Citrix ADC SDX

管理加密容量

从版本12.1 48.13开始,管理加密容量的接口已经改变。通过新界面,管理服务提供了非对称加密单元 (ACU)、对称加密单元 (SCU) 和加密虚拟接口,以表示 Citrix ADC SDX 设备上的 SSL 容量。早期的加密容量是以SSL芯片,SSL核心和SSL虚拟功能为单位分配的。有关传统SSL芯片如何转换为ACU和SCU单元的更多信息,请参阅传统 SSL 芯片到 ACU 和 SCU 的转换表

通过使用管理服务 GUI,您可以以 ACU 和 SCU 为单位向 Citrix ADC VPX 实例分配加密容量。

下表提供了有关 ACU、SCU 和加密虚拟实例的简要说明。

。单位加密单位

新的加密单位 说明
非对称加密单元 (ACU) 1 ACU = (RSA) 2 K(2048 位密钥大小)解密的每秒 1 次操作 (ops)。有关更多详细信息,请参阅 ACU 到 PKE 的资源转换表
对称加密单元 (SCU) 1 个 SCU = 1 Mbps 的 AES-128-CBC + SHA256-HMAC @ 1024B。此定义适用于所有 SDX 平台。
加密虚拟接口 加密虚拟接口也称为虚拟函数,代表 SSL 硬件的基本单元。在这些接口用尽后,无法再将 SSL 硬件分配给 VPX 实例。加密虚拟接口是只读实体,Citrix ADC SDX 设备会自动分配这些实体。

查看 SDX 设备的加密容量

您可以在 SDX GUI 的仪表板中查看 SDX 设备的加密容量。仪表板显示 SDX 设备上已使用和可用的 ACU、SCU 和虚拟接口。要查看加密容量,请导航到 控制面板 > 加密容量

查看加密货币容量

在预配 Citrix ADC VPX 实例时分配加密容量

在 SDX 设备上配置 VPX 实例时,您可以在 加密分配下为 VPX 实例分配 ACU 和 SCU 的数量。有关预置 VPX 实例的说明,请参阅 预配 Citrix ADC 实例

要在预置 VPX 实例时分配加密容量,请执行以下步骤。

  1. 登录到管理服务。

  2. 导航到 配置 > Citrix ADC > 实例,然后单击 添加

  3. 加密分配下,您可以查看可用的 ACU、SCU 和加密虚拟接口。分配 ACU 和 SCU 的方式因 SDX 设备而异:

    a. 对于可用于不同 SDX 设备的 ACU 计数器的最小值表中列出的装置,可以指定数量的倍数来分配 ACU。SCU 会自动分配,SCU 分配字段不可编辑。您可以使用该型号可用的最小 ACU 的倍数来增加 ACU 分配。例如,如果最小 ACU 为 4375,则随后的 ACU 增量为 8750、13125,依此类推。

示例。加密分配,其中自动分配 SCU,ACU 以指定数量的倍数分配。

加密货币分配

可用于不同 SDX 设备的 ACU 计数器的最小值表

SDX 平台 ACU 计数器最小值
22040、22060、22080、22100、22120、24100、24150(36 个端口) 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. 对于其余的 SDX 平台,您可以自由分配 ACU 和 SC U,这些平台未在前面的 “可用于不同 SDX 设备的 ACU 计数器的最小值” 表中列出。SDX 设备会自动分配加密虚拟接口。

示例。ACU和SCU均可自由分配的加密货币分配

加密货币分配 89xx

4./ 完成配置 Citrix ADC 实例的所有步骤,然后单击 完成。有关更多信息,请参阅 预配 Citrix ADC 实例

查看加密硬件运行状况

在管理服务中,您可以查看随 SDX 设备提供的加密硬件的运行状况。加密硬件的运行状况表示为加密设备和加密虚拟功能。要查看加密硬件的运行状况,请导航到 控制板 > 资源

资源

注意事项

将 SDX 设备升级到最新版本时,请记住以下几点。

  • 只有 SDX 用户界面得到升级,但设备的硬件容量保持不变。

  • 加密分配机制保持不变,只有 SDX GUI 上的表示会发生变化。

  • 加密接口向后兼容,不会影响使用 NITRO 接口管理 SDX 设备的任何现有自动化机制。

  • SDX 设备升级后,分配给现有 VPX 实例的加密不会更改;只会更改其在管理服务中的表示形式。

ACU 到 PKE 资源转换表

SDX 平台 ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040、22060、22080、22100、22120、24100、24150(36 个端口) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 不适用
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040、22060、22080,22100、22120(24 个端口) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 不适用
17550, 19550, 20550, 21550 2812 17000 2812 424 330 不适用
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 不适用
14xxx、14xxx 40G、25xxx、25xxx A 4375 25000 4375 625 512 381
14xxx FIPS 4375 25000 4375 625 512 381
14xxx 40S 4375 25000 4375 625 512 381
*89xx (8910, 8920, 8930) 1000 4615 1000 136 397 494
*26xxx(26100、26160、26200 和 26250) 1000 4615 1000 136 397 494
*15000 50G 1000 4615 1000 136 397 494
*26000-50S 1000 4615 1000 136 397 494

*在这些平台上,PKE数字是最低保证值。

如何读取 ACU 到 PKE 的资源转换表

ACU到PKE的资源转换表基于以下几点:

  • 管理服务帮助将加密资源分配给每个单独的 VPX。管理服务不能分配或承诺绩效。

  • 实际性能因数据包大小、使用的 cipher/Keyex/HMAC(或其变体)等而异

以下示例可帮助您了解如何读取和应用 “ACU to PKE” 资源转换表。

示例。SDX 22040 平台的 ACU 到 PKE 资源转换

在 SDX 22040 平台上向 VPX 实例分配 2187 个 ACU 会分配相当于 256 个 ECDHE-RSA 操作或 2187 个 RSA-2K 操作等同的加密资源。

传统SSL芯片到ACU和SCU的转换表

有关如何将旧版 SSL 芯片转换为 ACU 和 SCU 的更多信息,请参阅下表。

ACU 和 SCU 转换表

管理加密容量