利用 NVIDIA DOCA 2.0 改变 IPsec 的部署

NVIDIA DOCA 2.0 已于 2023 年 3 月发布，它是适用于 BlueField DPU 的最新版本 NVIDIA SDK。NVIDIA DOCA 和 BlueField DPU 共同加速了应用程序的开发，通过一个全面、开放的开发平台实现突破性的网络、安全和存储性能。

NVIDIA DOCA 2.0 新增了对 BlueField-3 数据路径加速器（DPA）子系统的支持，并增强了 DOCA 存储仿真和 VirtIO 仿真功能。DOCA 2.0 还引入了新的 GPUNetIO 库、IPsec 加密和解密库，并为 DOCA Flow 库添加了功能。

正如在最近的 NVIDIA GTC 大会上所公布的那样，NVIDIA DOCA 2.0 为 BlueField-3 DPU 提供了许多以安全为重点的用例。本文将讨论工作负载的转换，以及 DOCA 和 BlueField DPU 如何共同实现新的性能和效率水平。我们首先回顾全新的 DOCA IPsec 库，以及它如何为您提供创建下一代 IPsec 安全解决方案的机会。

传统 IPsec 解决方案

IPsec 是一种流行的协议，用于通过互联网和数据中心内的服务器之间进行安全通信。它为加密、解密和身份验证提供了一种强大的机制。这使其成为保护传输中数据的理想解决方案，保护 IP 数据包上运行的任何流量免受未经授权的访问、篡改或窃听。

IPsec 可以通过各种方式进行部署。在传统部署中，它通常使用专用硬件来实现。这种硬件通常安装在网络网关上，例如路由器或防火墙。它通常可以提供快速的性能，但缺乏基础设施的灵活性，除非在这些固定路由器或防火墙之间运行，否则无法保护流量。随着网络基础设施的变化，它还需要重新配置或更换。这一耗时的过程需要大量资源，还可能导致网络停机。

虽然 IPsec 的专用硬件部署能够有效的确保网络通信的安全，但也存在一些缺点。IPsec 所需的专用硬件通常成本高昂，且需要专业知识才能进行安装和配置。

解决方案的可扩展性和性能也往往受到限制。随着组织的发展和网络流量的增加，使用专用硬件的系统部署缓慢，容量和功能也受到限制，从而导致性能或功能瓶颈，并降低网络性能。

另一方面，基于 CPU 的 IPsec 处理易于部署，但也有其自身的负担，无法跟上应用程序的流量。对安全和高速通信需求的增加将影响更广泛的应用程序和系统性能。

由于必须对每个数据包进行加密和解密，IPsec 增加了网络流量的开销。IPsec 的额外开销和处理需求增加了网络延迟，影响了应用程序的响应速度和用户体验。

使用 NVIDIA BlueField DPU 来部署 IPsec

随着 NVIDIA DOCA 和新开发的 IPsec 库的出现，IPsec 现在可以通过卸载到 NVIDIA BlueField DPU 来进行部署。这是一个范式的转变，与传统 IPsec 部署形成了鲜明的对比。这种演变为开发人员和合作伙伴提供了新的优势，并凸显了 BlueField DPU 如何为企业领域的客户带来益处。

BlueField DPU 提供了一种可编程解决方案，可用于从 CPU 卸载网络处理任务。在使用 IPsec 的情况下，DPU 可以以多种方式改进 IPsec 过程，同时加速网络流量的加密和解密。

将 IPsec 卸载到 BlueField DPU 可以提高 IPsec 性能，简化网络管理并减少管理开销，从而释放 CPU 来处理其他任务。加密/解密过程以及任何其他网络安全任务现已与服务器的 CPU 和应用程序域隔离。这使得安全性更具弹性，并且更容易检测对手是否在攻击服务器。

在当今的数据中心中，效率和有效性仍然很重要。作为回应，下一代解决方案必须具有可扩展性、灵活性和可组合性。BlueField DPU 可以进行编程，以处理特定的网络相关处理任务，并支持广泛的网络协议和加密算法。例如，DPU 可以执行数据包路由、数据包检查或负载均衡功能，同时还可以加速 IPsec。

随着网络基础设施的发展，无需为每个新功能需求而更换硬件。BlueField DPU 提供了高度可扩展、可定制且具有成本效益的产品。

图 1 . NVIDIA DOCA 2.0 软件框架

用于分布式防火墙的 BlueField-3 DPU、 NVIDIA DOCA 2.0 和 IPsec

对于实际用例，请查看具有加速 IPsec 加密和解密功能的防火墙。在此类部署中，将 IPsec 处理卸载到 BlueField-3 DPU 可为网络基础设施带来显著优势。

正如之前提到的，IPsec 提供了一系列功能来保护 IP 数据包免受未经授权的访问、篡改和窃听。这些 CPU 密集型功能意味着卸载是一个有吸引力的解决方案。

在基于软件的分布式防火墙中，通过卸载到 BlueField-3 DPU 可以优化操作并加速性能。可信流量被卸载到 DPU，并使用 IPsec 协议发送到接收主机。这降低了 CPU 的利用率，并快速、高效地管理可信流量。其他流量仍然需要进行威胁检查，通过防火墙逻辑进行路由。

由于 CPU 不再管理 IPsec 流量，因此该过程现已得到了优化，并为防火墙提供了更好的应用程序性能。通过在 DPU 上终止 IPsec 连接，您可以执行网络检查。如果服务器仅仅通过所有 IPsec 加密的流量而不解密，这将是不可能的。

就下一代防火墙（NGFW）的开发而言，新的 DOCA IPsec 库中包含的资源池有助于简化流程并缩短上市时间。这些资源组合有助于创建更高效的控制平面，从而提供更大的规模和更高的性能，以达到数千个并发连接。

除了 NGFW 之外，新的 DOCA IPsec 库可以用于通过 NVIDIA DPU 在各种用例中使用 IPsec 交付：

• 虚拟专用网络（VPN）网关

• 入侵检测和预防系统（IDPS）

• 用于负载均衡和微分段的加密

DOCA IPsec 也可用于存储网络加密和东西向流量的透明 IPsec 加密。

BlueField 和 NVIDIA DOCA：为企业带来益处

此示例只是 BlueField-3 DPU 和 NVIDIA DOCA 相结合来增加了商业和技术价值的用例之一：

• 减少资源利用率，以便您有更多的时间用于其他项目。

• 缩短上市时间，为应用程序开发者和系统集成商提供潜在的竞争优势。

• 在不对 CPU 使用产生任何重大影响的情况下，加速根进程，从而获得技术进步。

总结

NVIDIA DOCA SDK 是 BlueField-3 DPU 的实现平台。使用 NVIDIA DOCA 组件（API、运行时、库和驱动程序）有助于加快应用程序的开发。与 NVIDIA DPU 一起使用，它提供了以前无法实现的性能水平。

有兴趣使用 DOCA IPsec API 为 BlueField DPU 开发安全应用程序吗？扫描下方二维码，查看 NVIDIA DOCA IPsec 编程指南。

想要与更多 DOCA 开发者交流学习，请扫描下方二维码加入我们的论坛。

点击“阅读原文”或扫描下方二维码，立刻注册体验 NVIDIA DOCA！