Citrix ADC SDX

Krypto-Kapazität verwalten

Ab Version 12.1 48.13 hat sich die Schnittstelle zur Verwaltung der Kryptokapazität geändert. Mit der neuen Schnittstelle bietet der Management Service asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Krypto-Schnittstellen, um die SSL-Kapazität auf der Citrix ADC SDX-Appliance darzustellen. Frühere Kryptokapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Weitere Informationen darüber, wie Legacy-SSL-Chips in ACU- und SCU-Einheiten zugeordnet werden, finden Sie in der Konvertierungstabelle für Legacy-SSL-Chips in ACU und SCU.

Mithilfe der Management Service-GUI können Sie der Citrix ADC VPX-Instanz Kryptokapazität in Einheiten von ACU und SCU zuweisen.

Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und virtuellen Krypto-Instanzen.

Tabelle. Krypto-Einheiten

Neue Krypto-Einheiten Beschreibung
Asymmetrische Kryptoeinheit (ACU) 1 ACU = 1 Vorgang pro Sekunde (ops) der Entschlüsselung mit 2 K (2048-Bit-Schlüsselgröße) (RSA). Weitere Einzelheiten finden Sie unter ACU zu PKE-Ressourcenumrechnungstabelle.
Symmetrische Kryptoeinheit (SCU) 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC bei 1024 B. Diese Definition gilt für alle SDX-Plattformen.
Virtuelle Krypto-Schnittstellen Virtuelle Krypto-Schnittstellen, auch virtuelle Funktionen genannt, stellen die Grundeinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Virtuelle Krypto-Schnittstellen sind schreibgeschützte Entitäten, und die Citrix ADC SDX-Appliance weist diese Entitäten automatisch zu.

Kryptokapazität der SDX-Appliance anzeigen

Sie können die Kryptokapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.

Krypto-Kapazität anzeigen

Weisen Sie Kryptokapazität zu, während Sie die Citrix ADC VPX-Instanz bereitstellen

Bei der Bereitstellung einer VPX-Instanz auf einer SDX-Appliance können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zum Bereitstellen einer VPX-Instanz finden Sie unter Provisioning von Citrix ADC-Instanzen.

Gehen Sie folgendermaßen vor, um während der Bereitstellung einer VPX-Instanz Kryptokapazität zuzuweisen.

  1. Melden Sie sich beim Management Service an.

  2. Navigieren Sie zu Konfiguration > Citrix ADC > Instanzen, und klicken Sie auf Hinzufügen.

  3. Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und virtuellen Krypto-Schnittstellen anzeigen. Die Art der Zuweisung von ACUs und SCUs ist je nach SDX-Appliance unterschiedlich:

    a. Für die Appliances, die in der Tabelle Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählersaufgeführt sind, können Sie ACUs in Vielfachen einer bestimmten Anzahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung um das Vielfache der für dieses Modell verfügbaren Mindest-ACU erhöhen. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt das nachfolgende ACU-Inkrement 8750, 13125 usw.

Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfachen einer bestimmten Anzahl zugewiesen werden.

Krypto-Zuweisung

Mindestwert eines ACU-Zählers, der für verschiedene SDX-Appliances verfügbar ist

SDX-Plattform Minimalwert des ACU-Zählers
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Für die übrigen SDX-Plattformen, die nicht in der vorhergehenden Tabelle Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählersaufgeführt sind, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch virtuelle Krypto-Schnittstellen zu.

Beispiel. Krypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen sind

Krypto-Zuweisung 89xx

4./ Führen Sie alle Schritte zum Bereitstellen der Citrix ADC-Instanz aus und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning von Citrix ADC-Instanzen.

Zustand der Krypto-Hardware anzeigen

Im Management Service können Sie den Zustand der mit der SDX-Appliance bereitgestellten Krypto-Hardware anzeigen. Der Zustand der Krypto-Hardware wird als Crypto Devices und Crypto Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.

Ressourcen

Zu beachtende Punkte

Beachten Sie die folgenden Punkte, wenn Sie die SDX-Appliance auf die neueste Version aktualisieren.

  • Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch unverändert.

  • Der Krypto-Zuweisungsmechanismus bleibt derselbe, und nur die Darstellung auf der SDX-GUI ändert sich.

  • Die Krypto-Schnittstelle ist abwärtskompatibel und hat keinen Einfluss auf vorhandene Automatisierungsmechanismen, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwenden.

  • Bei einem Upgrade der SDX-Appliance ändert sich das Krypto, das den vorhandenen VPX-Instanzen zugewiesen ist, nicht; es ändert sich nur die Darstellung im Management Service.

ACU zu PKE-Ressourcenumrechnungstabelle

SDX-Plattform ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 Nicht zutreffend
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080.22100, 22120 (24 Anschlüsse) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 Nicht zutreffend
17550, 19550, 20550, 21550 2812 17000 2812 424 330 Nicht zutreffend
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 Nicht zutreffend
14xxx, 14xxx 40G, 25xxx, 25xxx A 4375 25000 4375 625 512 381
14xxx FIPS 4375 25000 4375 625 512 381
14xxx 40S 4375 25000 4375 625 512 381
*89xx (8910, 8920, 8930) 1000 4615 1000 136 397 494
*26xxx (26100, 26160, 26200 und 26250) 1000 4615 1000 136 397 494
*15000 50G 1000 4615 1000 136 397 494
*26000-50S 1000 4615 1000 136 397 494

*Auf diesen Plattformen sind die PKE-Zahlen die garantierten Mindestwerte.

Wie liest man die ACU zu PKE-Ressourcenumrechnungstabelle

Die ACU in PKE-Ressourcenumrechnungstabelle basiert auf den folgenden Punkten:

  • Der Management Service hilft bei der Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Der Management Service kann keine Leistung zuweisen oder versprechen.

  • Die tatsächliche Leistung variiert je nach Paketgröße, verwendeter Verschlüsselung/Keyex/HMAC (oder deren Varianten) usw.

Das folgende Beispiel hilft Ihnen zu verstehen, wie Sie die Ressourcenumrechnungstabelle “ACU in PKE” lesen und anwenden.

Beispiel. ACU auf PKE-Ressourcenumwandlung für die SDX 22040-Plattform

Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressourcen zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen usw. entsprechen.

Legacy-SSL-Chips in ACU- und SCU-Konvertier

Weitere Informationen darüber, wie ältere SSL-Chips in ACU und SCU umgewandelt werden, finden Sie in der folgenden Tabelle.

ACU- und SCU-Umrechnungstabelle.

Krypto-Kapazität verwalten