NVIDIA DOCA 2 . 0 于 2023 年 3 月發布,是 BlueField DPU 的 NVIDIA SDK 的最新版本。聯合 NVIDIA DOCA 和 BlueField DPU,能通過一個全面、開放的開發平臺,加快了提供突破性網絡、安全和存儲性能的應用程序的開發。
NVIDIA DOCA 2 . 0 新增了對 BlueField -3 數據路徑加速器( DPA )子系統的支持,并增加了對 DOCA 存儲仿真和 VirtIO 仿真的增強。 DOCA 2 . 0 還引入了新的 GPUNetIO 庫,即 IPsec 加密和解密庫,并為 DOCA Flow 庫添加了功能。
如在最近的 NVIDIA GTC 中所公布, NVIDIA DOCA 2 . 0 為 BlueField -3 啟用了許多以安全為重點的用例。本文討論了工作負載轉換以及 DOCA 和 BlueField 如何一起實現新的性能和效率水平。我們首先回顧新的 DOCA IPsec 庫,以及它如何為您提供創建下一代 IPsec 安全解決方案的機會。
舊版 IPsec 解決方案
IPsec 是一種流行的協議,用于通過互聯網和數據中心內的服務器之間的安全通信。它為加密、解密和身份驗證提供了一種強大的機制。這使其成為保護傳輸中數據的理想解決方案,保護 IP 數據包上運行的任何流量免受未經授權的訪問、篡改或竊聽。
IPsec 可以通過各種方式進行部署。在遺留部署中,它通常使用專用硬件來實現。這種硬件通常安裝在網絡網關上,例如路由器或防火墻。它通常提供快速的性能,但基礎設施不靈活,無法保護流量,除非在這些固定路由器或防火墻之間運行。隨著網絡基礎設施的變化,它還需要重新配置或更換。這個耗時的過程耗費大量資源,還可能導致網絡停機。
雖然 IPsec 的專用硬件部署在保護網絡通信方面是有效的,但它們也有幾個缺點。 IPsec 所需的專用硬件通常成本高昂,需要專業知識才能進行安裝和配置。
解決方案的可擴展性和性能通常也受到限制。隨著組織的發展和網絡流量的增加,使用專用硬件的系統部署緩慢,容量和功能也受到限制,從而導致性能或功能瓶頸,從而降低網絡性能。
另一方面,基于 CPU 的 IPsec 處理易于部署,但也有其自身的負擔,無法跟上應用程序流量。對安全和高速通信需求的增加影響了更廣泛的應用程序和系統性能。
由于每個數據包都必須進行加密和解密, IPsec 增加了網絡流量的開銷。 IPsec 的額外開銷和處理要求增加了網絡延遲,影響了應用程序響應能力和用戶體驗。
使用 NVIDIA BlueField 部署 IPsec
隨著 NVIDIA DOCA 和新開發的 IPsec 庫的出現, IPsec 現在可以通過卸載到 NVIDIA BlueField DPU 來部署。這是一個范式的轉變,與 IPsec 的傳統部署形成了鮮明對比。這一發展為開發人員和合作伙伴提供了新的優勢,并突出了 BlueField DPU 如何為企業領域的客戶帶來好處。
BlueField DPU 提供了一種可編程解決方案,可用于從 CPU 卸載網絡處理任務。在 IPsec 的情況下, DPU 可以以多種方式用于改進 IPsec 過程,同時加速網絡流量的加密和解密。
將 IPsec 卸載到 BlueField DPU 可以提高 IPsec 性能,簡化網絡管理并減少管理開銷,從而釋放 CPU 來處理其他任務。加密/解密過程和任何其他網絡安全任務現在與服務器的 CPU 和應用程序域隔離。這使得安全性更具彈性,并且在對手攻擊服務器時更容易檢測到漏洞。
在當今的數據中心中,效率和有效性仍然很重要。作為回應,下一代解決方案必須具有可擴展性、靈活性和可組合性。可以對 BlueField DPU 進行編程,以處理特定的網絡相關處理任務,并支持廣泛的網絡協議和加密算法。例如, DPU 可以執行數據包路由、數據包檢查或負載平衡功能,同時還可以加速 IPsec 。
隨著網絡基礎設施的發展,硬件不必被每一個新的功能需求所取代。 BlueField DPU 提供了一種高度可擴展、可定制且具有成本效益的產品。
用于分布式防火墻的 BlueField -3 、 NVIDIA DOCA 2 . 0 和 IPsec
對于真實世界的用例,請查看具有加速 IPsec 加密和解密功能的防火墻。在這樣的部署中,將 IPsec 處理卸載到 BlueField -3 DPU 為網絡基礎設施帶來了顯著的好處。
正如我前面提到的, IPsec 提供了一系列功能來保護 IP 數據包免受未經授權的訪問、篡改和竊聽。這些 CPU 密集型功能意味著卸載是一個有吸引力的解決方案。
在基于軟件的分布式防火墻中,卸載到 BlueField -3 DPU 可以優化操作并加快性能。可信流量被卸載到 DPU ,并使用 IPsec 協議發送到接收主機。這降低了 CPU 的利用率,并快速有效地管理可信流量。流量平衡仍然需要進行威脅檢查,通過防火墻邏輯進行路由。
由于 CPU 不再管理 IPsec 流量,因此現在對該過程進行了優化,為防火墻提供了更好的應用程序性能。通過在 DPU 上終止 IPsec 連接,您可以執行網絡檢查。如果服務器只是在不解密的情況下通過所有 Ipsec 加密的流量,這是不可能的。
就這些下一代防火墻( NGFW )的開發而言,新 DOCA IPsec 庫中包含的資源池有助于簡化流程并縮短上市時間。這些組合的資源有助于創建更高效的控制平面,該控制平面提供了數千個并發連接數量級的增加的規模和改進的性能。
除了 NGFW 之外,新的 DOCA IPsec 庫可以用于通過 NVIDIA DPU 在各種用例中使用 IPsec 傳遞:
- 虛擬專用網絡( VPN )網關
- 入侵檢測和預防系統( IDPS )
- 用于負載平衡和細分的加密。
DOCA IPsec 也可用于存儲網絡加密和東西向流量的透明 IPsec 加密。
BlueField 和 NVIDIA DOCA :為業務帶來好處
此示例只是 BlueField -3 和 NVIDIA DOCA 的組合增加了商業和技術價值的用例之一:
- 減少資源利用率,以便您有更多的時間用于其他項目。
- 縮短上市時間,為應用程序開發人員和系統集成商提供潛在的競爭優勢。
- 在沒有對 CPU 使用產生任何重大影響的情況下,加速根進程,從而獲得技術收益。
總結
NVIDIA DOCA SDK 是 BlueField -3 DPU 的啟用平臺。使用 NVIDIA DOCA 組件 API 、運行時、庫和驅動程序有助于加快應用程序開發。與 NVIDIA DPU 一起使用,它提供了以前不可行的性能水平。
有興趣使用 DOCA IPsec API 為 BlueField DPU 開發安全應用程序嗎?通過查看開始NVIDIA DOCA IPsec Programming Guide。要下載 DOCA 2 . 0 ,請參閱NVIDIA DOCA Software Framework.
有關更多信息,請參閱以下資源:
- 揭秘 NVIDIA DOCA
- 了解什么時候使用 DOCA 驅動和 DOCA 庫
- 使用 NVIDIA DOCA 1.2 為零信任安全奠定基礎
- DOCA DPU 介紹課程(免費)
- 開始使用 DOCA Flow課程(自定進度)
- 如何構建云來為下一波應用程序提供動力GTC 會話(需要注冊)
還有問題嗎?現在就到NVIDIA 開發者論壇討論基礎設施。
?
