管理加密容量
从版本12.1 48.13开始,管理加密容量的接口已经改变。管理服务提供非对称加密单元 (ACU)、对称加密单元 (SCU) 和加密虚拟接口,以表示 NetScaler SDX 设备上的 SSL 容量。早期的加密容量是以SSL芯片,SSL核心和SSL虚拟功能为单位分配的。有关传统SSL芯片如何转换为ACU和SCU单元的更多信息,请参阅传统 SSL 芯片到 ACU 和 SCU 的转换表。
通过使用管理服务 GUI,您可以以 ACU 和 SCU 为单位向 NetScaler VPX 实例分配加密容量。
下表提供了有关 ACU、SCU 和加密虚拟实例的简要说明。
桌子。单位加密单位
新的加密单位 | 说明 |
---|---|
非对称加密单元 (ACU) | 1 ACU = (RSA) 2 K(2048 位密钥大小)解密的每秒 1 次操作 (ops)。有关更多详细信息,请参阅 ACU 到 PKE 的资源转换表。 |
对称加密单元 (SCU) | 1 个 SCU = 1 Mbps 的 AES-128-CBC + SHA256-HMAC @ 1024B。此定义适用于所有 SDX 平台。 |
加密虚拟接口 | 加密虚拟接口也称为虚拟函数,代表 SSL 硬件的基本单元。在这些接口用尽后,无法再将 SSL 硬件分配给 VPX 实例。加密虚拟接口是只读实体,SDX 设备会自动分配这些实体。 |
查看 SDX 设备的加密容量
您可以在 SDX GUI 的仪表板中查看 SDX 设备的加密容量。仪表板显示 SDX 设备上已使用和可用的 ACU、SCU 和虚拟接口。要查看加密容量,请导航到 控制面板 > 加密容量。
在预配 VPX 实例时分配加密容量
在 SDX 设备上配置 VPX 实例时,您可以在 加密分配下为 VPX 实例分配 ACU 和 SCU 的数量。有关预置 VPX 实例的说明,请参阅 预配 NetScaler ADC 实例。
要在预置 VPX 实例时分配加密容量,请执行以下步骤。
-
登录到管理服务。
-
导航到 配置 > NetScaler ADC > 实例,然后单击 添加。
-
在 加密分配下,您可以查看可用的 ACU、SCU 和加密虚拟接口。分配 ACU 和 SCU 的方式因 SDX 设备而异:
a. 对于可用于不同 SDX 设备的 ACU 计数器的最小值表中列出的装置,可以指定数量的倍数来分配 ACU。SCU 会自动分配,SCU 分配字段不可编辑。您可以使用该型号可用的最小 ACU 的倍数来增加 ACU 分配。例如,如果最小 ACU 为 4375,则 ACU 增量为 8750、13125,依此类推。
示例。加密分配,其中自动分配 SCU,ACU 以指定数量的倍数分配。
可用于不同 SDX 设备的 ACU 计数器的最小值表
SDX 平台 | ACU 计数器最小值 |
---|---|
22040、22060、22080、22100、22120、24100、24150(36 个端口) | 2187 |
8400, 8600, 8010, 8015 | 2812 |
17500, 19500, 21500 | 2812 |
17550, 19550, 20550, 21550 | 2812 |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
11515, 11520, 11530, 11540, 11542 | 4375 |
14xxx | 4375 |
14xxx 40S | 4375 |
14xxx 40G | 4375 |
14xxx FIPS | 4375 |
25xxx | 4375 |
25xxx A | 4575 |
b. 对于上表中未列出的其余 SDX 平台,您可以自由分配 ACU 和 SCU。SDX 设备会自动分配加密虚拟接口。
示例。ACU和SCU均可自由分配的加密货币分配
4./ 完成配置 VPX 实例的所有步骤,然后单击 完成。有关更多信息,请参阅 预配 NetScaler ADC 实例。
查看加密硬件运行状况
在管理服务中,您可以查看随 SDX 设备提供的加密硬件的运行状况。加密硬件的运行状况表示为加密设备和加密虚拟功能。要查看加密硬件的运行状况,请导航到 控制板 > 资源。
注意事项
将 SDX 设备升级到最新版本时,请记住以下几点。
-
只有 SDX 用户界面得到升级,但设备的硬件容量保持不变。
-
加密分配机制保持不变,只有 SDX GUI 上的表示会发生变化。
-
加密接口向后兼容,不会影响使用 NITRO 接口管理 SDX 设备的任何现有自动化机制。
-
SDX 设备升级后,分配给现有 VPX 实例的加密不会更改;只会更改其在管理服务中的表示形式。
ACU 到 PKE 资源转换表
SDX 平台 | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
---|---|---|---|---|---|---|
22040、22060、22080、22100、22120、24100、24150(36 个端口) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
22040、22060、22080,22100、22120(24 个端口) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
14000, 14000-40G, 25000, 25000A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14000 FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14000-40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
*8900 (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-100G(26100、26160、26200 和 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000-50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*在这些平台上,PKE数字是最低保证值。
如何读取 ACU 到 PKE 的资源转换表
ACU到PKE的资源转换表基于以下几点:
-
管理服务帮助将加密资源分配给每个单独的 VPX。管理服务不能分配或承诺绩效。
-
实际性能因数据包大小、使用的 cipher/Keyex/HMAC(或其变体)等而异
以下示例可帮助您了解如何读取 ACU 并将其应用于 PKE 资源转换表。
示例。SDX 22040 平台的 ACU 到 PKE 资源转换
在 SDX 22040 平台上向 VPX 实例分配 2187 个 ACU 会分配相当于 256 个 ECDHE-RSA 操作或 2187 个 RSA-2K 操作等同的加密资源。
传统SSL芯片到ACU和SCU的转换表
有关如何将旧版 SSL 芯片转换为 ACU 和 SCU 的更多信息,请参阅下表。