NVIDIA DOCA 軟件框架提供了一個(gè)全面、開放的開發(fā)平臺(tái)，以加速 NVIDIA BlueField DPU 應(yīng)用程序的創(chuàng)建。NVIDIA DOCA 持續(xù)獲得動(dòng)力，并突破數(shù)據(jù)中心的界限，卸載、加速和隔離網(wǎng)絡(luò)、存儲(chǔ)、安全和管理基礎(chǔ)設(shè)施。NVIDIA DOCA 1.3 軟件框架的發(fā)布側(cè)重于軟件的全新和增強(qiáng)功能。

NVIDIA DOCA 1.3 的主要功能

具有優(yōu)化流插入的 NVIDIA DOCA FLOW 庫(kù)

NVIDIA DOCA 通信通道（Communication Channel）庫(kù)

NVIDIA DOCA 正則表達(dá)式（RegEx）庫(kù)

NVIDIA DOCA App Shield SDK

OVN IPsec 加密完全卸載

新增和增強(qiáng)的 NVIDIA DOCA 服務(wù)包括：

NVIDIA DOCA 遙測(cè)（Telemetry）

NVIDIA DOCA 基于主機(jī)的網(wǎng)絡(luò)（Host Based Networking）

NVIDIA DOCA 流量檢測(cè)器（Flow Inspector）

具有優(yōu)化流插入的 NVIDIA DOCA FLOW

NVIDIA DOCA FLOW 是一種用于網(wǎng)絡(luò)加速的抽象層 API 。NVIDIA DOCA FLOW 是在硬件中構(gòu)建通用 SDN 執(zhí)行管道的最基本 API 。

NVIDIA DOCA FLOW 的主要目標(biāo)是為數(shù)據(jù)平面應(yīng)用程序中的快速數(shù)據(jù)包處理提供一個(gè)簡(jiǎn)單、完整的框架。API 通過(guò)創(chuàng)建抽象層為特定環(huán)境提供了一組庫(kù)。NVIDIA DOCA FLOW 可以輕松開發(fā)硬件加速的應(yīng)用程序，這些應(yīng)用程序可以匹配多達(dá)兩層的隧道數(shù)據(jù)包。

隨著優(yōu)化流插入（OFI）的加入， NVIDIA DOCA FLOW 現(xiàn)在提供了一種新的方式來(lái)管理 NVIDIA BlueField DPU 的數(shù)據(jù)包轉(zhuǎn)發(fā)表，并提供了幾個(gè)額外的好處。其中包括提高流插入速率，可將性能提高 10 倍以上，擴(kuò)展到超過(guò) 1 百萬(wàn)個(gè)規(guī)則/秒。改進(jìn)的安全態(tài)勢(shì)消除了劫持底層驅(qū)動(dòng)程序的能力，并提供更大的靈活性。

NVIDIA DOCA 通信通道

此版本還引入了 NVIDIA DOCA 通信通道（Communication Channel），以實(shí)現(xiàn)安全、靈活和高效的應(yīng)用程序卸載。NVIDIA DOCA 通信通道用于主機(jī)軟件和 NVIDIA BlueField DPU 上運(yùn)行的 NVIDIA DOCA 服務(wù)之間的隔離通信。例如，這使 Windows VM 能夠與 NVIDIA BlueField DPU Arm 處理器上的服務(wù)進(jìn)行安全通信，而無(wú)需利用常規(guī)網(wǎng)絡(luò)堆棧和冒險(xiǎn)暴露于惡意活動(dòng)。NVIDIA DOCA 服務(wù)從這種通信方法中受益的例子包括流服務(wù)、遙測(cè)、App Shield 監(jiān)控、遠(yuǎn)程 API 編排和流檢測(cè)。

正則表達(dá)式（RegEx）庫(kù)

正則表達(dá)式，也稱為 RegEx ，是許多腳本語(yǔ)言中使用的標(biāo)準(zhǔn)模式匹配工具。有了它，您可以創(chuàng)建與文本模式匹配的過(guò)濾器，而不僅僅是單個(gè)單詞或短語(yǔ)。RegEx 專為高吞吐量、低延遲的深度數(shù)據(jù)包檢測(cè)應(yīng)用程序而設(shè)計(jì)，這些應(yīng)用程序需要數(shù)據(jù)包有效負(fù)載檢測(cè)和異常監(jiān)測(cè)，這可以通過(guò)使用 RegEx 模式匹配和字符串匹配來(lái)實(shí)現(xiàn)。NVIDIA DOCA 正則表達(dá)式庫(kù)是一個(gè)重要的安全和遙測(cè)功能，現(xiàn)已在 NVIDIA DOCA 1.3 中使用。

NVIDIA DOCA App Shield

NVIDIA DOCA App Shield 在 NVIDIA DOCA 1.2 中是為早期訪問(wèn)開發(fā)者而引入，并在 NVIDIA DOCA 1.3 版本中得到了增強(qiáng)。

App Shield 為網(wǎng)絡(luò)安全供應(yīng)商提供主機(jī)監(jiān)控，以創(chuàng)建加速入侵檢測(cè)系統(tǒng)解決方案，識(shí)別對(duì)任何物理或虛擬機(jī)的攻擊。它可以將數(shù)據(jù)應(yīng)用程序狀態(tài)提供給安全信息及事件管理或擴(kuò)展的檢測(cè)及響應(yīng)工具。它還可以增強(qiáng)取證調(diào)查和事件響應(yīng)。

安全團(tuán)隊(duì)可以保護(hù)他們的應(yīng)用程序進(jìn)程，持續(xù)驗(yàn)證完整性，并使用 App Shield 檢測(cè)惡意活動(dòng)。如果攻擊者強(qiáng)制終止機(jī)器安全代理的進(jìn)程，App Shield 可以隔離受感染的主機(jī)，阻止惡意軟件訪問(wèn)機(jī)密數(shù)據(jù)或傳播到其他資源。App Shield 是打擊網(wǎng)絡(luò)犯罪的重要進(jìn)展，也是實(shí)現(xiàn)零信任安全的有效工具。

NVIDIA DOCA 1.3 現(xiàn)已提供了 App Shield 庫(kù)，其中包含一個(gè)參考應(yīng)用程序和一個(gè)支持早期訪問(wèn)成員的用戶指南。

OVN IPsec 加密完全卸載

NVIDIA DOCA 1.3 包括對(duì)現(xiàn)有 OVN 部署的支持，以加速 IPsec 數(shù)據(jù)路徑數(shù)據(jù)包處理。OVN 在物理設(shè)備之間建立網(wǎng)絡(luò)隧道數(shù)據(jù)包，并為網(wǎng)絡(luò)中所有 OVN 隧道傳輸?shù)?IPsec 加密提供單一的全局配置選項(xiàng)。NVIDIA DOCA 1.3 更新了驅(qū)動(dòng)程序和運(yùn)行時(shí)組件，以卸載 IPSec 數(shù)據(jù)包加密和解密以及 HMAC 身份驗(yàn)證，所有這些都基于 NVIDIA BlueField DPU 實(shí)現(xiàn)了零占用主機(jī) CPU 資源。

基于主機(jī)的網(wǎng)絡(luò)

在 NVIDIA BlueField DPU 上，基于主機(jī)的網(wǎng)絡(luò)（HBN）有助于管理和監(jiān)控同一節(jié)點(diǎn)上虛擬機(jī)或容器之間的流量。它還分析和加密（或解密，然后分析）進(jìn)出節(jié)點(diǎn)的流量 - 任何 ToR 交換機(jī)都無(wú)法執(zhí)行的任務(wù)。

采用 NVIDIA BlueField DPU 的 HBN 功能徹底改變了客戶構(gòu)建和思考數(shù)據(jù)中心網(wǎng)絡(luò)的方式，隨著 NVIDIA BlueField DPU 智能化程度的提高，降低了對(duì) ToR 交換機(jī)的要求。NVIDIA BlueField DPU 還為網(wǎng)絡(luò)策略的配置和實(shí)施提供了一個(gè)隔離的環(huán)境，且無(wú)需軟件或依賴于主機(jī)。

其他 NVIDIA DOCA 1.3 SDK 更新

支持多主機(jī)鏈路聚合組（LAG）

VirtIO增強(qiáng)功能

社區(qū)

NVIDIA DOCA 通過(guò)提供行業(yè)標(biāo)準(zhǔn)的開放 API 和框架，以及對(duì) NVIDIA DOCA 庫(kù)和服務(wù)的持續(xù)改進(jìn)，為開發(fā)人員提供開放生態(tài)系統(tǒng)。