ADC

在 ESX 虚拟机管理程序上配置 NetScaler VPX 以在 SR-IOV 模式下使用 Intel QAT 进行 SSL 加速

VMware ESX 虚拟机管理程序上的 NetScaler VPX 实例可以使用 Intel QuickAssist 技术 (QAT) 来加速 NetScaler SSL 性能。使用 Intel QAT,所有高延迟的加密处理都可以卸载到芯片上,从而腾出一个或多个主机 CPU 来执行其他任务。

以前,所有 NetScaler 数据路径加密处理都是在软件中使用主机 vCPU 完成的。

注意:

目前,NetScaler VPX 仅支持 Intel QAT 系列下的 C62x 芯片型号。从 NetScaler 版本 14.1 版本 8.50 开始支持此功能。

必备条件

限制

没有为单个虚拟机预留加密单位或带宽的规定。任何 Intel QAT 硬件的所有可用加密单元均在使用 QAT 硬件的所有虚拟机之间共享。

设置主机环境以使用 Intel QAT

  1. 下载 Intel 提供的 C62x 系列 (QAT) 芯片型号的 VMware 驱动程序并将其安装到 VMware 主机中。有关 Intel 软件包下载和安装说明的更多信息,请参阅 Intel QuickAssist Technology Driver for VMware

  2. 在 ESX 主机上启用 SR-IOV。

  3. 创建虚拟机。创建 VM 时,分配适当数量的 PCI 设备以满足性能要求。

注意:

每个 C62x (QAT) 芯片最多可以有三个独立的 PCI 端点。每个端点都是 VF 的逻辑集合,与芯片的其他 PCI 端点平均共享带宽。每个端点最多可以有 16 个 VF,显示为 16 个 PCI 设备。您可以将这些设备添加到 VM,使用 QAT 芯片进行加密加速。

需要注意的事项

  • 如果虚拟机加密要求使用多个 QAT PCI 端点/芯片,建议以循环方式选择相应的 PCI 设备/VF 以实现对称分布。
  • 建议选择的 PCI 设备数量等于许可的 vCPU 数量(不包括管理 vCPU 数量)。添加比可用的 vCPU 数量更多的 PCI 设备不一定能提高性能。

    示例:

    考虑一台带有一个具有 3 个端点的 Intel C62x 芯片的 ESX 主机。在配置具有 6 个 vCPU 的虚拟机时,从每个端点中选择 2 个 VF,然后将其分配给虚拟机。这种分配可确保虚拟机有效且平等地分配加密单位。默认情况下,在可用的 vCPU 总数中,一个 vCPU 留给管理平面,其余 vCPU 可用于数据平面 PE。

使用 vSphere 网络客户端将 QAT VF 分配给 VPX

  1. 在 vSphere Web 客户端中,导航到虚拟机所在的 ESX 主机,然后单击“机”。

    关闭 VM 的电源

  2. 导航到“操作”>“编辑设置”>“添加其他设备”,然后选择 PCI 设备。

    选择 PCI 设备

  3. 对于新添加的 PCI 设备,分配 c6xx QAT VF 并保存配置。

    分配 c6xx QAT VF

  4. 再次打开 VM 的电源。

  5. 在 NetScaler CLI 中运行 stat ssl 命令以显示 SSL 摘要,并在将 QAT VF 分配给 VPX 后验证 SSL 卡。

    运行 `stat ssl` 命令

关于部署

此部署使用以下组件规格进行了测试:

  • NetScaler VPX 版本和内部版本: 14.1—8.50
  • VMware ESXi 版本: 7.0.3(内部版本 20036589)
  • 适用于 VMware 的 Intel C62x QAT 驱动程序版本: 1.5.1.54
在 ESX 虚拟机管理程序上配置 NetScaler VPX 以在 SR-IOV 模式下使用 Intel QAT 进行 SSL 加速