NVIDIA 在今年的 GTC Fall 上發(fā)布了 BlueField DPU 的軟件框架 DOCA 1.2 。BlueField 是世界領(lǐng)先的數(shù)據(jù)處理器（ DPU ），DOCA 能很好地支撐 NVIDIA 的 BlueField 生態(tài)系統(tǒng)和開發(fā)者社區(qū)。通過(guò)提供服務(wù)來(lái)卸載、加速和隔離來(lái)自 CPU 的基礎(chǔ)設(shè)施應(yīng)用，DOCA 是解開 DPU 的潛力的關(guān)鍵。

DOCA 是一個(gè)軟件框架，它將 API 、驅(qū)動(dòng)程序、庫(kù)、示例代碼、文檔、服務(wù)和預(yù)打包容器結(jié)合在一起，以簡(jiǎn)化和加快 BlueField DPU 上每個(gè)數(shù)據(jù)中心節(jié)點(diǎn)上的應(yīng)用程序開發(fā)和部署。DOCA 和 BlueField 共同創(chuàng)建了一個(gè)用于網(wǎng)絡(luò)、安全、存儲(chǔ)和基礎(chǔ)架構(gòu)管理的獨(dú)立且安全的服務(wù)域，是實(shí)現(xiàn)零信任戰(zhàn)略的理想選擇。

DOCA 1.2 版本介紹了幾個(gè)重要功能和用例。

使用自適應(yīng)云安全保護(hù)主機(jī)服務(wù)

基于 zero trust 原則的現(xiàn)代安全方法對(duì)于確保當(dāng)今數(shù)據(jù)中心的安全至關(guān)重要，因?yàn)閿?shù)據(jù)中心內(nèi)的資源不再能夠自動(dòng)信任。App Shield 可檢測(cè)對(duì)系統(tǒng)中關(guān)鍵服務(wù)的攻擊。在許多系統(tǒng)中，這些關(guān)鍵服務(wù)負(fù)責(zé)確保許多應(yīng)用程序執(zhí)行的完整性和隱私性。

圖 1 。 使用自適應(yīng)云安全保護(hù)您的主機(jī)服務(wù)

DOCA App Shield 提供主機(jī)監(jiān)控，使網(wǎng)絡(luò)安全供應(yīng)商能夠創(chuàng)建硬件加速的入侵檢測(cè)系統(tǒng)（ IDS ）解決方案，以識(shí)別對(duì)任何物理或虛擬機(jī)的攻擊。它可以將有關(guān)應(yīng)用程序狀態(tài)的數(shù)據(jù)提供給安全信息和事件管理（ SIEM ）或擴(kuò)展檢測(cè)和響應(yīng)（ XDR ）工具，還可以增強(qiáng)追蹤溯源的深度調(diào)查。

如果主機(jī)受到威脅，攻擊者通常會(huì)利用安全控制機(jī)制漏洞橫向移動(dòng)到數(shù)據(jù)中心網(wǎng)絡(luò)上的其他服務(wù)器和設(shè)備。App Shield 使安全團(tuán)隊(duì)能夠屏蔽其應(yīng)用程序進(jìn)程，持續(xù)驗(yàn)證其完整性，進(jìn)而檢測(cè)惡意活動(dòng)。

如果攻擊者殺死機(jī)器安全代理的進(jìn)程，App Shield 可以通過(guò)隔離受損主機(jī)來(lái)減輕攻擊，防止惡意軟件訪問(wèn)機(jī)密數(shù)據(jù)或傳播到其他資源。App Shield 是打擊網(wǎng)絡(luò)犯罪的一項(xiàng)重要進(jìn)步，也是實(shí)現(xiàn)零信任安全立場(chǎng)的有效工具。

BlueField DPU 和 DOCA 軟件框架為合作伙伴和開發(fā)人員提供了建立零信任解決方案和解決現(xiàn)代數(shù)據(jù)中心安全需求的開放基礎(chǔ)。同時(shí)， DOCA 和 BlueField 為網(wǎng)絡(luò)、安全、存儲(chǔ)創(chuàng)建了一個(gè)隔離和安全的服務(wù)域，以及基礎(chǔ)架構(gòu)管理，這是實(shí)現(xiàn)零信任戰(zhàn)略的理想選擇。

創(chuàng)建時(shí)間同步的數(shù)據(jù)中心

精確計(jì)時(shí)是從邊緣到核心啟用和加速分布式應(yīng)用程序的關(guān)鍵功能。DOCA Firefly 是一種數(shù)據(jù)中心計(jì)時(shí)服務(wù)，在任何地方都支持極其精確的時(shí)間同步。通過(guò)納秒級(jí)時(shí)鐘同步，您可以啟用一系列新的計(jì)時(shí)關(guān)鍵和延遲敏感應(yīng)用程序。

圖 2 。 精確時(shí)間同步數(shù)據(jù)中心服務(wù)

DOCA Firefly 解決了廣泛的使用案例，包括以下內(nèi)容：

高頻交易

分布式數(shù)據(jù)庫(kù)

工業(yè) 5G 無(wú)線電接入網(wǎng)（ RAN ）

科學(xué)研究

高性能計(jì)算（ HPC ）

Omniverse 數(shù)字孿生

游戲

AR / VR

自動(dòng)駕駛車輛

安全

它能夠?qū)崿F(xiàn)數(shù)據(jù)一致性、準(zhǔn)確的事件排序和因果關(guān)系分析，例如確保股票市場(chǎng)交易的正確順序和數(shù)字拍賣期間的公平競(jìng)價(jià)。BlueField 專用集成電路（ ASIC ）中的硬件引擎能夠以全速對(duì)數(shù)據(jù)包進(jìn)行時(shí)間戳，精度達(dá)到突破性的納秒級(jí)。

按數(shù)量級(jí)提高數(shù)據(jù)中心計(jì)時(shí)的準(zhǔn)確性提供了許多優(yōu)勢(shì)。

通過(guò)全球同步數(shù)據(jù)中心，您可以加速分布式應(yīng)用程序和數(shù)據(jù)分析，包括 AI 、 HPC 、專業(yè)媒體制作、電信虛擬網(wǎng)絡(luò)功能，以及精確的事件監(jiān)控。數(shù)據(jù)中心或跨數(shù)據(jù)中心的所有服務(wù)器都可以進(jìn)行協(xié)調(diào)，以提供比任何單個(gè)計(jì)算節(jié)點(diǎn)都大得多的功能。

提高數(shù)據(jù)中心計(jì)時(shí)準(zhǔn)確性的好處包括減少?gòu)?fù)制和驗(yàn)證數(shù)據(jù)所需的計(jì)算能力和網(wǎng)絡(luò)流量。例如， Firefly 同步為分布式數(shù)據(jù)庫(kù)提供了 3 倍的數(shù)據(jù)庫(kù)性能增益。

DOCA HBN 測(cè)試版

BlueField DPU 是一款獨(dú)特的解決方案，用于在端點(diǎn)主機(jī)內(nèi)進(jìn)行網(wǎng)絡(luò)加速和策略實(shí)施。同時(shí)，BlueField 在主機(jī)操作系統(tǒng)和 DPU 上運(yùn)行的功能之間提供了管理和軟件界限。

使用 DOCA 基于主機(jī)的網(wǎng)絡(luò)（ HBN ），機(jī)架頂部交換機(jī)（ TOR ）的網(wǎng)絡(luò)配置可以擴(kuò)展到 DPU ，使網(wǎng)絡(luò)管理員能夠擁有 DPU 配置和管理，而應(yīng)用程序管理可以由 x86 主機(jī)管理員單獨(dú)處理。這為重新思考如何更好地構(gòu)建數(shù)據(jù)中心網(wǎng)絡(luò)創(chuàng)造了前所未有的機(jī)會(huì)。

DOCA 1.2 為 HBN 提供了一個(gè)名為 Netlink 到 DOCA （nl2doca）的新驅(qū)動(dòng)程序，該驅(qū)動(dòng)程序可以加速和卸載傳統(tǒng)的 Linux Netlink 消息。作為加速驅(qū)動(dòng)程序， nl2doca 是 HBN 服務(wù)容器的組成部分?，F(xiàn)在，您可以用 NVIDIA 的方案加速依賴 DPDK 和 OVS 的 L2 和 L3 的主機(jī)網(wǎng)絡(luò)，或者使用 Netlink 進(jìn)行內(nèi)核路由。

NVIDIA 正在增加對(duì)開源的自由距離路由（ FRR ）項(xiàng)目的支持，該項(xiàng)目在 DPU 上運(yùn)行，并利用這個(gè)新的 nl2doca 驅(qū)動(dòng)程序。這種支持使 DPU 能夠像 TOR 交換機(jī)一樣工作，并帶來(lái)額外的好處。DPU 上的 FRR 使 EVPN 網(wǎng)絡(luò)能夠直接移入主機(jī)，提供第 2 層（ VLAN ）的擴(kuò)展和第 3 層（ VRF ）的租戶隔離。

DPU 上的 HBN 可以管理和監(jiān)控同一節(jié)點(diǎn)上 VM 或容器之間的流量。它還可以分析和加密或解密，然后分析進(jìn)出節(jié)點(diǎn)的流量，這兩項(xiàng)任務(wù)都是 ToR 交換機(jī)無(wú)法執(zhí)行的。您可以在私有云中為容器化、虛擬機(jī)和裸金屬機(jī)工作負(fù)載構(gòu)建自己的 Amazon VPC 解決方案。

HBN 與 BlueField DPU 的結(jié)合徹底改變了構(gòu)建數(shù)據(jù)中心網(wǎng)絡(luò)的方式。它提供以下好處：

Plug-and-play servers： 利用 FRR 的無(wú)編號(hào) BGP ，服務(wù)器可以直接連接到網(wǎng)絡(luò)，而無(wú)需協(xié)調(diào)服務(wù)器到交換機(jī)的配置。無(wú)需 MLAG 、bonding 或 NIC 協(xié)作。

開放、可互操作的多租戶：EVPN 允許服務(wù)器到服務(wù)器或服務(wù)器到交換機(jī)的覆蓋。這為裸機(jī)、封閉設(shè)備或任何虛擬機(jī)監(jiān)控程序解決方案提供了多租戶解決方案，而不考慮底層網(wǎng)絡(luò)供應(yīng)商。EVPN 提供了分布式覆蓋配置，同時(shí)消除了對(duì)昂貴、專有、集中式 SDN 控制器的需求。

安全網(wǎng)絡(luò)管理：BlueField DPU 為網(wǎng)絡(luò)策略配置和實(shí)施提供了一個(gè)隔離的環(huán)境。主機(jī)上沒(méi)有軟件或依賴項(xiàng)。

使能高級(jí) HCI 和存儲(chǔ)網(wǎng)絡(luò)：BlueField 為 HCI 和存儲(chǔ)合作伙伴提供了一種簡(jiǎn)單的方法，以解決多租戶和混合云解決方案的當(dāng)前網(wǎng)絡(luò)難題，而不考慮虛擬機(jī)監(jiān)控程序。

靈活的網(wǎng)絡(luò)卸載：HBN 提供的 nl2doca 驅(qū)動(dòng)程序使任何支持 netlink 的應(yīng)用程序都能夠卸載和加速基于內(nèi)核的網(wǎng)絡(luò)，而不需要傳統(tǒng) DPDK 庫(kù)的復(fù)雜性。

簡(jiǎn)化 TOR 交換機(jī)的要求： 在服務(wù)器內(nèi)的 DPU 上放置了更多的智能，降低了 TOR 交換機(jī)的復(fù)雜性。

其他 DOCA 1.2 SDK 更新：

DOCA FLOW – 防火墻（ Alpha ）

DOCA FLOW – 網(wǎng)關(guān)（ 測(cè)試版 ）

DOCA FLOW – 遠(yuǎn)程 API

DOCA 1.2 包括 IPsec 和 TLS 的增強(qiáng)功能和擴(kuò)展功能

DLI 課程： 將 DOCA 引入 BlueField DPU

此外， NVIDIA 正在推出一門深度學(xué)習(xí)培訓(xùn)中心（ DLI ）課程：將 DOCA 引入 BlueField DPU 。本課程的主要目的是向?qū)W生（ 包括開發(fā)人員、研究人員和系統(tǒng)管理員 ）介紹 DOCA 和 BlueField 。這使學(xué)生能夠成功地與 DOCA 合作，創(chuàng)建由 BlueField DPU 支持的加速應(yīng)用程序和服務(wù)。

今天就試試 DOCA

現(xiàn)在即可使用 DOCA 軟件，并體驗(yàn) DOCA ，該軟件包括 DOCA SDK 和用于網(wǎng)絡(luò)、存儲(chǔ)和安全的運(yùn)行時(shí)加速庫(kù)。這些庫(kù)可幫助您編程在 DPU 上運(yùn)行的數(shù)據(jù)中心基礎(chǔ)架構(gòu)。

原文標(biāo)題：用 NVIDIA DOCA 1.2 構(gòu)建零信任安全基礎(chǔ)

文章出處：【微信公眾號(hào)：NVIDIA英偉達(dá)企業(yè)解決方案】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。