Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

ONTAP TLS-Hardware-Offload konfigurieren

Beitragende netapp-perveilerk
Änderungen vorschlagen
PDFs

Ab ONTAP 9.19.1 können Sie TLS-Offload konfigurieren, um die Leistung nach dem TLS-Handschlag durch die Nutzung von Ressourcen unterstützter Ethernet-Karten zu verbessern. Diese Funktion lagert die Verschlüsselung und Entschlüsselung aus, reduziert die CPU-Auslastung und steigert die Leistung.

Über diese Aufgabe

  • TLS-Offload ist standardmäßig deaktiviert.

  • Lediglich AES-GCM-Verschlüsselungssuiten (TLSv1.2/TLSv1.3, 128/256-Bit) werden ausgelagert.

  • Die TLS-Handschlagphase wird nicht ausgelagert. Nur die Datenphase nach dem Handschlag wird ausgelagert.

  • Die Migration der logischen Netzwerkschnittstelle (LIF) auf Ports, die nicht für Offloading geeignet sind, führt zu einem automatischen Software-Fallback.

    Bei TLS-offloaded-Verbindungen umgehen die kryptografischen Operationen von TLS üblicherweise die Software und werden von einer Offload-fähigen Netzwerkkarte (NIC) verarbeitet. Wenn die mit dieser Verbindung verknüpfte LIF auf einen Netzwerkport ohne TLS-Offload-Funktion migriert, greifen die kryptografischen Operationen auf die Software zurück und werden vom Systemkernel verarbeitet.

  • Die Management-Schnittstellen (HTTPS, REST API) sind von dieser Einstellung nicht betroffen.

  • Die Einstellung für die TLS-Hardwareauslagerung gilt clusterweit.

Für die Hardware-Auslagerung von TLS ist eine unterstützte Netzwerkkarte erforderlich. Folgende Netzwerkkarten werden unterstützt:

  • 4-Port CX7 10/25 GbE

  • 2-Port CX6-Dx 40/100 GbE

  • 2-Port CX7 40/100 GbE

  • 2-Port CX7 40/100/200

Die 4-Port-CX7-10/25-GbE-, 2-Port-CX6-Dx-40/100-GbE- und 2-Port-CX7-40/100-GbE-Karten werden auf den folgenden AFF-Plattformen unterstützt:

  • AFF A20

  • AFF A30

  • AFF A50

  • AFF C30

  • AFF C60

Die 4-Port 2-Port CX6-Dx 40/100 GbE-, 2-Port CX7 40/100 GbE- und 2-Port CX7 40/100/200 GbE-Karten werden auf den folgenden AFF und FAS Plattformen unterstützt:

  • AFF A70-90

  • AFF C80

  • FAS70

  • FAS90

  • AFF A1K

Bevor Sie beginnen

  • Sie müssen ONTAP Administrator sein. admin Berechtigungsstufe zum Ausführen der folgenden Aufgaben.

  • Auf allen Knoten muss ONTAP 9.19.1 oder höher laufen.

TLS-Offload aktivieren oder deaktivieren

Schritte

  1. Den aktuellen TLS-Offload-Status anzeigen:

    security config show

    Dieser Befehl zeigt die clusterweite TLS-Offload-Einstellung an:

    cluster1::*> security config show
Cluster    Supported Offload
FIPS Mode  Protocols Enabled Supported Cipher Suites
---------- --------- ------- --------------------------------------------------
false      TLSv1.3,  false   TLS_RSA_WITH_AES_128_CCM,
           TLSv1.2           TLS_RSA_WITH_AES_128_CCM_8,
                             TLS_RSA_WITH_AES_128_GCM_SHA256,
                             TLS_RSA_WITH_AES_128_CBC_SHA,
                             TLS_RSA_WITH_AES_128_CBC_SHA256,
                             TLS_RSA_WITH_AES_256_CCM,
[...]

  2. TLS-Offload aktivieren oder deaktivieren:

    security config modify -is-offload-enabled {true|false}

    Dieser Befehl aktiviert oder deaktiviert die Hardware-Auslagerung für die TLS-Datenphase bei neuen Verbindungen. Bestehende Verbindungen, die vor der Aktivierung der TLS-Auslagerungsfunktion erstellt wurden, werden erst dann ausgelagert, wenn diese Verbindungen entfernt und neu erstellt werden.

    Bei der Aktivierung des TLS-Offloads muss die Schnittstelle angegeben werden:

    security config modify -is-offload-enabled true -interface SSL
Verwandte Informationen