利用 NVIDIA DOCA 2.0 改變 IPsec 的部署

NVIDIA DOCA 2.0 已於 2023 年 3 月釋出，它是適用於 BlueField DPU 的最新版本 NVIDIA SDK。 NVIDIA DOCA 和 BlueField DPU 共同加速了應用程式的開發，透過一個全面、開放的開發平臺實現突破性的網路、安全和儲存效能。

NVIDIA DOCA 2.0 新增了對 BlueField-3 資料路徑加速器(DPA)子系統的支援，並增強了 DOCA 儲存模擬和 VirtIO 模擬功能。DOCA 2.0 還引入了新的 GPUNetIO 庫、IPsec 加密和解密庫，併為 DOCA Flow 庫新增了功能。

正如在最近的 NVIDIA GTC 大會上所公佈的那樣，NVIDIA DOCA 2.0 為 BlueField-3 DPU 提供了許多以安全為重點的用例。本文將討論工作負載的轉換，以及 DOCA 和 BlueField DPU 如何共同實現新的效能和效率水平。我們首先回顧全新的 DOCA IPsec 庫，以及它如何為您提供建立下一代 IPsec 安全解決方案的機會。

傳統 IPsec 解決方案

IPsec 是一種流行的協議，用於透過網際網路和資料中心內的伺服器之間進行安全通訊。它為加密、解密和身份驗證提供了一種強大的機制。這使其成為保護傳輸中資料的理想解決方案，保護 IP 資料包上執行的任何流量免受未經授權的訪問、篡改或竊聽。

IPsec 可以透過各種方式進行部署。在傳統部署中，它通常使用專用硬體來實現。這種硬體通常安裝在網路閘道器上，例如路由器或防火牆。它通常可以提供快速的效能，但缺乏基礎設施的靈活性，除非在這些固定路由器或防火牆之間執行，否則無法保護流量。隨著網路基礎設施的變化，它還需要重新配置或更換。這一耗時的過程需要大量資源，還可能導致網路停機。

雖然 IPsec 的專用硬體部署能夠有效的確保網路通訊的安全，但也存在一些缺點。IPsec 所需的專用硬體通常成本高昂，且需要專業知識才能進行安裝和配置。

解決方案的可擴充套件性和效能也往往受到限制。隨著組織的發展和網路流量的增加，使用專用硬體的系統部署緩慢，容量和功能也受到限制，從而導致效能或功能瓶頸，並降低網路效能。

另一方面，基於 CPU 的 IPsec 處理易於部署，但也有其自身的負擔，無法跟上應用程式的流量。對安全和高速通訊需求的增加將影響更廣泛的應用程式和系統效能。

由於必須對每個資料包進行加密和解密，IPsec 增加了網路流量的開銷。IPsec 的額外開銷和處理需求增加了網路延遲，影響了應用程式的響應速度和使用者體驗。

使用 NVIDIA BlueField DPU 來部署 IPsec

隨著 NVIDIA DOCA 和新開發的 IPsec 庫的出現，IPsec 現在可以透過解除安裝到 NVIDIA BlueField DPU 來進行部署。這是一個正規化的轉變，與傳統 IPsec 部署形成了鮮明的對比。這種演變為開發人員和合作夥伴提供了新的優勢，並凸顯了 BlueField DPU 如何為企業領域的客戶帶來益處。

BlueField DPU 提供了一種可程式設計解決方案，可用於從 CPU 解除安裝網路處理任務。在使用 IPsec 的情況下，DPU 可以以多種方式改進 IPsec 過程，同時加速網路流量的加密和解密。

將 IPsec 解除安裝到 BlueField DPU 可以提高 IPsec 效能，簡化網路管理並減少管理開銷，從而釋放 CPU 來處理其他任務。加密/解密過程以及任何其他網路安全任務現已與伺服器的 CPU 和應用程式域隔離。這使得安全性更具彈性，並且更容易檢測對手是否在攻擊伺服器。

在當今的資料中心中，效率和有效性仍然很重要。作為回應，下一代解決方案必須具有可擴充套件性、靈活性和可組合性。 BlueField DPU 可以進行程式設計，以處理特定的網路相關處理任務，並支援廣泛的網路協議和加密演算法。例如，DPU 可以執行資料包路由、資料包檢查或負載均衡功能，同時還可以加速 IPsec。

隨著網路基礎設施的發展，無需為每個新功能需求而更換硬體。BlueField DPU 提供了高度可擴充套件、可定製且具有成本效益的產品。

圖 1 . NVIDIA DOCA 2.0 軟體框架

用於分散式防火牆的 BlueField-3 DPU、NVIDIA DOCA 2.0 和 IPsec

對於實際用例，請檢視具有加速 IPsec 加密和解密功能的防火牆。在此類部署中，將 IPsec 處理解除安裝到 BlueField-3 DPU 可為網路基礎設施帶來顯著優勢。

正如之前提到的，IPsec 提供了一系列功能來保護 IP 資料包免受未經授權的訪問、篡改和竊聽。這些 CPU 密集型功能意味著解除安裝是一個有吸引力的解決方案。

在基於軟體的分散式防火牆中，透過解除安裝到 BlueField-3 DPU 可以最佳化操作並加速效能。可信流量被解除安裝到 DPU，並使用 IPsec 協議傳送到接收主機。這降低了 CPU 的利用率，並快速、高效地管理可信流量。其他流量仍然需要進行威脅檢查，透過防火牆邏輯進行路由。

由於 CPU 不再管理 IPsec 流量，因此該過程現已得到了最佳化，併為防火牆提供了更好的應用程式效能。透過在 DPU 上終止 IPsec 連線，您可以執行網路檢查。如果伺服器僅僅透過所有 IPsec 加密的流量而不解密，這將是不可能的。

就下一代防火牆(NGFW)的開發而言，新的 DOCA IPsec 庫中包含的資源池有助於簡化流程並縮短上市時間。這些資源組合有助於建立更高效的控制平面，從而提供更大的規模和更高的效能，以達到數千個併發連線。

除了 NGFW 之外，新的 DOCA IPsec 庫可以用於透過 NVIDIA DPU 在各種用例中使用 IPsec 交付：

虛擬專用網路(VPN)閘道器

入侵檢測和預防系統(IDPS)

用於負載均衡和微分段的加密

DOCA IPsec 也可用於儲存網路加密和東西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA：為企業帶來益處

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相結合來增加了商業和技術價值的用例之一：

減少資源利用率，以便您有更多的時間用於其他專案。

縮短上市時間，為應用程式開發者和系統整合商提供潛在的競爭優勢。

在不對 CPU 使用產生任何重大影響的情況下，加速根程式，從而獲得技術進步。

總結

NVIDIA DOCA SDK 是 BlueField-3 DPU 的實現平臺。使用 NVIDIA DOCA 元件(API、執行時、庫和驅動程式)有助於加快應用程式的開發。與 NVIDIA DPU 一起使用，它提供了以前無法實現的效能水平。