暗号容量の管理
リリス12.1 48.13から,暗号キャパシティを管理するンタフェスが変更されました。管理サービスは,Citrix ADC对有关アプライアンスのSSL容量を示すために,非対称暗号ユニット(ACU),対称暗号ユニット(并),および暗号仮想インターフェイスを提供します。以前の暗号容量は,SSLチップ,SSLコア,およびSSL仮想機能の単位で割り当てられていました。レガシーSSLチップがACUおよび并ユニットにどのように変換されるかについての詳細は,レガシーSSLチップからACUおよび并への変換表を参照してください。
管理サービスGUIを使用すると,Citrix ADC VPXインスタンスにACUおよび并の単位で暗号容量を割り当てることができます。
次の表に,acu, scu,および暗号仮想ンスタンスに関する簡単な説明を示します。
テブル。単位暗号単位
| 新しい暗号ユニット | 説明 |
|---|---|
| 非対称暗号ユニット(acu) | 1 ACU = (RSA) 2 K(2048ビットキーサイズ)の復号化の1秒あたり1オペレーション(ops)。詳細にいては,Acuからpkeへのリソ,ス変換表を参照してください。 |
| 対称暗号ユニット(scu) | 1 SCU = 1 MbpsのAES-128-CBC + SHA256-HMAC @ 1024B。この定義は,すべてのSDXプラットフォ,ムに適用できます。 |
| 暗号仮想▪▪ンタ▪▪フェ▪▪ス | 仮想関数とも呼ばれる暗号仮想ンタフェスは,sslハドウェアの基本単位を表します。これらのインターフェースを使い切ると,SSLハードウェアをVPXインスタンスに割り当てることができなくなります。暗号仮想▪▪ンタ▪▪フェ▪▪スは読み取り専用エンティティであり、SDX アプライアンスはこれらのエンティティを自動的に割り当てます。 |
SDXアプラaaplアンスの暗号容量を表示する
SDX GUIのダッシュボドでSDXアプラアンスの暗号容量を表示できます。ダッシュボードには,有关アプライアンスで使用されているACU,并,および仮想インターフェイスと使用可能なACUが表示されます。暗号容量を表示するには,[ダッシュボ.ド]>[暗号容量. cn]に移動します。
vpx catalogンスタンスのプロビジョニング中に暗号容量を割り当てる
sdxアプラ▪▪アンスでvpx▪▪ンスタンスをプロビジョニングする際,[暗号割り当て.]で,vpx aapl . exeンスタンスにacuとscuの数を割り当てることができます。vpx econpンスタンスをプロビジョニングする手順にいては,”Citrix ADC商城ンスタンスのプロビジョニングを参照してください。
vpx aaplンスタンスのプロビジョニング中に暗号容量を割り当てるには,次の手順に従います。
管理サ,ビスにログオンします。
構成> Citrix ADC > aaplンスタンスの順に移動し、[追加]をクリックします。
(暗号割り当て(加密分配)]では,使用可能なacu, scu,および暗号仮想ンタスを表示できます。Acuとscuの割り当て方法はSDXアプラaaplアンスによって異なります。
一个。さまざまな有关アプライアンスで使用できるACUカウンタの最小値にリストされているアプライアンスでは,指定した数の倍数でacuを割り当てることができます。Scuは自動的に割り当てられ,[Scu割り当て]フィ.ルドは編集できません。ACU割り当ては、そのモデルで使用できる最小 ACU の倍数で増やすことができます。たとえば、最小 ACU が 4375 の場合、ACU の増分は 8750、13125 などとなります。
例。Scuが自動的に割り当てられ,acuが指定された数の倍数で割り当てられる暗号割り当て。
さまざまなSDXアプラaaplアンスで使用できるacuカウンタの最小値
| SDXプラットフォ,ム | Acuカウンタの最小値 |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150(36ポ,ト) | 2187 |
| 8400,8600,8010,8015 | 2812 |
| 17500,19500,21500 | 2812 |
| 17550 195502055021550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515 11520 11530 11540 11542 | 4375 |
| 14 xxx | 4375 |
| 14 xxx 40年代 | 4375 |
| 14 xxx 40克 | 4375 |
| 14 xxx FIPS | 4375 |
| 25 xxx | 4375 |
| 25 xxx | 4575 |
b。前の表に記載されていないその他の有关プラットフォームでは,ACUと并を自由に割り当てることができます。SDXアプラ▪▪アンスは,暗号仮想▪▪ンタ▪フェ▪▪スを自動的に割り当てます。
例。Acuとscuの両方が自由に割り当てられる暗号割り当て
4./ vpx目录下的目录ンスタンスのプロビジョニング手順をすべて完了し,[完了]をクリックします。詳しくは,”Citrix ADC商城ンスタンスのプロビジョニングを参照してください。
暗号ハ,ドウェアヘルスの表示
管理服务では,有关アプライアンスに付属する暗号化ハードウェアの状態を表示できます。暗号化ハドウェアの状態は,暗号化デバスと暗号仮想関数として表されます。暗号化ハ,ドウェアの状態を表示するには,[ダッシュボ,ド]>[リソ,ス.]に移動します。
注意事項
SDXアプラアンスを最新バジョンにアップグレドする場合は,次の点に注意してください。
对有关ユーザーインターフェイスのみがアップグレードされますが,アプライアンスのハードウェア容量は変わりません。
暗号の割り当てメカニズムは変わらず,sdx GUI上の表現だけが変更されます。
暗号化インターフェイスには下位互換性があり,硝基インターフェイスを使用して有关アプライアンスを管理する既存の自動化メカニズムには影響しません。
对有关アプライアンスのアップグレード時には,既存のVPXインスタンスに割り当てられている暗号は変更されず,管理サービスでの表示のみが変更されます。
Acuからpkeへのリソ,ス変換テ,ブル
| SDXプラットフォ,ム | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150(36ポ,ト) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400,8600,8010,8015 | 2812 | 17000 | 2812 | 424 | 330 | - |
| 11515 11520 11530 11540 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080, 22100, 22120(24ポ,ト) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500,19500,21500 | 2812 | 17000 | 2812 | 424 | 330 | - |
| 17550 195502055021550 | 2812 | 17000 | 2812 | 424 | 330 | - |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | - |
| 14000、14000- 40g、25000、25000a | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| FIPS 14000 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000 - 40年代 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *8900 (8910,8920,8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *9100 (9110, 9120, 9130) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-100克(26100、26160、26200、26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 15000 - 50 g | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 26000 - 50 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*これらのプラットフォ,ムでは,pke番号は最低保証値です。
Acuからpkeへのリソ,ス変換テ,ブルの読み方
Acuからpkeへのリソ,ス変換テ,ブルは,次の点に基づいています。
管理サ,ビスは,個々のvpxに暗号リソ,スを割り当てるのに役立,ます。管理サ,ビスでは,パフォ,マンスを割り当てたり,約束したりすることはできません。
実際のパフォーマンスは,パケットサイズ,使用する暗号/ keyex HMAC(またはそのバリエーション)などによって異なります。
次の例は,ACUを読み取ってPKEリソース変換テーブルに適用する方法を理解するのに役立ちます。
例。SDX 22040プラットフォムのacuからpkeへのリソス変換
有关22040年プラットフォーム上のVPXインスタンスに2187個のACUを割り当てると,256個のECDHE-RSA操作または2187個のRSA-2K操作などに相当する暗号リソースが割り当てられます。
レガシSSLチップからacuおよびscuへの変換テブル
レガシーSSLチップがACUおよび并に変換される方法の詳細については,次の表を参照してください。