Verwalten der Kryptokapazität
Ab Version 12.1 48.13 hat sich die Schnittstelle zur Verwaltung der Kryptokapazität geändert. Der Management Service stellt asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Kryptoschnittstellen zur Angabe der SSL-Kapazität auf der NetScaler SDX-Appliance bereit. Frühere Kryptokapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Weitere Informationen darüber, wie Legacy-SSL-Chips in ACU- und SCU-Einheiten zugeordnet werden, finden Sie in der Konvertierungstabelle für Legacy-SSL-Chips in ACU und SCU.
Mit der Management Service-GUI können Sie der NetScaler VPX-Instanz Kryptokapazität in Einheiten von ACU und SCU zuweisen.
Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und virtuellen Krypto-Instanzen.
Tabelle. Krypto-Einheiten
| Neue Krypto-Einheiten | Beschreibung |
|---|---|
| Asymmetrische Kryptoeinheit (ACU) | 1 ACU = 1 Vorgang pro Sekunde (ops) der Entschlüsselung mit 2 K (2048-Bit-Schlüsselgröße) (RSA). Weitere Einzelheiten finden Sie unter ACU zu PKE-Ressourcenumrechnungstabelle. |
| Symmetrische Kryptoeinheit (SCU) | 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC bei 1024 B. Diese Definition gilt für alle SDX-Plattformen. |
| Virtuelle Krypto-Schnittstellen | Virtuelle Krypto-Schnittstellen, auch virtuelle Funktionen genannt, stellen die Grundeinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Virtuelle Krypto-Schnittstellen sind schreibgeschützte Entitäten, und die SDX-Appliance weist diese Entitäten automatisch zu. |
Kryptokapazität der SDX-Appliance anzeigen
Sie können die Kryptokapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.
Weisen Sie Kryptokapazität zu, während Sie die VPX-Instanz bereitstellen
Bei der Bereitstellung einer VPX-Instanz auf der SDX-Appliance können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zur Bereitstellung einer VPX-Instanz finden Sie unter Provisioning NetScaler-Instanzen.
Gehen Sie folgendermaßen vor, um während der Bereitstellung einer VPX-Instanz Kryptokapazität zuzuweisen.
-
Melden Sie sich beim Management Service an.
-
Navigieren Sie zu Konfiguration > NetScaler > Instanzen, und klicken Sie auf Hinzufügen.
-
Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und virtuellen Krypto-Schnittstellen anzeigen. Die Art der Zuweisung von ACUs und SCUs ist je nach SDX-Appliance unterschiedlich:
a. Für die unter Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählers aufgeführten Applianceskönnen Sie ACUs in Vielfachen einer angegebenen Anzahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung um das Vielfache der für dieses Modell verfügbaren Mindest-ACU erhöhen. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt das ACU-Inkrement 8750, 13125 usw.
Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfachen einer bestimmten Anzahl zugewiesen werden.
Mindestwert eines ACU-Zählers für verschiedene SDX-Appliances
| SDX-Plattform | Minimalwert des ACU-Zählers |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse | 2187 |
| 8400, 8600, 8010, 8015 | 2812 |
| 17500, 19500, 21500 | 2812 |
| 17550, 19550, 20550, 21550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515, 11520, 11530, 11540, 11542 | 4375 |
| 14xxx | 4375 |
| 14xxx 40S | 4375 |
| 14xxx 40G | 4375 |
| 14xxx FIPS | 4375 |
| 25xxx | 4375 |
| 25xxx A | 4575 |
b. Für die übrigen SDX-Plattformen, die in der vorherigen Tabelle nicht aufgeführt sind, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch virtuelle Krypto-Schnittstellen zu.
Beispiel. Krypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen sind
4./ Führen Sie alle Schritte zum Bereitstellen der VPX-Instanz aus und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning NetScaler-Instances.
Zustand der Krypto-Hardware anzeigen
Im Management Service können Sie den Zustand der mit der SDX-Appliance bereitgestellten Krypto-Hardware anzeigen. Der Zustand der Krypto-Hardware wird als Crypto Devices und Crypto Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.
Wichtige Hinweise
Beachten Sie die folgenden Punkte, wenn Sie die SDX-Appliance auf die neueste Version aktualisieren.
-
Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch unverändert.
-
Der Krypto-Zuweisungsmechanismus bleibt derselbe, und nur die Darstellung auf der SDX-GUI ändert sich.
-
Die Krypto-Schnittstelle ist abwärtskompatibel und hat keinen Einfluss auf vorhandene Automatisierungsmechanismen, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwenden.
-
Bei einem Upgrade der SDX-Appliance ändert sich das Krypto, das den vorhandenen VPX-Instanzen zugewiesen ist, nicht; es ändert sich nur die Darstellung im Management Service.
ACU zu PKE-Ressourcenumrechnungstabelle
| SDX-Plattform | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080.22100, 22120 (24 Anschlüsse) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 14000, 14000-40G, 25000, 25000A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000 FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000-40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *8900 (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *9100 (9110, 9120, 9130) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-100G (26100, 26160, 26200 und 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000-50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *16000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*Auf diesen Plattformen sind die PKE-Zahlen die garantierten Mindestwerte.
Wie liest man die ACU zu PKE-Ressourcenumrechnungstabelle
Die ACU in PKE-Ressourcenumrechnungstabelle basiert auf den folgenden Punkten:
-
Der Management Service hilft bei der Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Der Management Service kann keine Leistung zuweisen oder versprechen.
-
Die tatsächliche Leistung variiert je nach Paketgröße, verwendeter Verschlüsselung/Keyex/HMAC (oder deren Varianten) usw.
Das folgende Beispiel hilft Ihnen zu verstehen, wie Sie die ACU lesen und auf die PKE-Ressourcenumrechnungstabelle anwenden.
Beispiel. ACU auf PKE-Ressourcenumwandlung für die SDX 22040-Plattform
Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressourcen zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen usw. entsprechen.
Legacy-SSL-Chips in ACU- und SCU-Konvertier
Weitere Informationen darüber, wie ältere SSL-Chips in ACU und SCU umgewandelt werden, finden Sie in der folgenden Tabelle.