NVIDIA DOCA 2.0 已于 2023 年 3 月發(fā)布，它是適用于 BlueField DPU 的最新版本 NVIDIA SDK。NVIDIA DOCA 和 BlueField DPU 共同加速了應(yīng)用程序的開發(fā)，通過一個(gè)全面、開放的開發(fā)平臺(tái)實(shí)現(xiàn)突破性的網(wǎng)絡(luò)、安全和存儲(chǔ)性能。

NVIDIA DOCA 2.0 新增了對(duì) BlueField-3 數(shù)據(jù)路徑加速器（DPA）子系統(tǒng)的支持，并增強(qiáng)了 DOCA 存儲(chǔ)仿真和 VirtIO 仿真功能。DOCA 2.0 還引入了新的 GPUNetIO 庫(kù)、IPsec 加密和解密庫(kù)，并為 DOCA Flow 庫(kù)添加了功能。

正如在最近的 NVIDIA GTC 大會(huì)上所公布的那樣，NVIDIA DOCA 2.0 為 BlueField-3 DPU 提供了許多以安全為重點(diǎn)的用例。本文將討論工作負(fù)載的轉(zhuǎn)換，以及 DOCA 和 BlueField DPU 如何共同實(shí)現(xiàn)新的性能和效率水平。我們首先回顧全新的 DOCA IPsec 庫(kù)，以及它如何為您提供創(chuàng)建下一代 IPsec 安全解決方案的機(jī)會(huì)。

傳統(tǒng) IPsec 解決方案

IPsec 是一種流行的協(xié)議，用于通過互聯(lián)網(wǎng)和數(shù)據(jù)中心內(nèi)的服務(wù)器之間進(jìn)行安全通信。它為加密、解密和身份驗(yàn)證提供了一種強(qiáng)大的機(jī)制。這使其成為保護(hù)傳輸中數(shù)據(jù)的理想解決方案，保護(hù) IP 數(shù)據(jù)包上運(yùn)行的任何流量免受未經(jīng)授權(quán)的訪問、篡改或竊聽。

IPsec 可以通過各種方式進(jìn)行部署。在傳統(tǒng)部署中，它通常使用專用硬件來實(shí)現(xiàn)。這種硬件通常安裝在網(wǎng)絡(luò)網(wǎng)關(guān)上，例如路由器或防火墻。它通常可以提供快速的性能，但缺乏基礎(chǔ)設(shè)施的靈活性，除非在這些固定路由器或防火墻之間運(yùn)行，否則無法保護(hù)流量。隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的變化，它還需要重新配置或更換。這一耗時(shí)的過程需要大量資源，還可能導(dǎo)致網(wǎng)絡(luò)停機(jī)。

雖然 IPsec 的專用硬件部署能夠有效的確保網(wǎng)絡(luò)通信的安全，但也存在一些缺點(diǎn)。IPsec 所需的專用硬件通常成本高昂，且需要專業(yè)知識(shí)才能進(jìn)行安裝和配置。

解決方案的可擴(kuò)展性和性能也往往受到限制。隨著組織的發(fā)展和網(wǎng)絡(luò)流量的增加，使用專用硬件的系統(tǒng)部署緩慢，容量和功能也受到限制，從而導(dǎo)致性能或功能瓶頸，并降低網(wǎng)絡(luò)性能。

另一方面，基于 CPU 的 IPsec 處理易于部署，但也有其自身的負(fù)擔(dān)，無法跟上應(yīng)用程序的流量。對(duì)安全和高速通信需求的增加將影響更廣泛的應(yīng)用程序和系統(tǒng)性能。

由于必須對(duì)每個(gè)數(shù)據(jù)包進(jìn)行加密和解密，IPsec 增加了網(wǎng)絡(luò)流量的開銷。IPsec 的額外開銷和處理需求增加了網(wǎng)絡(luò)延遲，影響了應(yīng)用程序的響應(yīng)速度和用戶體驗(yàn)。

使用 NVIDIA BlueField DPU 來部署 IPsec

隨著 NVIDIA DOCA 和新開發(fā)的 IPsec 庫(kù)的出現(xiàn)，IPsec 現(xiàn)在可以通過卸載到 NVIDIA BlueField DPU 來進(jìn)行部署。這是一個(gè)范式的轉(zhuǎn)變，與傳統(tǒng) IPsec 部署形成了鮮明的對(duì)比。這種演變?yōu)殚_發(fā)人員和合作伙伴提供了新的優(yōu)勢(shì)，并凸顯了 BlueField DPU 如何為企業(yè)領(lǐng)域的客戶帶來益處。

BlueField DPU 提供了一種可編程解決方案，可用于從 CPU 卸載網(wǎng)絡(luò)處理任務(wù)。在使用 IPsec 的情況下，DPU 可以以多種方式改進(jìn) IPsec 過程，同時(shí)加速網(wǎng)絡(luò)流量的加密和解密。

將 IPsec 卸載到 BlueField DPU 可以提高 IPsec 性能，簡(jiǎn)化網(wǎng)絡(luò)管理并減少管理開銷，從而釋放 CPU 來處理其他任務(wù)。加密/解密過程以及任何其他網(wǎng)絡(luò)安全任務(wù)現(xiàn)已與服務(wù)器的 CPU 和應(yīng)用程序域隔離。這使得安全性更具彈性，并且更容易檢測(cè)對(duì)手是否在攻擊服務(wù)器。

在當(dāng)今的數(shù)據(jù)中心中，效率和有效性仍然很重要。作為回應(yīng)，下一代解決方案必須具有可擴(kuò)展性、靈活性和可組合性。BlueField DPU 可以進(jìn)行編程，以處理特定的網(wǎng)絡(luò)相關(guān)處理任務(wù)，并支持廣泛的網(wǎng)絡(luò)協(xié)議和加密算法。例如，DPU 可以執(zhí)行數(shù)據(jù)包路由、數(shù)據(jù)包檢查或負(fù)載均衡功能，同時(shí)還可以加速 IPsec。

隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的發(fā)展，無需為每個(gè)新功能需求而更換硬件。BlueField DPU 提供了高度可擴(kuò)展、可定制且具有成本效益的產(chǎn)品。

圖 1 . NVIDIA DOCA 2.0 軟件框架

用于分布式防火墻的 BlueField-3 DPU、

NVIDIA DOCA 2.0 和 IPsec

對(duì)于實(shí)際用例，請(qǐng)查看具有加速 IPsec 加密和解密功能的防火墻。在此類部署中，將 IPsec 處理卸載到 BlueField-3 DPU 可為網(wǎng)絡(luò)基礎(chǔ)設(shè)施帶來顯著優(yōu)勢(shì)。

正如之前提到的，IPsec 提供了一系列功能來保護(hù) IP 數(shù)據(jù)包免受未經(jīng)授權(quán)的訪問、篡改和竊聽。這些 CPU 密集型功能意味著卸載是一個(gè)有吸引力的解決方案。

在基于軟件的分布式防火墻中，通過卸載到 BlueField-3 DPU 可以優(yōu)化操作并加速性能。可信流量被卸載到 DPU，并使用 IPsec 協(xié)議發(fā)送到接收主機(jī)。這降低了 CPU 的利用率，并快速、高效地管理可信流量。其他流量仍然需要進(jìn)行威脅檢查，通過防火墻邏輯進(jìn)行路由。

由于 CPU 不再管理 IPsec 流量，因此該過程現(xiàn)已得到了優(yōu)化，并為防火墻提供了更好的應(yīng)用程序性能。通過在 DPU 上終止 IPsec 連接，您可以執(zhí)行網(wǎng)絡(luò)檢查。如果服務(wù)器僅僅通過所有 IPsec 加密的流量而不解密，這將是不可能的。

就下一代防火墻（NGFW）的開發(fā)而言，新的 DOCA IPsec 庫(kù)中包含的資源池有助于簡(jiǎn)化流程并縮短上市時(shí)間。這些資源組合有助于創(chuàng)建更高效的控制平面，從而提供更大的規(guī)模和更高的性能，以達(dá)到數(shù)千個(gè)并發(fā)連接。

除了 NGFW 之外，新的 DOCA IPsec 庫(kù)可以用于通過 NVIDIA DPU 在各種用例中使用 IPsec 交付：

• 虛擬專用網(wǎng)絡(luò)（VPN）網(wǎng)關(guān)

• 入侵檢測(cè)和預(yù)防系統(tǒng)（IDPS）

• 用于負(fù)載均衡和微分段的加密

DOCA IPsec 也可用于存儲(chǔ)網(wǎng)絡(luò)加密和東西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA：

為企業(yè)帶來益處

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相結(jié)合來增加了商業(yè)和技術(shù)價(jià)值的用例之一：

• 減少資源利用率，以便您有更多的時(shí)間用于其他項(xiàng)目。

• 縮短上市時(shí)間，為應(yīng)用程序開發(fā)者和系統(tǒng)集成商提供潛在的競(jìng)爭(zhēng)優(yōu)勢(shì)。

• 在不對(duì) CPU 使用產(chǎn)生任何重大影響的情況下，加速根進(jìn)程，從而獲得技術(shù)進(jìn)步。

總結(jié)

NVIDIA DOCA SDK 是 BlueField-3 DPU 的實(shí)現(xiàn)平臺(tái)。使用 NVIDIA DOCA 組件（API、運(yùn)行時(shí)、庫(kù)和驅(qū)動(dòng)程序）有助于加快應(yīng)用程序的開發(fā)。與 NVIDIA DPU 一起使用，它提供了以前無法實(shí)現(xiàn)的性能水平。

觀看下方視頻，了解更多關(guān)于 NVIDIA DOCA 的信息！

有興趣使用 DOCA IPsec API 為 BlueField DPU 開發(fā)安全應(yīng)用程序嗎？掃描下方二維碼，查看 NVIDIA DOCA IPsec 編程指南。

想要與更多 DOCA 開發(fā)者交流學(xué)習(xí)，請(qǐng)掃描下方二維碼加入我們的論壇。

點(diǎn)擊“閱讀原文”或掃描下方二維碼，立刻注冊(cè)體驗(yàn) NVIDIA DOCA！

? ?NVIDIA DOCA 往期精彩內(nèi)容 NVIDIA DOCA 應(yīng)用代碼分享活動(dòng)開啟注冊(cè)！
借助 NVIDIA DPU 和 NVIDIA DOCA 為人工智能時(shí)代的數(shù)據(jù)中心帶來變革
使用 NVIDIA DOCA GPUNetIO 進(jìn)行內(nèi)聯(lián) GPU 數(shù)據(jù)包處理
了解何時(shí)使用 DOCA 驅(qū)動(dòng)程序和 DOCA 庫(kù)