首席執行官黃仁勛在其 NVIDIA GTC 秋季主題演講中推出了一種新型處理器，即 BlueField-2 DPU(數據處理器)，和一款功能強大的 DPU 新軟件開發套件 – DOCA，以及 DPU 和 AI 創新的三年路線圖。NVIDIA BlueField-2 DPU 首次實現了集數據中心基礎設施于芯片的架構，并針對現代企業數據中心進行了優化。在支持 DPU 卸載、加速和隔離數據中心服務，推動企業和 AI 應用程序將性能、安全性和可靠性提升至新高度方面，DOCA 起著關鍵作用。具體而言，DOCA 旨在幫您在當前和未來的 BlueField DPU上，提供廣泛的面向可加速的軟件定義網絡、存儲、安全和管理服務等。

圖 1.運行在 DPU 上的面向數據中心基礎設施應用的 DOCA 分層。

NVIDIA 還發布了 BlueField-2X，這是一款先進的基于 AI 的DPU，完美集成了 BlueField-2 的所有功能與 NVIDIA的 Ampere GPU 技術。DOCA 將添加對于 BlueField-2X 的支持，讓您能夠構建基于 AI 的、且經過優化的基礎設施管理和網絡安全應用。

憑借 DOCA 及其 BlueField DPU 系列，NVIDIA 正在重新塑造企業數據中心架構，讓您可以構建安全且加速的基礎設施服務。DOCA 之于 DPU 就像 CUDA 之于 GPU。就像CUDA 讓您實現了加速計算應用的編程一樣，DOCA可讓您對數據處理的加速應用進行編程，將數據移入和移出服務器、虛擬機和容器。DOCA 與 CUDA 一起，服務于一個安全、加速的數據中心中的各類 NVIDIA AI 應用。

DOCA 已面向精選的搶先體驗合作伙伴推出。如果您感興趣，可以在 DOCA 開發者領地頁面注冊了解進一步信息。BlueField-2 正在樣品階段，它在多個操作系統發行版下的驅動、工具、加速庫已經可以工作。

在本文中，我將探討 DOCA 的優勢并深入探究 API，提供一個功能強大的開發工具，實現從數據中心到邊緣全面提升服務器的性能、效率和安全性。

應對軟件定義一切的挑戰

Marc Andreessen 在 2011 年一份著名的出版物中說：“軟件正在吞噬整個世界。”時間快進到 2020 年。現在，在企業數據中心中占主導地位約 15 年之久的硬件設備已經轉變為虛擬化、按需付費、安裝在每臺服務器上的軟件服務。現代企業數據中心是軟件定義、完全可編程的數據中心，旨在跨云、核心和邊緣環境為高度分布式的應用工作負載提供服務。

軟件定義的數據中心可提供類似云的靈活性和敏捷性，但會消耗許多CPU核資源。軟件定義的“性能稅”會消耗我們的業務應用或租戶的 CPU 資源，并且降低服務器和數據中心的效率，有時還很嚴重。

DPU 位于每個數據中心的節點內，DOCA 可以讓應用程序開發者和 NVIDIA 技術合作伙伴可以提供運行在 DPU上的各種服務，讓 DPU 成為與業務隔離的、安全的服務域（或 Enclave），用于網絡、安全、存儲和基礎設施管理。DPU 可加速所有關鍵數據中心的基礎設施服務，還可以上運行控制平面的軟件，如軟件定義網絡 (SDN) 的控制器、分布式存儲軟件，或在可編程 Arm 核上運行新一代防火墻代理。

圖 2.DOCA 實現了在 DPU 上的各種基礎設施（網絡、存儲、安全和管理）應用運行在一個與 CPU 上的應用域相分離的一個隔離的、安全的服務域中。

加快基礎設施服務走向市場的時間

DOCA 是一款 SDK，包括了 API、驅動、庫、示例代碼、文檔和預設的容器等，可激活 BlueField-2 DPU 的加速、安全和虛擬化功能。DOCA 為您提供一套統一且可靠的工具，用于開發基于 DPU 運行的關鍵數據中心服務，以處理多種類型的數據處理。其中包括定向網絡流量；存儲的加速、虛擬化和壓縮；數據加密和解密；安全威脅掃描；與遠程管理工具的集成；在 Arm 核上運行控制平面應用。您可以對這些卸載和加速器進行編程，實現單獨或一起使用，并可與基于 GPU 的 NVIDIA AI 平臺進行集成。

DOCA 助力應用程序開發者、設備供應商、研究人員和 NVIDIA 軟件合作伙伴通過一個 SDK 對所有這些 DPU 功能進行編程。許多功能的接口在底層的 API 和上層編程語言中均會提供。這些基于 DPU 運行的服務不僅僅是軟件定義、硬件加速，而且支持 AI、易于編程。

未來幾代 BlueField DPU 將借助新的增強型加速器提供更強的計算力。DOCA 可通過擴展API的方式來支持新的功能，確保了與DPU 的前向兼容。NVIDIA 致力于通過架構流程技術和軟件創新來提升性能。我們持續提升云、核心和邊緣環境以及應用工作負載的性能和功能。

簡化 BlueField DPU 上的服務創建流程

下面，我們進一步了解 DOCA 如何處理四項關鍵的數據中心功能：網絡、存儲、安全性和管理。

網絡

對于網絡，DPU 可加速領先的的數據中心 SDN 和網絡功能虛擬化 (NFV)：開放虛擬交換 (OVS)、Overlay 網絡（例如 VXLAN）、網絡地址轉換 (NAT)、自動負載平衡、細粒度流量管理和內容分發網絡。

DOCA 支持您通過標準 DPDK API將服務應用和DPU加速引擎關聯起來，例如 rte_flow 庫可以支持基于流的不同操作，包括Overlay封包、、header rewrite， hairpin，以及對廣泛的虛擬網絡功能的測量。

為提升性能和主機 CPU 效率，DOCA 還包含了原生 OVS 和 OVS-over-DPDK 應用程序，通過 BlueField DPU 的硬件加速交換和數據包處理 (ASAP 2) 技術提供無縫加速。DPU 硬件對于主機網絡的加速，由 DOCA 編程平臺上運行的 OVS 應用來定義，數據中心 SDN 控制器來編排所有網絡，并通過 DPU 的帶外管理端口進行連接。

P4 是另一種語言，可以對 BlueField DPU 中靈活、可編程的數據路徑加速器進行編程。DOCA 支持 P4語言，可支持未來基于 P4 開發的 VNF 業務。這個功能被集成到了已經擁有豐富的 VNF 產品生態系統的其它 API 中 。此架構允許同時執行面向內核、RoCE、DPDK、SPDK、P4 和 P4.runtime 接口編寫的程序，這些可無縫共存并充分利用 DPU 數據路徑加速。

存儲

對于存儲，DPU 支持加速軟件定義的彈性存儲、NVMe over Fabrics (NVMe-oF)、RoCE、靜態數據（data-at-rest）加密、數據刪除、分布式糾錯和數據壓縮。BlueField DPU NVMe SNAP 技術可提供彈性塊存儲功能，并向主機提供遠程塊存儲，如同它是本地 NVMe 塊存儲或 VirtIO blk 塊設備一樣具有低延遲、高吞吐量和高 IOPS等特性。

DOCA 完全支持 SPDK 開源框架，可助力您創建自己的存儲解決方案。通過模擬對 PCIe NVMe 磁盤的的訪問，利用 BlueField DPU 的多項加速功能來實現各種自定義的邏輯，主機應用可以透明地管理模擬出來的NVMe存儲。其中包括加密、ECC 分布式糾錯、壓縮、重復數據刪除和惡意軟件掃描。如果您要通過 DOCA 進行編程，現在無需對個別引擎進行顯式編程，即可輕松調用用于數據存儲的功能。

安全性

DPU 還可以卸載、加速和隔離所有關鍵數據中心安全服務。其中包括支持新一代防火墻、微分段、使用透明 IPSec 和 TLS 進行動態數據在線加密以及入侵保護。DPU 擁有一組專用的安全引擎，包含了構建安全解決方案的所有模塊。

DOCA 包含一組用于開發安全應用程序的標準化 API。所有安全服務均始于數據包采集、解密、連接狀態的有狀態跟蹤，一直到第 7 層深度數據包檢查。這樣會將應用程序流量分類為受信任或惡意。此外，它最終還會將定義的安全策略轉換為一系列操作，例如數據包允許、丟棄、重寫或重定向。編程通過標準 DPDK API 完成，如下所示：

rte_security，用于加密和解密

rte_sft 庫，用于連接感知

rte_regex 庫，用于正則表達式模式匹配

rte_dpi 庫，用于對所有流水線加速函數進行深度包檢查

DOCA 還支持基于 IPSec、TLS 和存儲 AES-XTS 的原生內核加密，由 DPU 實現在線加速，可以輕松用于基于 OpenSSL 或 OVS-IPSec 的應用。這支持 DPU 在不通知主機的情況下透明地對所有流量進行加密和解密。其中包括 DPU 在安全 Enclave 內執行密鑰管理。

通過 RDMA 庫對主機進行快速內存訪問，DOCA可讓您創建嚴格的主機自檢方案。借助自動惡意軟件掃描，您可以進一步了解從 DPU 到主機的一舉一動。如果發現惡意活動，您可以通過對 DPU 的硬件加速引擎的編程，達到以線速來執行策略。

基礎設施管理

傳統管理會在每臺服務器上運行代理。但是，運行這些代理會消耗本可用于業務應用的 CPU 周期。代理通常無法監控服務器上 VM之間以及容器之間的網絡流量。如果代理執行數據包過濾或流量遙測等功能，則會消耗更多 CPU 周期。如果服務器發生嚴重故障，則基于 VM 或容器的管理代理不太可能報告狀態或重啟服務器。

DOCA 允許于業務隔離的、基于 DPU 的代理執行帶內或帶外管理，而不會給服務器 CPU 增加負擔。如果服務器需要重置，或者甚至租戶或業務應用需要一臺無代理的裸金屬服務器，通過 DOCA 編程的 DPU 仍可發送遙測數據、執行遠程重置或允許安全啟動服務器，這些操作均無需在服務器 CPU 上運行代理。

BlueField 和 DOCA：強強聯手

通過 BlueField DPU 和 DOCA，可以整合通常無法一起部署的數據中心基礎設施服務。例如，由 CPU 或獨立Look-aside加密卡對動態數據進行加密時，無法和 RoCE、壓縮、哈希或 Overlay 網絡一起工作。事實上，執行此類加密會禁用以上操作及許多其它網絡卸載功能。這是因為，如果先對數據進行加密的話，意味著網絡設備不再能識別數據包的內容，進而無法執行巧妙的數據包重路由、過濾、擁塞管理等操作。但是，使用 BlueField DPU 和 DOCA， 您可以通過編程將 RoCE、VXLAN、哈希計算、壓縮，以及許多其它卸載功能與加密功能組合在一起，以及它們之間互相組合。

DOCA 將對所有功能合并到一個 SDK，讓您使用基于通用開放API的加速庫來即刻釋放 DPU 的力量。您還可以使用 DOCA，透明地將關鍵控制平面應用或代理從 X86 域移植到 DPU 的Arm 核，從而提高服務器性能、效率，并實現工作負載和安全的隔離。

對數據處理加速和 AI 進行編程

重要的是，DOCA 更進一步地支持先進的 GPU 加速的 AI 工作負載，被完全整合到了大型 NVIDIA NGC 加速計算軟件平臺，成為了其中的一個測試項。

對于傳統的企業應用，DOCA 可加速包含 BlueField DPU 的系統中的數據中心基礎設施服務。但是，對于包含 DPU 和 GPU 的系統，加速 AI 和數據分析工作負載具有巨大優勢。DOCA 已集成到 NGC 認證計劃。它可以充分利用大量的開發、集成和測試資源，支持我們的全部 AI 應用程序框架（NVIDIA Riva、NVIDIA Merlin、NVIDIA Metropolis、NVIDIA Clara、NVIDIA Aerial 等）。DOCA 與 NGC 平臺集成，還釋放了各類第三方軟件基礎設施與應用的強大功能。

您可以將 DOCA 與 CUDA 結合使用，通過 GPU 加速計算并通過 DPU 加速數據中心服務。您還可以使用 DOCA 啟用 GPUDirect，加速整個網絡中 GPU 之間的通信。

通過 DPU 簡化對數據中心的加速和提升效率

DOCA 就像一個統一的編程網關，供 NVIDIA 開發者社區、合作伙伴和客戶在 DPU 上進行開發，使他們受益于對于網絡、存儲和安全的加速以及簡化管理。基于DOCA 開發的程序運行在 BlueField DPU 上，可以為數據中心內的每臺服務器和每個存儲節點卸載、加速和隔離端到端數據中心服務。因此，企業和私有云可通過硬件加速的 DPU 的性能和效率，實現軟件定義服務的靈活性和可擴展性。

通過 DPU 實現對數據中心基礎設施進行軟件定義和硬件加速，您可以提高所有服務器的性能、效率和安全性。您將實現一種新的架構，那就是數據中心成為了新的計算單元。NVIDIA DPU 在單個芯片上實現了數據中心基礎設施的各項功能，而 DOCA 則助您輕松地提高了數據中心的可擴展性、性能和威脅保護。

立即試用 DOCA

現在，您可以使用 BlueField DPU 軟件包體驗 DOCA，該軟件包包含適用于網絡、存儲和安全的 DOCA 運行時加速庫。這些庫有助于您對 DPU 上運行的數據中心基礎設施進行編程。

關于作者

Ariel Kit 是 NVIDIA 網絡產品營銷總監。 Ariel 負責管理 NVIDIA BlueField DPU 軟件組合和網絡安全的戰略和交付。 Ariel 在網絡安全和嵌入式片上系統領域擁有 6 年以上的產品開發經驗，并擁有 12 年以上的研發管理經驗。他有學士學位。通信系統工程和工商管理碩士。

審核編輯：郭婷