Verwalten der Kryptokapazität
Ab Version 12.1 48.13 hat sich die Schnittstelle zur Verwaltung der Kryptokapazität geändert. Mit der neuen Schnittstelle bietet der Management Service asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Krypto-Schnittstellen, um die SSL-Kapazität auf der NetScaler SDX-Appliance darzustellen. Frühere Kryptokapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Weitere Informationen darüber, wie Legacy-SSL-Chips in ACU- und SCU-Einheiten zugeordnet werden, finden Sie in der Konvertierungstabelle für Legacy-SSL-Chips in ACU und SCU.
Mit der Management Service-GUI können Sie der NetScaler VPX-Instanz Kryptokapazität in Einheiten von ACU und SCU zuweisen.
Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und virtuellen Krypto-Instanzen.
Tabelle. Krypto-Einheiten
| Neue Krypto-Einheiten | Beschreibung |
|---|---|
| Asymmetrische Kryptoeinheit (ACU) | 1 ACU = 1 Vorgang pro Sekunde (ops) der Entschlüsselung mit 2 K (2048-Bit-Schlüsselgröße) (RSA). Weitere Einzelheiten finden Sie unter ACU zu PKE-Ressourcenumrechnungstabelle. |
| Symmetrische Kryptoeinheit (SCU) | 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC bei 1024 B. Diese Definition gilt für alle SDX-Plattformen. |
| Virtuelle Krypto-Schnittstellen | Virtuelle Krypto-Schnittstellen, auch virtuelle Funktionen genannt, stellen die Grundeinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Virtuelle Krypto-Schnittstellen sind schreibgeschützte Entitäten, und die NetScaler SDX-Appliance weist diese Entitäten automatisch zu. |
Kryptokapazität der SDX-Appliance anzeigen
Sie können die Kryptokapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.
Weisen Sie Kryptokapazität zu, während Sie die NetScaler VPX-Instanz bereitstellen
Bei der Bereitstellung einer VPX-Instanz auf einer SDX-Appliance können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zum Bereitstellen einer VPX-Instanz finden Sie unter Provisioning von NetScaler ADC-Instanzen.
Gehen Sie folgendermaßen vor, um während der Bereitstellung einer VPX-Instanz Kryptokapazität zuzuweisen.
-
Melden Sie sich beim Management Service an.
-
Navigieren Sie zu Konfiguration > NetScaler ADC > Instanzen, und klicken Sie auf Hinzufügen.
-
Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und virtuellen Krypto-Schnittstellen anzeigen. Die Art der Zuweisung von ACUs und SCUs ist je nach SDX-Appliance unterschiedlich:
a. Für die Appliances, die in der Tabelle Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählersaufgeführt sind, können Sie ACUs in Vielfachen einer bestimmten Anzahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung um das Vielfache der für dieses Modell verfügbaren Mindest-ACU erhöhen. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt das nachfolgende ACU-Inkrement 8750, 13125 usw.
Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfachen einer bestimmten Anzahl zugewiesen werden.
Mindestwert eines ACU-Zählers, der für verschiedene SDX-Appliances verfügbar ist
| SDX-Plattform | Minimalwert des ACU-Zählers |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse | 2187 |
| 8400, 8600, 8010, 8015 | 2812 |
| 17500, 19500, 21500 | 2812 |
| 17550, 19550, 20550, 21550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515, 11520, 11530, 11540, 11542 | 4375 |
| 14xxx | 4375 |
| 14xxx 40S | 4375 |
| 14xxx 40G | 4375 |
| 14xxx FIPS | 4375 |
| 25xxx | 4375 |
| 25xxx A | 4575 |
b. Für die übrigen SDX-Plattformen, die nicht in der vorhergehenden Tabelle Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählersaufgeführt sind, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch virtuelle Krypto-Schnittstellen zu.
Beispiel. Krypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen sind
4./ Führen Sie alle Schritte zum Bereitstellen der NetScaler ADC-Instanz aus und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning von NetScaler ADC-Instanzen.
Zustand der Krypto-Hardware anzeigen
Im Management Service können Sie den Zustand der mit der SDX-Appliance bereitgestellten Krypto-Hardware anzeigen. Der Zustand der Krypto-Hardware wird als Crypto Devices und Crypto Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.
Wichtige Hinweise
Beachten Sie die folgenden Punkte, wenn Sie die SDX-Appliance auf die neueste Version aktualisieren.
-
Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch unverändert.
-
Der Krypto-Zuweisungsmechanismus bleibt derselbe, und nur die Darstellung auf der SDX-GUI ändert sich.
-
Die Krypto-Schnittstelle ist abwärtskompatibel und hat keinen Einfluss auf vorhandene Automatisierungsmechanismen, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwenden.
-
Bei einem Upgrade der SDX-Appliance ändert sich das Krypto, das den vorhandenen VPX-Instanzen zugewiesen ist, nicht; es ändert sich nur die Darstellung im Management Service.
ACU zu PKE-Ressourcenumrechnungstabelle
| SDX-Plattform | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080.22100, 22120 (24 Anschlüsse) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 14xxx, 14xxx 40G, 25xxx, 25xxx A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14xxx FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14xxx 40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *89xx (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26xxx (26100, 26160, 26200 und 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000 50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*Auf diesen Plattformen sind die PKE-Zahlen die garantierten Mindestwerte.
Wie liest man die ACU zu PKE-Ressourcenumrechnungstabelle
Die ACU in PKE-Ressourcenumrechnungstabelle basiert auf den folgenden Punkten:
-
Der Management Service hilft bei der Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Der Management Service kann keine Leistung zuweisen oder versprechen.
-
Die tatsächliche Leistung variiert je nach Paketgröße, verwendeter Verschlüsselung/Keyex/HMAC (oder deren Varianten) usw.
Das folgende Beispiel hilft Ihnen zu verstehen, wie Sie die Ressourcenumrechnungstabelle “ACU in PKE” lesen und anwenden.
Beispiel. ACU auf PKE-Ressourcenumwandlung für die SDX 22040-Plattform
Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressourcen zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen usw. entsprechen.
Legacy-SSL-Chips in ACU- und SCU-Konvertier
Weitere Informationen darüber, wie ältere SSL-Chips in ACU und SCU umgewandelt werden, finden Sie in der folgenden Tabelle.