NVIDIA DOCA 1.3增強網(wǎng)絡和安全基礎設施服務

NVIDIA DOCA 軟件框架提供了一個全面、開放的開發(fā)平臺，以加速 NVIDIA BlueField DPU 應用程序的創(chuàng)建。 NVIDIA DOCA 持續(xù)獲得動力，并突破數(shù)據(jù)中心的界限，卸載、加速和隔離網(wǎng)絡、存儲、安全和管理基礎設施。 NVIDIA DOCA 1.3 軟件框架的發(fā)布側(cè)重于軟件的全新和增強功能。

NVIDIA DOCA 1.3 的主要功能

具有優(yōu)化流插入的 NVIDIA DOCA FLOW 庫

NVIDIA DOCA 通信通道（Communication Channel）庫

NVIDIA DOCA 正則表達式（RegEx）庫

NVIDIA DOCA App Shield SDK

OVN IPsec 加密完全卸載

新增和增強的 NVIDIA DOCA 服務包括：

NVIDIA DOCA 遙測（Telemetry）

NVIDIA DOCA 基于主機的網(wǎng)絡（Host Based Networking）

NVIDIA DOCA 流量檢測器（Flow Inspector）

具有優(yōu)化流插入的 NVIDIA DOCA FLOW

NVIDIA DOCA FLOW 是一種用于網(wǎng)絡加速的抽象層 API 。 NVIDIA DOCA FLOW 是在硬件中構(gòu)建通用 SDN 執(zhí)行管道的最基本 API 。

NVIDIA DOCA FLOW 的主要目標是為數(shù)據(jù)平面應用程序中的快速數(shù)據(jù)包處理提供一個簡單、完整的框架。 API 通過創(chuàng)建抽象層為特定環(huán)境提供了一組庫。 NVIDIA DOCA FLOW 可以輕松開發(fā)硬件加速的應用程序，這些應用程序可以匹配多達兩層的隧道數(shù)據(jù)包。

隨著優(yōu)化流插入（ OFI ）的加入， NVIDIA DOCA FLOW 現(xiàn)在提供了一種新的方式來管理 NVIDIA BlueField DPU 的數(shù)據(jù)包轉(zhuǎn)發(fā)表，并提供了幾個額外的好處。其中包括提高流插入速率，可將性能提高 10 倍以上，擴展到超過1百萬個規(guī)則/秒。改進的安全態(tài)勢消除了劫持底層驅(qū)動程序的能力，并提供更大的靈活性。

NVIDIA DOCA 通信通道

此版本還引入了 NVIDIA DOCA 通信通道（Communication Channel），以實現(xiàn)安全、靈活和高效的應用程序卸載。 NVIDIA DOCA 通信通道用于主機軟件和 NVIDIA BlueField DPU 上運行的 NVIDIA DOCA 服務之間的隔離通信。例如，這使 Windows VM 能夠與 NVIDIA BlueField DPU Arm 處理器上的服務進行安全通信，而無需利用常規(guī)網(wǎng)絡堆棧和冒險暴露于惡意活動。 NVIDIA DOCA 服務從這種通信方法中受益的例子包括流服務、遙測、App Shield監(jiān)控、遠程 API 編排和流檢測。

正則表達式（RegEx）庫

正則表達式，也稱為 RegEx ，是許多腳本語言中使用的標準模式匹配工具。有了它，您可以創(chuàng)建與文本模式匹配的過濾器，而不僅僅是單個單詞或短語。 RegEx 專為高吞吐量、低延遲的深度數(shù)據(jù)包檢測應用程序而設計，這些應用程序需要數(shù)據(jù)包有效負載檢測和異常監(jiān)測，這可以通過使用 RegEx 模式匹配和字符串匹配來實現(xiàn)。 NVIDIA DOCA 正則表達式庫是一個重要的安全和遙測功能，現(xiàn)已在 NVIDIA DOCA 1.3 中使用。

NVIDIA DOCA App Shield

NVIDIA DOCA App Shield 在 NVIDIA DOCA 1.2 中是為早期 訪問開發(fā)者而引入，并在 NVIDIA DOCA 1.3 版本中得到了增強。

App Shield 為網(wǎng)絡安全供應商提供主機監(jiān)控，以創(chuàng)建加速入侵檢測系統(tǒng)解決方案，識別對任何物理或虛擬機的攻擊。它可以將數(shù)據(jù)應用程序狀態(tài)提供給安全信息及事件管理或擴展的檢測及響應工具。它還可以增強取證調(diào)查和事件響應。

安全團隊可以保護他們的應用程序進程，持續(xù)驗證完整性，并使用 App Shield 檢測惡意活動。如果攻擊者強制終止機器安全代理的進程， App Shield 可以隔離受感染的主機，阻止惡意軟件訪問機密數(shù)據(jù)或傳播到其他資源。 App Shield 是打擊網(wǎng)絡犯罪的重要進展，也是實現(xiàn)零信任安全的有效工具。

NVIDIA DOCA 1.3 現(xiàn)已提供了 App Shield 庫，其中包含一個參考應用程序和一個支持早期訪問成員的用戶指南。

OVN IPsec 加密完全卸載

NVIDIA DOCA 1.3 包括對現(xiàn)有 OVN 部署的支持，以加速 IPsec 數(shù)據(jù)路徑數(shù)據(jù)包處理。 OVN 在物理設備之間建立網(wǎng)絡隧道數(shù)據(jù)包，并為網(wǎng)絡中所有 OVN 隧道傳輸?shù)?IPsec 加密提供單一的全局配置選項。 NVIDIA DOCA 1.3 更新了驅(qū)動程序和運行時組件，以卸載 IPSec 數(shù)據(jù)包加密和解密以及 HMAC 身份驗證，所有這些都基于 NVIDIA BlueField DPU 實現(xiàn)了零占用主機 CPU 資源。

基于主機的網(wǎng)絡

在 NVIDIA BlueField DPU 上，基于主機的網(wǎng)絡（ HBN ）有助于管理和監(jiān)控同一節(jié)點上虛擬機或容器之間的流量。它還分析和加密（或解密，然后分析）進出節(jié)點的流量 – 任何 ToR 交換機都無法執(zhí)行的任務。

采用 NVIDIA BlueField DPU 的HBN 功能徹底改變了客戶構(gòu)建和思考數(shù)據(jù)中心網(wǎng)絡的方式，隨著 NVIDIA BlueField DPU 智能化程度的提高，降低了對 ToR 交換機的要求。 NVIDIA BlueField DPU 還為網(wǎng)絡策略的配置和實施提供了一個隔離的環(huán)境，且無需軟件或依賴于主機。

其他 NVIDIA DOCA 1.3 SDK 更新

支持多主機鏈路聚合組（LAG）

VirtIO增強功能

社區(qū)

NVIDIA DOCA 通過提供行業(yè)標準的開放 API 和框架，以及對 NVIDIA DOCA 庫和服務的持續(xù)改進，為開發(fā)人員提供開放生態(tài)系統(tǒng)。想要了解更多有關社區(qū)的信息，或為 NVIDIA NGC 目錄的創(chuàng)新做出貢獻，請加入我們的論壇。

關于作者

Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后，目前擔任 NVIDIA 的產(chǎn)品營銷總監(jiān)。 Scott 在產(chǎn)品營銷和產(chǎn)品管理方面擁有 20 多年的經(jīng)驗，擅長在高增長環(huán)境下啟動新的業(yè)務線，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學院獲得生物醫(yī)學計算學士學位，在巴布森學院獲得市場營銷工商管理碩士學位。

審核編輯：郭婷