Les 50 principales questions et réponses des entretiens avec VMware NSX

Photo of author

By pierre

Table des matières



Explorons quelques questions d’entretien relatives à VMware NSX, conçues pour les candidats et les professionnels souhaitant obtenir une certification en virtualisation de réseau.

En juillet 2012, VMware a fait l’acquisition de NSX auprès de Nicira. Initialement axé sur la virtualisation de réseau dans un environnement hyperviseur Xen, NSX a évolué pour abstraire la couche physique, permettant au logiciel de fonctionner au-dessus de l’hyperviseur. Cette abstraction offre une configuration et des mises à jour dynamiques. NSX se décline actuellement en deux versions : NSX-T, adapté aux applications multi-hyperviseurs et cloud natives, et NSX-V, spécifiquement conçu pour les environnements vSphere.

NSX représente l’avenir des infrastructures informatiques modernes, offrant des fonctionnalités étendues pour la gestion et la sécurisation de votre infrastructure virtuelle. Son adoption est notable, avec 82% des entreprises du Fortune 100 utilisant VMware NSX. Cette adoption rapide crée une forte demande pour une main-d’œuvre compétente dans ce domaine.

Pour vous préparer, nous avons élaboré une série de questions d’entretien, accompagnées de réponses explicatives.

Ces questions d’entretien sont organisées selon les domaines techniques suivants:

  • Concepts fondamentaux
  • Composants clés de NSX
  • Services fonctionnels NSX
  • Passerelle de services Edge
  • Service Composer
  • Surveillance
  • Gestion de NSX

Concepts fondamentaux de NSX

#1. Qu’entend-on par découplage?

Le découplage, un concept essentiel de la virtualisation de réseau, sépare le logiciel du matériel réseau. Le logiciel opère indépendamment du matériel qui interconnecte physiquement l’infrastructure. Bien que tout matériel compatible puisse améliorer la fonctionnalité, il n’est pas indispensable. Il est important de noter que les performances du matériel réseau influenceront le débit global.

#2. Qu’est-ce que le plan de contrôle?

Le découplage du logiciel et du matériel confère un meilleur contrôle sur le réseau, la logique résidant entièrement dans le logiciel. Cette capacité de contrôle est appelée le plan de contrôle, qui permet de configurer, surveiller, dépanner et automatiser le réseau.

#3. Qu’est-ce que le plan de données?

Le plan de données est formé par le matériel réseau, responsable du transfert des données de la source à la destination. Bien que la gestion des données relève du plan de contrôle, le plan de données comprend tout le matériel réseau dont la fonction principale est de transférer le trafic.

#4. Qu’est-ce que le plan de gestion?

Le plan de gestion est principalement constitué du gestionnaire NSX, un composant de gestion de réseau centralisé qui offre un point d’accès unique. Il expose également une API REST pour exécuter toutes les opérations NSX. Durant la phase de déploiement, le plan de gestion est établi lors du déploiement et de la configuration de l’appliance NSX. Ce plan interagit directement avec le plan de contrôle et le plan de données.

#5. Qu’est-ce que la commutation logique?

NSX permet de créer une commutation logique L2 et L3, isolant ainsi les charges de travail et séparant les espaces d’adressage IP entre les réseaux logiques. NSX peut créer des domaines de diffusion logiques dans l’espace virtuel, évitant la création de réseaux logiques sur des commutateurs physiques. Cela supprime la limitation à 4096 domaines de diffusion physiques (VLAN).

#6. Que sont les services de passerelle NSX?

Les passerelles Edge interconnectent vos réseaux logiques et physiques. Une machine virtuelle connectée à un réseau logique peut communiquer directement avec le réseau physique via la passerelle.

#7. Qu’est-ce que le routage logique?

NSX permet de créer plusieurs domaines de diffusion virtuels (réseaux logiques). Avec de multiples machines virtuelles connectées à ces domaines, il devient crucial de pouvoir acheminer le trafic entre les commutateurs logiques.

#8. Qu’est-ce que le trafic est-ouest dans le routage logique?

Le trafic est-ouest désigne le trafic entre les machines virtuelles au sein d’un même centre de données, généralement entre commutateurs logiques dans un environnement VMware.

#9. Qu’est-ce que le trafic nord-sud?

Le trafic nord-sud correspond au trafic entrant et sortant du centre de données, englobant tout échange de données avec l’extérieur.

#10. Qu’est-ce qu’un pare-feu logique?

Les pare-feu logiques se divisent en deux catégories : les pare-feu distribués et les pare-feu Edge. Les pare-feu distribués sont idéaux pour sécuriser le trafic est-ouest, tandis que les pare-feu Edge protègent le trafic nord-sud. Un pare-feu logique distribué permet de créer des règles basées sur divers attributs, tels que les adresses IP, les VLAN, les noms de machines virtuelles et les objets vCenter. La passerelle Edge offre également un service de pare-feu pour contrôler l’accès et sécuriser le trafic nord-sud.

#11. Qu’est-ce qu’un équilibreur de charge?

Un équilibreur de charge logique répartit les requêtes entrantes entre plusieurs serveurs, assurant la répartition de la charge tout en masquant cette complexité aux utilisateurs finaux. Il peut également servir de mécanisme de haute disponibilité pour garantir la disponibilité maximale des applications. Un équilibreur de charge nécessite le déploiement d’une instance de passerelle de services Edge.

#12. Qu’est-ce que Service Composer?

Service Composer permet d’attribuer plusieurs services réseau et de sécurité à des groupes de sécurité. Les machines virtuelles appartenant à ces groupes reçoivent automatiquement les services attribués.

#13. Qu’est-ce que la sécurité des données?

La sécurité des données NSX offre une visibilité sur les données sensibles, protège ces données et signale toute violation de conformité. L’analyse de sécurité des données sur des machines virtuelles désignées permet à NSX d’identifier et de rapporter toute violation en fonction de la politique de sécurité appliquée à ces machines.

#14. Configuration maximale de NSX 6.2

Description Limite
vCenters 1
Gestionnaires NSX 1
Grappes DRS 12
Contrôleurs NSX 3
Hôtes par cluster 32
Hôtes par zone de transport 256
Commutateurs logiques 10 000
Ports de commutateur logique 50 000
DLR par hôte 1 000
DLR par NSX 1 200
Passerelles de service Edge par NSX Manager 2 000

Composants clés de NSX

#15. Définir NSX Manager?

Le gestionnaire NSX permet de créer, configurer et gérer les composants NSX dans un environnement. Il offre une interface utilisateur graphique et des API REST pour interagir avec les divers composants NSX. NSX Manager est une machine virtuelle téléchargeable au format OVA et déployable sur n’importe quel hôte ESX géré par vCenter.

#16. Définir le cluster NSX Controller?

NSX Controller fournit le plan de contrôle pour distribuer les informations de routage logique et de réseau VXLAN à l’hyperviseur sous-jacent. Les contrôleurs sont déployés en tant qu’appliances virtuelles, dans le même vCenter auquel NSX Manager est connecté. En environnement de production, un minimum de trois contrôleurs est recommandé. Il est important de configurer des règles d’anti-affinité DRS pour assurer leur déploiement sur des hôtes ESXi distincts, améliorant ainsi la disponibilité et l’évolutivité.

#17. Qu’est-ce que le VXLAN?

VXLAN est un protocole de tunnellisation de couche 2 sur couche 3 qui permet d’étendre les segments de réseau logiques sur des réseaux routables. Cela s’effectue en encapsulant la trame Ethernet avec des en-têtes UDP, IP et VXLAN supplémentaires. Cela augmente la taille du paquet de 50 octets, d’où la recommandation de VMware d’augmenter la taille MTU à un minimum de 1 600 octets pour toutes les interfaces de l’infrastructure physique et les vSwitches associés.

#18. Qu’est-ce que le VTEP?

Lorsqu’une machine virtuelle envoie du trafic à une autre sur le même réseau virtuel, les hôtes où les machines virtuelles source et destination s’exécutent sont appelés points de terminaison de tunnel VXLAN (VTEP). Les VTEP sont configurés en tant qu’interfaces VMkernel distinctes sur les hôtes.

L’en-tête IP externe de la trame VXLAN contient les adresses IP source et destination, correspondant aux hyperviseurs source et destination. Lors du départ d’un paquet de la machine virtuelle source, celui-ci est encapsulé au niveau de l’hyperviseur source et envoyé à l’hyperviseur cible. À la réception, l’hyperviseur cible décapsule la trame Ethernet et la retransmet à la machine virtuelle destinataire.

Après la préparation de l’hôte ESXi par NSX Manager, la configuration du VTEP est nécessaire. NSX prend en charge plusieurs vmknics VXLAN par hôte pour assurer l’équilibrage de charge en liaison montante, ainsi que le balisage VLAN invité.

#19. Décrire la zone de transport?

Une zone de transport définit l’étendue d’un commutateur logique sur plusieurs clusters ESXi et commutateurs distribués virtuels. Elle permet à un commutateur logique de s’étendre sur plusieurs commutateurs distribués virtuels. Tous les hôtes ESXi inclus dans cette zone peuvent héberger des machines virtuelles participant à ce réseau logique. Un commutateur logique est toujours créé dans le cadre d’une zone de transport, à laquelle peuvent adhérer les hôtes ESXi.

#20. Qu’est-ce que la zone de transport universelle?

Une zone de transport universelle permet à un commutateur logique de s’étendre sur plusieurs hôtes dans différents vCenters. Elle est créée par le serveur NSX principal et synchronisée avec les gestionnaires NSX secondaires.

#21. Qu’est-ce que la passerelle de services NSX Edge?

La passerelle de services Edge NSX (ESG) fournit un ensemble complet de services, notamment NAT, routage, pare-feu, équilibrage de charge, VPN L2/L3 et relais DHCP/DNS. L’API NSX permet de déployer, configurer et utiliser ces services à la demande. NSX Edge peut être installé en tant que passerelle ESG ou DLR.

Le nombre d’appliances Edge, y compris les ESG et les DLR, est limité à 250 par hôte. La passerelle de services Edge est déployée en tant que machine virtuelle via NSX Manager, accessible via le client Web vSphere.

Note : Seul le rôle d’administrateur d’entreprise peut déployer une passerelle de services Edge, autorisant ainsi les opérations NSX et la gestion de la sécurité.

#22. Décrire le pare-feu distribué dans NSX?

NSX offre des services de pare-feu avec état L2-L4 via un pare-feu distribué exécuté dans le noyau de l’hyperviseur ESXi. Intégré au noyau ESXi, ce pare-feu offre un débit élevé et des performances proches de la vitesse de la ligne. Lors de la préparation de l’hôte ESXi par NSX, le service de pare-feu distribué est installé dans le noyau par le déploiement du noyau VIB – VMware interworking service insertion platform (VSIP). VSIP est responsable de la surveillance et de l’application des politiques de sécurité sur le trafic transitant par le plan de données. Le débit et les performances du pare-feu distribué (DFW) s’améliorent à mesure que de nouveaux hôtes ESXi sont ajoutés.

#23. Qu’est-ce que Cross-vCenter NSX?

Depuis NSX 6.2, la fonctionnalité cross-vCenter permet de gérer plusieurs environnements vCenter NSX. Cela permet de gérer différents environnements vCenter NSX depuis un unique gestionnaire NSX principal. Dans un déploiement cross-vCenter, chaque vCenter est associé à son propre NSX Manager. Un NSX Manager est désigné comme principal, les autres devenant secondaires. Ce gestionnaire principal peut déployer un cluster de contrôleurs universel fournissant le plan de contrôle. Contrairement à un déploiement vCenter-NSX autonome, les gestionnaires NSX secondaires ne déploient pas leurs propres clusters de contrôleurs.

#24. Qu’est-ce qu’un VPN?

Les réseaux privés virtuels (VPN) permettent de connecter en toute sécurité un appareil ou un site distant à l’infrastructure d’entreprise. NSX Edge prend en charge trois types de connectivité VPN : SSL VPN-Plus, VPN IP-SEC et VPN L2.

#25. Qu’est-ce que SSL VPN-Plus?

SSL VPN-Plus permet aux utilisateurs distants d’accéder de manière sécurisée aux applications et serveurs d’un réseau privé. Il existe deux modes de configuration : accès réseau et accès web. En mode d’accès réseau, un utilisateur distant peut accéder en toute sécurité au réseau privé interne via un client VPN installé sur son système d’exploitation. En mode d’accès web, l’accès aux réseaux privés se fait sans logiciel client VPN.

#26. Qu’est-ce qu’un VPN IPSec?

La passerelle de service NSX Edge prend en charge un VPN IPSEC de site à site, permettant de connecter un réseau basé sur la passerelle de services NSX Edge à un autre appareil sur un site distant. NSX Edge peut établir des tunnels sécurisés avec des sites distants pour un flux de trafic sécurisé entre sites. Le nombre de tunnels dépend de la taille de la passerelle Edge déployée. Avant de configurer le VPN IPsec, assurez-vous que le routage dynamique est désactivé sur la liaison montante Edge pour permettre la définition d’itinéraires spécifiques pour le trafic VPN.

Note : Les certificats auto-signés ne sont pas compatibles avec le VPN IPSEC.

#27. Qu’est-ce qu’un VPN L2?

Un VPN L2 permet d’étendre plusieurs réseaux logiques sur plusieurs sites, qu’il s’agisse de VLAN traditionnels ou de VXLAN. Dans un tel déploiement, une machine virtuelle peut se déplacer entre sites sans changer d’adresse IP. Le VPN L2 est déployé en tant que client et serveur, l’appliance Edge de destination étant le serveur et l’appliance Edge source étant le client. Le client et le serveur apprennent les adresses MAC des sites locaux et distants. Pour les sites non soutenus par un environnement NSX, une passerelle NSX Edge autonome peut être déployée.

Services fonctionnels NSX

#28. Combien de gestionnaires NSX peuvent être installés et configurés dans un environnement cross-vCenter NSX?

Un seul gestionnaire NSX principal peut être configuré, avec un maximum de sept gestionnaires NSX secondaires. Après avoir sélectionné le gestionnaire NSX principal, la création d’objets universels et le déploiement de clusters de contrôleurs universels peuvent commencer. Le cluster de contrôleur universel fournit le plan de contrôle pour l’environnement cross-vCenter NSX. Il est important de noter que, dans un environnement cross-vCenter, les gestionnaires NSX secondaires n’ont pas leurs propres clusters de contrôleurs.

#29. Qu’est-ce que le pool d’ID de segment et comment l’attribuer?

Chaque tunnel VXLAN possède un ID de segment (VNI). Il est nécessaire de spécifier un pool d’ID de segment pour chaque NSX Manager. Tout le trafic sera associé à son ID de segment, ce qui permet l’isolation.

#30. Qu’est-ce que le pont L2?

Un commutateur logique peut être connecté à un VLAN de commutateur physique via un pont L2, étendant ainsi les réseaux logiques virtuels pour accéder aux réseaux physiques existants en reliant le VXLAN logique au VLAN physique. Ce pontage est réalisé via un routeur logique NSX Edge mappé à un seul VLAN physique sur le réseau physique.

Cependant, le pontage L2 ne doit pas être utilisé pour connecter deux VLAN physiques différents ou deux commutateurs logiques différents. De même, un routeur logique universel ne peut pas être utilisé pour configurer le pontage, et un pont ne peut pas être ajouté à un commutateur logique universel. Cela signifie que, dans un environnement multi-vCenter NSX, l’extension d’un commutateur logique à un VLAN physique dans un autre centre de données n’est pas possible via le pontage L2.

Passerelle de services Edge

#31. Qu’est-ce que le routage ECMP (Equal Cost Multi-Path)?

ECMP permet la transmission de paquets du saut suivant vers une destination unique via plusieurs meilleurs chemins, ajoutés statiquement ou dynamiquement via des protocoles de routage tels que OSPF et BGP. Ces chemins multiples sont ajoutés comme valeurs séparées par des virgules lors de la définition des routes statiques.

#32. Quelles sont les plages par défaut pour les BGP directement connectés, statiques, externes, etc.?

Les valeurs varient de 1 à 255, avec des plages par défaut : connecté (0), statique (1), BGP externe (20), intra-zone OSPF (30), inter-zone OSPF (110) et BGP interne (200).

Note : Ces valeurs sont saisies dans « Admin Distance » lors de la modification de la configuration de la passerelle par défaut dans la configuration de routage.

#33. Qu’est-ce que l’Open Shortest Path First (OSPF)?

OSPF est un protocole de routage utilisant un algorithme de routage à état de liens et opérant au sein d’un unique système autonome.

#34. Qu’est-ce que le redémarrage gracieux dans OSPF?

Le redémarrage gracieux permet le transfert de paquets sans interruption, même si le processus OSPF est en cours de redémarrage, facilitant un routage de paquets sans perturbation.

#35. Qu’est-ce que la zone Not-So-Stubby (NSSA) dans OSPF?

La NSSA empêche l’inondation d’annonces d’état de liaison d’un système autonome externe en s’appuyant sur les routes par défaut vers des destinations externes. Les NSSA sont généralement positionnées à la périphérie d’un domaine de routage OSPF.

#36. Qu’est-ce que BGP?

BGP est un protocole de passerelle externe conçu pour l’échange d’informations de routage entre systèmes autonomes (AS) sur Internet. BGP est pertinent pour les administrateurs réseau de grandes organisations connectées à plusieurs FAI ou les fournisseurs de services internet connectés à d’autres fournisseurs de réseau. Si vous êtes administrateur d’un petit réseau d’entreprise ou un utilisateur final, la connaissance de BGP n’est probablement pas nécessaire.

#37. Qu’est-ce que la distribution de routage?

Dans un environnement où plusieurs protocoles de routage sont utilisés, la redistribution de route permet le partage d’itinéraires entre ces protocoles.

#38. Qu’est-ce que l’équilibreur de charge de couche 4?

L’équilibreur de charge de couche 4 prend des décisions de routage en fonction des adresses IP et des ports TCP ou UDP, traitant le trafic échangé entre le client et le serveur au niveau du paquet. La connexion de couche 4 est établie entre un client et un serveur.

#39. Qu’est-ce que l’équilibreur de charge de couche 7?

Un équilibreur de charge de couche 7 prend des décisions de routage basées sur les ports IP, TCP ou UDP, ou des informations provenant du protocole d’application (principalement HTTP). L’équilibreur de charge de couche 7 agit comme un proxy et maintient deux connexions TCP : une avec le client et une avec le serveur.

#40. Qu’est-ce que le profil d’application dans la configuration de Load Balancer?

Avant de créer un serveur virtuel à mapper au pool, un profil d’application est défini pour spécifier le comportement d’un type particulier de trafic réseau. Le serveur virtuel traite ensuite le trafic selon les paramètres du profil, permettant une meilleure gestion du trafic réseau.

#41. Qu’est-ce que la sous-interface?

Une sous-interface, ou interface interne, est une interface logique créée et mappée à une interface physique. Les sous-interfaces divisent une interface physique en plusieurs interfaces logiques, utilisant l’interface physique parente pour le transfert des données. Il est important de noter que les sous-interfaces ne doivent pas être utilisées pour la haute disponibilité, car une pulsation doit traverser un port physique entre les appliances Edge.

#42. Pourquoi Force Sync NSX Edge est-il nécessaire pour votre environnement?

La fonctionnalité « Force Sync » synchronise la configuration Edge de NSX Manager avec tous ses composants, initiant une action de synchronisation qui actualise et recharge la configuration Edge.

#43. Pourquoi un serveur Syslog distant est-il nécessaire de configurer dans votre environnement virtuel?

VMware recommande la configuration de serveurs Syslog pour éviter la saturation des journaux sur les appliances Edge. Lorsque la journalisation est activée, les journaux sont stockés localement sur l’appliance Edge et consomment de l’espace. Sans intervention, cela peut impacter les performances de l’appliance Edge, voire entraîner son arrêt par manque d’espace disque.

Service Composer

#44. Que sont les politiques de sécurité?

Les politiques de sécurité sont des ensembles de règles appliquées à des machines virtuelles, des réseaux ou des services de pare-feu. Elles sont réutilisables et peuvent être appliquées aux groupes de sécurité. Les politiques de sécurité définissent trois types d’ensembles de règles:

  • Services Endpoint : services basés sur l’invité, tels que les antivirus et la gestion des vulnérabilités.
  • Règles de pare-feu : stratégies de pare-feu distribué.
  • Services d’introspection du réseau : services réseau, tels que les systèmes de détection d’intrusion et le chiffrement.

Ces règles sont appliquées à tous les objets et machines virtuelles faisant partie d’un groupe de sécurité auquel cette politique est associée.

Surveillance

#44. Qu’est-ce que Endpoint Monitoring dans NSX?

Endpoint Monitor fournit des informations et une visibilité sur les applications exécutées dans un système d’exploitation pour vérifier la bonne application des politiques de sécurité. Il nécessite l’installation de l’introspection invité, soit un pilote d’introspection invité inclus dans l’installation des outils VMware.

#45. Qu’est-ce que la surveillance des flux?

La surveillance des flux NSX offre une surveillance détaillée du trafic vers et depuis des machines virtuelles protégées. Elle peut identifier de manière unique différentes machines et services échangeant des données et, lorsqu’elle est activée, repérer les machines échangeant des données sur des applications spécifiques. La surveillance des flux permet également la surveillance en direct des connexions TCP et UDP et sert d’outil d’investigation efficace.

Note : La surveillance des flux ne peut être activée que pour les déploiements NSX où un pare-feu est activé.

#46. Qu’est-ce que Traceflow?

Traceflow est un outil permettant aux administrateurs de dépanner leur environnement de réseau virtuel en traçant un flux de paquets, similaire à l’application Packet Tracer. Traceflow permet d’injecter un paquet dans le réseau et de suivre son flux, permettant ainsi d’identifier des problèmes tels que des goulots d’étranglement ou des perturbations.

Gestion de NSX

#48. Comment fonctionne le serveur Syslog dans NSX?

La configuration de NSX Manager avec un serveur Syslog distant permet de collecter, d’afficher et d’enregistrer tous les fichiers journaux dans un emplacement central. Cela permet de stocker les journaux à des fins de conformité. En utilisant un outil tel que VMware vRealize Log Insight, il est possible de créer des alarmes et d’utiliser le moteur de recherche intégré pour consulter les journaux.

#49. Comment fonctionnent la sauvegarde et la restauration dans NSX?

Les sauvegardes sont essentielles pour un environnement NSX et permettent une restauration appropriée en cas de défaillance du système. En plus de vCenter, des sauvegardes peuvent être effectuées sur NSX Manager, les clusters de contrôleurs, NSX Edge, les règles de pare-feu et Service Composer. Tous ces éléments peuvent être sauvegardés et restaurés individuellement.

#50. Qu’est-ce que le trap SNMP?

Les interruptions du protocole de gestion de réseau simple (SNMP) sont des messages d’alerte envoyés d’un périphérique distant compatible SNMP à un collecteur. L’agent SNMP peut être configuré pour transférer ces interruptions.

Par défaut, le mécanisme d’interruption SNMP est désactivé. Seules les notifications critiques et de gravité élevée sont envoyées au gestionnaire SNMP lorsque le trap SNMP est activé.

J’espère que vous avez apprécié cet article. Bonne chance pour votre entretien ! 👍



Tweetez
Partagez
Épingle
Partagez
Partagez
0 Partages

6 logiciels de notaire en ligne pour créer et modifier des documents juridiques

11 meilleurs enregistreurs de frappe cachés pour Android