System z Integrated Information Processor を使用した追加の IPSec 補助機構 (zIIP IP セキュリティー)

System z9® 以降のサーバーでは、System z® Integrated Information Processor (zIIP) で IPSec プロトコル・トラフィックに対する追加の補助機構が使用可能です。Communications Server で zIIP IP セキュリティーを使用可能にするには、GLOBALCONFIG ステートメントで ZIIP IPSECURITY を指定します。 zIIP IP セキュリティーが使用可能である場合、AH および ESP プロトコルを使用するトラフィックを、使用可能な zIIP で処理できます。zIIP が組み込まれた z9® 以降の z/OS® イメージで、zIIP IP セキュリティー機能が使用可能である場合、単に CPACF または暗号コプロセッサーを使用して実現できる以上に、汎用中央処理装置の IPSec 処理負荷を減らすことができます。

zIIP IP セキュリティーが使用可能である場合、一部のワークロード・マネージャー (WLM) 定義の変更が必要な場合があります。使用可能な zIIP プロセッサーで処理可能な IPSec トラフィックは、独立した WLM エンクレーブに割り当てられます。WLM 独立エンクレーブは、WLM サービス・クラスで別々に分類され、管理される実行単位として IPSec ワークロードをカプセル化します。以下の考慮事項を参照してください。

分類されていないすべての WLM 独立エンクレーブには、WLM サービス・クラス SYSOTHER (任意を目標として) が割り当てられます。多くの場合、このサービス・クラスを使用したエンクレーブ・ワークロードの結果、ワークロードがサービス定義で分類されていないままである場合、パフォーマンスが低下する可能性があります。また、SYSOTHER サービス・クラスで累積するサービスも、システム内に未分類のワークロードがあることを示します。
SYS1.PARMLIB の IEAOPTxx メンバーに置かれている IIPHONORPRIORITY パラメーターを調べてください。このパラメーターが NO として指定される場合、zIIP がオンラインであるときに汎用中央処理装置は zIIP 適格ワークロードを処理しません。 IIPHONORPRIORITY パラメーターを省略するか、IIPHONORPRIORTY=YES を指定すると、zIIP は、zIIP が zIIP 適格ワークロードの一部を妥当な期間内に完了できない場合に、汎用中央処理装置からのヘルプを要求することができます (「z/OS MVS 初期設定およびチューニング解説書」で ZIIPAWT を参照)。
ご使用の zIIP での実行に適格なワークロードが他にある場合は、現行の WLM ワークロード目標を分析し、必要な調整を行ってください。例えば、一般に長期間実行される IPSec ワークロードよりも、待ち時間による影響が大きいワークロード (DB2® Distributed Relational Database Architecture™ (DRDA®) ワークロードなど) を操作する場合、IPSec ワークロードを分類して、待ち時間による影響が大きいワークロードよりも優先度を低くすることを検討してください。
ガイドライン: IPSec 独立エンクレーブに対して次の 2 つのパフォーマンス目標を設定してください。
- IPSec 独立エンクレーブに関連した WLM サービス・クラスを、待ち時間の影響が大きいワークロード (DB2 DRDA など) に割り当てられる実行速度目標よりも低く設定します。IPSec 独立エンクレーブには関連したトランザクションがないので、低い実行速度目標が選択されます。
- IPSec 独立エンクレーブに関連した WLM サービス・クラスを、待ち時間の影響が大きいワークロード (DB2 DRDA など) に割り当てられるものよりも大きい重要度レベル値に設定します (重要度は、1 から 5 までの 5 つのレベルで定義され、1 が最高の重要度を示します)。各 WLM サービス・クラスは、このワークロードが目標を達成することがビジネスにとってどの程度重要であるかを指定する重要度レベルに関連付けられます。重要度レベルは、作業がシステムでどのように処理されるかを定義します。使用可能な zIIP プロセッサーで処理可能な IPSec トラフィックの速度目標を達成することは、待ち時間の影響をより多く受けるワークロードよりも重要度が低くなります。

独立エンクレーブにより WLM はエンクレーブ内のすべてのワークロードの優先順位を管理できるので、IPSec トラフィック用のワークロードを分類する必要があります。IPSec ワークロードに使用される独立エンクレーブを分類するには、WLM ISPF パネルを使用して以下の WLM サービス定義を作成してください。

独立エンクレーブで動作する IPSec トラフィックのワークロードを作成します。
1 次 WLM ISPF パネルから、オプション 2 Workloads を選択します。
IPSec 独立エンクレーブに対する適切なパフォーマンス目標を含むサービス・クラスを作成します。
1 次 WLM ISPF パネルで、オプション 4 Service Classes を選択します。このパネルから、新しいサービス・クラスを定義し、あらかじめ定義したワークロードに関連付けます。定義された単一期間に対する BASE GOAL 情報を定義する場合は、目標タイプ Execution velocity を選択してください。これが選択された後、定義しようとするサービス・クラスに速度と重要度を定義します。zIIP または汎用中央処理装置リソースを得るために競争する他のトラフィックを考慮した値を設定します。(SYS1.PARMLIB の IEAOPTxx メンバーで IIPHONORPRIORITY パラメーターを値 YES に設定した場合、汎用中央処理装置が要因になります。)
TCP/IP 用の WLM サブシステム・タイプを作成します。
サブシステム・タイプ名を TCP として指定する必要があります。WLM ISPF アプリケーションを使用して定義してください。1 次 WLM ISPF パネルで、オプション 6 Classification Rules を選択します。Subsystem Type Selection List for Rules パネルが表示されます。カーソルを Subsystem-Type フィールドに移動し、Enter キーを押します。実行したい操作のタイプを入力するように求められたら、オプション 1 Create を選択します。これは、新しいサブシステム・タイプを作成する必要があるからです。 Create Rules for the Subsystem Type パネルで、サブシステム・タイプ TCP と、この新しいサブシステム・タイプの説明を指定します。
WLM ISPF アプリケーションの Create Rules for the Subsystem Type パネルで、サブシステム・タイプ TCP の分類規則を作成します。
サブシステム・タイプに対して分類規則を定義します。この規則は、このサブシステム・タイプのサービス・クラスにどのワークロードが関連付けられるかを決定します。 IPSec ワークロードの新しい独立エンクレーブに対して、以下のワークロード修飾子を使用できます。
- サブシステム・インスタンス (SI) は、TCP/IP スタックのジョブ名に設定されます。
- トランザクション名は値 TCPENC01 に設定されます。

新しい独立エンクレーブが適切な WLM サービス・クラスで使用されることを確認するには、システム表示/検索機能 (SDSF) ENC コマンドを使用するか、RMF™ Monitor III ENCLAVE レポートを表示します (または、対話式に RMF データを表示する他の方法を使用します)。

ワークロード・マネージャー (WLM) サービス定義 (ワークロード、サービス分類、分類規則、サブシステム・タイプなど) および WLM 全般の詳しい説明については、「System Programmer's Guide to: Workload Manager」(IBM® Redbooks®) および「z/OS MVS 計画: ワークロード管理」を参照してください。SYS1.PARMLIB の IEAOPTxx メンバー内の IIPHONORPRIORITY パラメーターの構成については、「z/OS MVS 初期設定およびチューニング解説書」を参照してください。SDSF を使用したエンクレーブの表示について詳しくは、「z/OS SDSF オペレーションおよびカスタマイズ」を参照してください。 RMF ワークロード・アクティビティー報告書に関する追加情報については、「z/OS RMF Report Analysis」を参照してください。

zIIP のないシステム・モデル (z990、または zIIP が構成されていない z9 以降のモデル) で zIIP IP セキュリティーを使用可能にして、z/OS イメージで zIIP が使用可能であれば zIIP で実行するのに適格な、既存の IPSec ワークロード (中央処理装置で実行している) の割合を見積もることができます。見積もりの分析を実行するには、GLOBALCONFIG ステートメントで ZIIP IPSECURITY を指定し、SYS1.PARMLIB の IEAOPTxx メンバーで PROJECTCPU=YES を指定します。 IPSec ワークロードを実行すると、zIIP で実行するのに適格なワークロードに関するアカウンティング情報を SMF が提供します。SYS1.PARMLIB の IEAOPTxx メンバー内の PROJECTCPU パラメーターの構成について詳しくは、「z/OS MVS 初期設定およびチューニング解説書」を参照してください。SMF レコード・タイプ 30 および 7x での zIIP の適格性のアカウンティングについては、「z/OS MVS システム管理機能 (SMF)」を参照してください。zIIP に関連した報告書の更新については、「z/OS RMF Report Analysis」を参照してください。

ガイドライン:

暗号ハードウェアのパフォーマンスは、z9 以降のプロセッサーと z990 より前のプロセッサーとでは大きく異なるため、z990 より前のプロセッサーで、見積もりのために zIIP IP セキュリティーを使用しないでください。
オンラインの zIIP がなく、かつ GLOBALCONFIG ZIIP IPSECURITY をコーディングしている場合は、TCP/IP が消費する中央処理リソースがやや増えます。zIIP パフォーマンス見積もりの実行を完了した後、TCP/IP プロファイルから GLOBALCONFIG ZIIP IPSECURITY を削除してください。