用NVIDIA DOCA 1.2软件框架实现零信任战略

英伟达发布了 NVIDIA DOCA 1.2 软件框架 NVIDIA BlueField DPU ，世界上最先进的数据处理器（ DPU ）。为使英伟达 BlueField 生态系统和开发者社区得以设计， DOCA 是通过提供服务来卸载、加速和隔离来自 CPU 的基础设施应用服务的潜力来解开 DPU 的潜力的关键。

DOCA 是一个软件框架，它将 API 、驱动程序、库、示例代码、文档、服务和预打包容器结合在一起，以简化和加快 BlueField DPU 上每个数据中心节点上的应用程序开发和部署。 DOCA 和 BlueField 共同创建了一个用于网络、安全、存储和基础架构管理的独立且安全的服务域，是实现零信任战略的理想选择。

DOCA 1.2 版本介绍了几个重要功能和用例。

使用自适应云安全保护主机服务

基于 zero trust 原则的现代安全方法对于确保当今数据中心的安全至关重要，因为数据中心内的资源不再能够自动信任。 App Shield 可检测对系统中关键服务的攻击。在许多系统中，这些关键服务负责确保许多应用程序执行的完整性和隐私性。

图 1 。使用自适应云安全保护您的主机服务

DOCA App Shield 提供主机监控，使网络安全供应商能够创建加速入侵检测系统（ IDS ）解决方案，以识别对任何物理或虚拟机的攻击。它可以将有关应用程序状态的数据提供给安全信息和事件管理（ SIEM ）或扩展检测和响应（ XDR ）工具，还可以增强法医调查。

如果主机受到威胁，攻击者通常会利用安全控制机制漏洞横向移动到数据中心网络上的其他服务器和设备。 App Shield 使安全团队能够屏蔽其应用程序进程，持续验证其完整性，进而检测恶意活动。

如果攻击者杀死机器安全代理的进程， App Shield 可以通过隔离受损主机来减轻攻击，防止恶意软件访问机密数据或传播到其他资源。 App Shield 是打击网络犯罪的一项重要进步，也是实现零信任安全立场的有效工具。

BlueField DPU 和 DOCA 软件框架为合作伙伴和开发人员提供了建立零信任解决方案和解决现代数据中心安全需求的开放基础。同时， DOCA 和 BlueField 为网络、安全、存储创建了一个隔离和安全的服务域，以及基础架构管理，这是实现零信任战略的理想选择。

创建时间同步的数据中心

精确计时是从边缘到核心启用和加速分布式应用程序的关键功能。 DOCA Firefly 是一种数据中心计时服务，在任何地方都支持极其精确的时间同步。通过纳秒级时钟同步，您可以启用一系列新的计时关键和延迟敏感应用程序。

图 2 。精确时间同步数据中心服务

DOCA Firefly 解决了广泛的使用案例，包括以下内容：

高频交易

分布式数据库

工业 5G 无线电接入网（ RAN ）

科学研究

高性能计算（ HPC ）

Omniverse 数字孪生兄弟

游戏

AR / VR

自动驾驶车辆

安全

它能够实现数据一致性、准确的事件排序和因果关系分析，例如确保股票市场交易的正确顺序和数字拍卖期间的公平竞价。 BlueField 专用集成电路（ ASIC ）中的硬件引擎能够以全速对数据包进行时间戳，精度达到突破性的纳秒级。

按数量级提高数据中心计时的准确性提供了许多优势。

通过全球同步数据中心，您可以加速分布式应用程序和数据分析，包括 AI 、 HPC 、专业媒体制作、电信虚拟网络功能、，以及精确的事件监控。数据中心或跨数据中心的所有服务器都可以进行协调，以提供比任何单个计算节点都大得多的功能。

提高数据中心计时准确性的好处包括减少复制和验证数据所需的计算能力和网络流量。例如， Firefly 同步为分布式数据库提供了 3 倍的数据库性能增益。

DOCA HBN 测试版

BlueField DPU 是一款独特的解决方案，用于在端点主机内进行网络加速和策略实施。同时， BlueField 在主机操作系统和 DPU 上运行的功能之间提供了管理和软件界限。

使用 DOCA 基于主机的网络（ HBN ），机架顶部（ TOR ）网络配置可以扩展到 DPU ，使网络管理员能够拥有 DPU 配置和管理，而应用程序管理可以由 x86 主机管理员单独处理。这为重新思考如何构建数据中心网络创造了前所未有的机会。

DOCA 1.2 为 HBN 提供了一个名为 DOCA （nl2doca）的新驱动程序，该驱动程序可以加速和卸载传统的 Linux Netlink 消息。nl2doca是作为 HBN 服务容器的一部分集成的加速驱动程序提供的。现在，您可以加速依赖 DPDK 、 OVS 的 L2 和 L3 的主机联网，或者现在使用 Netlink 进行内核路由。

NVIDIA 正在增加对开源自由距离路由（ FRR ）项目的支持，该项目在 DPU 上运行，并利用这个新的 nl2doca 驱动程序。这种支持使 DPU 能够像 TOR 开关一样工作，并带来额外的好处。 DPU 上的 FRR 使 EVPN 网络能够直接移入主机，提供第 2 层（ VLAN ）扩展和第 3 层（ VRF ）租户隔离。

DPU 上的 HBN 可以管理和监控同一节点上 VM 或容器之间的流量。它还可以分析和加密或解密，然后分析进出节点的流量，这两项任务都是 ToR 交换机无法执行的。您可以在私有云中为集装箱化、虚拟机和裸机工作负载构建自己的 Amazon VPC 解决方案。

HBN 与 BlueField DPU 的结合彻底改变了您构建数据中心网络的方式。它提供以下好处：

Plug-and-play servers： 利用 FRR 的无编号 BGP ，服务器可以直接连接到网络，而无需协调服务器到交换机的配置。无需 MLAG 、连接或 NIC 协作。

开放、可互操作的多租户： EVPN 允许服务器到服务器或服务器切换覆盖。这为裸机、封闭设备或任何虚拟机监控程序解决方案提供了多租户解决方案，而不考虑底层网络供应商。 EVPN 提供了分布式覆盖配置，同时消除了对昂贵、专有、集中式 SDN 控制器的需求。

安全网络管理： BlueField DPU 为网络策略配置和实施提供了一个隔离的环境。主机上没有软件或依赖项。

启用高级 HCI 和存储网络： BlueField 为 HCI 和存储合作伙伴提供了一种简单的方法，以解决多租户和混合云解决方案的当前网络难题，而不考虑虚拟机监控程序。

灵活的网络卸载： HBN 提供的nl2doca驱动程序使任何支持 netlink 的应用程序都能够卸载和加速基于内核的网络，而不需要传统 DPDK 库的复杂性。

简化 TOR 开关要求： 在服务器内的 DPU 上放置了更多的智能，降低了 TOR 交换机的复杂性。

其他 DOCA 1.2 SDK 更新：

DOCA 流量 – 防火墙（ Alpha ）

DOCA 流量 – 网关（测试版）

DOCA 流远程 API

DOCA 1.2 包括 IPsec 和 TLS 的增强功能和扩展功能

DLI 课程：为 DPU BlueField 介绍 DOCA

此外， NVIDIA 正在推出一门深度学习学院（ DLI ）课程： BlueField DPU 的 DOCA 简介 。 本课程的主要目的是向学生（包括开发人员、研究人员和系统管理员）介绍 DOCA 和 BlueField DPU 。这使学生能够成功地与 DOCA 合作，创建由 BlueField DPU 支持的加速应用程序和服务。

今天就试试 DOCA

您现在可以使用 DOCA 软件体验 DOCA ，该软件包括 DOCA SDK 和用于网络、存储和安全的运行时加速库。这些库可帮助您编程在 DPU 上运行的数据中心基础架构。

关于作者

Scott Ciccone 于 2020 年作为 Cumulus Networks 收购的一部分加入后，目前担任 NVIDIA 的产品营销总监。 Scott 在产品营销和产品管理方面拥有 20 多年的经验，擅长在高增长环境下启动新的业务线，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在罗切斯特理工学院获得生物医学计算学士学位，在巴布森学院获得市场营销工商管理硕士学位。

Ariel Kit 是 NVIDIA 网络产品营销总监。 Ariel 负责管理 NVIDIA BlueField DPU 软件组合和网络安全的战略和交付。 Ariel 在网络安全和嵌入式片上系统领域拥有 6 年以上的产品开发经验，并拥有 12 年以上的研发管理经验。他有学士学位。通信系统工程和工商管理硕士。

审核编辑：郭婷