Citrix ADC SDX

暗号容量の管理

リリース 11.1 57.11 から、暗号化キャパシティを管理するインターフェイスが変更されました。新しいインターフェイスにより、管理サービスは、NetScaler SDXアプライアンスのSSL容量を表す非対称暗号化ユニット(ACU)、対称暗号ユニット(SCU)、および暗号仮想インターフェイスを提供します。以前の暗号容量は、SSL チップ、SSL コア、および SSL 仮想機能の単位で割り当てられていました。 レガシー SSL チップが ACU および SCU ユニットにどのように変換されるかについての詳細は、レガシー SSL チップから ACU および SCU への変換表を参照してください

管理サービスGUIを使用すると、暗号容量をACUとSCUの単位でNetScaler VPXインスタンスに割り当てることができます。

次の表に、ACU、SCU、および暗号仮想インスタンスに関する簡単な説明を示します。

テーブル。単位暗号単位

新しい暗号ユニット 説明
非対称暗号ユニット (ACU) 1 ACU =(RSA)2 K(2048 ビットキーサイズ)の復号化の 1 秒あたり 1 オペレーション(ops)。詳細については、 ACU から PKE へのリソース変換表を参照してください
対称暗号ユニット (SCU) 1 SCU = 1 Mbps の AES-128-CBC + SHA256-HMAC @ 1024B。この定義は、すべての SDX プラットフォームに適用できます。
暗号仮想インターフェイス 仮想関数とも呼ばれる暗号仮想インターフェイスは、SSL ハードウェアの基本単位を表します。これらのインターフェイスが使い果たされると、SSLハードウェアをNetScaler VPXインスタンスに割り当てることができなくなります。暗号仮想インターフェイスは読み取り専用のエンティティであり、NetScaler SDXアプライアンスはこれらのエンティティを自動的に割り当てます。

SDX アプライアンスの暗号容量を表示する

SDXアプライアンスの暗号容量は、NetScaler SDX GUIのダッシュボードで確認できます。ダッシュボードには、NetScaler SDXアプライアンス上で使用可能なACU、SCU、および仮想インターフェイスが表示されます。暗号容量を表示するには、[ ダッシュボード] > [暗号容量] に移動します。

暗号容量を表示する

NetScaler VPXインスタンスのプロビジョニング中に暗号容量を割り当てる

NetScaler SDX上でNetScaler VPXインスタンスをプロビジョニングする際、[暗号の割り当て]で、NetScaler VPXインスタンスにACUとSCUの数を割り当てることができます。NetScaler VPXインスタンスをプロビジョニングする手順については、「 NetScalerインスタンスのプロビジョニング」を参照してください。

NetScaler VPXインスタンスのプロビジョニング中に暗号容量を割り当てるには、次の手順に従います。

  1. 管理サービスにログオンします。

  2. 構成 > NetScaler > インスタンスの順に移動し追加をクリックします

  3. [ 暗号割り当て(Crypto Allocation)] では、使用可能な ACU、SCU、および暗号仮想インターフェイスを表示できます。ACU と SCU の割り当て方法は SDX アプライアンスによって異なります。

    a. さまざまな SDX アプライアンスで使用可能な ACU カウンターの最小値の表に記載されているアプライアンスには、指定した数の倍数で ACU を割り当てることができます。SCU は自動的に割り当てられ、[SCU 割り当て] フィールドは編集できません。ACU 割り当ては、そのモデルで使用できる最小 ACU の倍数で増やすことができます。たとえば、最小 ACU が 4375 の場合、それ以降の ACU の増分は 8750、13125 などとなります。

。SCU が自動的に割り当てられ、ACU が指定された数の倍数で割り当てられる暗号割り当て。

ACU と SCU

異なる SDX アプライアンステーブルで使用できる ACU カウンターの最小値

NetScaler SDXプラットフォーム ACU カウンタの最小値
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ポート) 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx 4575

b. 上記の「 異なる SDX アプライアンスで使用可能な ACU カウンタの最小値」の表に示されていないその他の SDXプラットフォームでは、ACU と SCU を自由に割り当てることができます。NetScaler SDXアプライアンスは、暗号仮想インターフェイスを自動的に割り当てます。

。ACU と SCU の両方が自由に割り当てられる暗号割り当て

89xx での暗号の割り当て

4./ NetScalerインスタンスのプロビジョニング手順をすべて完了し、[ 完了] をクリックします。詳しくは、「 NetScalerインスタンスのプロビジョニング」を参照してください。

暗号ハードウェアヘルスの表示

管理サービスでは、NetScaler SDXに付属する暗号化ハードウェアの正常性を確認できます。暗号化ハードウェアの状態は、暗号化デバイスと暗号仮想関数として表されます。暗号化ハードウェアの状態を表示するには、[ ダッシュボード] > [リソース] に移動します。

リソース

注意すべきポイント

NetScaler SDXアプライアンスを11.1 57.11以降のバージョンにアップグレードする場合は、次の点に注意してください。

  • SDX ユーザーインターフェイスのみがアップグレードされますが、アプライアンスのハードウェア容量は変わりません。

  • 暗号の割り当てメカニズムは変わらず、SDX GUI 上の表現だけが変更されます。

  • 暗号化インターフェイスには下位互換性があり、NITRO インターフェイスを使用して SDX アプライアンスを管理する既存の自動化メカニズムには影響しません。

  • SDXアプライアンスのアップグレード時には、既存のVPXインスタンスに割り当てられている暗号は変更されず、管理サービスでの表示のみが変更されます。

ACU から PKE へのリソース変換テーブル

NetScaler SDXプラットフォーム ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040、22060、22080、22100、22120、24100、24150 (36 ポート) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 -
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040、22060、22080、22100、22120(24ポート) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 -
17550, 19550, 20550, 21550 2812 17000 2812 424 330 -
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 -
14XXX、14XXX 40G、25XXX 4375 25000 4375 625 512 381
14xxx FIPS 4375 25000 4375 625 512 381
14xxx 40S 4375 25000 4375 625 512 381
*89xx 1000 4615 1000 136 397 494
*26xxx 1000 4615 1000 136 397 494
*15000 50G 1000 4615 1000 136 397 494

*これらのプラットフォームでは、PKE 番号は最低保証値です。

ACU から PKE へのリソース変換テーブルの読み方

ACU から PKE へのリソース変換テーブルは、次の点に基づいています。

  • 管理サービスは、個々のVPXに暗号リソースを割り当てるのに役立ちます。管理サービスでは、パフォーマンスを割り当てたり、約束したりすることはできません。

  • 実際のパフォーマンスは、パケットサイズ、使用する暗号/keyex/HMAC (またはそのバリエーション) などによって異なります。

次の例は、「ACU から PKE」リソース変換テーブルを読み取って適用する方法を理解するのに役立ちます。

。SDX 22040 プラットフォームの ACU から PKE へのリソース変換

SDX 22040プラットフォーム上のNetScaler VPXインスタンスに2187個のACUを割り当てると、256回のECDHE-RSA操作または2187回のRSA-2K操作などに相当する暗号化リソースが割り当てられます。

レガシー SSL チップから ACU および SCU への変換テーブル

レガシー SSL チップが ACU および SCU に変換される方法の詳細については、次の表を参照してください。

ACU および SCU 変換テーブル

暗号容量の管理