) – im Kernel installiert. VSIP ist für die Überwachung und Durchsetzung der Sicherheitsrichtlinien für den gesamten Datenverkehr verantwortlich, der die Datenebene durchläuft. Der Durchsatz und die Leistung der Distributed Firewall (DFW) skalieren horizontal mit jedem hinzugefügten ESXi-Host.
#23. Was ist Cross-vCenter NSX?
Ab NSX 6.2 können Sie mehrere vCenter NSX-Umgebungen mithilfe der Cross-vCenter-Funktionalität verwalten. Dies ermöglicht die zentrale Verwaltung mehrerer vCenter NSX-Umgebungen von einem primären NSX Manager aus. In einer Cross-vCenter-Umgebung ist jedes vCenter mit seinem eigenen NSX Manager gekoppelt. Ein NSX Manager wird zum primären, die anderen werden zu sekundären. Der primäre NSX Manager kann jetzt einen universellen Controller-Cluster bereitstellen, der die Steuerungsebene bereitstellt. Im Gegensatz zu einer eigenständigen vCenter-NSX-Bereitstellung stellen sekundäre NSX Manager keine eigenen Controller-Cluster bereit.
#24. Was ist ein VPN?
Virtual Private Networks (VPNs) ermöglichen die sichere Verbindung eines Remote-Geräts oder Standorts mit Ihrer Unternehmensinfrastruktur. NSX Edge unterstützt drei Arten von VPN-Verbindungen: SSL VPN-Plus, IPSEC-VPN und Layer-2-VPN.
#25. Was ist SSL VPN-Plus?
SSL VPN-Plus ermöglicht Remote-Benutzern den sicheren Zugriff auf Anwendungen und Server in einem privaten Netzwerk. Es gibt zwei Betriebsmodi für SSL VPN-Plus: Netzwerkzugriffsmodus und Webzugriffsmodus. Im Netzwerkzugriffsmodus kann ein Remote-Benutzer sicher auf das interne private Netzwerk zugreifen. Dies erfolgt über einen VPN-Client, den der Remote-Benutzer herunterlädt und auf seinem Betriebssystem installiert. Im Webzugriffsmodus kann der Remote-Benutzer ohne VPN-Client-Software auf private Netzwerke zugreifen.
#26. Was ist IPsec-VPN?
Das NSX Edge Service Gateway unterstützt ein Site-to-Site-IPSEC-VPN, das es ermöglicht, ein NSX Edge Services Gateway-gestütztes Netzwerk mit einem Gerät an einem Remote-Standort zu verbinden. NSX Edge kann sichere Tunnel mit Remote-Standorten einrichten, um einen sicheren Datenverkehr zwischen den Standorten zu gewährleisten. Die Anzahl der Tunnel, die ein Edge-Gateway aufbauen kann, hängt von der Größe des bereitgestellten Edge-Gateways ab. Bevor Sie IPsec-VPN konfigurieren, stellen Sie sicher, dass das dynamische Routing auf dem Edge-Uplink deaktiviert ist, um bestimmte Routen zuzulassen, die für den VPN-Datenverkehr erforderlich sind.
Hinweis: Selbstsignierte Zertifikate können nicht mit IPSEC-VPN verwendet werden.
#27. Was ist L2-VPN?
Mit einem L2-VPN können Sie mehrere logische Netzwerke auf mehrere Standorte ausdehnen. Die Netzwerke können sowohl traditionelle VLANs als auch VXLANs sein. In einer solchen Bereitstellung kann eine virtuelle Maschine zwischen Standorten verschoben werden, ohne ihre IP-Adresse zu ändern. Ein Layer-2-VPN wird als Client und Server bereitgestellt, wobei das Ziel-Edge der Server und das Quell-Edge der Client ist. Sowohl Client als auch Server lernen die MAC-Adressen sowohl der lokalen als auch der entfernten Standorte. Für alle Standorte, die nicht von einer NSX-Umgebung unterstützt werden, kann ein eigenständiges NSX Edge Gateway bereitgestellt werden.
Funktionale NSX-Dienste
#28. Wie viele NSX Manager können in einer Cross-vCenter NSX-Umgebung installiert und konfiguriert werden?
Es kann einen primären NSX Manager und bis zu sieben sekundäre NSX Manager geben. Sie wählen einen primären NSX Manager aus und beginnen dann mit der Erstellung universeller Objekte und der Bereitstellung von universellen Controller-Clustern. Der universelle Controller-Cluster stellt die Steuerungsebene für die Cross-vCenter NSX-Umgebung bereit. Beachten Sie, dass die sekundären NSX Manager in einer Cross-vCenter-Umgebung keine eigenen Controller-Cluster haben.
#29. Was ist der Segment-ID-Pool und wie wird er zugewiesen?
Jeder VXLAN-Tunnel hat eine Segment-ID (VNI) und Sie müssen einen Segment-ID-Pool für jeden NSX Manager festlegen. Der gesamte Datenverkehr wird an seine Segment-ID gebunden, was die Isolierung ermöglicht.
#30. Was ist eine Layer-2-Bridge?
Ein logischer Switch kann über eine Layer-2-Bridge mit einem physischen Switch-VLAN verbunden werden. So können Sie Ihre virtuellen logischen Netzwerke erweitern, um auf vorhandene physische Netzwerke zuzugreifen, indem Sie das logische VXLAN mit dem physischen VLAN überbrücken. Diese L2-Bridge wird über einen logischen NSX Edge Router realisiert, der einem einzelnen physischen VLAN im physischen Netzwerk zugeordnet ist.
Layer-2-Bridges sollten jedoch nicht verwendet werden, um zwei verschiedene physische VLANs oder zwei verschiedene logische Switches zu verbinden. Sie können auch keinen universellen logischen Router für die Konfiguration von Bridges verwenden, und einem universellen logischen Switch kann keine Bridge hinzugefügt werden. Das bedeutet, dass Sie in einer Multi-vCenter NSX-Umgebung einen logischen Switch nicht per L2-Bridge auf ein physisches VLAN in einem anderen Rechenzentrum erweitern können.
Edge Services Gateway
#31. Was ist ECMP-Routing (Equal Cost Multi-Path)?
ECMP ermöglicht die Weiterleitung von Paketen an ein einzelnes Ziel über mehrere bestehende Pfade, die statisch oder dynamisch über Routing-Protokolle wie OSPF und BGP hinzugefügt werden können. Diese mehreren Pfade werden beim Definieren der statischen Routen als kommagetrennte Werte hinzugefügt.
#32. Was sind die Standardbereiche für direkt verbundenes, statisches, externes BGP usw.?
Die Werte reichen von 1 bis 255 und die Standardbereiche sind: Verbunden (0), Statisch (1), Externes BGP (20), OSPF Intra-Area (30), OSPF Inter-Area (110) und Internes BGP (200).
Hinweis: Jeder der genannten Werte wird als „Admin Distance“ eingetragen, indem die Standard-Gateway-Konfiguration in der Routing Configuration bearbeitet wird.
#33. Was ist Open Shortest Path First (OSPF)?
OSPF ist ein Routing-Protokoll, das einen Link-State-Routing-Algorithmus verwendet und innerhalb eines einzelnen autonomen Systems arbeitet.
#34. Was ist Graceful Restart in OSPF?
Graceful Restart ermöglicht eine ununterbrochene Paketweiterleitung, auch wenn der OSPF-Prozess neu gestartet wird. Dies trägt zu einem unterbrechungsfreien Paket-Routing bei.
#35. Was ist eine Not-So-Stubby-Area (NSSA) in OSPF?
NSSA verhindert das Überfluten von Link-State-Advertisements eines externen autonomen Systems, indem auf Standardrouten zu externen Zielen zurückgegriffen wird. NSSAs werden üblicherweise am Rand einer OSPF-Routingdomäne platziert.
#36. Was ist BGP?
BGP ist ein externes Gateway-Protokoll, das entwickelt wurde, um Routinginformationen zwischen autonomen Systemen (AS) im Internet auszutauschen. BGP ist relevant für Netzwerkadministratoren großer Organisationen, die sich mit zwei oder mehr ISPs verbinden, sowie für Internetdienstanbieter, die sich mit anderen Netzwerkbetreibern verbinden. Als Administrator eines kleinen Firmennetzes oder als Endbenutzer müssen Sie sich in der Regel nicht mit BGP auseinandersetzen.
#37. Was ist Routenverteilung?
In einer Umgebung, in der mehrere Routing-Protokolle verwendet werden, ermöglicht die Routenverteilung das protokollübergreifende Teilen von Routen.
#38. Was ist ein Layer-4-Load-Balancer?
Ein Layer-4-Load-Balancer trifft Routing-Entscheidungen auf der Basis von IP-Adressen und TCP- oder UDP-Ports. Er betrachtet den Datenverkehr zwischen dem Client und einem Server auf Paketebene und trifft Entscheidungen Paket für Paket. Die Layer-4-Verbindung wird zwischen einem Client und einem Server hergestellt.
#39. Was ist ein Layer-7-Load-Balancer?
Ein Layer-7-Load-Balancer trifft Entscheidungen basierend auf IP-Adressen, TCP- oder UDP-Ports oder anderen Informationen, die er aus dem Anwendungsprotokoll (hauptsächlich HTTP) beziehen kann. Der Layer-7-Load-Balancer fungiert als Proxy und unterhält zwei TCP-Verbindungen: eine zum Client und eine zum Server.
#40. Was ist ein Anwendungsprofil bei der Konfiguration von Load Balancern?
Bevor ein virtueller Server erstellt wird, der mit dem Pool verbunden ist, muss ein Anwendungsprofil definiert werden, das das Verhalten einer bestimmten Art von Netzwerkverkehr beschreibt. Wenn Datenverkehr empfangen wird, verarbeitet der virtuelle Server den Datenverkehr gemäß den im Profil definierten Werten. Dies ermöglicht eine bessere Kontrolle über die Verwaltung Ihres Netzwerkverkehrs.
#41. Was ist eine Subinterface?
Eine Subinterface oder auch interne Schnittstelle ist eine logische Schnittstelle, die erstellt und einer physischen Schnittstelle zugewiesen wird. Subinterfaces sind im Wesentlichen eine Unterteilung einer physischen Schnittstelle in mehrere logische. Diese logische Schnittstelle verwendet die übergeordnete physische Schnittstelle für den Datentransport. Beachten Sie, dass Sie Subinterfaces nicht für HA verwenden können, da ein Heartbeat einen physischen Port von einem Hypervisor zu einem anderen zwischen den Edge-Appliances durchlaufen muss.
#42. Warum ist Force Sync NSX Edge für Ihre Umgebung notwendig?
Force Sync ist eine Funktion, die die Edge-Konfiguration vom NSX Manager mit allen zugehörigen Komponenten in einer Umgebung synchronisiert. Eine Synchronisierungsaktion wird vom NSX Manager an das NSX Edge gestartet, wodurch die Edge-Konfiguration aktualisiert und neu geladen wird.
#43. Warum ist ein Remote-Syslog-Server für die Konfiguration in Ihrer virtuellen Umgebung erforderlich?
VMware empfiehlt, Syslog-Server zu konfigurieren, um die Protokollflut auf den Edge-Appliances zu vermeiden. Wenn die Protokollierung aktiviert ist, werden Protokolle lokal auf der Edge-Appliance gespeichert und beanspruchen Speicherplatz. Wenn diese Option nicht aktiviert ist, kann dies die Leistung der Edge-Appliance beeinträchtigen und sogar dazu führen, dass die Appliance aufgrund von Speicherplatzmangel angehalten wird.
Service Composer
#44. Was sind Sicherheitsrichtlinien?
Sicherheitsrichtlinien sind Regelsätze, die für eine virtuelle Maschine, ein Netzwerk oder Firewall-Dienste gelten. Sie sind wiederverwendbare Regelsätze, die auf Sicherheitsgruppen angewendet werden können. Sicherheitsrichtlinien definieren drei Arten von Regelsätzen:
- Endpunktdienste: Gastbasierte Dienste wie Antivirensoftware und Schwachstellenmanagement
- Firewall-Regeln: Distributed Firewall-Richtlinien
- Netzwerk-Introspektionsdienste: Netzwerkdienste wie Intrusion Detection-Systeme und Verschlüsselung
Diese Regeln werden auf alle Objekte und virtuellen Maschinen angewendet, die Teil einer Sicherheitsgruppe sind, der diese Richtlinie zugewiesen ist.
Überwachung
#45. Was ist Endpunktüberwachung in NSX?
Endpoint Monitoring bietet Einblick und Transparenz in Anwendungen, die in einem Betriebssystem ausgeführt werden, um sicherzustellen, dass Sicherheitsrichtlinien korrekt durchgesetzt werden. Endpoint Monitoring erfordert die Installation von Guest Introspection. Sie müssen auf den virtuellen Maschinen einen Guest-Introspection-Treiber installieren, der Teil der Installation von VMware-Tools ist.
#46. Was ist Flow-Monitoring?
NSX Flow Monitoring ist eine Funktion, die eine detaillierte Überwachung des Datenverkehrs zu und von geschützten virtuellen Maschinen ermöglicht. Sie kann verschiedene Maschinen und Dienste, die Daten austauschen, eindeutig identifizieren. Wenn aktiviert, kann Flow Monitoring feststellen, welche Maschinen Daten über bestimmte Anwendungen austauschen. Es ermöglicht auch die Live-Überwachung von TCP- und UDP-Verbindungen und ist ein effektives forensisches Werkzeug.
Hinweis: Flow Monitoring kann nur für NSX-Bereitstellungen mit aktivierter Firewall verwendet werden.
#47. Was ist Traceflow?
Traceflow ist ein Tool, das entwickelt wurde, um Administratoren eine nahtlose Fehlerbehebung in ihrer virtuellen Netzwerkumgebung zu ermöglichen, indem es den Paketfluss ähnlich wie die ältere Packet Tracer-Anwendung verfolgt. Mit Traceflow können Sie ein Paket ins Netzwerk einspeisen und dessen Fluss durch das Netzwerk überwachen. Dadurch können Sie Ihr Netzwerk überwachen und Probleme wie Engpässe oder Ausfälle identifizieren.
NSX-Verwaltung
#48. Wie funktioniert der Syslog-Server in NSX?
Wenn Sie den NSX Manager mit einem Remote-Syslog-Server konfigurieren, können Sie alle Protokolldateien sammeln, anzeigen und an einem zentralen Ort speichern. Auf diese Weise können Sie Protokolle für Compliance-Zwecke speichern. Mit einem Tool wie VMware vRealize Log Insight können Sie Alarme erstellen und die integrierte Suchmaschine verwenden, um Protokolle zu überprüfen.
#49. Wie funktionieren Sicherung und Wiederherstellung in NSX?
Sicherungen sind in einer NSX-Umgebung essenziell, um im Falle eines Systemausfalls eine ordnungsgemäße Wiederherstellung zu gewährleisten. Neben vCenter können Sie Sicherungsvorgänge für NSX Manager, Controller-Cluster, NSX Edge, Firewall-Regeln und Service Composer durchführen. All diese Elemente können separat gesichert und wiederhergestellt werden.
#50. Was ist ein SNMP-Trap?
SNMP-Traps (Simple Network Management Protocol) sind Warnmeldungen, die von einem entfernten SNMP-fähigen Gerät an einen Kollektor gesendet werden. Sie können den SNMP-Agenten konfigurieren, um SNMP-Traps weiterzuleiten.
Standardmäßig ist der SNMP-Trap-Mechanismus deaktiviert. Wenn SNMP-Traps aktiviert sind, werden nur kritische Benachrichtigungen und Benachrichtigungen mit hoher Priorität an den SNMP-Manager gesendet.
Ich hoffe, Ihnen hat dieser Beitrag gefallen. Viel Erfolg bei Ihrem Vorstellungsgespräch! 👍