暗号容量の管理
リリース 12.1 48.13 から、暗号キャパシティを管理するインターフェイスが変更されました。新しいインターフェイスにより、管理サービスは、NetScaler SDXアプライアンスのSSL容量を表す非対称暗号化ユニット(ACU)、対称暗号ユニット(SCU)、および暗号仮想インターフェイスを提供します。以前の暗号容量は、SSL チップ、SSL コア、および SSL 仮想機能の単位で割り当てられていました。 レガシー SSL チップが ACU および SCU ユニットにどのように変換されるかについての詳細は、レガシー SSL チップから ACU および SCU への変換表を参照してください 。
管理サービスGUIを使用すると、暗号容量をACUとSCUの単位でNetScaler VPXインスタンスに割り当てることができます。
次の表に、ACU、SCU、および暗号仮想インスタンスに関する簡単な説明を示します。
テーブル。単位暗号単位
新しい暗号ユニット | 説明 |
---|---|
非対称暗号ユニット (ACU) | 1 ACU =(RSA)2 K(2048 ビットキーサイズ)の復号化の 1 秒あたり 1 オペレーション(ops)。詳細については、 ACU から PKE へのリソース変換表を参照してください。 |
対称暗号ユニット (SCU) | 1 SCU = 1 Mbps の AES-128-CBC + SHA256-HMAC @ 1024B。この定義は、すべての SDX プラットフォームに適用できます。 |
暗号仮想インターフェイス | 仮想関数とも呼ばれる暗号仮想インターフェイスは、SSL ハードウェアの基本単位を表します。これらのインターフェースを使い切ると、SSLハードウェアをVPXインスタンスに割り当てることができなくなります。暗号仮想インターフェイスは読み取り専用のエンティティであり、NetScaler SDXアプライアンスはこれらのエンティティを自動的に割り当てます。 |
SDX アプライアンスの暗号容量を表示する
SDX GUI のダッシュボードで SDX アプライアンスの暗号容量を表示できます。ダッシュボードには、SDX アプライアンスで使用されている ACU、SCU、および仮想インターフェイスと使用可能な ACU が表示されます。暗号容量を表示するには、[ ダッシュボード] > [暗号容量] に移動します。
NetScaler VPXインスタンスのプロビジョニング中に暗号容量を割り当てる
SDXアプライアンスでVPXインスタンスをプロビジョニングする際、[暗号割り当て] で、VPXインスタンスに対してACUとSCUの数を割り当てることができます。VPXインスタンスをプロビジョニングする手順については、「 NetScaler ADCインスタンスのプロビジョニング」を参照してください。
VPXインスタンスのプロビジョニング中に暗号容量を割り当てるには、次の手順に従います。
-
管理サービスにログオンします。
-
構成 > NetScaler ADC > インスタンスの順に移動し、[ 追加] をクリックします。
-
[ 暗号割り当て(Crypto Allocation)] では、使用可能な ACU、SCU、および暗号仮想インターフェイスを表示できます。ACU と SCU の割り当て方法は SDX アプライアンスによって異なります。
a. さまざまな SDX アプライアンスで使用可能な ACU カウンターの最小値の表に記載されているアプライアンスには、指定した数の倍数で ACU を割り当てることができます。SCU は自動的に割り当てられ、[SCU 割り当て] フィールドは編集できません。ACU 割り当ては、そのモデルで使用できる最小 ACU の倍数で増やすことができます。たとえば、最小 ACU が 4375 の場合、それ以降の ACU の増分は 8750、13125 などとなります。
例。SCU が自動的に割り当てられ、ACU が指定された数の倍数で割り当てられる暗号割り当て。
異なる SDX アプライアンステーブルで使用できる ACU カウンターの最小値
SDX プラットフォーム | ACU カウンタの最小値 |
---|---|
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ポート) | 2187 |
8400, 8600, 8010, 8015 | 2812 |
17500, 19500, 21500 | 2812 |
17550, 19550, 20550, 21550 | 2812 |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
11515, 11520, 11530, 11540, 11542 | 4375 |
14xxx | 4375 |
14xxx 40S | 4375 |
14xxx 40G | 4375 |
14xxx FIPS | 4375 |
25xxx | 4375 |
25xxx | 4575 |
b. 上記の「 異なる SDX アプライアンスで使用可能な ACU カウンタの最小値」の表に示されていないその他の SDXプラットフォームでは、ACU と SCU を自由に割り当てることができます。SDX アプライアンスは、暗号仮想インターフェイスを自動的に割り当てます。
例。ACU と SCU の両方が自由に割り当てられる暗号割り当て
4./ NetScaler ADC インスタンスのプロビジョニングに関するすべての手順を完了し、[ 完了] をクリックします。詳しくは、「 NetScaler ADC インスタンスのプロビジョニング」を参照してください。
暗号ハードウェアヘルスの表示
Management Service では、SDX アプライアンスに付属する暗号化ハードウェアの状態を表示できます。暗号化ハードウェアの状態は、暗号化デバイスと暗号仮想関数として表されます。暗号化ハードウェアの状態を表示するには、[ ダッシュボード] > [リソース] に移動します。
注意事項
SDX アプライアンスを最新バージョンにアップグレードする場合は、次の点に注意してください。
-
SDX ユーザーインターフェイスのみがアップグレードされますが、アプライアンスのハードウェア容量は変わりません。
-
暗号の割り当てメカニズムは変わらず、SDX GUI 上の表現だけが変更されます。
-
暗号化インターフェイスには下位互換性があり、NITRO インターフェイスを使用して SDX アプライアンスを管理する既存の自動化メカニズムには影響しません。
-
SDXアプライアンスのアップグレード時には、既存のVPXインスタンスに割り当てられている暗号は変更されず、管理サービスでの表示のみが変更されます。
ACU から PKE へのリソース変換テーブル
SDX プラットフォーム | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
---|---|---|---|---|---|---|
22040、22060、22080、22100、22120、24100、24150 (36 ポート) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | - |
11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
22040、22060、22080、22100、22120(24ポート) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | - |
17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | - |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | - |
14XXX、14XXX 40G、25XXX | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14xxx FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14xxx 40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
*89xx (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26xxx (26100、26160、26200、26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000 50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*これらのプラットフォームでは、PKE 番号は最低保証値です。
ACU から PKE へのリソース変換テーブルの読み方
ACU から PKE へのリソース変換テーブルは、次の点に基づいています。
-
管理サービスは、個々のVPXに暗号リソースを割り当てるのに役立ちます。管理サービスでは、パフォーマンスを割り当てたり、約束したりすることはできません。
-
実際のパフォーマンスは、パケットサイズ、使用する暗号/keyex/HMAC (またはそのバリエーション) などによって異なります。
次の例は、「ACU から PKE」リソース変換テーブルを読み取って適用する方法を理解するのに役立ちます。
例。SDX 22040 プラットフォームの ACU から PKE へのリソース変換
SDX 22040プラットフォーム上のVPXインスタンスに2187個のACUを割り当てると、256個のECDHE-RSA操作または2187個のRSA-2K操作などに相当する暗号リソースが割り当てられます。
レガシー SSL チップから ACU および SCU への変換テーブル
レガシー SSL チップが ACU および SCU に変換される方法の詳細については、次の表を参照してください。