0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

利用 NVIDIA DOCA 2.0 改变 IPsec 的部署

NVIDIA英伟达 来源:未知 2023-05-15 23:35 次阅读

NVIDIA DOCA 2.0 已于 2023 年 3 月发布,它是适用于 BlueField DPU 的最新版本 NVIDIA SDK。NVIDIA DOCA 和 BlueField DPU 共同加速了应用程序的开发,通过一个全面、开放的开发平台实现突破性的网络、安全和存储性能。

NVIDIA DOCA 2.0 新增了对 BlueField-3 数据路径加速器(DPA)子系统的支持,并增强了 DOCA 存储仿真和 VirtIO 仿真功能。DOCA 2.0 还引入了新的 GPUNetIO 库、IPsec 加密和解密库,并为 DOCA Flow 库添加了功能。

正如在最近的 NVIDIA GTC 大会上所公布的那样,NVIDIA DOCA 2.0 为 BlueField-3 DPU 提供了许多以安全为重点的用例。本文将讨论工作负载的转换,以及 DOCA 和 BlueField DPU 如何共同实现新的性能和效率水平。我们首先回顾全新的 DOCA IPsec 库,以及它如何为您提供创建下一代 IPsec 安全解决方案的机会。

传统 IPsec 解决方案

IPsec 是一种流行的协议,用于通过互联网和数据中心内的服务器之间进行安全通信。它为加密、解密和身份验证提供了一种强大的机制。这使其成为保护传输中数据的理想解决方案,保护 IP 数据包上运行的任何流量免受未经授权的访问、篡改或窃听。

IPsec 可以通过各种方式进行部署。在传统部署中,它通常使用专用硬件来实现。这种硬件通常安装在网络网关上,例如路由器或防火墙。它通常可以提供快速的性能,但缺乏基础设施的灵活性,除非在这些固定路由器或防火墙之间运行,否则无法保护流量。随着网络基础设施的变化,它还需要重新配置或更换。这一耗时的过程需要大量资源,还可能导致网络停机。

虽然 IPsec 的专用硬件部署能够有效的确保网络通信的安全,但也存在一些缺点。IPsec 所需的专用硬件通常成本高昂,且需要专业知识才能进行安装和配置。

解决方案的可扩展性和性能也往往受到限制。随着组织的发展和网络流量的增加,使用专用硬件的系统部署缓慢,容量和功能也受到限制,从而导致性能或功能瓶颈,并降低网络性能。

另一方面,基于 CPU 的 IPsec 处理易于部署,但也有其自身的负担,无法跟上应用程序的流量。对安全和高速通信需求的增加将影响更广泛的应用程序和系统性能。

由于必须对每个数据包进行加密和解密,IPsec 增加了网络流量的开销。IPsec 的额外开销和处理需求增加了网络延迟,影响了应用程序的响应速度和用户体验。

使用 NVIDIA BlueField DPU 来部署 IPsec

随着 NVIDIA DOCA 和新开发的 IPsec 库的出现,IPsec 现在可以通过卸载到 NVIDIA BlueField DPU 来进行部署。这是一个范式的转变,与传统 IPsec 部署形成了鲜明的对比。这种演变为开发人员和合作伙伴提供了新的优势,并凸显了 BlueField DPU 如何为企业领域的客户带来益处。

BlueField DPU 提供了一种可编程解决方案,可用于从 CPU 卸载网络处理任务。在使用 IPsec 的情况下,DPU 可以以多种方式改进 IPsec 过程,同时加速网络流量的加密和解密。

将 IPsec 卸载到 BlueField DPU 可以提高 IPsec 性能,简化网络管理并减少管理开销,从而释放 CPU 来处理其他任务。加密/解密过程以及任何其他网络安全任务现已与服务器的 CPU 和应用程序域隔离。这使得安全性更具弹性,并且更容易检测对手是否在攻击服务器。

在当今的数据中心中,效率和有效性仍然很重要。作为回应,下一代解决方案必须具有可扩展性、灵活性和可组合性。BlueField DPU 可以进行编程,以处理特定的网络相关处理任务,并支持广泛的网络协议和加密算法例如,DPU 可以执行数据包路由、数据包检查或负载均衡功能,同时还可以加速 IPsec。

随着网络基础设施的发展,无需为每个新功能需求而更换硬件。BlueField DPU 提供了高度可扩展、可定制且具有成本效益的产品

04be714e-f336-11ed-90ce-dac502259ad0.png

图 1 . NVIDIA DOCA 2.0 软件框架

用于分布式防火墙的 BlueField-3 DPU、

NVIDIA DOCA 2.0 和 IPsec

对于实际用例,请查看具有加速 IPsec 加密和解密功能的防火墙。在此类部署中,将 IPsec 处理卸载到 BlueField-3 DPU 可为网络基础设施带来显著优势。

正如之前提到的,IPsec 提供了一系列功能来保护 IP 数据包免受未经授权的访问、篡改和窃听。这些 CPU 密集型功能意味着卸载是一个有吸引力的解决方案。

在基于软件的分布式防火墙中,通过卸载到 BlueField-3 DPU 可以优化操作并加速性能。可信流量被卸载到 DPU,并使用 IPsec 协议发送到接收主机。这降低了 CPU 的利用率,并快速、高效地管理可信流量。其他流量仍然需要进行威胁检查,通过防火墙逻辑进行路由。

由于 CPU 不再管理 IPsec 流量,因此该过程现已得到了优化,并为防火墙提供了更好的应用程序性能。通过在 DPU 上终止 IPsec 连接,您可以执行网络检查。如果服务器仅仅通过所有 IPsec 加密的流量而不解密,这将是不可能的。

就下一代防火墙(NGFW)的开发而言,新的 DOCA IPsec 库中包含的资源池有助于简化流程并缩短上市时间。这些资源组合有助于创建更高效的控制平面,从而提供更大的规模和更高的性能,以达到数千个并发连接。

除了 NGFW 之外,新的 DOCA IPsec 库可以用于通过 NVIDIA DPU 在各种用例中使用 IPsec 交付:

  • 虚拟专用网络(VPN)网关

  • 入侵检测和预防系统(IDPS)

  • 用于负载均衡和微分段的加密

DOCA IPsec 也可用于存储网络加密和东西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA:

为企业带来益处

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相结合来增加了商业和技术价值的用例之一:

  • 减少资源利用率,以便您有更多的时间用于其他项目。

  • 缩短上市时间,为应用程序开发者和系统集成商提供潜在的竞争优势。

  • 在不对 CPU 使用产生任何重大影响的情况下,加速根进程,从而获得技术进步。

总结

NVIDIA DOCA SDK 是 BlueField-3 DPU 的实现平台。使用 NVIDIA DOCA 组件(API、运行时、库和驱动程序)有助于加快应用程序的开发。与 NVIDIA DPU 一起使用,它提供了以前无法实现的性能水平。

观看下方视频,了解更多关于 NVIDIA DOCA 的信息

有兴趣使用 DOCA IPsec API 为 BlueField DPU 开发安全应用程序吗?扫描下方二维码查看 NVIDIA DOCA IPsec 编程指南。

04cdd8b4-f336-11ed-90ce-dac502259ad0.png

想要与更多 DOCA 开发者交流学习,请扫描下方二维码加入我们的论坛

04d95ab8-f336-11ed-90ce-dac502259ad0.jpg

点击“阅读原文”扫描下方二维码,立刻注册体验 NVIDIA DOCA!

04f2a7c0-f336-11ed-90ce-dac502259ad0.png

04fd32da-f336-11ed-90ce-dac502259ad0.gif    NVIDIA DOCA 往期精彩内容 NVIDIA DOCA 应用代码分享活动开启注册!
借助 NVIDIA DPU 和 NVIDIA DOCA 为人工智能时代的数据中心带来变革
使用 NVIDIA DOCA GPUNetIO 进行内联 GPU 数据包处理
了解何时使用 DOCA 驱动程序和 DOCA 库


原文标题:利用 NVIDIA DOCA 2.0 改变 IPsec 的部署

文章出处:【微信公众号:NVIDIA英伟达】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 英伟达
    +关注

    关注

    22

    文章

    3771

    浏览量

    90995

原文标题:利用 NVIDIA DOCA 2.0 改变 IPsec 的部署

文章出处:【微信号:NVIDIA_China,微信公众号:NVIDIA英伟达】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    NVIDIA DOCA 2.9版本的亮点解析

    NVIDIA DOCA通过为开发者提供全面的软件框架以利用硬件加速来增强 NVIDIA 网络平台的功能,从而提高性能、安全性和效率。其 API、库和工具生态系统简化了数据中心基础设施的
    的头像 发表于 11-27 11:15 300次阅读
    <b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> 2.9版本的亮点解析

    NVIDIA DOCA-OFED的主要特性

    NVIDIA DOCA 软件平台释放了 NVIDIA BlueField 网络平台的潜力,并为NVIDIA BlueField和ConnectX设备提供了所需的所有主机驱动程序。
    的头像 发表于 11-09 13:50 257次阅读

    NVIDIA NIM助力企业高效部署生成式AI模型

    Canonical、Nutanix 和 Red Hat 等厂商的开源 Kubernetes 平台集成了 NVIDIA NIM,将允许用户通过 API 调用来大规模地部署大语言模型。
    的头像 发表于 10-10 09:49 385次阅读

    IPSec VPN的含义与原理

    IPSec VPN(Internet Protocol Security Virtual Private Network),即基于IPSec协议的虚拟专用网络,是一种在公共网络上建立安全加密连接
    的头像 发表于 10-08 09:52 645次阅读

    IB Verbs和NVIDIA DOCA GPUNetIO性能测试

    NVIDIA DOCA GPUNetIO 是 NVIDIA DOCA SDK 中的一个库,专门为实时在线 GPU 数据包处理而设计。它结合了 GPUDirect RDMA 和 GPUD
    的头像 发表于 08-23 17:03 593次阅读
    IB Verbs和<b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> GPUNetIO性能测试

    InRouter与Juniper SRX如何建立IPSec隧道配置?

    拓扑图中左侧为LTE 4G 无线路由器,4G路由器使用SIM卡拨号上网,获得运营商分配的动态私网IP地址。右侧为企业数据中心部署Juniper SRX防火墙,通过企业专线接入了互联网,并且使用静态
    发表于 07-25 07:32

    NVIDIA 通过 Holoscan 为 NVIDIA IGX 提供企业软件支持

    Enterprise-IGX软件现已在NVIDIA IGX平台上正式可用,以满足工业边缘对实时 AI 计算日益增长的需求。它们将共同帮助医疗、工业和科学计算领域的解决方案提供商利用企业级软件和支持来加快开发
    的头像 发表于 06-04 10:21 497次阅读

    SSL 、IPSec、MPLS和SD-WAN的对比分析

      VPN类型 实现方式  应用场景  优势 SSL VPN 基于SSL/TLS协议 传输层加密 远程访问企业 内部资源 易于部署和管理 无需额外客户端 IPSec VPN 基于IPsec协议,网络
    的头像 发表于 05-30 15:02 1720次阅读

    借助NVIDIA DOCA 2.7增强AI 云数据中心和NVIDIA Spectrum-X

    NVIDIA DOCA 加速框架为开发者提供了丰富的库、驱动和 API,以便为 NVIDIA BlueField DPU 和 SuperNIC 创建高性能的应用程序和服务。
    的头像 发表于 05-29 09:22 486次阅读

    NVIDIA数字人技术加速部署生成式AI驱动的游戏角色

    NVIDIA 在 GDC 2024 大会上宣布,Inworld AI 等领先的 AI 应用程序开发者,正在使用 NVIDIA 数字人技术加速部署生成式 AI 驱动的游戏角色。
    的头像 发表于 04-09 10:08 663次阅读
    <b class='flag-5'>NVIDIA</b>数字人技术加速<b class='flag-5'>部署</b>生成式AI驱动的游戏角色

    SD-WAN组网和IPsec组网的主要区别

    SD-WAN组网和IPsec组网的主要区别 网络在不断发展,组网技术也在不断演进。在过去,随着企业规模扩大和分布式部署的需求增加,IPsec(Internet协议安全性)成为一种被广泛采用的组网
    的头像 发表于 03-28 15:02 1905次阅读

    基于NVIDIA DOCA 2.6实现高性能和安全的AI云设计

    作为专为 NVIDIA® BlueField® 网络平台而设计的数据中心基础设施软件框架,NVIDIA® DOCA™ 使广大开发者能够利用其行业标准 API 在
    的头像 发表于 02-23 10:02 470次阅读

    sdwan和ipsec组网的区别

    sdwan和ipsec组网的区别  SD-WAN和IPsec都是用于网络组网的技术,但它们在实现和功能上有很大的区别。本文将详细介绍SD-WAN和IPsec的定义、原理、优缺点以及使用场景,帮助读者
    的头像 发表于 01-17 15:37 2167次阅读

    利用NVIDIA产品技术组合提升用户体验

    本案例通过利用NVIDIA TensorRT-LLM加速指令识别深度学习模型,并借助NVIDIA Triton推理服务器在NVIDIA V100 GPU上进行高效
    的头像 发表于 01-17 09:30 687次阅读

    NVIDIA DOCA 2.5 长期支持版本发布

    基础设施开发者的全面软件框架,NVIDIA DOCA 已被领先的云服务提供商、企业和 ISV 创新者所采用,为开发、优化和部署基于 NVIDIA BlueField 系列产品的加速应
    的头像 发表于 12-26 18:25 406次阅读
    <b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> 2.5 长期支持版本发布