Citrix ADC SDX

暗号容量の管理

リリース 12.1 48.13 から、暗号キャパシティを管理するインターフェイスが変更されました。管理サービスは、Citrix ADC SDXアプライアンスのSSL容量を示すために、非対称暗号ユニット(ACU)、対称暗号ユニット(SCU)、および暗号仮想インターフェイスを提供します。以前の暗号容量は、SSL チップ、SSL コア、および SSL 仮想機能の単位で割り当てられていました。 レガシー SSL チップが ACU および SCU ユニットにどのように変換されるかについての詳細は、レガシー SSL チップから ACU および SCU への変換表を参照してください

管理サービスGUIを使用すると、Citrix ADC VPXインスタンスにACUおよびSCUの単位で暗号容量を割り当てることができます。

次の表に、ACU、SCU、および暗号仮想インスタンスに関する簡単な説明を示します。

テーブル。単位暗号単位

新しい暗号ユニット 説明
非対称暗号ユニット (ACU) 1 ACU =(RSA)2 K(2048 ビットキーサイズ)の復号化の 1 秒あたり 1 オペレーション(ops)。詳細については、 ACU から PKE へのリソース変換表を参照してください
対称暗号ユニット (SCU) 1 SCU = 1 Mbps の AES-128-CBC + SHA256-HMAC @ 1024B。この定義は、すべての SDX プラットフォームに適用できます。
暗号仮想インターフェイス 仮想関数とも呼ばれる暗号仮想インターフェイスは、SSL ハードウェアの基本単位を表します。これらのインターフェースを使い切ると、SSLハードウェアをVPXインスタンスに割り当てることができなくなります。暗号仮想インターフェイスは読み取り専用エンティティであり、SDX アプライアンスはこれらのエンティティを自動的に割り当てます。

SDX アプライアンスの暗号容量を表示する

SDX GUI のダッシュボードで SDX アプライアンスの暗号容量を表示できます。ダッシュボードには、SDX アプライアンスで使用されている ACU、SCU、および仮想インターフェイスと使用可能な ACU が表示されます。暗号容量を表示するには、[ ダッシュボード] > [暗号容量] に移動します。

暗号容量を表示する

VPXインスタンスのプロビジョニング中に暗号容量を割り当てる

SDXアプライアンスでVPXインスタンスをプロビジョニングする際、[暗号割り当て] で、VPXインスタンスにACUとSCUの数を割り当てることができます。VPXインスタンスをプロビジョニングする手順については、「 Citrix ADCインスタンスのプロビジョニング」を参照してください。

VPXインスタンスのプロビジョニング中に暗号容量を割り当てるには、次の手順に従います。

  1. 管理サービスにログオンします。

  2. 構成 > Citrix ADC > インスタンスの順に移動し、[ 追加] をクリックします。

  3. [ 暗号割り当て(Crypto Allocation)] では、使用可能な ACU、SCU、および暗号仮想インターフェイスを表示できます。ACU と SCU の割り当て方法は SDX アプライアンスによって異なります。

    a. さまざまな SDX アプライアンスで使用できる ACU カウンタの最小値にリストされているアプライアンスでは、指定した数の倍数で ACU を割り当てることができます。SCU は自動的に割り当てられ、[SCU 割り当て] フィールドは編集できません。ACU 割り当ては、そのモデルで使用できる最小 ACU の倍数で増やすことができます。たとえば、最小 ACU が 4375 の場合、ACU の増分は 8750、13125 などとなります。

    。SCU が自動的に割り当てられ、ACU が指定された数の倍数で割り当てられる暗号割り当て。

    暗号配分

さまざまな SDX アプライアンスで使用できる ACU カウンタの最小値

SDX プラットフォーム ACU カウンタの最小値
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ポート) 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx 4575

b. 前の表に記載されていないその他の SDX プラットフォームでは、ACU と SCU を自由に割り当てることができます。SDX アプライアンスは、暗号仮想インターフェイスを自動的に割り当てます。

。ACU と SCU の両方が自由に割り当てられる暗号割り当て

暗号配分 8900

4./ VPXインスタンスのプロビジョニング手順をすべて完了し、[ 完了] をクリックします。詳しくは、「 Citrix ADC インスタンスのプロビジョニング」を参照してください。

暗号ハードウェアヘルスの表示

Management Service では、SDX アプライアンスに付属する暗号化ハードウェアの状態を表示できます。暗号化ハードウェアの状態は、暗号化デバイスと暗号仮想関数として表されます。暗号化ハードウェアの状態を表示するには、[ ダッシュボード] > [リソース] に移動します。

暗号デバイスと仮想関数

注意事項

SDX アプライアンスを最新バージョンにアップグレードする場合は、次の点に注意してください。

  • SDX ユーザーインターフェイスのみがアップグレードされますが、アプライアンスのハードウェア容量は変わりません。

  • 暗号の割り当てメカニズムは変わらず、SDX GUI 上の表現だけが変更されます。

  • 暗号化インターフェイスには下位互換性があり、NITRO インターフェイスを使用して SDX アプライアンスを管理する既存の自動化メカニズムには影響しません。

  • SDXアプライアンスのアップグレード時には、既存のVPXインスタンスに割り当てられている暗号は変更されず、管理サービスでの表示のみが変更されます。

ACU から PKE へのリソース変換テーブル

SDX プラットフォーム ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040、22060、22080、22100、22120、24100、24150 (36 ポート) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 -
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040、22060、22080、22100、22120(24ポート) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 -
17550, 19550, 20550, 21550 2812 17000 2812 424 330 -
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 -
14000, 14000-40G, 25000, 25000A 4375 25000 4375 625 512 381
14000 FIPS 4375 25000 4375 625 512 381
14000-40S 4375 25000 4375 625 512 381
*8900 (8910, 8920, 8930) 1000 4615 1000 136 397 494
*9100 (9110, 9120, 9130) 1000 4615 1000 136 397 494
*26000-100G (26100、26160、26200、26250) 1000 4615 1000 136 397 494
*15000 1000 4615 1000 136 397 494
*15000-50G 1000 4615 1000 136 397 494
*26000-50S 1000 4615 1000 136 397 494

*これらのプラットフォームでは、PKE 番号は最低保証値です。

ACU から PKE へのリソース変換テーブルの読み方

ACU から PKE へのリソース変換テーブルは、次の点に基づいています。

  • 管理サービスは、個々のVPXに暗号リソースを割り当てるのに役立ちます。管理サービスでは、パフォーマンスを割り当てたり、約束したりすることはできません。

  • 実際のパフォーマンスは、パケットサイズ、使用する暗号/keyex/HMAC (またはそのバリエーション) などによって異なります。

次の例は、ACU を読み取って PKE リソース変換テーブルに適用する方法を理解するのに役立ちます。

。SDX 22040 プラットフォームの ACU から PKE へのリソース変換

SDX 22040プラットフォーム上のVPXインスタンスに2187個のACUを割り当てると、256個のECDHE-RSA操作または2187個のRSA-2K操作などに相当する暗号リソースが割り当てられます。

レガシー SSL チップから ACU および SCU への変換テーブル

レガシー SSL チップが ACU および SCU に変換される方法の詳細については、次の表を参照してください。

ACU および SCU 変換テーブル

暗号容量の管理