NetScaler SDX

Verwalten der Kryptokapazität

Ab Version 12.1 48.13 hat sich die Schnittstelle zur Verwaltung der Kryptokapazität geändert. Der Management Service stellt asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Kryptoschnittstellen zur Angabe der SSL-Kapazität auf der NetScaler SDX-Appliance bereit. Frühere Kryptokapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Weitere Informationen darüber, wie Legacy-SSL-Chips in ACU- und SCU-Einheiten zugeordnet werden, finden Sie in der Konvertierungstabelle für Legacy-SSL-Chips in ACU und SCU.

Mit der Management Service-GUI können Sie der NetScaler VPX-Instanz Kryptokapazität in Einheiten von ACU und SCU zuweisen.

Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und virtuellen Krypto-Instanzen.

Tabelle. Krypto-Einheiten

Neue Krypto-Einheiten Beschreibung
Asymmetrische Kryptoeinheit (ACU) 1 ACU = 1 Vorgang pro Sekunde (ops) der Entschlüsselung mit 2 K (2048-Bit-Schlüsselgröße) (RSA). Weitere Einzelheiten finden Sie unter ACU zu PKE-Ressourcenumrechnungstabelle.
Symmetrische Kryptoeinheit (SCU) 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC bei 1024 B. Diese Definition gilt für alle SDX-Plattformen.
Virtuelle Krypto-Schnittstellen Virtuelle Krypto-Schnittstellen, auch virtuelle Funktionen genannt, stellen die Grundeinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Virtuelle Krypto-Schnittstellen sind schreibgeschützte Entitäten, und die SDX-Appliance weist diese Entitäten automatisch zu.

Kryptokapazität der SDX-Appliance anzeigen

Sie können die Kryptokapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.

Krypto-Kapazität anzeigen

Weisen Sie Kryptokapazität zu, während Sie die VPX-Instanz bereitstellen

Bei der Bereitstellung einer VPX-Instanz auf der SDX-Appliance können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zur Bereitstellung einer VPX-Instanz finden Sie unter Provisioning NetScaler-Instanzen.

Gehen Sie folgendermaßen vor, um während der Bereitstellung einer VPX-Instanz Kryptokapazität zuzuweisen.

  1. Melden Sie sich beim Management Service an.

  2. Navigieren Sie zu Konfiguration > NetScaler > Instanzen, und klicken Sie auf Hinzufügen.

  3. Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und virtuellen Krypto-Schnittstellen anzeigen. Die Art der Zuweisung von ACUs und SCUs ist je nach SDX-Appliance unterschiedlich:

    a. Für die unter Mindestwert eines für verschiedene SDX-Appliances verfügbaren ACU-Zählers aufgeführten Applianceskönnen Sie ACUs in Vielfachen einer angegebenen Anzahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung um das Vielfache der für dieses Modell verfügbaren Mindest-ACU erhöhen. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt das ACU-Inkrement 8750, 13125 usw.

    Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfachen einer bestimmten Anzahl zugewiesen werden.

    Krypto-Zuweisung

Mindestwert eines ACU-Zählers für verschiedene SDX-Appliances

SDX-Plattform Minimalwert des ACU-Zählers
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Für die übrigen SDX-Plattformen, die in der vorherigen Tabelle nicht aufgeführt sind, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch virtuelle Krypto-Schnittstellen zu.

Beispiel. Krypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen sind

Krypto-Zuweisung 8900

4./ Führen Sie alle Schritte zum Bereitstellen der VPX-Instanz aus und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning NetScaler-Instances.

Zustand der Krypto-Hardware anzeigen

Im Management Service können Sie den Zustand der mit der SDX-Appliance bereitgestellten Krypto-Hardware anzeigen. Der Zustand der Krypto-Hardware wird als Crypto Devices und Crypto Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.

Krypto-Geräte und virtuelle Funktionen

Wichtige Hinweise

Beachten Sie die folgenden Punkte, wenn Sie die SDX-Appliance auf die neueste Version aktualisieren.

  • Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch unverändert.

  • Der Krypto-Zuweisungsmechanismus bleibt derselbe, und nur die Darstellung auf der SDX-GUI ändert sich.

  • Die Krypto-Schnittstelle ist abwärtskompatibel und hat keinen Einfluss auf vorhandene Automatisierungsmechanismen, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwenden.

  • Bei einem Upgrade der SDX-Appliance ändert sich das Krypto, das den vorhandenen VPX-Instanzen zugewiesen ist, nicht; es ändert sich nur die Darstellung im Management Service.

ACU zu PKE-Ressourcenumrechnungstabelle

SDX-Plattform ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Anschlüsse) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080.22100, 22120 (24 Anschlüsse) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330
17550, 19550, 20550, 21550 2812 17000 2812 424 330
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330
14000, 14000-40G, 25000, 25000A 4375 25000 4375 625 512 381
14000 FIPS 4375 25000 4375 625 512 381
14000-40S 4375 25000 4375 625 512 381
*8900 (8910, 8920, 8930) 1000 4615 1000 136 397 494
*9100 (9110, 9120, 9130) 1000 4615 1000 136 397 494
*26000-100G (26100, 26160, 26200 und 26250) 1000 4615 1000 136 397 494
*15000 1000 4615 1000 136 397 494
*15000-50G 1000 4615 1000 136 397 494
*16000 1000 4615 1000 136 397 494
*26000-50S 1000 4615 1000 136 397 494

*Auf diesen Plattformen sind die PKE-Zahlen die garantierten Mindestwerte.

Wie liest man die ACU zu PKE-Ressourcenumrechnungstabelle

Die ACU in PKE-Ressourcenumrechnungstabelle basiert auf den folgenden Punkten:

  • Der Management Service hilft bei der Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Der Management Service kann keine Leistung zuweisen oder versprechen.

  • Die tatsächliche Leistung variiert je nach Paketgröße, verwendeter Verschlüsselung/Keyex/HMAC (oder deren Varianten) usw.

Das folgende Beispiel hilft Ihnen zu verstehen, wie Sie die ACU lesen und auf die PKE-Ressourcenumrechnungstabelle anwenden.

Beispiel. ACU auf PKE-Ressourcenumwandlung für die SDX 22040-Plattform

Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressourcen zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen usw. entsprechen.

Legacy-SSL-Chips in ACU- und SCU-Konvertier

Weitere Informationen darüber, wie ältere SSL-Chips in ACU und SCU umgewandelt werden, finden Sie in der folgenden Tabelle.

ACU- und SCU-Umrechnungstabelle

Verwalten der Kryptokapazität