NVIDIA DOCA 2.0 已于 2023 年 3 月發(fā)布，它是適用于 BlueField DPU 的最新版本 NVIDIA SDK。NVIDIA DOCA 和 BlueField DPU 共同加速了應用程序的開發(fā)，通過一個全面、開放的開發(fā)平臺實現(xiàn)突破性的網(wǎng)絡、安全和存儲性能。

NVIDIA DOCA 2.0 新增了對 BlueField-3 數(shù)據(jù)路徑加速器（DPA）子系統(tǒng)的支持，并增強了 DOCA 存儲仿真和 VirtIO 仿真功能。DOCA 2.0 還引入了新的 GPUNetIO 庫、IPsec 加密和解密庫，并為 DOCA Flow 庫添加了功能。

正如在最近的 NVIDIA GTC 大會上所公布的那樣，NVIDIA DOCA 2.0 為 BlueField-3 DPU 提供了許多以安全為重點的用例。本文將討論工作負載的轉換，以及 DOCA 和 BlueField DPU 如何共同實現(xiàn)新的性能和效率水平。我們首先回顧全新的 DOCA IPsec 庫，以及它如何為您提供創(chuàng)建下一代 IPsec 安全解決方案的機會。

傳統(tǒng) IPsec 解決方案

IPsec 是一種流行的協(xié)議，用于通過互聯(lián)網(wǎng)和數(shù)據(jù)中心內(nèi)的服務器之間進行安全通信。它為加密、解密和身份驗證提供了一種強大的機制。這使其成為保護傳輸中數(shù)據(jù)的理想解決方案，保護 IP 數(shù)據(jù)包上運行的任何流量免受未經(jīng)授權的訪問、篡改或竊聽。

IPsec 可以通過各種方式進行部署。在傳統(tǒng)部署中，它通常使用專用硬件來實現(xiàn)。這種硬件通常安裝在網(wǎng)絡網(wǎng)關上，例如路由器或防火墻。它通常可以提供快速的性能，但缺乏基礎設施的靈活性，除非在這些固定路由器或防火墻之間運行，否則無法保護流量。隨著網(wǎng)絡基礎設施的變化，它還需要重新配置或更換。這一耗時的過程需要大量資源，還可能導致網(wǎng)絡停機。

雖然 IPsec 的專用硬件部署能夠有效的確保網(wǎng)絡通信的安全，但也存在一些缺點。IPsec 所需的專用硬件通常成本高昂，且需要專業(yè)知識才能進行安裝和配置。

解決方案的可擴展性和性能也往往受到限制。隨著組織的發(fā)展和網(wǎng)絡流量的增加，使用專用硬件的系統(tǒng)部署緩慢，容量和功能也受到限制，從而導致性能或功能瓶頸，并降低網(wǎng)絡性能。

另一方面，基于 CPU 的 IPsec 處理易于部署，但也有其自身的負擔，無法跟上應用程序的流量。對安全和高速通信需求的增加將影響更廣泛的應用程序和系統(tǒng)性能。

由于必須對每個數(shù)據(jù)包進行加密和解密，IPsec 增加了網(wǎng)絡流量的開銷。IPsec 的額外開銷和處理需求增加了網(wǎng)絡延遲，影響了應用程序的響應速度和用戶體驗。

使用 NVIDIA BlueField DPU 來部署 IPsec

隨著 NVIDIA DOCA 和新開發(fā)的 IPsec 庫的出現(xiàn)，IPsec 現(xiàn)在可以通過卸載到 NVIDIA BlueField DPU 來進行部署。這是一個范式的轉變，與傳統(tǒng) IPsec 部署形成了鮮明的對比。這種演變?yōu)殚_發(fā)人員和合作伙伴提供了新的優(yōu)勢，并凸顯了 BlueField DPU 如何為企業(yè)領域的客戶帶來益處。

BlueField DPU 提供了一種可編程解決方案，可用于從 CPU 卸載網(wǎng)絡處理任務。在使用 IPsec 的情況下，DPU 可以以多種方式改進 IPsec 過程，同時加速網(wǎng)絡流量的加密和解密。

將 IPsec 卸載到 BlueField DPU 可以提高 IPsec 性能，簡化網(wǎng)絡管理并減少管理開銷，從而釋放 CPU 來處理其他任務。加密/解密過程以及任何其他網(wǎng)絡安全任務現(xiàn)已與服務器的 CPU 和應用程序域隔離。這使得安全性更具彈性，并且更容易檢測對手是否在攻擊服務器。

在當今的數(shù)據(jù)中心中，效率和有效性仍然很重要。作為回應，下一代解決方案必須具有可擴展性、靈活性和可組合性。BlueField DPU 可以進行編程，以處理特定的網(wǎng)絡相關處理任務，并支持廣泛的網(wǎng)絡協(xié)議和加密算法。例如，DPU 可以執(zhí)行數(shù)據(jù)包路由、數(shù)據(jù)包檢查或負載均衡功能，同時還可以加速 IPsec。

隨著網(wǎng)絡基礎設施的發(fā)展，無需為每個新功能需求而更換硬件。BlueField DPU 提供了高度可擴展、可定制且具有成本效益的產(chǎn)品。

圖 1 . NVIDIA DOCA 2.0 軟件框架

用于分布式防火墻的 BlueField-3 DPU、

NVIDIA DOCA 2.0 和 IPsec

對于實際用例，請查看具有加速 IPsec 加密和解密功能的防火墻。在此類部署中，將 IPsec 處理卸載到 BlueField-3 DPU 可為網(wǎng)絡基礎設施帶來顯著優(yōu)勢。

正如之前提到的，IPsec 提供了一系列功能來保護 IP 數(shù)據(jù)包免受未經(jīng)授權的訪問、篡改和竊聽。這些 CPU 密集型功能意味著卸載是一個有吸引力的解決方案。

在基于軟件的分布式防火墻中，通過卸載到 BlueField-3 DPU 可以優(yōu)化操作并加速性能。可信流量被卸載到 DPU，并使用 IPsec 協(xié)議發(fā)送到接收主機。這降低了 CPU 的利用率，并快速、高效地管理可信流量。其他流量仍然需要進行威脅檢查，通過防火墻邏輯進行路由。

由于 CPU 不再管理 IPsec 流量，因此該過程現(xiàn)已得到了優(yōu)化，并為防火墻提供了更好的應用程序性能。通過在 DPU 上終止 IPsec 連接，您可以執(zhí)行網(wǎng)絡檢查。如果服務器僅僅通過所有 IPsec 加密的流量而不解密，這將是不可能的。

就下一代防火墻（NGFW）的開發(fā)而言，新的 DOCA IPsec 庫中包含的資源池有助于簡化流程并縮短上市時間。這些資源組合有助于創(chuàng)建更高效的控制平面，從而提供更大的規(guī)模和更高的性能，以達到數(shù)千個并發(fā)連接。

除了 NGFW 之外，新的 DOCA IPsec 庫可以用于通過 NVIDIA DPU 在各種用例中使用 IPsec 交付：

• 虛擬專用網(wǎng)絡（VPN）網(wǎng)關

• 入侵檢測和預防系統(tǒng)（IDPS）

• 用于負載均衡和微分段的加密

DOCA IPsec 也可用于存儲網(wǎng)絡加密和東西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA：

為企業(yè)帶來益處

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相結合來增加了商業(yè)和技術價值的用例之一：

• 減少資源利用率，以便您有更多的時間用于其他項目。

• 縮短上市時間，為應用程序開發(fā)者和系統(tǒng)集成商提供潛在的競爭優(yōu)勢。

• 在不對 CPU 使用產(chǎn)生任何重大影響的情況下，加速根進程，從而獲得技術進步。

總結

NVIDIA DOCA SDK 是 BlueField-3 DPU 的實現(xiàn)平臺。使用 NVIDIA DOCA 組件（API、運行時、庫和驅動程序）有助于加快應用程序的開發(fā)。與 NVIDIA DPU 一起使用，它提供了以前無法實現(xiàn)的性能水平。

觀看下方視頻，了解更多關于 NVIDIA DOCA 的信息！

有興趣使用 DOCA IPsec API 為 BlueField DPU 開發(fā)安全應用程序嗎？掃描下方二維碼，查看 NVIDIA DOCA IPsec 編程指南。

想要與更多 DOCA 開發(fā)者交流學習，請掃描下方二維碼加入我們的論壇。

點擊“閱讀原文”或掃描下方二維碼，立刻注冊體驗 NVIDIA DOCA！

? ?NVIDIA DOCA 往期精彩內(nèi)容 NVIDIA DOCA 應用代碼分享活動開啟注冊！
借助 NVIDIA DPU 和 NVIDIA DOCA 為人工智能時代的數(shù)據(jù)中心帶來變革
使用 NVIDIA DOCA GPUNetIO 進行內(nèi)聯(lián) GPU 數(shù)據(jù)包處理
了解何時使用 DOCA 驅動程序和 DOCA 庫