上一期分享了“詳解DPU網絡卸載場景及架構”，今天接著DPU話題，繼續聊聊DPU另外的兩大應用場景。

DPU數據平面需要一種大規模敏捷異構的計算架構。這一部分的實現也處在“百家爭鳴”的階段，各家的實現方式差別較大，有基于通用處理器核的方式，有基于可編程門陣列FPGA的方式，也有基于異構眾核的方式，還有待探索。

存儲功能卸載NVMe-oF硬件加速

NVMe over Fabric（又名NVMe-oF）是一個相對較新的協議規范，旨在使用NVMe通過網絡結構將主機連接到存儲，支持對數據中心的計算和存儲進行分解。NVMe-oF協議定義了使用各種通用的傳輸協議來實現NVMe功能的方式。在NVMe-oF誕生之前，數據存儲協議可以分為三種：

（1）iSCSI：是一種基于IP的存儲網絡標準，在TCP/IP網絡上通過發送 SCSI命令來訪問塊存儲服務。

（2）光纖通道（Fibre Channel）：是一種高速的數據傳輸協議，提供有序無損的塊數據傳輸。主要用于關鍵高可靠要求的業務上。

（3）SAS（Serial Attached SCSI）：一種點對點串行協議，通過SAS線纜傳 輸數據。

上述數據存儲協議，在當今數據爆發的時代，已經無法滿足大數據量的傳 輸。NVMe-oF的出現，不僅解決了上述協議的性能瓶頸問題，它還允許組織為 高度分布式、高度可用的應用程序實施橫向擴展的存儲。通過將NVMe協議擴展到SAN設備，NVMe-oF提高了CPU的使用效率，同時提高了服務器和存儲應用程序之間的連接速度。

NVMe-oF主要支持三大類Fabric傳輸選項，分別是FC、RDMA和TCP，其中RDMA支持InfiniBand、RoCEv2和iWARP。

NVMe-oF/FC和第六代FC可以共存于同一基礎設施中，避免了數據中心的叉車升級。但是，NVMe-oF/FC不具有軟件定義存儲的能力。NVMe-oF/RDMA利用了RDMA網絡的優勢，是理想的Fabric，提供了低延 遲、低抖動和低CPU使用率低傳輸層協議，可以最大限度利用硬件加速，避免軟件協議棧開銷。同時，由于RDMA是一種內存讀寫技術，可以應用在眾多場景中，如GPUDirect Storage的應用場景。

NVMe-oF/TCP利用了TCP協議的可靠性傳輸的特點，以及TCP/IP網絡的通用性和良好的互操作性，可以完美的應用于現代數據中心網絡。在相對性能要求不是非常高的場景，NVMe-oF/TCP可作為備選。

NVMe支持Host端（Initiator或Client）和Controller端（Target或Server），目 前DPU智能網卡硬件加速的場景中，包括如下四中情況：

（1）普通智能網卡硬件加速NVMe-oF Initiator。智能網卡支持NVMe-oF/TCP和NVMe-oF/RoCEv2作為Initiator，通過硬件卸載NVMe-oF/TCP或NVMe- oF/RoCEv2，用于計算和存儲之間，來達到較高性能。

（2）支持GPUDirect Storage的智能網卡加速NVMe-oF Initiator和Target。GPUDirect Storage是NVIDIA提出的GPU可以繞過CPU直接訪問存儲磁盤的技術，RDMA技術是GPUDirect Storage的基礎。這類網卡可以通過硬件卸載NVMe- oF/RDMA來實現GPU與遠端存儲服務的直接訪問。常見的如NVMe-oF/RDMA IB和NVMe-oF/RoCEv2。

（3）智能網卡硬件加速NVMe-oF Target。該場景主要是通過智能網卡提供PCIe Root Complex能力和NVMe-oF Controller端的硬件卸載加速，來實現NVMe存儲服務器。如Broadcom Stingray PS1100R是這個場景的代表之一。

（4）DPU芯片硬件加速NVMe-oF Target。該場景是通過DPU芯片提供多個PCIe Root Complex通道以及多個100Gbps的網卡實現的超大吞吐的存儲服務器。Fungible FS1600 12x100Gbps帶寬吞吐的存儲服務器是這個場景的典型代表。

OpenStack從Rocky版本已經支持了NVMe-oF，通過OpenStack Cinder通過消息在NVMe-oF Target上來創建，查詢和刪除卷等，OpenStack Nova在主機上通過NVMe-oF Initiator發現NVMe-oF存儲設備，并將存儲設備信息傳遞給Hypervisor來實現虛擬機掛載磁盤。另外，OpenStack集成Ceph做塊存儲和對象存儲已經非常成熟，Ceph的后端存儲也漸漸的從使用本地磁盤的方式轉向遠端NVMe存儲，這樣NVMe-oF為Ceph存儲服務提供了容量可伸縮的能力。

Virtio-blk硬件加速 基于virtio的virtio-blk是KVM-Qemu虛擬化生態中的虛擬化塊存儲的一種實 現方式，利用了virtio共享內存的機制，提供了一種高效的塊存儲掛載的方法。Guest OS內核通過加載virtio-blk驅動，實現塊存儲的讀寫，無需額外的廠家專用驅動。Virtio-blk設備在虛擬機以一個磁盤的方式呈現，是目前應用最廣泛的虛擬存儲控制器。

由于virtio機制通過硬件實現加速已經是通用做法，所以利用這個優勢，virtio-blk卸載到硬件，已經是必然趨勢。在智能網卡中，將virtio-blk到后端映射到如NVMe-oF的遠端磁盤上，這樣相比較當前virtio-blk的用法，不需要在主機系統中掛載很多的遠端NVMe磁盤，由智能網卡直接完成映射，更加安全。

安全功能卸載硬件信任根

硬件信任根在安全領域是其它安全功能的基礎，主要表現如下方面：

（1）硬件信任根（Root-Of-Trust）：硬件信任根提供更離散的密鑰生成算法，并且與主機操作系統相隔離，可以做到硬件防破解。硬件信任根實現私有 密鑰存儲，可以反克隆和簽名。通過硬件信任根認證授權實現訪問受控。

（2）加密解密（Encryption/Decryption）：數據加密解密算法完全卸載到硬件網卡，無需主機CPU資源，效率更高更可靠。可以實現通用加密算法和國 密算法等。

（3）密鑰證書管理（KMS）：密鑰證書管理卸載到智能網卡，與主機系統相隔離；支持多種密鑰交換算法，如D-H密鑰交換等。

（4）動態數據安全（Secure Data-in-Motion）：利用硬件級加解密算法，對 傳輸通道上的數據做加解密處理，如IPSec和TLS等。硬件處理可以實現更高吞 吐量。

（5）靜態數據安全（Secure Data-at-Rest）：在存儲服務中，永久存盤的數據需要進行加密，防止被竊取，硬件級數據加解密在存儲服務中可以提供更高效的數據讀取，并保證數據安全。

（6）流日志和流分析（Flowlog）：流分析和流日志監控，對數據中心流量做精細監控，有效識別，可以及時識別DDoS攻擊，并做出響應。

安全服務應用

在安全領域，還有很多的安全功能產品，如NGFW，WAF，IPS/IDS，DDoS防御設備等。隨著云和虛擬化技術的發展，越來越多的安全功能產品的實 現方式轉為虛擬化方式，并通過云平臺來部署管理。這些安全功能產品由于部署在數據中心流量的主要路徑上，轉發性能對整體網絡的吞吐量和時延具有重要的影響?；赬86的軟件實現方式，需要大量CPU資源來處理對應的業務邏 輯，性能上的瓶頸已經愈發明顯。通過智能網卡對這些安全功能產品做硬件加速，已經是必然趨勢。

由于安全功能產品對報文處理的深度不同，有些只需要在二至四層處理，有些則需要在七層進行處理，所以在智能網卡的卸載方式上，也存在不同。如NGFW和DDoS等設備，可以通過流表卸載的方式，對流量進行攔截，來加速運行在主機系統中的安全服務應用。如IPS/IDS等，需要對報文內容做深度檢測， 則可以通過in-line的方式將數據深度檢測功能卸載到智能網卡的CPU上，這時需要智能網卡的CPU具有較強的性能。

隔離網絡虛擬化

在傳統的網卡上做云平臺虛擬化，Hypervisor以及對應的虛擬化網絡的實現，都是在主機操作系統上實現的。這樣如果黑客如果攻陷了Hypervisor并拿到 主機操作系統的root權限，就可以通過篡改虛擬化網絡配置，來對租戶網絡進行攻擊，甚至可以滲透到其它計算節點，進行更大范圍的攻擊。

引入DPU智能網卡之后，將虛擬化網絡的控制平面完全卸載到智能網卡 上，與主機操作系統相隔離。即使黑客攻陷了Hypervisor，獲取了主機操作系統的root權限，也無法篡改虛擬化網絡的配置，這樣可以將黑客的攻擊范圍限制在 主機操作系統上，不會影響到虛擬化網絡以及其它主機。進而達到了安全隔離的效果。

審核編輯 ：李倩