英偉達發布了 NVIDIA DOCA 1.2 軟件框架 NVIDIA BlueField DPU ，世界上最先進的數據處理器（ DPU ）。為使英偉達 BlueField 生態系統和開發者社區得以設計， DOCA 是通過提供服務來卸載、加速和隔離來自 CPU 的基礎設施應用服務的潛力來解開 DPU 的潛力的關鍵。

DOCA 是一個軟件框架，它將 API 、驅動程序、庫、示例代碼、文檔、服務和預打包容器結合在一起，以簡化和加快 BlueField DPU 上每個數據中心節點上的應用程序開發和部署。 DOCA 和 BlueField 共同創建了一個用于網絡、安全、存儲和基礎架構管理的獨立且安全的服務域，是實現零信任戰略的理想選擇。

DOCA 1.2 版本介紹了幾個重要功能和用例。

使用自適應云安全保護主機服務

基于 zero trust 原則的現代安全方法對于確保當今數據中心的安全至關重要，因為數據中心內的資源不再能夠自動信任。 App Shield 可檢測對系統中關鍵服務的攻擊。在許多系統中，這些關鍵服務負責確保許多應用程序執行的完整性和隱私性。

圖 1 。使用自適應云安全保護您的主機服務

DOCA App Shield 提供主機監控，使網絡安全供應商能夠創建加速入侵檢測系統（ IDS ）解決方案，以識別對任何物理或虛擬機的攻擊。它可以將有關應用程序狀態的數據提供給安全信息和事件管理（ SIEM ）或擴展檢測和響應（ XDR ）工具，還可以增強法醫調查。

如果主機受到威脅，攻擊者通常會利用安全控制機制漏洞橫向移動到數據中心網絡上的其他服務器和設備。 App Shield 使安全團隊能夠屏蔽其應用程序進程，持續驗證其完整性，進而檢測惡意活動。

如果攻擊者殺死機器安全代理的進程， App Shield 可以通過隔離受損主機來減輕攻擊，防止惡意軟件訪問機密數據或傳播到其他資源。 App Shield 是打擊網絡犯罪的一項重要進步，也是實現零信任安全立場的有效工具。

BlueField DPU 和 DOCA 軟件框架為合作伙伴和開發人員提供了建立零信任解決方案和解決現代數據中心安全需求的開放基礎。同時， DOCA 和 BlueField 為網絡、安全、存儲創建了一個隔離和安全的服務域，以及基礎架構管理，這是實現零信任戰略的理想選擇。

創建時間同步的數據中心

精確計時是從邊緣到核心啟用和加速分布式應用程序的關鍵功能。 DOCA Firefly 是一種數據中心計時服務，在任何地方都支持極其精確的時間同步。通過納秒級時鐘同步，您可以啟用一系列新的計時關鍵和延遲敏感應用程序。

圖 2 。精確時間同步數據中心服務

DOCA Firefly 解決了廣泛的使用案例，包括以下內容：

高頻交易

分布式數據庫

工業 5G 無線電接入網（ RAN ）

科學研究

高性能計算（ HPC ）

Omniverse 數字孿生兄弟

游戲

AR / VR

自動駕駛車輛

安全

它能夠實現數據一致性、準確的事件排序和因果關系分析，例如確保股票市場交易的正確順序和數字拍賣期間的公平競價。 BlueField 專用集成電路（ ASIC ）中的硬件引擎能夠以全速對數據包進行時間戳，精度達到突破性的納秒級。

按數量級提高數據中心計時的準確性提供了許多優勢。

通過全球同步數據中心，您可以加速分布式應用程序和數據分析，包括 AI 、 HPC 、專業媒體制作、電信虛擬網絡功能、，以及精確的事件監控。數據中心或跨數據中心的所有服務器都可以進行協調，以提供比任何單個計算節點都大得多的功能。

提高數據中心計時準確性的好處包括減少復制和驗證數據所需的計算能力和網絡流量。例如， Firefly 同步為分布式數據庫提供了 3 倍的數據庫性能增益。

DOCA HBN 測試版

BlueField DPU 是一款獨特的解決方案，用于在端點主機內進行網絡加速和策略實施。同時， BlueField 在主機操作系統和 DPU 上運行的功能之間提供了管理和軟件界限。

使用 DOCA 基于主機的網絡（ HBN ），機架頂部（ TOR ）網絡配置可以擴展到 DPU ，使網絡管理員能夠擁有 DPU 配置和管理，而應用程序管理可以由 x86 主機管理員單獨處理。這為重新思考如何構建數據中心網絡創造了前所未有的機會。

DOCA 1.2 為 HBN 提供了一個名為 DOCA （nl2doca）的新驅動程序，該驅動程序可以加速和卸載傳統的 Linux Netlink 消息。nl2doca是作為 HBN 服務容器的一部分集成的加速驅動程序提供的。現在，您可以加速依賴 DPDK 、 OVS 的 L2 和 L3 的主機聯網，或者現在使用 Netlink 進行內核路由。

NVIDIA 正在增加對開源自由距離路由（ FRR ）項目的支持，該項目在 DPU 上運行，并利用這個新的 nl2doca 驅動程序。這種支持使 DPU 能夠像 TOR 開關一樣工作，并帶來額外的好處。 DPU 上的 FRR 使 EVPN 網絡能夠直接移入主機，提供第 2 層（ VLAN ）擴展和第 3 層（ VRF ）租戶隔離。

DPU 上的 HBN 可以管理和監控同一節點上 VM 或容器之間的流量。它還可以分析和加密或解密，然后分析進出節點的流量，這兩項任務都是 ToR 交換機無法執行的。您可以在私有云中為集裝箱化、虛擬機和裸機工作負載構建自己的 Amazon VPC 解決方案。

HBN 與 BlueField DPU 的結合徹底改變了您構建數據中心網絡的方式。它提供以下好處：

Plug-and-play servers： 利用 FRR 的無編號 BGP ，服務器可以直接連接到網絡，而無需協調服務器到交換機的配置。無需 MLAG 、連接或 NIC 協作。

開放、可互操作的多租戶： EVPN 允許服務器到服務器或服務器切換覆蓋。這為裸機、封閉設備或任何虛擬機監控程序解決方案提供了多租戶解決方案，而不考慮底層網絡供應商。 EVPN 提供了分布式覆蓋配置，同時消除了對昂貴、專有、集中式 SDN 控制器的需求。

安全網絡管理： BlueField DPU 為網絡策略配置和實施提供了一個隔離的環境。主機上沒有軟件或依賴項。

啟用高級 HCI 和存儲網絡： BlueField 為 HCI 和存儲合作伙伴提供了一種簡單的方法，以解決多租戶和混合云解決方案的當前網絡難題，而不考慮虛擬機監控程序。

靈活的網絡卸載： HBN 提供的nl2doca驅動程序使任何支持 netlink 的應用程序都能夠卸載和加速基于內核的網絡，而不需要傳統 DPDK 庫的復雜性。

簡化 TOR 開關要求： 在服務器內的 DPU 上放置了更多的智能，降低了 TOR 交換機的復雜性。

其他 DOCA 1.2 SDK 更新：

DOCA 流量 – 防火墻（ Alpha ）

DOCA 流量 – 網關（測試版）

DOCA 流遠程 API

DOCA 1.2 包括 IPsec 和 TLS 的增強功能和擴展功能

DLI 課程：為 DPU BlueField 介紹 DOCA

此外， NVIDIA 正在推出一門深度學習學院（ DLI ）課程： BlueField DPU 的 DOCA 簡介 。 本課程的主要目的是向學生（包括開發人員、研究人員和系統管理員）介紹 DOCA 和 BlueField DPU 。這使學生能夠成功地與 DOCA 合作，創建由 BlueField DPU 支持的加速應用程序和服務。

今天就試試 DOCA

您現在可以使用 DOCA 軟件體驗 DOCA ，該軟件包括 DOCA SDK 和用于網絡、存儲和安全的運行時加速庫。這些庫可幫助您編程在 DPU 上運行的數據中心基礎架構。

關于作者

Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后，目前擔任 NVIDIA 的產品營銷總監。 Scott 在產品營銷和產品管理方面擁有 20 多年的經驗，擅長在高增長環境下啟動新的業務線，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學院獲得生物醫學計算學士學位，在巴布森學院獲得市場營銷工商管理碩士學位。

Ariel Kit 是 NVIDIA 網絡產品營銷總監。 Ariel 負責管理 NVIDIA BlueField DPU 軟件組合和網絡安全的戰略和交付。 Ariel 在網絡安全和嵌入式片上系統領域擁有 6 年以上的產品開發經驗，并擁有 12 年以上的研發管理經驗。他有學士學位。通信系統工程和工商管理碩士。

審核編輯：郭婷