【VMware認定資格】 VCAPへの道【Advanced Deploy VMware NSX-T Data Center 3.x 対策編】
来る2022年2月1日に、VMware Learningから新資格試験”Advanced Deploy VMware NSX-T Data Center 3.x”が登場したことを受けて、試験概要からどのような対策準備が必要かを考察します。
From @VMwareEducation, New @vmwarensx advanced level exam will be rolled out!!!
— Yamato/VMware黒本著者/AzureStackHCI, RHCE(Ansible)学習中 (@lab8010) February 1, 2022
VCAP-NV “Deploy” !! Let’s challenge it!
Now it is not available on PearsonVUE but it will come soon.https://t.co/vQDZv6gtr5
なお、本記事の著者が独自に予想をして技術的な対策考察を立てて、技術情報を提供している記事でもあります。合格の保証を始め、試験での出題を保証するものではありません。
(本記事は著者が受験前に取りまとめた記事であるためそもそも著者は試験の内容を把握しておりません)
おさらい:試験概要
まず、今回受験をする予定の試験は次の通りです。Advanced Deploy VMware NSX-T Data Center 3.x
本試験は”実操作型試験”となり、受験者は提供されたコンソールを介して、環境に対して指示された構成を入力していくようです。
実試験上の操作間や制限の詳細はこちらの記事に以前まとめていますので、よろしければご覧ください。
VMware Hands-on Labと同じUIを使うの事で、普段からその操作に慣れている方なら試験開始以降サプライズも無いことでしょう。
そもそもハンズオンラボを使った事が無いよ、という方はこちらのサイトに是非アクセスの上、最低1つ以上のハンズオンラボの利用をすることをおすすめします。
ネットワーク系科目ならでは考えておきたいこと
Ping応答なしやSSH疎通不可などを考える
VCAP-DCV DeployではvSphereの各種機能の設定を行っていくわけですが、それがvSphere HAやDRS、vSANなど全く別の機能について、UIで必要入力項目を入れたり、仮想マシンに設定を入れたりです。
しかしネットワーク系の科目では、構成を入れる、トラブルシュートをするにしても作業の成果がうまくいったかどうかは、”Pingでの応答性があるのか”や”SSHが通るか”などパターンが少ないということです。
スイッチング、ルーティング、ファイアウォールなど、異なる階層かつ機能の問いでも同じ手法での結果確認となるため、Ping疎通ができない、SSHが通らないなどが発生した場合、どこの問で躓いたかを把握することが困難です。
例えばこれが、VCAP-DCV Deployならば、”vMotion時にエラーが出る”などであれば、関連画面は限られるので割と簡単です。
ネットワーク科目の難しさは、1つのエラーメッセージや設定ミスが広範囲の確認個所に及ぶためわずかなPing応答なしでさえもできれば遭遇したくありません。
恣意的な誤設定との偶発的な遭遇
また逆に言えば、恐らく試験内では”明らかにおかしい設定”を偶然見つけることにもなるといえます。
例えば、ルーティング設定問題に伴うPing疎通不可問題を解いている中で、次のような項目を閲覧すると思います。
- ルーティング設定(BGP AS番号の指定ミス、BGPの有効化状態確認、ネイバールーターのIP指定)
- ルートアドバタイズの指定
- ルート再配布の指定
現在解いている問題は上記のいずれかで解決するとして、例えば全項目についてみた所明らかにおかしい構成があったりした場合に、恐らく同時に修正をすると思います。
この場合、幸運にも今後解く予定の問題への回答ができてしまうこともあると思います。
予め出題される問題を把握しておけば、”さっきの修正でこの問題も回答ができている”とわかりますが、
1問ずつ解いていく場合、”ネットワーク疎通不可を問われているのに、Pingも通るし疎通上問題がない”と見えてしまいます。
上記のように気が付ければよいのですが、”出題されている問題が、実際には発生していない”のように見えてしまうと、ただでさえ時間が無いDeploy試験では若干混乱してしまう要素となりえます。
これがvSphere系の試験であれば、vMotionの設定を見直したことで、vSANの問題が改善するなどはなく、各問題が明確に分かれていることが多いので上記のようなことがないわけです。
つまり、作業工程管理をある程度できないと、スムーズに問題を解いていけないかもしれないという事ですね。
出題範囲
ということで(いつもの流れですが)、本試験の出題範囲を抜粋してみました。本ソースは記事投稿時点の”試験準備ガイド(PDF)”からです。(投稿時点と閲覧時点内容のギャップがある可能性もあるため、この点ご留意ください)
なお、以下のセクションの中から、全てが出題されるわけではないとの事
また、同ガイドは英語のみのため、以下の一覧は私が独自に翻訳をしたものです
(翻訳の精度などについてはベストを尽くしていますが、責任を負いかねますのでご容赦ください)
Section 1 – アーキテクチャとテクノロジー / Section 2 – プロダクトとソリューション / Section3 – 計画とデザイン
これら3つのセクションからの出題はありません。
なお、本項目が含む内容としてはVMware NSX-Tの基本的なアーキテクチャ構造への理解やそこに使用されるテクノロジー関連の情報だと思われます。
例えば、NSX ManagerやNSX Edgeの概要やそれらが提供する機能の概要、各種機能がもたらすメリット、基本的な設計思想など。
これらの内容ですが、VCP-NVやVCAP-NV Design側で出題をされるため問われないと言えます。
各種試験が気になる方は、上記リンクをご覧ください。
Section 4 – インストール、構成、セットアップ
このセクションでは、数多くのNSX-Tが持つ機能特性の展開がスキルが問われます。
他のセクションよりも項目数が多いため細分化して記述します。
Objective 4.1 – VMware NSX-T Data Center インフラストラクチャの準備
- Objective 4.1.1 – VMware NSX-T Data Center インフラストラクチャ コンポーネントの展開
- Objective 4.1.2 – NSX-T Data Centerの管理、制御、データプレーンの構成
- Objective 4.1.3 – トランスポート ゾーン、IPプール、トランスポート ノードなどの構成と管理
- Objective 4.1.4 – NSX-T Data Centerの構成がデザイン要件を満たしていることを確認する
- Objective 4.1.5 – マルチサイト構成内でVMware NSX-T Data Center コンポーネントの展開
このオブジェクトでは、NSX Managerやトランスポート ノードなどの、インフラを構成するための基礎となる要素の展開、設定について問われる可能性があります。
試験攻略のためには、基本的な操作手順を覚えておくことはもちろんですが、特にこれらの項目での設定ミスは後述の作業に影響します。
例えばトランスポートゾーンの作成をもし試験中に行う場合は作成タイプをVLANまたはオーバーレイの指定間違いをした場合、後述のN-VDSなどの作成の際に誤った構成を使用してしまいネットワーク通信障害が発生します。
Objective 4.2 – VMware NSX-T Data Center 仮想ネットワークの作成と管理
- Objective 4.2.1 – Layer 2 サービスの構成と管理
- Objective 4.2.2 – Layer 2 ブリッジの構成と管理
- Objective 4.2.3 – BGP/静的/VRF Lite/EVPNを含んだルーティングの構成と管理
このオブジェクトでは、セグメント(論理スイッチ)やTier-0およびTier-1ゲートウェイの作成や基本的な設定について問われる可能性があります。
- セグメントの新規作成
- ゲートウェイの新規作成
- 外部ルーターとゲートウェイ(SR)間とのルーティングのための設定
- アップリンクの構成
- 静的ルーティングまたは動的ルーティング(BGP)の構成
- ルートアドバタイズと再配布の設定
なお、EVPNについてはサードパーティ仮想マシンルーターを構成する必要もあるため、出題される可能性は低そうな印象です。(基本的にVCAP Deploy試験では、VMwareネイティブな機能やUI操作を問う傾向が強いため)
Objective 4.3 – VMware NSX-T Data Center ネットワークサービスの展開と管理
- Objective 4.3.1 – 論理ロードバランサの構成と管理
- Objective 4.3.2 – 論理仮想プライベートネットワークの(VPN)の構成と管理
- Objective 4.3.3 – NSX-T Data Center Edge と Edge Clusterの構成と管理
- Objective 4.3.4 – NSX-T Data Center NATの構成と管理
- Objective 4.3.5 – DHCPとDNSの構成と管理
このオブジェクトでは、Edgeのインストール、NSX環境への参加、Edge Clusterのの作成や基本的な設定について問われる可能性があります。
(Object 4.1と同じですが)試験攻略のためには、基本的な操作手順を覚えておくことはもちろんですが、
特にこれらの項目での設定ミスは後述の作業に影響します。例えばNSX Edgeの展開をもし試験中に行う場合は展開自体に時間がかかるため、ミスをすると大きなタイムロスに繋がるため特に注意が必要です。
またロードバランサはTier-1ゲートウェイにしか構成できませんので、ほぼ間違いなく多層ゲートウェイ構成は登場しそうな気がします。負荷分散アルゴリズムの使用やバックアップ ノードの指定などは抑えておいた方がよいといえます。
なお、NSX-T 3.2からはVMware NSX-Tでは従来のネイティブなロードバランサから、Avi ロードバランサの使用を推奨としています。この点については、推奨トレーニングコース”VMware NSX-T Troubleshooting and Operations”内ではNSX-T 3.0を使用して講義を行っている点からもAviではなく従来のロードバランサ側の方で学習をしておいた方がいいように見えます。(今後の試験アップデートではAviの問題が出題されるかもしれませんね。)
VMware NSX-T 3.2 Release Noteから引用
VPNも、新規にVPNの設定を行うか既存のセッションの問題修正(セクション 6)などは出題しやすいですね。
初期設定から行うよりも設定回り(IKEバージョンなどの設定不一致など)を見ていくような。
NATは設定は簡単ですが、NATの種別でゲートウェイの冗長構成が異なるのでそこは注意点だといえます。
NATの種類 | ゲートウェイの冗長構成 |
送信元NAT | アクティブ – スタンバイ |
送信先NAT | アクティブ – スタンバイ |
再帰NAT |
アクティブ – アクティブ また、アクティブ – アクティブはTier-0のみで構成可能 |
<本項の関連リンク集>
- ネットワーク アドレス変換 (NAT) – VMware Docs (NSX-T 3.0)
- 再帰NAT – VMware Docs (NSX-T 3.0)
- ロード バランシング – VMware Docs (NSX-T 3.0)
Objective 4.4 – VMware NSX-T Data Center を用いた仮想データセンターの保護
- Objective 4.4.1 – 分散ファイアウォール及びグループオブジェクトの構成と管理
- Objective 4.4.2 – ゲートウェイファイアウォールの構成と管理
- Objective 4.4.3 – アイデンティティファイアウォールの構成と管理
- Objective 4.4.4 – 分散IDSの構成と管理
- Objective 4.4.5 – URL分析の構成と管理
- Objective 4.4.6 – NSX Intelligenceの構成と管理
このオブジェクトでは、各種セキュリティ機能の基本的な設定について問われる可能性があります。
(Object 4.1と同じですが)試験攻略のためには、基本的な操作手順を覚えておくことはもちろんですが、これらの機能の設定は特に4.4.1から4.4.5まではほぼ似たような画面での作業となります。
逆説的に言えば、似た画面が多いので、目的のゲートウェイに対してファイアウォールを構成出来ているかの確認を怠らないように注意しなければなりません。
分散IDSとURL分析については、”機能の有効化”と”ポリシーの設定”くらいなのでここは楽な気がします。
【分散IDS/IPSの設定画面】機能を有効化したいEdgeを指定します。
【URL分析の設定画面】機能を有効化したいEdgeを指定します。(同上)
なお、URL分析のためには”Tier-1 ゲートウェイが必須”です。また当該Tier-1 ゲートウェイにてDNSトラフィックをキャプチャするためのルール作成も忘れてはいけません。
なお、ファイアウォールに関して言えば、設定を構成した上から順番にルールが適用されていくためその点は要注意だと言えるでしょう。
<本項の関連リンク>
- ゲートウェイ ファイアウォール – VMware Docs (NSX-T 3.0)
- 分散ファイアウォール – VMware Docs (NSX-T 3.0)
- 分散IDS – VMware Docs (NSX-T 3.0)
- URL設定 – VMware Docs (NSX-T 3.0)
Section 5 – パフォーマンスチューニング、最適化とアップグレード
このセクションからは次の2つが出題範囲として挙げられています。
- Objective 5.1 – 拡張データ パスの構成と管理(N-VDS)
- Objective 5.2 – QoS設定の構成と管理
拡張データ パスに関しては、ESXi及びEdgeのトランスポートノードにて使用される動作モードです。
このモードについては、決められた物理NICを準備しドライバーのインストールを行うなど構成のための作業は物理的なレイヤーでの設計、インストール、作業を伴います。
VCAPのDeploy試験ではネストされた仮想環境に対して構成を入れていくことを考えると、実際これを展開するような作業は出題されない気はします。
実際設定を行うとすれば、トランスポートノード プロファイルの作成当たりは必要かもしれません。
またQoSについては、”セグメント プロファイル”で構成が可能です。(CoS及びDSCP)
上図左下の当たりに”Priority”や”Class of Service”の項目がありますが、前者がレイヤー3での優先度合(0-63の64段階、数字が小さい方が優先度が高い)、後者がレイヤー2での優先度合指定(0-7の8段階、数字が大きい方が優先度が高い)となります。
<本項の関連リンク集>
- 拡張データ パス – VMware Docs (NSX-T 3.0)
- QoS セグメント プロファイルの作成 – VMware Docs (NSX-T 3.0)
- CoS (Class of Service) – ネットワークエンジニアとして
- DSCP ( Differentiated Services Code Point ) – ネットワークエンジニアとして
Section 6 – トラブルシューティングと復旧
このセクションでは、アドバンスドなVMware NSX-T Data Centerのトラブルシュート実演が求められます。なお、本セクションで触れている内容は、セクション4の項目と重複しているところがややあります。
- Objective 6.1.1 – 一般的なVMware NSX-T Data Center のインストール/構成問題のトラブルシュート
- Objective 6.1.2 – VMware NSX-T Data Centerの接続性問題のトラブルシュート
- Objective 6.1.3 – VMware NSX-T Data Center Edgeの問題のトラブルシュート
- Objective 6.1.4 – VMware NSX-T Data CenterのL2 及び L3 サービスのトラブルシュート
- Objective 6.1.5 – VMware NSX-T Data Center セキュリティ サービスのトラブルシュート
- Objective 6.1.6 – VMware NSX-T Data Center のネイティブツールを使用した問題の識別と問題のトラブルシュート
まず、導入系の問題については、Deploy試験の試験時間と問題難易度を考えると、”NSX Manager”や”NSX Edge”を0から展開するような問題は出題可能性は低いと思います。
あるとしても、新規展開をするEdgeと構成済みのEdgeの2種類を使い分けて問が分けられている可能性はありそうです。
逆に、既に展開済みのこれらの仮想マシンを作業対象としたクイズ出題は現実的です。また既に展開済みのESXiやKVMホストを新規トランスポートノードとして追加をするようなクイズも出題しやすいと言えます。
上記を踏まえ準備をしておいた方がよさそうな内容は次のような点ではないかと予想します。
- トランスポートノード追加作業の失敗(bootbank領域の空き容量不足起因による)
- Linux系トランスポートノードの場合は、前提となるパッケージ不足によるインストール失敗
- NSX UI以外で展開されたNSX EdgeノードをNSX環境に手動で追加(vNIC 0が管理ネットワークに繋がっているかを要確認)
- NSX Edge ノード仮想マシンの管理プレーンへの追加 – VMware Docs (NSX-T 3.0)
- vSphere の GUI を使用した ESXi への NSX Edge のインストール – VMware Docs (NSX-T 3.0)
- 論理スイッチ上の仮想マシンが疎通不可
- 正しくない論理スイッチ及びゲートウェイへの接続
- セグメントの追加 – VMware Docs (NSX-T 3.0)
- セグメントの追加 – VMware Docs (NSX-T 3.0)
- 正しくない外部ルーター接続設定(IPアドレス誤り、ルートアドバタイズ、再配布設定抜け等)
- Tier-0 ゲートウェイの追加 – VMware Docs (NSX-T 3.0)
- SpoofGuardによるトラフィックのブロック
- SpoofGuard セグメント プロファイルの作成 – VMware Docs (NSX-T 3.0)
- SpoofGuard セグメント プロファイルの作成 – VMware Docs (NSX-T 3.0)
- 正しくない論理スイッチ及びゲートウェイへの接続
- ファイアウォールの各種設定に伴うネットワーク不通
- 正しくないルールの順番(ルールはドラッグアンドドロップで入れ替え可能)
- 時刻ベースのファイアウォールのセットによる不通(時刻の調整または時間ルール自体の削除)
時間ベースの ファイアウォールポリシー – VMware Docs (NSX-T 3.0) - 入出力方向の指定誤り / IP Protocolバージョンの指定誤り
- 正しくないルールの順番(ルールはドラッグアンドドロップで入れ替え可能)
<本項の関連リンク集>
- ESXi ホストの bootbank に十分な容量がないため、NSX-T VIB がインストール/アップグレードに失敗する (74864) – VMware KB
- KVM ホストへのサードパーティ製パッケージのインストール – VMware Docs (NSX-T 3.0)
- NSX Edge ノード仮想マシンの管理プレーンへの追加 – VMware Docs (NSX-T 3.0)
- vSphere の GUI を使用した ESXi への NSX Edge のインストール – VMware Docs (NSX-T 3.0)
- セグメントの追加 – VMware Docs (NSX-T 3.0)
- Tier-0 ゲートウェイの追加 – VMware Docs (NSX-T 3.0)
- SpoofGuard セグメント プロファイルの作成 – VMware Docs (NSX-T 3.0)
- 時間ベースの ファイアウォールポリシー – VMware Docs (NSX-T 3.0)
Section 7 – 管理と運用タスク
このセクションでは、NSX-T環境の管理運用のために重要なスキルセットが問われます。
Objective 7.1 – Perform Operational Management of a VMware NSX-T Data Center Implementation
- Objective 7.1.1 – ネットワーク構成のバックアップとリストア
- Objective 7.1.2 – VMware NSX-T Data Center 導入の監視
- Objective 7.1.3 – 役割ベースアクセス制御(RBAC)の管理
- Objective 7.1.4 – VIDMアクセスポリシーを使用した管理ネットワークアクセスの制限
- Objective 7.1.5 – Syslog設定の管理
バックアップとリストアは、NSX Managerの構成をSFTPサーバに対してエクスポートする方法を使用しますが、NSX UI上からエクスポート先の指定を行う作業は出題されるかもしれません。またNSX Managerではスナップショットの取得の非サポートのため、スナップショット取得不可のための設定も押さえておきましょう。
オブジェクト 7.1.3と7.1.4については、NSX-Tでは標準搭載のユーザーアカウントが、root/admin/auditですが、ロールを使用したアクセス制御をするためには、Active Directory ドメインコントローラの接続をダイレクトに行うかVIDM経由で行い、認証ソースとしてドメインユーザーを指定するような方法があります。加えて言うなら、NSX-Tが持つロールは事前用意のもののみでユーザーが追加できません。
このため、特定作業を想定したユーザーを準備せよ、という場合は各種ロール大まかに把握はしておいた方がよいといえます。(どのロールが、どの作業ができるかを全部暗記することは不能なので、まずはロール名とおおよそ作業可能なアクションを覚える程度でよいでしょう)
Syslogについては、NSX Manager、Edge、ハイパーバイザーに対してCLIから設定が可能です。
CLIでの作業内容については構文を抑えておくとよいでしょう。
<本項の関連リンク集>
- 【VMware NSX-T】NSX Managerの導入, 運用, 管理まとめ – Lab8010
- ロールベースのアクセス コントロール – VMware Docs (NSX-T 3.0)
- リモート ログの構成 – VMware Docs (NSX-T 3.0)
Objective 7.2 – Utilize API and CLI to manage a VMware NSX-T Data Center Deployment
Objective 7.2.1 – VMware NSX-T Data Center vSphere API を使用したコールの管理および実行
本項目ではAPIを使用した操作という事ですが、APIの利用についてはAPIのコール方法についてどのような手法を使って試験出題を行うかあんまり想像がつかなかったので、一先ずPostmanを使用したREST APIの利用方法を記事化してみました。
<本項の関連リンク集>
コメント