Konfigurieren Sie einen NetScaler VPX auf dem ESX-Hypervisor, um Intel QAT für die SSL-Beschleunigung im SR-IOV-Modus zu verwenden
Die NetScaler VPX-Instanz auf dem VMware ESX-Hypervisor kann die Intel QuickAssist-Technologie (QAT) verwenden, um die NetScaler SSL-Leistung zu beschleunigen. Mithilfe von Intel QAT kann die gesamte Kryptoverarbeitung mit hoher Latenz auf den Chip verlagert werden, sodass eine oder mehrere Host-CPUs für andere Aufgaben frei werden.
Zuvor wurde die gesamte Kryptoverarbeitung von NetScaler-Datenpfaden in der Software mithilfe von Host-vCPUs durchgeführt.
Hinweis:
Derzeit unterstützt NetScaler VPX nur das C62x-Chipmodell der Intel QAT-Familie. Diese Funktion wird ab NetScaler Version 14.1 Build 8.50 unterstützt.
Voraussetzungen
- Der ESX-Host ist mit einem oder mehreren Intel C62x (QAT)-Chips ausgestattet.
- NetScaler VPX erfüllt die VMware ESX-Hardwareanforderungen. Weitere Informationen finden Sie unter Installieren einer NetScaler VPX-Instanz auf VMware ESX.
Einschränkungen
Es ist nicht vorgesehen, Kryptoeinheiten oder Bandbreite für einzelne VMs zu reservieren. Alle verfügbaren Kryptoeinheiten jeder Intel QAT-Hardware werden von allen VMs gemeinsam genutzt, die die QAT-Hardware verwenden.
Richten Sie die Host-Umgebung für die Verwendung von Intel QAT ein
-
Laden Sie den von Intel bereitgestellten VMware-Treiber für das Chipmodell der C62x-Serie (QAT) herunter und installieren Sie ihn auf dem VMware-Host. Weitere Informationen zu den Intel Paket-Downloads und Installationsanweisungen finden Sie unter Intel QuickAssist-Technologie-Treiber für VMware.
-
Aktivieren Sie SR-IOV auf dem ESX-Host.
-
Erstellen Sie virtuelle Maschinen. Weisen Sie beim Erstellen einer VM die entsprechende Anzahl von PCI-Geräten zu, um die Leistungsanforderungen zu erfüllen.
Hinweis:
Jeder C62x (QAT) -Chip kann bis zu drei separate PCI-Endpunkte haben. Jeder Endpunkt ist eine logische Sammlung von VFs und teilt sich die Bandbreite zu gleichen Teilen mit anderen PCI-Endpunkten des Chips. Jeder Endpunkt kann bis zu 16 VFs haben, die als 16 PCI-Geräte angezeigt werden. Sie können diese Geräte zur VM hinzufügen, um die Kryptobeschleunigung mithilfe des QAT-Chips durchzuführen.
Punkte zu beachten
- Wenn die VM-Kryptoanforderung darin besteht, mehr als einen QAT-PCI-Endpunkt/-Chip zu verwenden, wird empfohlen, die entsprechenden PCI-Geräte/VFs nach dem Round-Robin-Verfahren auszuwählen, um eine symmetrische Verteilung zu erhalten.
-
Es wird empfohlen, dass die Anzahl der ausgewählten PCI-Geräte der Anzahl der lizenzierten vCPUs entspricht (ohne die Anzahl der Management-vCPUs). Das Hinzufügen von mehr PCI-Geräten als die verfügbare Anzahl an vCPUs verbessert nicht unbedingt die Leistung.
Beispiel
Stellen Sie sich einen ESX-Host mit einem Intel C62x-Chip vor, der über 3 Endpunkte verfügt. Wählen Sie bei der Bereitstellung einer VM mit 6 vCPUs 2 VFs von jedem Endpunkt aus und weisen Sie sie der VM zu. Diese Art der Zuweisung gewährleistet eine effektive und gleichmäßige Verteilung der Kryptoeinheiten für die VM. Von den insgesamt verfügbaren vCPUs ist standardmäßig eine vCPU für die Managementebene reserviert, und die übrigen vCPUs sind für die PEs der Datenebene verfügbar.
Weisen Sie VPX mithilfe des vSphere Web Client QAT-VFs zu
-
Navigieren Sie im vSphere Web Client zum ESX-Host, auf dem sich die virtuelle Maschine befindet, und klicken Sie auf Ausschalten.
-
Navigieren Sie zu Aktionen > Einstellungen bearbeiten > Anderes Gerät hinzufügenund wählen Sie PCI-Gerät aus.
-
Weisen Sie dem neu hinzugefügten PCI-Gerät den c6xx QAT VF zu und speichern Sie die Konfiguration.
-
Schalten Sie die VM erneut ein.
-
Führen Sie den Befehl
stat sslin der NetScaler-CLI aus, um die SSL-Zusammenfassung anzuzeigen, und überprüfen Sie die SSL-Karten, nachdem Sie VPX QAT-VFs zugewiesen haben.
Über den Einsatz
Diese Bereitstellung wurde mit den folgenden Komponentenspezifikationen getestet:
- NetScaler VPX Version und Build: 14.1-8.50
- VMware ESXi Version: 7.0.3 (Build 20036589)
- Intel C62x QAT-Treiberversion für VMware : 1.5.1.54