Gérer la capacité crypto
À partir de la version 12.1 48.13, l’interface de gestion de la capacité de chiffrement a changé. Le service de gestion fournit des unités cryptographiques asymétriques (ACU), des unités cryptographiques symétriques (SCU) et des interfaces virtuelles cryptographiques pour représenter la capacité SSL sur l’appliance NetScaler SDX. Auparavant, la capacité de chiffrement était attribuée en unités de puces SSL, de cœurs SSL et de fonctions virtuelles SSL. Consultez le tableau de conversion des puces SSL héritées en unités ACU et SCU pour plus d’informations sur la façon dont les puces SSL héritées se traduisent en unités ACU et SCU.
À l’aide de l’interface graphique du service de gestion, vous pouvez allouer la capacité de chiffrement à l’instance NetScaler VPX en unités d’ACU et de SCU.
Le tableau suivant fournit de brèves descriptions des ACU, des SCU et des instances virtuelles de chiffrement.
Tableau. Unités cryptographiques unitaires
Nouvelles unités cryptographiques | Description |
---|---|
Unité cryptographique asymétrique (ACU) | 1 ACU = 1 opération par seconde (ops) de déchiffrement (RSA) 2 K (taille de clé 2048 bits). Pour plus de détails, voir Tableau de conversion des ressources ACU en PKE. |
Unité cryptographique symétrique (SCU) | 1 SCU = 1 Mbits/s d’AES-128-CBC + SHA256-HMAC à 1 024 B. Cette définition s’applique à toutes les plateformes SDX. |
Interfaces virtuelles Crypto | Également appelées fonctions virtuelles, les interfaces virtuelles cryptographiques représentent l’unité de base du matériel SSL. Une fois ces interfaces épuisées, le matériel SSL ne peut plus être affecté à une instance VPX. Les interfaces virtuelles de chiffrement sont des entités en lecture seule, et l’appliance SDX alloue automatiquement ces entités. |
Afficher la capacité de chiffrement de l’appliance SDX
Vous pouvez afficher la capacité de chiffrement de l’appliance SDX dans le tableau de bord de l’interface graphique SDX. Le tableau de bord affiche les ACU, les unités de traitement et les interfaces virtuelles utilisées et disponibles sur l’appliance SDX. Pour afficher la capacité de chiffrement, accédez à Tableau de bord > Capacité de chiffrement.
Allouer la capacité de chiffrement lors du provisionnement de l’instance VPX
Lors du provisionnement d’une instance VPX sur l’appliance SDX, sous Allocation de chiffrement, vous pouvez allouer le nombre d’ACU et de SCU pour l’instance VPX. Pour obtenir des instructions sur la mise en service d’une instance VPX, consultez Provisioning d’instances Citrix ADC.
Pour allouer la capacité de chiffrement lors du provisionnement d’une instance VPX, procédez comme suit.
-
Ouvrez une session sur le service de gestion.
-
Accédez à Configuration > Citrix ADC > Instances, puis cliquez sur Ajouter.
-
Sous Allocation cryptographique, vous pouvez afficher les interfaces virtuelles ACU, SCU et cryptographiques disponibles. La façon d’allouer les ACU et les SCU diffère selon l’appliance SDX :
a. Pour les matériels répertoriés dans le tableau Valeur minimale d’un compteur ACU disponible pour différents matériels SDX, vous pouvez attribuer des ACU par multiples d’un nombre spécifié. Les SCU sont automatiquement allouées et le champ d’allocation des SCU n’est pas modifiable. Vous pouvez augmenter l’allocation d’ACU dans les multiples de l’ACU minimum disponible pour ce modèle. Par exemple, si l’ACU minimum est 4375, l’incrément d’ACU est 8750, 13125, etc.
Exemple. Allocation cryptographique où les SCU sont automatiquement attribuées et les ACU sont attribuées en multiples d’un nombre spécifié.
Valeur minimale d’un compteur ACU disponible pour différents appareils SDX
Plateforme SDX | Valeur minimale du compteur ACU |
---|---|
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ports) | 2187 |
8400, 8600, 8010, 8015 | 2812 |
17500, 19500, 21500 | 2812 |
17550, 19550, 20550, 21550 | 2812 |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
11515, 11520, 11530, 11540, 11542 | 4375 |
14xxx | 4375 |
14xxx 40S | 4375 |
14xxx 40G | 4375 |
14xxx FIPS | 4375 |
25xxx | 4375 |
25xxx A | 4575 |
b. Pour les autres plates-formes SDX, qui ne sont pas répertoriées dans le tableau précédent, vous pouvez attribuer librement des ACU et des SCU. L’appliance SDX alloue automatiquement les interfaces virtuelles de chiffrement.
Exemple. Allocation cryptographique où l’ACU et les SCU sont assignés librement
4./ Effectuez toutes les étapes de provisionnement de l’instance VPX, puis cliquez sur Terminé. Pour de plus amples informations, consultez Provisioning des instances Citrix ADC.
Afficher la santé du matériel cryptographique
Dans le service de gestion, vous pouvez afficher l’état du matériel de chiffrement fourni avec l’appliance SDX. La santé du matériel cryptographique est représentée par les périphériques cryptographiques et les fonctions virtuelles cryptographiques. Pour afficher l’état du matériel de chiffrement, accédez à Tableau de bord > Ressources.
Points à noter
Gardez à l’esprit les points suivants lorsque vous mettez à niveau l’appliance SDX vers la dernière version.
-
Seule l’interface utilisateur SDX est mise à niveau, mais la capacité matérielle de l’appliance reste la même.
-
Le mécanisme d’allocation de chiffrement reste le même et seule la représentation sur l’interface graphique SDX change.
-
L’interface Crypto est rétrocompatible et n’affecte aucun mécanisme d’automatisation existant qui utilise l’interface NITRO pour gérer l’appliance SDX.
-
Lors de la mise à niveau de l’appliance SDX, le chiffrement attribué aux instances VPX existantes ne change pas ; seule sa représentation sur le service de gestion change.
Tableau de conversion des ressources ACU en PKE
Plateforme SDX | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
---|---|---|---|---|---|---|
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ports) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | S/O |
11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
22040, 22060, 22080, 22100, 22120 (24 ports) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | S/O |
17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | S/O |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | S/O |
14000, 14000-40G, 25000, 25000A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14000 FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14000-40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
*8900 (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-100G (26100, 26160, 26200 et 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000-50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*Sur ces plateformes, les nombres PKE sont les valeurs minimales garanties.
Comment lire le tableau de conversion des ressources ACU en PKE
Le tableau de conversion des ressources ACU en PKE est basé sur les points suivants :
-
Le service de gestion permet d’allouer des ressources cryptographiques à chaque VPX individuel. Le service de gestion ne peut pas allouer ou promettre des
-
Les performances réelles varient en fonction de la taille du paquet, du chiffrement/keyex/hmac (ou de leurs variations) utilisés, etc.
L’exemple suivant vous permet de comprendre comment lire et appliquer l’ACU à la table de conversion des ressources PKE.
Exemple. Conversion de ressources ACU en PKE pour la plate-forme SDX 22040
L’allocation de 2187 ACU à une instance VPX sur une plate-forme SDX 22040 alloue des ressources cryptographiques équivalentes à 256 opérations ECDHE-RSA ou 2187 opérations RSA-2K, etc.
Tableau de conversion des puces SSL héritées en ACU et SCU
Pour plus d’informations sur la façon dont les puces SSL héritées sont converties en ACU et SCU, consultez le tableau suivant.