首席執(zhí)行官黃仁勛在其 NVIDIA GTC 秋季主題演講中推出了一種新型處理器，即 BlueField-2 DPU(數(shù)據(jù)處理器)，和一款功能強大的 DPU 新軟件開發(fā)套件 – DOCA，以及 DPU 和 AI 創(chuàng)新的三年路線圖。NVIDIA BlueField-2 DPU 首次實現(xiàn)了集數(shù)據(jù)中心基礎設施于芯片的架構，并針對現(xiàn)代企業(yè)數(shù)據(jù)中心進行了優(yōu)化。在支持 DPU 卸載、加速和隔離數(shù)據(jù)中心服務，推動企業(yè)和 AI 應用程序?qū)⑿阅堋踩院涂煽啃蕴嵘列赂叨确矫妫珼OCA 起著關鍵作用。具體而言，DOCA 旨在幫您在當前和未來的 BlueField DPU上，提供廣泛的面向可加速的軟件定義網(wǎng)絡、存儲、安全和管理服務等。

圖 1.運行在 DPU 上的面向數(shù)據(jù)中心基礎設施應用的 DOCA 分層。

NVIDIA 還發(fā)布了 BlueField-2X，這是一款先進的基于 AI 的DPU，完美集成了 BlueField-2 的所有功能與 NVIDIA的 Ampere GPU 技術。DOCA 將添加對于 BlueField-2X 的支持，讓您能夠構建基于 AI 的、且經(jīng)過優(yōu)化的基礎設施管理和網(wǎng)絡安全應用。

憑借 DOCA 及其 BlueField DPU 系列，NVIDIA 正在重新塑造企業(yè)數(shù)據(jù)中心架構，讓您可以構建安全且加速的基礎設施服務。DOCA 之于 DPU 就像 CUDA 之于 GPU。就像CUDA 讓您實現(xiàn)了加速計算應用的編程一樣，DOCA可讓您對數(shù)據(jù)處理的加速應用進行編程，將數(shù)據(jù)移入和移出服務器、虛擬機和容器。DOCA 與 CUDA 一起，服務于一個安全、加速的數(shù)據(jù)中心中的各類 NVIDIA AI 應用。

DOCA 已面向精選的搶先體驗合作伙伴推出。如果您感興趣，可以在 DOCA 開發(fā)者領地頁面注冊了解進一步信息。BlueField-2 正在樣品階段，它在多個操作系統(tǒng)發(fā)行版下的驅(qū)動、工具、加速庫已經(jīng)可以工作。

在本文中，我將探討 DOCA 的優(yōu)勢并深入探究 API，提供一個功能強大的開發(fā)工具，實現(xiàn)從數(shù)據(jù)中心到邊緣全面提升服務器的性能、效率和安全性。

應對軟件定義一切的挑戰(zhàn)

Marc Andreessen 在 2011 年一份著名的出版物中說：“軟件正在吞噬整個世界。”時間快進到 2020 年。現(xiàn)在，在企業(yè)數(shù)據(jù)中心中占主導地位約 15 年之久的硬件設備已經(jīng)轉(zhuǎn)變?yōu)樘摂M化、按需付費、安裝在每臺服務器上的軟件服務。現(xiàn)代企業(yè)數(shù)據(jù)中心是軟件定義、完全可編程的數(shù)據(jù)中心，旨在跨云、核心和邊緣環(huán)境為高度分布式的應用工作負載提供服務。

軟件定義的數(shù)據(jù)中心可提供類似云的靈活性和敏捷性，但會消耗許多CPU核資源。軟件定義的“性能稅”會消耗我們的業(yè)務應用或租戶的 CPU 資源，并且降低服務器和數(shù)據(jù)中心的效率，有時還很嚴重。

DPU 位于每個數(shù)據(jù)中心的節(jié)點內(nèi)，DOCA 可以讓應用程序開發(fā)者和 NVIDIA 技術合作伙伴可以提供運行在 DPU上的各種服務，讓 DPU 成為與業(yè)務隔離的、安全的服務域（或 Enclave），用于網(wǎng)絡、安全、存儲和基礎設施管理。DPU 可加速所有關鍵數(shù)據(jù)中心的基礎設施服務，還可以上運行控制平面的軟件，如軟件定義網(wǎng)絡 (SDN) 的控制器、分布式存儲軟件，或在可編程 Arm 核上運行新一代防火墻代理。

圖 2.DOCA 實現(xiàn)了在 DPU 上的各種基礎設施（網(wǎng)絡、存儲、安全和管理）應用運行在一個與 CPU 上的應用域相分離的一個隔離的、安全的服務域中。

加快基礎設施服務走向市場的時間

DOCA 是一款 SDK，包括了 API、驅(qū)動、庫、示例代碼、文檔和預設的容器等，可激活 BlueField-2 DPU 的加速、安全和虛擬化功能。DOCA 為您提供一套統(tǒng)一且可靠的工具，用于開發(fā)基于 DPU 運行的關鍵數(shù)據(jù)中心服務，以處理多種類型的數(shù)據(jù)處理。其中包括定向網(wǎng)絡流量；存儲的加速、虛擬化和壓縮；數(shù)據(jù)加密和解密；安全威脅掃描；與遠程管理工具的集成；在 Arm 核上運行控制平面應用。您可以對這些卸載和加速器進行編程，實現(xiàn)單獨或一起使用，并可與基于 GPU 的 NVIDIA AI 平臺進行集成。

DOCA 助力應用程序開發(fā)者、設備供應商、研究人員和 NVIDIA 軟件合作伙伴通過一個 SDK 對所有這些 DPU 功能進行編程。許多功能的接口在底層的 API 和上層編程語言中均會提供。這些基于 DPU 運行的服務不僅僅是軟件定義、硬件加速，而且支持 AI、易于編程。

未來幾代 BlueField DPU 將借助新的增強型加速器提供更強的計算力。DOCA 可通過擴展API的方式來支持新的功能，確保了與DPU 的前向兼容。NVIDIA 致力于通過架構流程技術和軟件創(chuàng)新來提升性能。我們持續(xù)提升云、核心和邊緣環(huán)境以及應用工作負載的性能和功能。

簡化 BlueField DPU 上的服務創(chuàng)建流程

下面，我們進一步了解 DOCA 如何處理四項關鍵的數(shù)據(jù)中心功能：網(wǎng)絡、存儲、安全性和管理。

網(wǎng)絡

對于網(wǎng)絡，DPU 可加速領先的的數(shù)據(jù)中心 SDN 和網(wǎng)絡功能虛擬化 (NFV)：開放虛擬交換 (OVS)、Overlay 網(wǎng)絡（例如 VXLAN）、網(wǎng)絡地址轉(zhuǎn)換 (NAT)、自動負載平衡、細粒度流量管理和內(nèi)容分發(fā)網(wǎng)絡。

DOCA 支持您通過標準 DPDK API將服務應用和DPU加速引擎關聯(lián)起來，例如 rte_flow 庫可以支持基于流的不同操作，包括Overlay封包、、header rewrite， hairpin，以及對廣泛的虛擬網(wǎng)絡功能的測量。

為提升性能和主機 CPU 效率，DOCA 還包含了原生 OVS 和 OVS-over-DPDK 應用程序，通過 BlueField DPU 的硬件加速交換和數(shù)據(jù)包處理 (ASAP 2) 技術提供無縫加速。DPU 硬件對于主機網(wǎng)絡的加速，由 DOCA 編程平臺上運行的 OVS 應用來定義，數(shù)據(jù)中心 SDN 控制器來編排所有網(wǎng)絡，并通過 DPU 的帶外管理端口進行連接。

P4 是另一種語言，可以對 BlueField DPU 中靈活、可編程的數(shù)據(jù)路徑加速器進行編程。DOCA 支持 P4語言，可支持未來基于 P4 開發(fā)的 VNF 業(yè)務。這個功能被集成到了已經(jīng)擁有豐富的 VNF 產(chǎn)品生態(tài)系統(tǒng)的其它 API 中 。此架構允許同時執(zhí)行面向內(nèi)核、RoCE、DPDK、SPDK、P4 和 P4.runtime 接口編寫的程序，這些可無縫共存并充分利用 DPU 數(shù)據(jù)路徑加速。

存儲

對于存儲，DPU 支持加速軟件定義的彈性存儲、NVMe over Fabrics (NVMe-oF)、RoCE、靜態(tài)數(shù)據(jù)（data-at-rest）加密、數(shù)據(jù)刪除、分布式糾錯和數(shù)據(jù)壓縮。BlueField DPU NVMe SNAP 技術可提供彈性塊存儲功能，并向主機提供遠程塊存儲，如同它是本地 NVMe 塊存儲或 VirtIO blk 塊設備一樣具有低延遲、高吞吐量和高 IOPS等特性。

DOCA 完全支持 SPDK 開源框架，可助力您創(chuàng)建自己的存儲解決方案。通過模擬對 PCIe NVMe 磁盤的的訪問，利用 BlueField DPU 的多項加速功能來實現(xiàn)各種自定義的邏輯，主機應用可以透明地管理模擬出來的NVMe存儲。其中包括加密、ECC 分布式糾錯、壓縮、重復數(shù)據(jù)刪除和惡意軟件掃描。如果您要通過 DOCA 進行編程，現(xiàn)在無需對個別引擎進行顯式編程，即可輕松調(diào)用用于數(shù)據(jù)存儲的功能。

安全性

DPU 還可以卸載、加速和隔離所有關鍵數(shù)據(jù)中心安全服務。其中包括支持新一代防火墻、微分段、使用透明 IPSec 和 TLS 進行動態(tài)數(shù)據(jù)在線加密以及入侵保護。DPU 擁有一組專用的安全引擎，包含了構建安全解決方案的所有模塊。

DOCA 包含一組用于開發(fā)安全應用程序的標準化 API。所有安全服務均始于數(shù)據(jù)包采集、解密、連接狀態(tài)的有狀態(tài)跟蹤，一直到第 7 層深度數(shù)據(jù)包檢查。這樣會將應用程序流量分類為受信任或惡意。此外，它最終還會將定義的安全策略轉(zhuǎn)換為一系列操作，例如數(shù)據(jù)包允許、丟棄、重寫或重定向。編程通過標準 DPDK API 完成，如下所示：

rte_security，用于加密和解密

rte_sft 庫，用于連接感知

rte_regex 庫，用于正則表達式模式匹配

rte_dpi 庫，用于對所有流水線加速函數(shù)進行深度包檢查

DOCA 還支持基于 IPSec、TLS 和存儲 AES-XTS 的原生內(nèi)核加密，由 DPU 實現(xiàn)在線加速，可以輕松用于基于 OpenSSL 或 OVS-IPSec 的應用。這支持 DPU 在不通知主機的情況下透明地對所有流量進行加密和解密。其中包括 DPU 在安全 Enclave 內(nèi)執(zhí)行密鑰管理。

通過 RDMA 庫對主機進行快速內(nèi)存訪問，DOCA可讓您創(chuàng)建嚴格的主機自檢方案。借助自動惡意軟件掃描，您可以進一步了解從 DPU 到主機的一舉一動。如果發(fā)現(xiàn)惡意活動，您可以通過對 DPU 的硬件加速引擎的編程，達到以線速來執(zhí)行策略。

基礎設施管理

傳統(tǒng)管理會在每臺服務器上運行代理。但是，運行這些代理會消耗本可用于業(yè)務應用的 CPU 周期。代理通常無法監(jiān)控服務器上 VM之間以及容器之間的網(wǎng)絡流量。如果代理執(zhí)行數(shù)據(jù)包過濾或流量遙測等功能，則會消耗更多 CPU 周期。如果服務器發(fā)生嚴重故障，則基于 VM 或容器的管理代理不太可能報告狀態(tài)或重啟服務器。

DOCA 允許于業(yè)務隔離的、基于 DPU 的代理執(zhí)行帶內(nèi)或帶外管理，而不會給服務器 CPU 增加負擔。如果服務器需要重置，或者甚至租戶或業(yè)務應用需要一臺無代理的裸金屬服務器，通過 DOCA 編程的 DPU 仍可發(fā)送遙測數(shù)據(jù)、執(zhí)行遠程重置或允許安全啟動服務器，這些操作均無需在服務器 CPU 上運行代理。

BlueField 和 DOCA：強強聯(lián)手

通過 BlueField DPU 和 DOCA，可以整合通常無法一起部署的數(shù)據(jù)中心基礎設施服務。例如，由 CPU 或獨立Look-aside加密卡對動態(tài)數(shù)據(jù)進行加密時，無法和 RoCE、壓縮、哈希或 Overlay 網(wǎng)絡一起工作。事實上，執(zhí)行此類加密會禁用以上操作及許多其它網(wǎng)絡卸載功能。這是因為，如果先對數(shù)據(jù)進行加密的話，意味著網(wǎng)絡設備不再能識別數(shù)據(jù)包的內(nèi)容，進而無法執(zhí)行巧妙的數(shù)據(jù)包重路由、過濾、擁塞管理等操作。但是，使用 BlueField DPU 和 DOCA， 您可以通過編程將 RoCE、VXLAN、哈希計算、壓縮，以及許多其它卸載功能與加密功能組合在一起，以及它們之間互相組合。

DOCA 將對所有功能合并到一個 SDK，讓您使用基于通用開放API的加速庫來即刻釋放 DPU 的力量。您還可以使用 DOCA，透明地將關鍵控制平面應用或代理從 X86 域移植到 DPU 的Arm 核，從而提高服務器性能、效率，并實現(xiàn)工作負載和安全的隔離。

對數(shù)據(jù)處理加速和 AI 進行編程

重要的是，DOCA 更進一步地支持先進的 GPU 加速的 AI 工作負載，被完全整合到了大型 NVIDIA NGC 加速計算軟件平臺，成為了其中的一個測試項。

對于傳統(tǒng)的企業(yè)應用，DOCA 可加速包含 BlueField DPU 的系統(tǒng)中的數(shù)據(jù)中心基礎設施服務。但是，對于包含 DPU 和 GPU 的系統(tǒng)，加速 AI 和數(shù)據(jù)分析工作負載具有巨大優(yōu)勢。DOCA 已集成到 NGC 認證計劃。它可以充分利用大量的開發(fā)、集成和測試資源，支持我們的全部 AI 應用程序框架（NVIDIA Riva、NVIDIA Merlin、NVIDIA Metropolis、NVIDIA Clara、NVIDIA Aerial 等）。DOCA 與 NGC 平臺集成，還釋放了各類第三方軟件基礎設施與應用的強大功能。

您可以將 DOCA 與 CUDA 結合使用，通過 GPU 加速計算并通過 DPU 加速數(shù)據(jù)中心服務。您還可以使用 DOCA 啟用 GPUDirect，加速整個網(wǎng)絡中 GPU 之間的通信。

通過 DPU 簡化對數(shù)據(jù)中心的加速和提升效率

DOCA 就像一個統(tǒng)一的編程網(wǎng)關，供 NVIDIA 開發(fā)者社區(qū)、合作伙伴和客戶在 DPU 上進行開發(fā)，使他們受益于對于網(wǎng)絡、存儲和安全的加速以及簡化管理。基于DOCA 開發(fā)的程序運行在 BlueField DPU 上，可以為數(shù)據(jù)中心內(nèi)的每臺服務器和每個存儲節(jié)點卸載、加速和隔離端到端數(shù)據(jù)中心服務。因此，企業(yè)和私有云可通過硬件加速的 DPU 的性能和效率，實現(xiàn)軟件定義服務的靈活性和可擴展性。

通過 DPU 實現(xiàn)對數(shù)據(jù)中心基礎設施進行軟件定義和硬件加速，您可以提高所有服務器的性能、效率和安全性。您將實現(xiàn)一種新的架構，那就是數(shù)據(jù)中心成為了新的計算單元。NVIDIA DPU 在單個芯片上實現(xiàn)了數(shù)據(jù)中心基礎設施的各項功能，而 DOCA 則助您輕松地提高了數(shù)據(jù)中心的可擴展性、性能和威脅保護。

立即試用 DOCA

現(xiàn)在，您可以使用 BlueField DPU 軟件包體驗 DOCA，該軟件包包含適用于網(wǎng)絡、存儲和安全的 DOCA 運行時加速庫。這些庫有助于您對 DPU 上運行的數(shù)據(jù)中心基礎設施進行編程。

關于作者

Ariel Kit 是 NVIDIA 網(wǎng)絡產(chǎn)品營銷總監(jiān)。 Ariel 負責管理 NVIDIA BlueField DPU 軟件組合和網(wǎng)絡安全的戰(zhàn)略和交付。 Ariel 在網(wǎng)絡安全和嵌入式片上系統(tǒng)領域擁有 6 年以上的產(chǎn)品開發(fā)經(jīng)驗，并擁有 12 年以上的研發(fā)管理經(jīng)驗。他有學士學位。通信系統(tǒng)工程和工商管理碩士。

審核編輯：郭婷