Verwalten der Kryptokapazität
Der Management Service stellt asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Kryptoschnittstellen zur Angabe der SSL-Kapazität auf der NetScaler SDX-Appliance bereit. Frühere Kryptokapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Weitere Informationen darüber, wie Legacy-SSL-Chips in ACU- und SCU-Einheiten zugeordnet werden, finden Sie in der Konvertierungstabelle für Legacy-SSL-Chips in ACU und SCU.
Mit der Management Service-GUI können Sie der NetScaler VPX-Instanz Kryptokapazität in Einheiten von ACU und SCU zuweisen.
Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und virtuellen Krypto-Instanzen.
Tabelle. Krypto-Einheiten
| Neue Krypto-Einheiten | Beschreibung |
|---|---|
| Asymmetrische Kryptoeinheit (ACU) | 1 ACU = 1 Vorgang pro Sekunde (ops) der Entschlüsselung mit 2 K (2048-Bit-Schlüsselgröße) (RSA). Weitere Einzelheiten finden Sie unter ACU zu PKE-Ressourcenumrechnungstabelle. |
| Symmetrische Kryptoeinheit (SCU) | 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC bei 1024 B. Diese Definition gilt für alle SDX-Plattformen. |
| Virtuelle Krypto-Schnittstellen | Virtuelle Krypto-Schnittstellen, auch virtuelle Funktionen genannt, stellen die Grundeinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Virtuelle Krypto-Schnittstellen sind schreibgeschützte Entitäten, und die SDX-Appliance weist diese Entitäten automatisch zu. |
Kryptokapazität der SDX-Appliance anzeigen
Sie können die Kryptokapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.
Weisen Sie Kryptokapazität zu, während Sie die VPX-Instanz bereitstellen
Bei der Bereitstellung einer VPX-Instanz auf der SDX-Appliance können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zur Bereitstellung einer VPX-Instanz finden Sie unter Provisioning NetScaler-Instanzen.
Gehen Sie folgendermaßen vor, um während der Bereitstellung einer VPX-Instanz Kryptokapazität zuzuweisen.
-
Melden Sie sich beim Management Service an.
-
Navigieren Sie zu Konfiguration > NetScaler > Instanzen, und klicken Sie auf Hinzufügen.
-
Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und virtuellen Krypto-Schnittstellen anzeigen. Die Art der Zuweisung von ACUs und SCUs ist je nach SDX-Appliance unterschiedlich:
a. Für die unter Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählers aufgeführten Applianceskönnen Sie ACUs in Vielfachen einer angegebenen Anzahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung um das Vielfache der für dieses Modell verfügbaren Mindest-ACU erhöhen. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt das ACU-Inkrement 8750, 13125 usw.
Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfachen einer bestimmten Anzahl zugewiesen werden.
Mindestwert eines ACU-Zählers für verschiedene SDX-Appliances
| SDX-Plattform | Minimalwert des ACU-Zählers |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse | 2187 |
| 8400, 8600, 8010, 8015 | 2812 |
| 17500, 19500, 21500 | 2812 |
| 17550, 19550, 20550, 21550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515, 11520, 11530, 11540, 11542 | 4375 |
| 14xxx | 4375 |
| 14xxx 40S | 4375 |
| 14xxx 40G | 4375 |
| 14xxx FIPS | 4375 |
| 25xxx | 4375 |
| 25xxx A | 4575 |
b. Für die übrigen SDX-Plattformen, die in der vorherigen Tabelle nicht aufgeführt sind, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch virtuelle Krypto-Schnittstellen zu.
Beispiel. Krypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen sind
4./ Führen Sie alle Schritte zum Bereitstellen der VPX-Instanz aus und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning NetScaler-Instances.
Zustand der Krypto-Hardware anzeigen
Im Management Service können Sie den Zustand der mit der SDX-Appliance bereitgestellten Krypto-Hardware anzeigen. Der Zustand der Krypto-Hardware wird als Crypto Devices und Crypto Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.
Wichtige Hinweise
Beachten Sie die folgenden Punkte, wenn Sie die SDX-Appliance auf die neueste Version aktualisieren.
-
Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch unverändert.
-
Der Krypto-Zuweisungsmechanismus bleibt derselbe, und nur die Darstellung auf der SDX-GUI ändert sich.
-
Die Krypto-Schnittstelle ist abwärtskompatibel und hat keinen Einfluss auf vorhandene Automatisierungsmechanismen, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwenden.
-
Bei einem Upgrade der SDX-Appliance ändert sich das Krypto, das den vorhandenen VPX-Instanzen zugewiesen ist, nicht; es ändert sich nur die Darstellung im Management Service.
ACU zu PKE-Ressourcenumrechnungstabelle
| SDX-Plattform | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080.22100, 22120 (24 Anschlüsse) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | – |
| 14000, 14000-40G, 25000, 25000A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000 FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000-40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *8900 (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *9100 (9110, 9120, 9130) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-100G (26100, 26160, 26200 und 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000-50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *16000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*Auf diesen Plattformen sind die PKE-Zahlen die garantierten Mindestwerte.
Wie liest man die ACU zu PKE-Ressourcenumrechnungstabelle
Die ACU in PKE-Ressourcenumrechnungstabelle basiert auf den folgenden Punkten:
-
Der Management Service hilft bei der Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Der Management Service kann keine Leistung zuweisen oder versprechen.
-
Die tatsächliche Leistung variiert je nach Paketgröße, verwendeter Verschlüsselung/Keyex/HMAC (oder deren Varianten) usw.
Das folgende Beispiel hilft Ihnen zu verstehen, wie Sie die ACU lesen und auf die PKE-Ressourcenumrechnungstabelle anwenden.
Beispiel. ACU auf PKE-Ressourcenumwandlung für die SDX 22040-Plattform
Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressourcen zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen usw. entsprechen.
Legacy-SSL-Chips in ACU- und SCU-Konvertier
Weitere Informationen darüber, wie ältere SSL-Chips in ACU und SCU umgewandelt werden, finden Sie in der folgenden Tabelle.