Citrix ADC SDX 13.0

Verwalten der Krypto-Kapazität

Ab Release 12.1 48.13 hat sich die Schnittstelle zur Verwaltung der Krypto-Kapazität geändert. Mit der neuen Schnittstelle stellt der Verwaltungsdienst asymmetrische Kryptoeinheiten (ACUs), symmetrische Kryptoeinheiten (SCUs) und virtuelle Kryptoschnittstellen bereit, um die SSL-Kapazität auf der Citrix ADC SDX-Appliance darzustellen. Frühere Krypto-Kapazität wurde in Einheiten von SSL-Chips, SSL-Kernen und virtuellen SSL-Funktionen zugewiesen. Legacy-SSL-Chips zu ACU- und SCU-Konvertierungstabelle#legacy-ssl-chips-to-acu-and-scu-conversion-table[()]Weitere Informationen dazu, wie ältere SSL-Chips in ACU- und SCU-Einheiten übersetzen.

Mithilfe der Verwaltungsdienst-GUI können Sie der Citrix ADC VPX-Instanz Krypto-Kapazität in Einheiten von ACU und SCU zuweisen.

Die folgende Tabelle enthält kurze Beschreibungen zu ACUs, SCUs und Krypto-virtuellen Instanzen.

Tisch. Einheit Kryptoeinheiten

Neue Kryptoeinheiten Beschreibung
Asymmetrische Kryptoeinheit (ACU) 1 ACU = 1 Operation pro Sekunde (Ops) von (RSA) 2 K (2048-Bit-Schlüsselgröße) Entschlüsselung. Weitere Informationen finden Sie unterACU in PKE Ressourcenkonvertierungstabelle.
Symmetrische Kryptoeinheit (SCU) 1 SCU = 1 Mbit/s AES-128-CBC + SHA256-HMAC @ 1024B. Diese Definition gilt für alle SDX-Plattformen.
Virtuelle Crypto-Schnittstellen Krypto-virtuelle Schnittstellen, auch als virtuelle Funktionen bekannt, stellen die Basiseinheit der SSL-Hardware dar. Nachdem diese Schnittstellen erschöpft sind, kann die SSL-Hardware nicht weiter einer VPX-Instanz zugewiesen werden. Crypto-virtuelle Schnittstellen sind schreibgeschützte Entitäten, und die SDX-Appliance weist diese Entitäten automatisch zu.

Anzeigen der Krypto-Kapazität der SDX-Appliance

Sie können die Krypto-Kapazität der SDX-Appliance im Dashboard der SDX-GUI anzeigen. Das Dashboard zeigt die verwendeten und verfügbaren ACUs, SCUs und virtuellen Schnittstellen auf der SDX-Appliance an. Um die Krypto-Kapazität anzuzeigen, navigieren Sie zu Dashboard > Krypto-Kapazität.

Lokalisiertes Bild

Zuweisen von Krypto-Kapazität während der Bereitstellung der VPX-Instanz

Während Sie eine VPX-Instanz auf der SDX-Appliance bereitstellen, können Sie unter Crypto Allocationdie Anzahl der ACUs und SCUs für die VPX-Instanz zuweisen. Anweisungen zum Bereitstellen einer VPX-Instanz finden Sie unterProvisioning von Citrix ADC-Instanzen.

Gehen Sie folgendermaßen vor, um Krypto-Kapazität während der Bereitstellung einer VPX-Instanz zuzuweisen.

  1. Melden Sie sich beim Verwaltungsdienst an.

  2. Navigieren Sie zu Konfiguration > Citrix ADC > Instanzen, und klicken Sie auf Hinzufügen.

  3. Unter Crypto Allocationkönnen Sie die verfügbaren ACUs, SCU und Crypto virtuellen Schnittstellen anzeigen. Die Art und Weise zum Zuweisen von ACUs und SCUs ist abhängig von der SDX-Appliance unterschiedlich:

    a. Für die in derMindestwert eines ACU-Zählers, der für verschiedene SDX-Appliances verfügbar istaufgeführten Appliances können Sie ACUs in Vielfachen einer angegebenen Zahl zuweisen. SCUs werden automatisch zugewiesen und das SCU-Zuweisungsfeld kann nicht bearbeitet werden. Sie können die ACU-Zuweisung in den Vielfachen der minimalen ACU erhöhen, die für dieses Modell verfügbar ist. Wenn die minimale ACU beispielsweise 4375 beträgt, beträgt die nachfolgende ACU-Inkrement 8750, 13125 usw.

Beispiel. Krypto-Zuweisung, bei der SCUs automatisch zugewiesen werden und ACUs in Vielfaches einer angegebenen Zahl zugewiesen werden.

Lokalisiertes Bild

Mindestwert eines ACU-Zählers, der für verschiedene SDX-Appliances verfügbar ist

SDX-Plattform Mindestwert des ACU-Zählers
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Ports) 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Für die übrigen SDX-Plattformen, die nicht oben aufgeführt sindMindestwert eines ACU-Zählers, der für verschiedene SDX-Appliances verfügbar ist, können Sie ACUs und SCUs frei zuweisen. Die SDX-Appliance weist automatisch Krypto-virtuelle Schnittstellen zu.

Beispiel. Crypto-Zuweisung, bei der sowohl ACU als auch SCUs frei zugewiesen werden

Lokalisiertes Bild

4. / Führen Sie alle Schritte zum Bereitstellen der VPX-Instanz durch, und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Provisioning von Citrix ADC-Instanzen.

Krypto-Hardware-Integrität anzeigen

Im Verwaltungsdienst können Sie den Zustand der Krypto-Hardware anzeigen, die mit der SDX-Appliance bereitgestellt wird. Der Zustand der Krypto-Hardware wird als Crypto-Geräte und Crypto-Virtual Functions dargestellt. Um den Zustand der Krypto-Hardware anzuzeigen, navigieren Sie zu Dashboard > Ressourcen.

Lokalisiertes Bild

Punkte zu beachten

Beachten Sie beim Upgrade der SDX-Appliance auf die neueste Version folgende Punkte:

  • Nur die SDX-Benutzeroberfläche wird aktualisiert, die Hardwarekapazität der Appliance bleibt jedoch gleich.

  • Der Krypto-Zuweisungsmechanismus bleibt gleich, und nur die Darstellung auf SDX GUI ändert sich.

  • Die Crypto-Schnittstelle ist abwärtskompatibel und wirkt sich nicht auf vorhandene Automatisierungsmechanismen aus, die die NITRO-Schnittstelle zur Verwaltung der SDX-Appliance verwendet.

  • Beim Upgrade der SDX-Appliance ändert sich die Krypto, die den vorhandenen VPX-Instanzen zugewiesen wurde, nicht; nur die Darstellung im Management Service ändert sich.

ACU in PKE Ressourcenkonvertierungstabelle

SDX-Plattform ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 Ports) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 N/A
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080,22100, 22120 (24 Ports) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 N/A
17550, 19550, 20550, 21550 2812 17000 2812 424 330 N/A
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 N/A
14xxx, 14xxx 40G, 25xxx, 25xxx A 4375 25000 4375 625 512 381
14xxx FIPS 4375 25000 4375 625 512 381
14xxx 40S 4375 25000 4375 625 512 381
*89xx (8910, 8920, 8930) 1000 4615 1000 136 397 4949
* 26xxx (26100, 26160, 26200 und 26250) 1000 4615 1000 136 397 4949
*15000 50G 1000 4615 1000 136 397 4949

* Auf diesen Plattformen sind die PKE-Nummern minimale garantierte Werte.

So lesen Sie die ACU in PKE Ressourcenkonvertierungstabelle

Die Tabelle zur Ressourcenumrechnung von ACU in PKE basiert auf den folgenden Punkten:

  • Management Service unterstützt die Zuweisung von Crypto-Ressourcen zu jedem einzelnen VPX. Management Service kann keine Leistung zuweisen oder versprechen.

  • Die tatsächliche Leistung variiert je nach Paketgröße, Cipher/Keyex/HMAC (oder deren Variationen) verwendet usw.

Das folgende Beispiel hilft Ihnen, zu verstehen, wie Sie die ACU auf PKE-Ressourcenkonvertierungstabelle lesen und anwenden.

Beispiel. ACU zu PKE Ressourcenkonvertierung für die SDX 22040 Plattform

Die Zuweisung von 2187 ACUs zu einer VPX-Instanz auf einer SDX 22040-Plattform weist Kryptoressource zu, die 256 ECDHE-RSA-Operationen oder 2187 RSA-2K-Operationen entspricht und so weiter.

Legacy-SSL-Chips zu ACU- und SCU-Konvertierungstabelle

Weitere Informationen dazu, wie ältere SSL-Chips in ACU und SCU konvertiert werden, finden Sie in der folgenden Tabelle.

ACU- und SCU-Umrechnungstabelle

Verwalten der Krypto-Kapazität