NVIDIA DOCA 1.3增强网络和安全基础设施服务

NVIDIA DOCA 软件框架提供了一个全面、开放的开发平台，以加速 NVIDIA BlueField DPU 应用程序的创建。 NVIDIA DOCA 持续获得动力，并突破数据中心的界限，卸载、加速和隔离网络、存储、安全和管理基础设施。 NVIDIA DOCA 1.3 软件框架的发布侧重于软件的全新和增强功能。

NVIDIA DOCA 1.3 的主要功能

具有优化流插入的 NVIDIA DOCA FLOW 库

NVIDIA DOCA 通信通道（Communication Channel）库

NVIDIA DOCA 正则表达式（RegEx）库

NVIDIA DOCA App Shield SDK

OVN IPsec 加密完全卸载

新增和增强的 NVIDIA DOCA 服务包括：

NVIDIA DOCA 遥测（Telemetry）

NVIDIA DOCA 基于主机的网络（Host Based Networking）

NVIDIA DOCA 流量检测器（Flow Inspector）

具有优化流插入的 NVIDIA DOCA FLOW

NVIDIA DOCA FLOW 是一种用于网络加速的抽象层 API 。 NVIDIA DOCA FLOW 是在硬件中构建通用 SDN 执行管道的最基本 API 。

NVIDIA DOCA FLOW 的主要目标是为数据平面应用程序中的快速数据包处理提供一个简单、完整的框架。 API 通过创建抽象层为特定环境提供了一组库。 NVIDIA DOCA FLOW 可以轻松开发硬件加速的应用程序，这些应用程序可以匹配多达两层的隧道数据包。

随着优化流插入（ OFI ）的加入， NVIDIA DOCA FLOW 现在提供了一种新的方式来管理 NVIDIA BlueField DPU 的数据包转发表，并提供了几个额外的好处。其中包括提高流插入速率，可将性能提高 10 倍以上，扩展到超过1百万个规则/秒。改进的安全态势消除了劫持底层驱动程序的能力，并提供更大的灵活性。

NVIDIA DOCA 通信通道

此版本还引入了 NVIDIA DOCA 通信通道（Communication Channel），以实现安全、灵活和高效的应用程序卸载。 NVIDIA DOCA 通信通道用于主机软件和 NVIDIA BlueField DPU 上运行的 NVIDIA DOCA 服务之间的隔离通信。例如，这使 Windows VM 能够与 NVIDIA BlueField DPU Arm 处理器上的服务进行安全通信，而无需利用常规网络堆栈和冒险暴露于恶意活动。 NVIDIA DOCA 服务从这种通信方法中受益的例子包括流服务、遥测、App Shield监控、远程 API 编排和流检测。

正则表达式（RegEx）库

正则表达式，也称为 RegEx ，是许多脚本语言中使用的标准模式匹配工具。有了它，您可以创建与文本模式匹配的过滤器，而不仅仅是单个单词或短语。 RegEx 专为高吞吐量、低延迟的深度数据包检测应用程序而设计，这些应用程序需要数据包有效负载检测和异常监测，这可以通过使用 RegEx 模式匹配和字符串匹配来实现。 NVIDIA DOCA 正则表达式库是一个重要的安全和遥测功能，现已在 NVIDIA DOCA 1.3 中使用。

NVIDIA DOCA App Shield

NVIDIA DOCA App Shield 在 NVIDIA DOCA 1.2 中是为早期 访问开发者而引入，并在 NVIDIA DOCA 1.3 版本中得到了增强。

App Shield 为网络安全供应商提供主机监控，以创建加速入侵检测系统解决方案，识别对任何物理或虚拟机的攻击。它可以将数据应用程序状态提供给安全信息及事件管理或扩展的检测及响应工具。它还可以增强取证调查和事件响应。

安全团队可以保护他们的应用程序进程，持续验证完整性，并使用 App Shield 检测恶意活动。如果攻击者强制终止机器安全代理的进程， App Shield 可以隔离受感染的主机，阻止恶意软件访问机密数据或传播到其他资源。 App Shield 是打击网络犯罪的重要进展，也是实现零信任安全的有效工具。

NVIDIA DOCA 1.3 现已提供了 App Shield 库，其中包含一个参考应用程序和一个支持早期访问成员的用户指南。

OVN IPsec 加密完全卸载

NVIDIA DOCA 1.3 包括对现有 OVN 部署的支持，以加速 IPsec 数据路径数据包处理。 OVN 在物理设备之间建立网络隧道数据包，并为网络中所有 OVN 隧道传输的 IPsec 加密提供单一的全局配置选项。 NVIDIA DOCA 1.3 更新了驱动程序和运行时组件，以卸载 IPSec 数据包加密和解密以及 HMAC 身份验证，所有这些都基于 NVIDIA BlueField DPU 实现了零占用主机 CPU 资源。

基于主机的网络

在 NVIDIA BlueField DPU 上，基于主机的网络（ HBN ）有助于管理和监控同一节点上虚拟机或容器之间的流量。它还分析和加密（或解密，然后分析）进出节点的流量 – 任何 ToR 交换机都无法执行的任务。

采用 NVIDIA BlueField DPU 的HBN 功能彻底改变了客户构建和思考数据中心网络的方式，随着 NVIDIA BlueField DPU 智能化程度的提高，降低了对 ToR 交换机的要求。 NVIDIA BlueField DPU 还为网络策略的配置和实施提供了一个隔离的环境，且无需软件或依赖于主机。

其他 NVIDIA DOCA 1.3 SDK 更新

支持多主机链路聚合组（LAG）

VirtIO增强功能

社区

NVIDIA DOCA 通过提供行业标准的开放 API 和框架，以及对 NVIDIA DOCA 库和服务的持续改进，为开发人员提供开放生态系统。想要了解更多有关社区的信息，或为 NVIDIA NGC 目录的创新做出贡献，请加入我们的论坛。

关于作者

Scott Ciccone 于 2020 年作为 Cumulus Networks 收购的一部分加入后，目前担任 NVIDIA 的产品营销总监。 Scott 在产品营销和产品管理方面拥有 20 多年的经验，擅长在高增长环境下启动新的业务线，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在罗切斯特理工学院获得生物医学计算学士学位，在巴布森学院获得市场营销工商管理硕士学位。

审核编辑：郭婷