Configure un NetScaler VPX en el hipervisor ESX para usar Intel QAT para la aceleración de SSL en modo SR-IOV
La instancia de NetScaler VPX del hipervisor VMware ESX puede utilizar la tecnología Intel QuickAssist (QAT) para acelerar el rendimiento de NetScaler SSL. Con Intel QAT, todo el procesamiento criptográfico de alta latencia se puede descargar al chip, lo que libera a una o más CPU host para realizar otras tareas.
Anteriormente, todo el procesamiento criptográfico de las rutas de datos de NetScaler se realizaba en el software mediante vCPU host.
Nota:
Actualmente, NetScaler VPX solo admite el modelo de chip C62x de la familia Intel QAT. Esta función se admite a partir de la versión 14.1, compilación 8.50 de NetScaler.
Requisitos previos
- El host ESX se aprovisiona con uno o más chips Intel C62x (QAT).
- NetScaler VPX cumple con los requisitos de hardware de VMware ESX. Para obtener más información, consulte Instalar una instancia de NetScaler VPX en VMware ESX.
Limitaciones
No hay ninguna disposición para reservar unidades criptográficas o ancho de banda para máquinas virtuales individuales. Todas las unidades criptográficas disponibles de cualquier hardware Intel QAT se comparten entre todas las máquinas virtuales que utilizan el hardware QAT.
Configurar el entorno host para usar Intel QAT
-
Descargue e instale el controlador VMware proporcionado por Intel para el modelo de chip de la serie C62x (QAT) en el host de VMware. Para obtener más información sobre las instrucciones de instalación y descarga de los paquetes Intel, consulte el controlador de la tecnología Intel QuickAssist para VMware.
-
Habilite SR-IOV en el host ESX.
-
Cree máquinas virtuales. Al crear una máquina virtual, asigne la cantidad adecuada de dispositivos PCI para cumplir con los requisitos de rendimiento.
Nota:
Cada chip C62x (QAT) puede tener hasta tres terminales PCI independientes. Cada punto final es una colección lógica de VF y comparte el ancho de banda en partes iguales con otros puntos finales PCI del chip. Cada terminal puede tener hasta 16 VF que se muestran como 16 dispositivos PCI. Puede agregar estos dispositivos a la máquina virtual para realizar la aceleración criptográfica mediante el chip QAT.
Puntos a tener en cuenta
- Si el requisito de cifrado de la máquina virtual es utilizar más de un punto final o chip PCI QAT, se recomienda elegir los dispositivos PCI o VF correspondientes de forma rotatoria para tener una distribución simétrica.
-
Se recomienda que la cantidad de dispositivos PCI seleccionados sea igual a la cantidad de vCPU con licencia (sin incluir el recuento de vCPU de administración). Agregar más dispositivos PCI que la cantidad disponible de vCPU no necesariamente mejora el rendimiento.
Ejemplo
Piense en un host ESX con un chip Intel C62x que tenga 3 terminales. Al aprovisionar una máquina virtual con 6 vCPU, elija 2 máquinas virtuales de cada punto final y asígnelas a la máquina virtual. Este tipo de asignación garantiza una distribución eficaz e igualitaria de las unidades criptográficas para la máquina virtual. Del total de vCPU disponibles, de forma predeterminada, una vCPU está reservada para el plano de administración y el resto de las vCPU están disponibles para los PE del plano de datos.
Asigne VF de QAT a VPX mediante el cliente web vSphere
-
En vSphere web client, navegue hasta el host ESX donde se encuentra la máquina virtual y haga clic en Apagar .
-
Vaya a Acciones > Modificar ajustes > Agregar otro dispositivoy selecciona dispositivo PCI.
-
Para el dispositivo PCI recién agregado, asigne el C6xx QAT VF y guarde la configuración.
-
Vuelva a encender la máquina virtual.
-
Ejecute el comando
stat ssl
en la CLI de NetScaler para mostrar el resumen de SSL y verifique las tarjetas SSL después de asignar las VF de QAT a VPX.
Acerca de la implementación
Esta implementación se probó con las siguientes especificaciones de componentes:
- Versión y compilación de NetScaler VPX: 14.1—8.50
- Versión de VMware ESXi: 7.0.3 (compilación 20036589)
- Versión del controlador Intel C62x QAT para VMware : 1.5.1.54