데이터센터 성능과 보안은 NVIDIA DOCA 1.2에 달렸다

by NVIDIA Korea

NVIDIA가 세계에서 가장 진일보한 데이터 프로세싱 유닛(DPU)인 NVIDIA BlueField DPU용 NVIDIA DOCA 1.2 소프트웨어 프레임워크를 출시했습니다. NVIDIA BlueField 생태계와 개발자 커뮤니티를 지원하도록 설계된 DOCA는 DPU의 잠재력을 실현하는 열쇠로서 CPU의 인프라 애플리케이션 서비스를 오프로드, 가속, 격리합니다.

DOCA는 API와 드라이버, 라이브러리, 샘플 코드, 다큐멘테이션, 서비스, 사전 패키지형 컨테이너를 한데 모아 간소화하는 한편, 데이터센터 노드 일체의 BlueField DPU에서 애플리케이션의 개발과 배포를 가속하는 소프트웨어 프레임워크입니다. DOCA와 BlueField를 병용하면 안전하게 격리되는 서비스 도메인을 구축해 네트워킹과 보안, 스토리지, 인프라 관리에 활용할 수 있는데요. 이는 제로 트러스트(zero-trust) 보안 전략의 현실화에 이상적입니다.

이번 DOCA 1.2 릴리스의 주요 기능과 활용 사례를 소개합니다.

적응형 클라우드 보안(adaptive cloud security)으로 호스트 서비스 보호하기

제로 트러스트 원칙에 기반한 보안 방식은 오늘날의 데이터센터 보호에 매우 중요합니다. 데이터센터 내부 리소스의 무조건적 신뢰가 이제는 불가능하기 때문이죠. 앱 쉴드(App Shield)는 시스템 내 핵심 서비스에 가해지는 공격을 감지합니다. 다수의 시스템에서 이 핵심 서비스들은 다양한 애플리케이션의 무결성과 프라이버시를 책임지는 역할을 하죠.

그림 1. 여러분의 호스트 서비스를 적응형 클라우드 보안으로 보호하세요.

DOCA 앱 쉴드의 호스트 모니터링 기능은 사이버 보안 벤더가 가속 침입 탐지 시스템(IDS) 솔루션을 구축해 어떤 물리 또는 가상 머신에서 공격도 식별하게 해줍니다. 애플리케이션 상태 관련 데이터를 보안 정보와 사고 관리(SIEM) 또는 확장된 탐지와 대응(XDR) 툴에 제공하고, 포렌식(forensic) 조사 또한 개선합니다.

호스트가 손상되면 공격자는 대개 보안 컨트롤 메커니즘에 뚫린 구멍을 이용해 데이터센터 네트워크를 좌우로 오가며 다른 서버와 장치로 이동합니다. 앱 쉴드는 보안팀이 애플리케이션 프로세스를 보호하고 무결성을 지속적으로 검증해 악성 활동을 감지하도록 지원합니다.

공격자가 시스템 보안 에이전트의 프로세스를 파괴하는 경우, 앱 쉴드는 손상된 호스트를 격리해 피해를 줄이고, 악성 프로그램이 기밀 데이터에 액세스하거나 다른 리소스로 확산되는 상황을 막습니다. 앱 쉴드는 사이버 범죄와의 전쟁에 이바지할 중요한 진전이며, 제로 트러스트 보안의 입지를 다지는 효과적 툴이기도 합니다.

BlueField DPU와 DOCA 소프트웨어 프레임워크가 제공하는 개방형 기반을 통해서 파트너사와 개발자들은 제로 트러스트 솔루션을 구축하고 현대 데이터센터의 보안 문제를 해소할 수 있습니다.

시간 동기화 데이터센터 구축하기

프리시전 타이밍(precision timing)은 엣지에서 코어까지 분산되어 있는 애플리케이션들의 활성화와 가속을 담당하는 중요한 기능입니다. 데이터센터 타이밍 서비스인 DOCA Firefly는 어디서나 고도로 정밀한 시간 동기화를 지원합니다. 나노초 단위의 시간 동기화를 통해 지연에 민감하고 타이밍이 중요한 애플리케이션을 구축할 수 있게 해주죠.

그림 2. 프리시전 시간 동기화 데이터센터 서비스

DOCA Firefly는 광범위하게 응용될 수 있는데요. 대표적 활용 사례는 다음과 같습니다.

  • HFT (high-frequency trading)
  • 분산 데이터베이스
  • 산업용 5G 무선 접속망(RAN)
  • 과학 연구
  • 고성능 컴퓨팅(HPC)
  • Omniverse 디지털 트윈(digital twin)
  • 게이밍
  • 가상현실(AR)/증강현실(VR)
  • 자율주행차
  • 보안

DOCA Firefly는 데이터 일관성(data consistency) 유지, 이벤트의 정확한 순서 지정, 인과관계 분석을 가능하게 하는데요. 예를 들면 주식 시장 거래의 순서와 디지털 경매의 호가 등을 정확하고 공정하게 관리하도록 할 수 있습니다. BlueField 주문형 집적회로(ASIC)의 하드웨어 엔진은 데이터 패킷의 시점 확인(time-stamping)을 최대 와이어 스피드(wirespeed)로 실행하면서 나노초 단위의 혁신적 정확도를 달성합니다.

데이터센터 타이밍의 정확도가 10배 단위로 개선됨에 따라 많은 이점을 누리게 되는데요.

글로벌 동기화를 완료한 데이터센터로 AI와 HPC, 전문적인 미디어 프로덕션, 통신사 가상 네트워크 기능, 정밀한 이벤트 모니터링 등 분산 애플리케이션과 데이터 애널리틱스를 가속할 수 있습니다. 데이터센터 내(또는 데이터센터 간) 모든 서버가 조화를 이루며 단일 컴퓨팅 노드보다 훨씬 월등한 성능을 달성하죠.

데이터센터의 타이밍 정확도가 개선되면 해당 데이터의 복제와 검증에 필요한 컴퓨팅 파워와 네트워크 트래픽의 양이 절감된다는 장점도 있습니다. 일례로 DOCA Firefly 동기화는 분산 데이터베이스에 3배 향상된 데이터베이스 성능을 제공합니다.

DOCA HBN 베타

BlueField DPU는 엔드포인트(endpoint) 호스트 내의 네트워크 가속과 정책 적용(PE)을 위한 독창적 솔루션입니다. 또한 호스트 운영 체제와 DPU 기반 기능 사이에서 관리와 소프트웨어의 경계를 제공합니다.

DOCA 호스트 기반 네트워킹(HBN)을 사용하면, 랙 상단형(top-of-rack, TOR) 네트워크 구성이 DPU까지 확장되어 네트워크 관리자가 DPU 구성과 관리 권한을 갖게 되는 한편, 애플리케이션 관리는 x86 호스트 관리자가 별도로 담당하게 됩니다. 데이터센터 네트워크의 구축법을 새롭게 구상할 최고의 기회가 생기는 셈이죠.

DOCA 1.2가 HBN용으로 새롭게 제공하는 드라이버인 Netlink to DOCA(nl2doca)는 기존의 리눅스 넷링크(Linux Netlink) 메시지를 가속, 오프로드합니다. nl2doca는 HBN 서비스 컨테이너에 통합된 가속 드라이버 형태로 제공되는데요. 이제 DPDK나 OVS, 넷링크 커널 라우팅 기반의 L2와 L3용 호스트 네트워킹도 가속할 수 있습니다.

NVIDIA는 DPU에서 실행되며 nl2doca 드라이버를 사용하는 오픈 소스 프리 레인지 라우팅(FRR) 프로젝트에 대한 지원을 추가했습니다. 이에 따라 DPU가 TOR 스위치와 똑같이 작동하면서 다양한 이점을 제공하죠. DPU 기반 FRR은 EVPN 네트워크가 호스트로 직접 이동할 수 있게 보장해 레이어2(VLAN) 확장과 레이어3(VRF) 테넌트(tenant) 격리를 제공합니다.

DPU 기반 HBN은 동일 노드에 있는 가상 머신(VM)이나 컨테이너 간 트래픽을 관리, 모니터링합니다. 또한 분석과 암호화/복호화를 진행한 다음, 해당 노드를 오가는 트래픽을 분석하기도 하는데요. 이는 TOR 스위치가 수행할 수 없는 작업들이죠. 여러분의 개인 클라우드에 아마존 VPC와 비슷한 솔루션을 구축해 컨테이너형 VM과 베어메탈(bare metal) 워크로드를 지원할 수도 있습니다.

BlueField DPU와 HBN은 데이터센터 네트워크를 구축하는 방법을 혁신합니다. 대표적 이점들은 다음과 같습니다.

  • 플러그 앤드 플레이(Plug-and-play) 방식 서버:FRR의 외부 라우팅 프로토콜(BGP)을 비번호로 사용하는 서버들은 서버 대 스위치 전환 구성을 조정하지 않고도 네트워크에 직접 연결됩니다. MLAG와 본딩(bonding), NIC 티밍(teaming)이 필요 없습니다.
  • 상호 운용이 가능한 개방형 멀티 테넌시(tenancy):EVPN은 서버 대 서버 또는 서버 대 스위치 오버레이(overlay)를 지원합니다. 언더레이(underlay) 네트워킹 벤더에 구애받지 않고 베어메탈이나 폐쇄형 어플라이언스, 하이퍼바이저 솔루션용 멀티 테넌트 솔루션을 제공합니다. EVPN은 분산 오버레이 구성을 제공하는 한편, 비용이 많이 들고 중앙집중식인 전용 SDN 컨트롤러의 필요성을 제거해줍니다.
  • 안전한 네트워크 관리: BlueField DPU는 네트워크 정책 구성과 적용을 위해 격리 환경을 제공합니다. 이때 호스트에는 소프트웨어나 종속성(dependencies)이 없습니다.
  • 고급 HCI와 스토리지 네트워킹 지원:BlueField가 제공하는 간단한 기법을 통해 HCI와 스토리지 파트너들은 하이퍼바이저에 관계없이 멀티 테넌트와 하이브리드 클라우드 솔루션의 난제들을 해결할 수 있습니다.
  • 유연한 네트워크 오프로드:HBN이 제공하는 nl2doca 드라이버를 사용하면 넷링크 지원 애플리케이션 일체가 기존 DPDK 라이브러리의 복잡성 없이 커널 기반 네트워킹에 오프로드/가속됩니다.
  • TOR 스위치 요구사항 간소화:서버 내 DPU에 더 많은 인텔리전스가 배치되어 TOR 스위치의 복잡성을 줄입니다.

DOCA 1.2 SDK의 추가 업데이트 내용은 다음과 같습니다.

  • DOCA FLOW – 방화벽(알파)
  • DOCA FLOW – 게이트웨이(베타)
  • DOCA FLOW 원격 API
  • DOCA 1.2에는 IP 보안 프로토콜(IPsec)과 전송 계층 보안(TLS)을 위한 개선과 확장이 포함됩니다.

DLI 과정: BlueField DPU용 DOCA 입문

NVIDIA Deep Learning Institute(DLI)에 BlueField DPU용 DOCA 입문 과정이 신설됐습니다. 이 과정의 주목적은 개발자와 연구자, 시스템 관리자에게 DOCA와 BlueField DPU를 소개하는 것인데요. 수강생들이 DOCA를 성공적으로 활용해 BlueField DPU 기반 가속 애플리케이션과 서비스를 구축할 수 있도록 지원합니다.

지금 DOCA를 경험하세요

DOCA소프트웨어에는 DOCA SDK를 비롯해 네트워킹, 스토리지, 보안용 런타임 가속 라이브러리가 포함돼 있습니다. 이 라이브러리들은 DPU에서 실행되는 데이터센터 인프라의 프로그래밍을 도와줍니다.

DOCA조기 체험 프로그램이 지금 여러분을 기다립니다. DOCA관련 소식과 업데이트를 받아보거나, 조기 체험 프로그램의 회원/파트너가 되려면 DOCA 조기 체험(DOCA Early Access) 페이지에 등록하세요.

더 자세한 정보는 다음을 확인하세요