ADC

Konfigurieren Sie einen NetScaler VPX auf dem ESX-Hypervisor, um Intel QAT für die SSL-Beschleunigung im SR-IOV-Modus zu verwenden

Die NetScaler VPX-Instanz auf dem VMware ESX-Hypervisor kann die Intel QuickAssist-Technologie (QAT) verwenden, um die NetScaler SSL-Leistung zu beschleunigen. Mithilfe von Intel QAT kann die gesamte Kryptoverarbeitung mit hoher Latenz auf den Chip verlagert werden, sodass eine oder mehrere Host-CPUs für andere Aufgaben frei werden.

Zuvor wurde die gesamte Kryptoverarbeitung von NetScaler-Datenpfaden in der Software mithilfe von Host-vCPUs durchgeführt.

Hinweis:

Derzeit unterstützt NetScaler VPX nur das C62x-Chipmodell der Intel QAT-Familie. Diese Funktion wird ab NetScaler Version 14.1 Build 8.50 unterstützt.

Voraussetzungen

Einschränkungen

Es ist nicht vorgesehen, Kryptoeinheiten oder Bandbreite für einzelne VMs zu reservieren. Alle verfügbaren Kryptoeinheiten jeder Intel QAT-Hardware werden von allen VMs gemeinsam genutzt, die die QAT-Hardware verwenden.

Richten Sie die Host-Umgebung für die Verwendung von Intel QAT ein

  1. Laden Sie den von Intel bereitgestellten VMware-Treiber für das Chipmodell der C62x-Serie (QAT) herunter und installieren Sie ihn auf dem VMware-Host. Weitere Informationen zu den Intel Paket-Downloads und Installationsanweisungen finden Sie unter Intel QuickAssist-Technologie-Treiber für VMware.

  2. Aktivieren Sie SR-IOV auf dem ESX-Host.

  3. Erstellen Sie virtuelle Maschinen. Weisen Sie beim Erstellen einer VM die entsprechende Anzahl von PCI-Geräten zu, um die Leistungsanforderungen zu erfüllen.

Hinweis:

Jeder C62x (QAT) -Chip kann bis zu drei separate PCI-Endpunkte haben. Jeder Endpunkt ist eine logische Sammlung von VFs und teilt sich die Bandbreite zu gleichen Teilen mit anderen PCI-Endpunkten des Chips. Jeder Endpunkt kann bis zu 16 VFs haben, die als 16 PCI-Geräte angezeigt werden. Sie können diese Geräte zur VM hinzufügen, um die Kryptobeschleunigung mithilfe des QAT-Chips durchzuführen.

Wichtige Hinweise

  • Wenn die VM-Kryptoanforderung darin besteht, mehr als einen QAT-PCI-Endpunkt/-Chip zu verwenden, wird empfohlen, die entsprechenden PCI-Geräte/VFs nach dem Round-Robin-Verfahren auszuwählen, um eine symmetrische Verteilung zu erhalten.
  • Es wird empfohlen, dass die Anzahl der ausgewählten PCI-Geräte der Anzahl der lizenzierten vCPUs entspricht (ohne die Anzahl der Management-vCPUs). Das Hinzufügen von mehr PCI-Geräten als die verfügbare Anzahl an vCPUs verbessert nicht unbedingt die Leistung.

    Beispiel:

    Stellen Sie sich einen ESX-Host mit einem Intel C62x-Chip vor, der über 3 Endpunkte verfügt. Wählen Sie bei der Bereitstellung einer VM mit 6 vCPUs 2 VFs von jedem Endpunkt aus und weisen Sie sie der VM zu. Diese Art der Zuweisung gewährleistet eine effektive und gleichmäßige Verteilung der Kryptoeinheiten für die VM. Von den insgesamt verfügbaren vCPUs ist standardmäßig eine vCPU für die Managementebene reserviert, und die übrigen vCPUs sind für die PEs der Datenebene verfügbar.

Weisen Sie VPX mithilfe des vSphere Web Client QAT-VFs zu

  1. Navigieren Sie im vSphere Web Client zum ESX-Host, auf dem sich die virtuelle Maschine befindet, und klicken Sie auf Ausschalten.

    Schalten Sie die VM aus

  2. Navigieren Sie zu Aktionen > Einstellungen bearbeiten > Anderes Gerät hinzufügenund wählen Sie PCI-Gerät aus.

    PCI-Gerät auswählen

  3. Weisen Sie dem neu hinzugefügten PCI-Gerät den c6xx QAT VF zu und speichern Sie die Konfiguration.

    Weisen Sie den c6xx AT F zu

  4. Schalten Sie die VM erneut ein.

  5. Führen Sie den Befehl stat ssl in der NetScaler-CLI aus, um die SSL-Zusammenfassung anzuzeigen, und überprüfen Sie die SSL-Karten, nachdem Sie VPX QAT-VFs zugewiesen haben.

    Führen Sie den `stat ssl` Befehl aus

Über den Einsatz

Diese Bereitstellung wurde mit den folgenden Komponentenspezifikationen getestet:

  • NetScaler VPX Version und Build: 14.1-8.50
  • VMware ESXi Version: 7.0.3 (Build 20036589)
  • Intel C62x QAT-Treiberversion für VMware : 1.5.1.54
Konfigurieren Sie einen NetScaler VPX auf dem ESX-Hypervisor, um Intel QAT für die SSL-Beschleunigung im SR-IOV-Modus zu verwenden