NVIDIA DOCA 2 . 0 于 2023 年 3 月发布,是 BlueField DPU 的 NVIDIA SDK 的最新版本。联合 NVIDIA DOCA 和 BlueField DPU,能通过一个全面、开放的开发平台,加快了提供突破性网络、安全和存储性能的应用程序的开发。
NVIDIA DOCA 2 . 0 新增了对 BlueField -3 数据路径加速器( DPA )子系统的支持,并增加了对 DOCA 存储仿真和 VirtIO 仿真的增强。 DOCA 2 . 0 还引入了新的 GPUNetIO 库,即 IPsec 加密和解密库,并为 DOCA Flow 库添加了功能。
如在最近的 NVIDIA GTC 中所公布, NVIDIA DOCA 2 . 0 为 BlueField -3 启用了许多以安全为重点的用例。本文讨论了工作负载转换以及 DOCA 和 BlueField 如何一起实现新的性能和效率水平。我们首先回顾新的 DOCA IPsec 库,以及它如何为您提供创建下一代 IPsec 安全解决方案的机会。
旧版 IPsec 解决方案
IPsec 是一种流行的协议,用于通过互联网和数据中心内的服务器之间的安全通信。它为加密、解密和身份验证提供了一种强大的机制。这使其成为保护传输中数据的理想解决方案,保护 IP 数据包上运行的任何流量免受未经授权的访问、篡改或窃听。
IPsec 可以通过各种方式进行部署。在遗留部署中,它通常使用专用硬件来实现。这种硬件通常安装在网络网关上,例如路由器或防火墙。它通常提供快速的性能,但基础设施不灵活,无法保护流量,除非在这些固定路由器或防火墙之间运行。随着网络基础设施的变化,它还需要重新配置或更换。这个耗时的过程耗费大量资源,还可能导致网络停机。
虽然 IPsec 的专用硬件部署在保护网络通信方面是有效的,但它们也有几个缺点。 IPsec 所需的专用硬件通常成本高昂,需要专业知识才能进行安装和配置。
解决方案的可扩展性和性能通常也受到限制。随着组织的发展和网络流量的增加,使用专用硬件的系统部署缓慢,容量和功能也受到限制,从而导致性能或功能瓶颈,从而降低网络性能。
另一方面,基于 CPU 的 IPsec 处理易于部署,但也有其自身的负担,无法跟上应用程序流量。对安全和高速通信需求的增加影响了更广泛的应用程序和系统性能。
由于每个数据包都必须进行加密和解密, IPsec 增加了网络流量的开销。 IPsec 的额外开销和处理要求增加了网络延迟,影响了应用程序响应能力和用户体验。
使用 NVIDIA BlueField 部署 IPsec
随着 NVIDIA DOCA 和新开发的 IPsec 库的出现, IPsec 现在可以通过卸载到 NVIDIA BlueField DPU 来部署。这是一个范式的转变,与 IPsec 的传统部署形成了鲜明对比。这一发展为开发人员和合作伙伴提供了新的优势,并突出了 BlueField DPU 如何为企业领域的客户带来好处。
BlueField DPU 提供了一种可编程解决方案,可用于从 CPU 卸载网络处理任务。在 IPsec 的情况下, DPU 可以以多种方式用于改进 IPsec 过程,同时加速网络流量的加密和解密。
将 IPsec 卸载到 BlueField DPU 可以提高 IPsec 性能,简化网络管理并减少管理开销,从而释放 CPU 来处理其他任务。加密/解密过程和任何其他网络安全任务现在与服务器的 CPU 和应用程序域隔离。这使得安全性更具弹性,并且在对手攻击服务器时更容易检测到漏洞。
在当今的数据中心中,效率和有效性仍然很重要。作为回应,下一代解决方案必须具有可扩展性、灵活性和可组合性。可以对 BlueField DPU 进行编程,以处理特定的网络相关处理任务,并支持广泛的网络协议和加密算法。例如, DPU 可以执行数据包路由、数据包检查或负载平衡功能,同时还可以加速 IPsec 。
随着网络基础设施的发展,硬件不必被每一个新的功能需求所取代。 BlueField DPU 提供了一种高度可扩展、可定制且具有成本效益的产品。
用于分布式防火墙的 BlueField -3 、 NVIDIA DOCA 2 . 0 和 IPsec
对于真实世界的用例,请查看具有加速 IPsec 加密和解密功能的防火墙。在这样的部署中,将 IPsec 处理卸载到 BlueField -3 DPU 为网络基础设施带来了显著的好处。
正如我前面提到的, IPsec 提供了一系列功能来保护 IP 数据包免受未经授权的访问、篡改和窃听。这些 CPU 密集型功能意味着卸载是一个有吸引力的解决方案。
在基于软件的分布式防火墙中,卸载到 BlueField -3 DPU 可以优化操作并加快性能。可信流量被卸载到 DPU ,并使用 IPsec 协议发送到接收主机。这降低了 CPU 的利用率,并快速有效地管理可信流量。流量平衡仍然需要进行威胁检查,通过防火墙逻辑进行路由。
由于 CPU 不再管理 IPsec 流量,因此现在对该过程进行了优化,为防火墙提供了更好的应用程序性能。通过在 DPU 上终止 IPsec 连接,您可以执行网络检查。如果服务器只是在不解密的情况下通过所有 Ipsec 加密的流量,这是不可能的。
就这些下一代防火墙( NGFW )的开发而言,新 DOCA IPsec 库中包含的资源池有助于简化流程并缩短上市时间。这些组合的资源有助于创建更高效的控制平面,该控制平面提供了数千个并发连接数量级的增加的规模和改进的性能。
除了 NGFW 之外,新的 DOCA IPsec 库可以用于通过 NVIDIA DPU 在各种用例中使用 IPsec 传递:
- 虚拟专用网络( VPN )网关
- 入侵检测和预防系统( IDPS )
- 用于负载平衡和细分的加密。
DOCA IPsec 也可用于存储网络加密和东西向流量的透明 IPsec 加密。
BlueField 和 NVIDIA DOCA :为业务带来好处
此示例只是 BlueField -3 和 NVIDIA DOCA 的组合增加了商业和技术价值的用例之一:
- 减少资源利用率,以便您有更多的时间用于其他项目。
- 缩短上市时间,为应用程序开发人员和系统集成商提供潜在的竞争优势。
- 在没有对 CPU 使用产生任何重大影响的情况下,加速根进程,从而获得技术收益。
总结
NVIDIA DOCA SDK 是 BlueField -3 DPU 的启用平台。使用 NVIDIA DOCA 组件 API 、运行时、库和驱动程序有助于加快应用程序开发。与 NVIDIA DPU 一起使用,它提供了以前不可行的性能水平。
有兴趣使用 DOCA IPsec API 为 BlueField DPU 开发安全应用程序吗?通过查看开始NVIDIA DOCA IPsec Programming Guide。要下载 DOCA 2 . 0 ,请参阅NVIDIA DOCA Software Framework.
有关更多信息,请参阅以下资源:
- 揭秘 NVIDIA DOCA
- 了解什么时候使用 DOCA 驱动和 DOCA 库
- 使用 NVIDIA DOCA 1.2 为零信任安全奠定基础
- DOCA DPU 介绍课程(免费)
- 开始使用 DOCA Flow课程(自定进度)
- 如何构建云来为下一波应用程序提供动力GTC 会话(需要注册)
还有问题吗?现在就到NVIDIA 开发者论坛讨论基础设施。
