NVIDIA DOCA 2.0 已于 2023 年 3 月發布，它是適用于 BlueField DPU 的最新版本 NVIDIA SDK。NVIDIA DOCA 和 BlueField DPU 共同加速了應用程序的開發，通過一個全面、開放的開發平臺實現突破性的網絡、安全和存儲性能。

NVIDIA DOCA 2.0 新增了對 BlueField-3 數據路徑加速器（DPA）子系統的支持，并增強了 DOCA 存儲仿真和 VirtIO 仿真功能。DOCA 2.0 還引入了新的 GPUNetIO 庫、IPsec 加密和解密庫，并為 DOCA Flow 庫添加了功能。

正如在最近的 NVIDIA GTC 大會上所公布的那樣，NVIDIA DOCA 2.0 為 BlueField-3 DPU 提供了許多以安全為重點的用例。本文將討論工作負載的轉換，以及 DOCA 和 BlueField DPU 如何共同實現新的性能和效率水平。我們首先回顧全新的 DOCA IPsec 庫，以及它如何為您提供創建下一代 IPsec 安全解決方案的機會。

傳統 IPsec 解決方案

IPsec 是一種流行的協議，用于通過互聯網和數據中心內的服務器之間進行安全通信。它為加密、解密和身份驗證提供了一種強大的機制。這使其成為保護傳輸中數據的理想解決方案，保護 IP 數據包上運行的任何流量免受未經授權的訪問、篡改或竊聽。

IPsec 可以通過各種方式進行部署。在傳統部署中，它通常使用專用硬件來實現。這種硬件通常安裝在網絡網關上，例如路由器或防火墻。它通常可以提供快速的性能，但缺乏基礎設施的靈活性，除非在這些固定路由器或防火墻之間運行，否則無法保護流量。隨著網絡基礎設施的變化，它還需要重新配置或更換。這一耗時的過程需要大量資源，還可能導致網絡停機。

雖然 IPsec 的專用硬件部署能夠有效的確保網絡通信的安全，但也存在一些缺點。IPsec 所需的專用硬件通常成本高昂，且需要專業知識才能進行安裝和配置。

解決方案的可擴展性和性能也往往受到限制。隨著組織的發展和網絡流量的增加，使用專用硬件的系統部署緩慢，容量和功能也受到限制，從而導致性能或功能瓶頸，并降低網絡性能。

另一方面，基于 CPU 的 IPsec 處理易于部署，但也有其自身的負擔，無法跟上應用程序的流量。對安全和高速通信需求的增加將影響更廣泛的應用程序和系統性能。

由于必須對每個數據包進行加密和解密，IPsec 增加了網絡流量的開銷。IPsec 的額外開銷和處理需求增加了網絡延遲，影響了應用程序的響應速度和用戶體驗。

使用 NVIDIA BlueField DPU 來部署 IPsec

隨著 NVIDIA DOCA 和新開發的 IPsec 庫的出現，IPsec 現在可以通過卸載到 NVIDIA BlueField DPU 來進行部署。這是一個范式的轉變，與傳統 IPsec 部署形成了鮮明的對比。這種演變為開發人員和合作伙伴提供了新的優勢，并凸顯了 BlueField DPU 如何為企業領域的客戶帶來益處。

BlueField DPU 提供了一種可編程解決方案，可用于從 CPU 卸載網絡處理任務。在使用 IPsec 的情況下，DPU 可以以多種方式改進 IPsec 過程，同時加速網絡流量的加密和解密。

將 IPsec 卸載到 BlueField DPU 可以提高 IPsec 性能，簡化網絡管理并減少管理開銷，從而釋放 CPU 來處理其他任務。加密/解密過程以及任何其他網絡安全任務現已與服務器的 CPU 和應用程序域隔離。這使得安全性更具彈性，并且更容易檢測對手是否在攻擊服務器。

在當今的數據中心中，效率和有效性仍然很重要。作為回應，下一代解決方案必須具有可擴展性、靈活性和可組合性。BlueField DPU 可以進行編程，以處理特定的網絡相關處理任務，并支持廣泛的網絡協議和加密算法。例如，DPU 可以執行數據包路由、數據包檢查或負載均衡功能，同時還可以加速 IPsec。

隨著網絡基礎設施的發展，無需為每個新功能需求而更換硬件。BlueField DPU 提供了高度可擴展、可定制且具有成本效益的產品。

圖 1 . NVIDIA DOCA 2.0 軟件框架

用于分布式防火墻的 BlueField-3 DPU、

NVIDIA DOCA 2.0 和 IPsec

對于實際用例，請查看具有加速 IPsec 加密和解密功能的防火墻。在此類部署中，將 IPsec 處理卸載到 BlueField-3 DPU 可為網絡基礎設施帶來顯著優勢。

正如之前提到的，IPsec 提供了一系列功能來保護 IP 數據包免受未經授權的訪問、篡改和竊聽。這些 CPU 密集型功能意味著卸載是一個有吸引力的解決方案。

在基于軟件的分布式防火墻中，通過卸載到 BlueField-3 DPU 可以優化操作并加速性能。可信流量被卸載到 DPU，并使用 IPsec 協議發送到接收主機。這降低了 CPU 的利用率，并快速、高效地管理可信流量。其他流量仍然需要進行威脅檢查，通過防火墻邏輯進行路由。

由于 CPU 不再管理 IPsec 流量，因此該過程現已得到了優化，并為防火墻提供了更好的應用程序性能。通過在 DPU 上終止 IPsec 連接，您可以執行網絡檢查。如果服務器僅僅通過所有 IPsec 加密的流量而不解密，這將是不可能的。

就下一代防火墻（NGFW）的開發而言，新的 DOCA IPsec 庫中包含的資源池有助于簡化流程并縮短上市時間。這些資源組合有助于創建更高效的控制平面，從而提供更大的規模和更高的性能，以達到數千個并發連接。

除了 NGFW 之外，新的 DOCA IPsec 庫可以用于通過 NVIDIA DPU 在各種用例中使用 IPsec 交付：

• 虛擬專用網絡（VPN）網關

• 入侵檢測和預防系統（IDPS）

• 用于負載均衡和微分段的加密

DOCA IPsec 也可用于存儲網絡加密和東西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA：

為企業帶來益處

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相結合來增加了商業和技術價值的用例之一：

• 減少資源利用率，以便您有更多的時間用于其他項目。

• 縮短上市時間，為應用程序開發者和系統集成商提供潛在的競爭優勢。

• 在不對 CPU 使用產生任何重大影響的情況下，加速根進程，從而獲得技術進步。

總結

NVIDIA DOCA SDK 是 BlueField-3 DPU 的實現平臺。使用 NVIDIA DOCA 組件（API、運行時、庫和驅動程序）有助于加快應用程序的開發。與 NVIDIA DPU 一起使用，它提供了以前無法實現的性能水平。

觀看下方視頻，了解更多關于 NVIDIA DOCA 的信息！

有興趣使用 DOCA IPsec API 為 BlueField DPU 開發安全應用程序嗎？掃描下方二維碼，查看 NVIDIA DOCA IPsec 編程指南。

想要與更多 DOCA 開發者交流學習，請掃描下方二維碼加入我們的論壇。

點擊“閱讀原文”或掃描下方二維碼，立刻注冊體驗 NVIDIA DOCA！

? ?NVIDIA DOCA 往期精彩內容 NVIDIA DOCA 應用代碼分享活動開啟注冊！
借助 NVIDIA DPU 和 NVIDIA DOCA 為人工智能時代的數據中心帶來變革
使用 NVIDIA DOCA GPUNetIO 進行內聯 GPU 數據包處理
了解何時使用 DOCA 驅動程序和 DOCA 庫