NVIDIA DOCA 是一个框架,旨在简化 NVIDIA BlueField DPUs 和 ConnectX SmartNICs 的编程和应用程序开发。它通过 SDK、运行时二进制文件和高级 API 提供与网络应用程序相关的高级抽象构建块,使开发人员能够快速创建应用程序和服务。
NVIDIA DOCA Flow 是 DOCA 框架中最新更新的一组软件驱动程序和一个引导库。它在用户空间中运行,并能够从 CPU 卸载与网络相关的操作。这反过来又使应用程序能够以低延迟处理高数据包吞吐量的工作负载,从而节省 CPU 资源并降低功耗。
DOCA Flow 还有效地优化了 BlueField DPU 和 ConnectX SmartNIC 的利用率。 DOCA 是释放 BlueField 加速引擎潜力的关键,而 DOCA Flow 允许快速访问加速引擎以实现数据包导向逻辑。
简化和加快开发
DOCA Flow 提供 C 库 API,用于定义基于硬件的数据包处理管道, 抽象了 BlueField DPU 和 ConnectX SmartNIC 的硬件功能。这使开发人员能够为数据中心和云网络构建高性能和可扩展的应用程序,以编程方式定义和控制网络流量,实施网络策略,并有效管理资源。
DOCA Flow 补充并扩展了 DPDK,提供了专门为 NVIDIA DPU 和 NIC 量身定制的额外优化功能。此外,DOCA Flow 通过为流行的网络用例以及更复杂的用例(如最长前缀匹配(LPM)、互联网协议安全(IPsec)加密或解密以及访问控制列表(ACL)中的条目的创建或修改)提供用于实现基本包处理管道的构建块,简化了网络堆栈的复杂性。
使用预先创建的网络构建块可以让您专注于创建应用程序,而不是编写低级的数据包处理例程。这减少了 TTM,并使您能够专注于应用程序的核心,因为构建块已经针对性能进行了有效优化。 DOCA Flow 构建块使软件开发更容易,所有经验级别的开发人员都可以使用。
为什么需要 DPU
现代工作负载和软件定义的网络导致 CPU 核心上的网络开销很大。数据中心和云网络现在以 25 或 100 Gbps 的速度启动,并扩展到 200 甚至 400 Gbps,需要 CPU 核心以极高的速度处理网络流量的分类、跟踪、处理和引导。
计算虚拟化通过在主机虚拟机和容器之间的内部生成更多的东/西流量,并为与其他服务器或存储设备的外部通信添加覆盖网络封装和微分段,来增强网络需求。因此,对 CPU 提出了更多的网络需求。
CPU 核心具有显著的成本,并且不太适合高效的网络数据包处理。高带宽任务消耗更多的 CPU 核心,给服务器宝贵的计算基础设施带来不必要的压力,否则这些基础设施可以更有效地用于租户工作负载和应用程序数据处理。
相比之下,像 SmartNIC 和 DPU 这样的专用硬件是专门设计的,可以有效地处理大规模的快速数据移动,与标准 CPU 相比,功耗、热量和总体成本都有所降低。
执行管道
DOCA Flow 库提供了 API,这些 API 使用 BlueField DPU 和 ConnectX SmartNIC 中的硬件功能来构建通用和可重复使用的执行管道,其中每个管道可能由匹配标准(数据包分类)和一组操作组成。
分类能够识别应该应用逻辑的传入数据包,而操作会有所不同,并实现适合每个数据包分类的逻辑。使用分类和操作作为构建块为开发硬件加速的网络应用程序提供了一种灵活的方法,包括网关、防火墙、负载均衡器等。
如前所述, DOCA 流执行管道中的动作各不相同,例如,可以包括分组操作,例如对 MAC 地址应用网络地址转换(NAT)逻辑、更改源或目的地 IP 地址、应用覆盖网络封装、更改报头字段、增加计数器以测量流量等等。行动可能包括通过使用策略监控流量,将流量转发到不同的队列——软件队列或发夹目标,端口镜像或数据包采样以进行调试和合法拦截,以及丢弃数据包以强制执行策略或访问控制——所有这些都完全卸载到 DPU 或 NIC 硬件。
管道可以通过从一个管道到另一个管道的转发操作链接在一起,以形成一个完整的指导树,定义传入数据包的路径。在对数据包执行预定义动作之后,数据包可以被转发到另一个管道以进行进一步的动作或检查,被转发到软件队列、硬件发夹队列,或者被发送或丢弃。
导向树
通过实现通用网络功能逻辑,可以使用导向树在 DPU 或 NIC 上创建基于硬件的网络应用程序。这使得数据包能够被有效地分类,从而可以对每个数据包应用适当的操作。使用转向树概念提供了多种好处,包括:
- 为每个数据流定制处理逻辑
- 将数据包定向到特定操作或目的地的通用性
- 自适应结构,可根据不断变化的条件轻松调整大小
- 灵活的框架,允许添加新的管道类型以满足不断发展的需求
- 优化资源使用,最大限度地减少冗余,实现共享匹配和操作
NVIDIA DOCA Flow 用例
在为 BlueField DPU 和 ConnectX SmartNIC 开发网络管道时, DOCA Flow 是简化应用程序开发工作的基本要素。用例适用于企业数据中心、电信公司和云环境,尤其是那些专注于需要高效数据包处理的网络基础设施和安全的环境。
此外,它被设计用于处理涉及以极高的速率建立和删除管道的场景,并且每秒可以管理数百万个数据包交换。这包括软件定义的网络应用程序、数据分析、虚拟交换、人工智能推理、网络安全和其他数据包处理应用程序。它支持诸如接收、检查标头和有效负载、跟踪连接以及基于预定策略或其他标准检查、重新路由、复制或丢弃数据包之类的操作。
打开 vSwitch 虚拟交换机
Open vSwitch(OVS)通过编程扩展实现了大规模的网络自动化,旨在实现虚拟机(VM)和容器等虚拟化环境中的高效网络切换。通过 DOCA 流,可以在用户空间数据平面中实现 DPU 加速虚拟交换机(vSwitch),允许任何具有 DPU 的服务器充当网络交换机、路由器或有状态负载均衡器。
这为多个 VNF 提供了 vSwitch 可用性的灵活性,同时也显著提高了小数据包吞吐量并减少了延迟,从而通过增强 DPU 的网络性能来加快和加速通信,并促进了连接用户的南北流量,以及 AI 和分布式应用程序的东西流量。
下一代防火墙
现代防火墙需要以更高的速率检查数据,以应对新的威胁。然而,随着网络速度的提高, CPU 上的负载会增加。这可能导致延迟增加、数据包丢失和网络吞吐量降低。在不牺牲延迟的情况下支持更高的速度和更严格的安全要求是复杂的,并且部署足够多的能够处理增加的流量的传统防火墙的成本令人望而却步。
DOCA Flow 支持为托管 DPU 的每个服务器开发智能网络过滤器。有了这个过滤器,流量流的解析和引导基于预定义的策略,没有 CPU 开销。它可以用于创建分布式下一代防火墙(NGFW),通过在 DPU 上使用专用加速器和 Arm 核心来根据数据包的适当流过滤和转发数据包,以及管理 NGFW 的数据平面卸载和控制平面,每个服务器可以实现接近 100 Gbps 的吞吐量。
使用 DOCA Flow 可以提供一种经济高效的解决方案,将数据包处理从 CPU 卸载到 DPU ,以提高性能并降低传统硬件解决方案之外的成本。它在不牺牲服务器性能的情况下提供了高级安全功能,如入侵防御。它还可以在 NIC/ DPU 中实现更快的网络流量检查。
虚拟网络功能
DOCA Flow 可以加速虚拟化网络功能(VNF),如路由器、负载均衡器、防火墙、内容交付网络(CDN)服务等。电信公司供应商可以通过开发在 BlueField DPU 上运行的 VNF 来替换专有硬件,并在商品服务器上执行虚拟化工作负载。
通过使用 DPU 进行 VNF 加速,实现了更高效、更灵活的解决方案,与商品服务器相比,减少了设备、空间、热量和功率需求。所有这些都有助于解决基于冷却和空间限制的限制,为 5G、人工智能、物联网和边缘计算带来新的机遇。
边缘应用程序
DOCA Flow 是需要高网络速度和 I/O 处理能力的边缘工作负载的理想解决方案,例如内容交付网络和视频分析系统。边缘的主机应用程序可以使用 DOCA Flow 设计,在安装在通用服务器内的 DPU 上运行,从而消除了对昂贵的专有硬件设备的需求。通过使用 DPU 加速和 Arm 内核,需要更少的服务器 CPU 内核,从而允许更小的服务器消耗更少的能量、需要更少的冷却和占用更少的机架空间。这种方法在资本支出和运营支出方面都能节省成本。
总结
DOCA Flow 库可以简化现代应用程序的开发,从而在数据包处理中提供加速的网络吞吐量和延迟改进,从而为开发人员提供帮助。对于用商用现货(COTS)服务器平台上托管的虚拟化应用程序取代专有裸机硬件解决方案的应用程序来说尤其如此。
该库由几个用于高效网络卸载的构建块组成,包括实现基本的数据包处理管道、最长前缀匹配(LPM)和互联网协议安全(IPsec)的加密或解密。不久将在连接跟踪(CT)和访问控制列表(ACL)中添加增强功能,以创建或修改访问控制条目。有关 DOCA 流量参考应用程序的采样,请参阅 DOCA Reference Applications 文档。
通过利用 DOCA Flow 的功能,组织可以在需要高吞吐量和低延迟的用例中最大限度地降低成本、加快服务部署并优化硬件利用率。
要了解更多信息,请浏览以下资源:
- 使用 NVIDIA DPUs 和 NVIDIA DOCA 为 AI 时代转型数据中心
- 配备 DOCA 的 BlueField DPUs
- 使用 NVIDIA DOCA 2.0 改变 IPsec 部署
- Accelerated Networking
- BlueField DPUs 转型
