NVIDIA は本日、世界で最先端のデータ プロセシング ユニット (DPU) である NVIDIA BlueField DPU 向けに NVIDIA DOCA 1.2 ソフトウェア フレームワークをリリースいたしました。NVIDIA BlueField のエコシステムと開発者コミュニティを実現するために設計された DOCA は、DPU のポテンシャルをフルに引き出す鍵として、インフラストラクチャ アプリケーション サービスを CPU からオフロードして分離し、高速化するサービスを提供します。
DOCA は、API、ドライバー、ライブラリ、サンプル コード、ドキュメント、サービス、パッケージ化されたコンテナーを 1 つにまとめたソフトウェア フレームワークであり、各データ センター ノード上の BlueField DPU でのアプリケーション開発と展開を簡素化してスピードアップします。DOCA と BlueField を組み合わせれば、分離されたセキュアなサービス ドメインを作成し、ゼロトラスト戦略の適用に理想的な方法でネットワーキング、セキュリティ、ストレージ、インフラストラクチャを管理できます。
DOCA 1.2 リリースで、いくつかの重要な機能とユース ケースが導入されました。
ホスト サービスをアダプティブ クラウド セキュリティで保護
データ センターにあるリソースを無条件に信頼することはできない時代になっているため、現代のデータセンターを保護するには、 ゼロ トラスト を原則とする最新のセキュリティ対策が欠かせません。App Shield なら、システム内の重要なサービスへの攻撃を検出できます。多くのシステムで、このような重要なサービスがアプリケーション実行の整合性とプライバシーを保護しています。
サイバーセキュリティ ベンダーは DOCA App Shield の提供するホスト監視機能を利用することで、高速化された侵入検出システム (IDS) を構築し、物理マシンまたは仮想マシンへの攻撃を特定できます。このシステムにより、アプリケーション ステータスに関する情報がセキュリティ情報イベント管理 (SIEM) ツールや Extended Detection and Response (XDR) ツールに読み込まれ、さらにフォレンジック調査も強化されます。
一般的に、攻撃者はホストへの侵入に成功すると、セキュリティ管理メカニズムの侵害を悪用してデータセンター ネットワークを水平移動し、他のサーバーやデバイスに侵入します。App Shield により、セキュリティ チームはアプリケーション プロセスを保護し、整合性を持続的に検証して、悪意のある活動を検出できます。
攻撃者がマシンのセキュリティ エージェントのプロセスをキルした場合、App Shield は侵入されたホストを切り離し、マルウェアによる機密データへのアクセスや他のリソースへの拡散を阻止して、攻撃の影響を緩和させることができます。App Shield はサイバー犯罪との闘いを大きく前進させ、ゼロトラスト セキュリティの戦略を効果的に打ち出せるツールです。
BlueField DPU と DOCA ソフトウェア フレームワークは、パートナーと開発者がゼロトラスト ソリューションを構築し、最新のデータセンターのセキュリティ ニーズに対応するためのオープンな基盤となります。DOCA と BlueField を組み合わせれば、分離されたセキュアなサービス ドメインを作成し、ゼロ トラスト戦略の適用に理想的な方法でネットワーキング、セキュリティ、ストレージ、インフラストラクチャを管理できます。
時刻が同期されたデータセンターを構築
エッジからコアまでアプリケーションを広く分散させ、それらを高速化するには、時刻を高精度で設定できる機能が不可欠です。DOCA Firefly は、あらゆる場所に極めて高精度の時刻同期を提供するデータ センター時刻サービスです。ナノ秒単位でクロックが同期するため、時刻設定が重要で遅延の影響を受けやすいさまざまなアプリケーションを使用できます。
DOCA Firefly は、次のような多様なユース ケースに対応します。
- 高頻度の取引
- 分散型データベース
- 産業用 5G 無線アクセス ネットワーク (RAN)
- 科学研究
- ハイ パフォーマンス コンピューティング (HPC)
- Omniverse デジタル ツイン
- ゲーミング
- AR / VR
- 自律走行車
- セキュリティ
DOCA Firefly により、データの整合性、正確なイベント順序、因果分析が提供され、たとえば株取引の正確な順序での処理や、デジタル オークション入札の公正な管理が可能になります。BlueField の特定用途向け集積回路 (ASIC) に搭載されたハードウェア エンジンには、タイムスタンプ データ パケットの送信を、画期的なナノ秒単位の精度で、回線の最大速度で行う能力があります。
データ センターの時刻の精度を桁違いに高めることには、多くの利点があります。
データ センターがグローバルに同期されていれば、AI、HPC、プロフェッショナルなメディア制作、Telco 仮想ネットワーク機能、正確なイベント監視などの分散型アプリケーションやデータ分析を高速化できます。データ センター内または複数のデータ センター間ですべてのサーバーが連携することで、コンピューティング ノードが単独で提供できるレベルをはるかにしのぐ、スケールの大きなものを提供できます。
データ センターの時刻の高精度化には、データの複製と検証に必要な計算能力とネットワーク トラフィックを減らせるという利点もあります。たとえば、Firefly の同期により、分散型データベースのパフォーマンスは 3 倍に向上します。
DOCA HBN ベータ版
BlueField DPU は、ネットワークの高速化とポリシーの適用をエンドポイント ホスト内で提供する、類を見ないソリューションです。さらに BlueField は、ホスト オペレーティング システムと、DPU 上で動作する機能の間における管理上およびソフトウェア上の境界ともなります。
DOCA ホストベース ネットワーキング (HBN) を使ってトップ オブ ラック (TOR) ネットワーク構成を DPU にまで拡張できるので、ネットワーク管理者が DPU の構成と管理を握った状態で、アプリケーションの管理は x86 ホスト管理者に個別に行わせることができます。データ センター ネットワークの構築方法を見直すには、これは絶好の機会です。
DOCA 1.2 は、従来型の Linux Netlink メッセージを高速化してオフロードする 新しい HBN 用ドライバー、Netlink to DOCA (nl2doca) を備えています。nl2doca は、HBN サービス コンテナーに統合された高速化ドライバーとして提供されます。これにより、DPDK、OVS、または Netlink によるカーネル ルーティングを基盤とする L2、L3 向けのホスト ネットワーキングを高速化できます。
NVIDIA では、オープンソースの Free Range Routing (FRR) プロジェクトがこの DPU で動作し、この新しい nl2doca ドライバーを使えるようにするため、サポートを追加しています。このサポートには、DPU を TOR スイッチとまったく同じように運用できるなどの利点があります。FRR が DPU 上で動作するので、EVPN ネットワークでホストに直接移動し、レイヤー 2 (VLAN) エクステンションとレイヤー 3 (VRF) テナント分離を提供できます。
HBN が DPU 上に拡張されるので、同じノードにある VM 間またはコンテナー間のトラフィックを管理し、監視することができます。HBN では、ノードから送受信されるトラフィックを分析したり、暗号化または復号した後で分析したりできます。どちらも、TOR スイッチにはできない処理です。コンテナー化、仮想マシン、ベア メタル ワークロードに対応できる、Amazon VPC に似た独自のソリューションをプライベート クラウド内に構築することができます。
HBN と BlueField DPU の連携は、データ センター ネットワークの構築方法に変革をもたらします。これには次のような利点があります。
- プラグアンドプレイのサーバー: FRR の BGP unnumbered を使用すると、サーバーとスイッチで構成を調整しなくても、サーバーからネットワークに直接接続できます。MLAG、ボンディング、または NIC チーミングを使う必要はありません。
- オープンで相互運用性のあるマルチテナント: EVPN によってサーバー間、またはサーバーとスイッチの間のオーバーレイが可能になります。これにより、基盤となるネットワーキング ベンダーに関わらず、ベア メタルのクローズされたアプライアンスまたはハイパーバイザー ソリューション向けのマルチテナント ソリューションが提供されます。EVPN は、分散型のオーバーレイ構成を提供しながら、コストの高いプロプライエタリの一元化 SDN コントローラーを不要なものにします。
- セキュアなネットワーク管理: BlueField DPU は、ネットワーク ポリシーの構成と適用のための分離された環境を提供します。ホスト側にソフトウェアまたは依存関係はありません。
- HCIとストレージのネットワーキングを高度化: BlueField により、HCI とストレージのパートナーはハイパーバイザーに依存することなく、マルチテナント型のハイブリッド クラウド ソリューションにおける現在のネットワークの課題を簡単に解決できます。
- 柔軟なネットワーク オフロード: HBN から提供される
nl2docaドライバーにより、あらゆる Netlink 対応アプリケーションでカーネル ベース ネットワーキングをオフロードし、高速化できます。従来の DPDK ライブラリのような複雑さはありません。 - TOR スイッチ要件の簡素化: サーバー内の DPU がよりインテリジェントに機能するので、TOR スイッチ側での複雑な処理が軽減されます。
DOCA 1.2 SDK のその他の更新:
- DOCA FLOW – ファイアウォール (アルファ版)
- DOCA FLOW – ゲートウェイ (ベータ版)
- DOCA FLOW リモート API
- DOCA 1.2 で IPsec と TLS の強化およびスケーリング
DLI コース: Introduction to DOCA for the BlueField DPU
NVIDIA では、Deep Learning Institute (DLI) コース「Introduction to DOCA for the BlueField DPU」の提供も開始しました。このコースの主な目的は、開発者、研究者、システム管理者などの受講者に DOCA と BlueField DPU の概要を学習していただくことです。このコースを受講すれば、DOCA を適切に使い、BlueField DPU を基盤とする高速化されたアプリケーションとサービスを作成できるようになります。
DOCA を今すぐお試しください
DOCA ソフトウェアを入手して、今すぐ DOCA をお試しいただけます。これには、ネットワーキング、ストレージ、セキュリティ向けの DOCA SDK やランタイム高速化ライブラリが含まれています。これらのライブラリを使用すれば、DPU 上で動作するデータ センター インフラストラクチャを効率的にプログラムできます。
DOCA 早期アクセス プログラムの申し込みを受け付けています。DOCA の最新情報を受け取る、または早期アクセス メンバー / パートナーになるには 、DOCA 早期アクセス ページで登録してください。
詳細については、次の資料を参照してください。
- NVIDIA Introduces BlueField DPU as a Platform for Zero Trust Security with DOCA 1.2
- Register for the North American NVIDIA DPU Hackathon
- Take the Introduction to NVIDIA DOCA for BlueField DPUs DLI Course
- DPU を基盤としたハードウェア アクセラレーション: ソフトウェアの観点
