粤公网安备 44011302004783号 云平台!英伟达Astra 2026 CES发布,AI基建安全新定义。
随着全球人工智能(AI)领域的创新浪潮持续高涨,大规模AI计算对加速计算基础设施的需求达到了前所未有的程度。无论是训练拥有万亿参数的基础模型,通过解耦架构提供服务,还是处理大规模吞吐量的推理工作负载,都将现有数据中心的设计推向极限。为了满足这些严苛要求,服务提供商不仅需要能够实现规模扩展的基础设施,更需要具备更强大的安全性与更完善的租户隔离能力。在这一背景下,英伟达(NVIDIA)推出了一项突破性创新——运行在英伟达BlueField-4数据处理单元(DPU)上的英伟达BlueField Astra架构,它正在重新定义服务提供商管理、保护和扩展AI基础设施的方式。
当前,AI加速计算需求的增长促使业界日益重视裸金属计算模式,以充分释放图形处理器(GPU)的加速潜能。与虚拟化环境不同,裸金属环境下的资源分配要求严格的隔离和可信的控制点,以确保不同租户之间资源互不干扰,从而保障安全。
然而,AI基础设施的网络架构跨越两个不同的域,这给裸金属环境带来了新的挑战:
- 南北向(North-South, N-S)流量: 这是连接用户和应用到AI集群的前端网络。
- 东西向(East-West, E-W)流量: 这是连接GPU的后端AI计算网络,它要求极高的带宽和超低延迟。
目前,云服务提供商(CSP)已经通过使用英伟达BlueField DPU来管理南北向流量,并在其嵌入式Arm核心上运行控制软件堆栈。这种模式使得服务提供商能够有效地实现隔离、资源调配和工作负载的安全保障。
在东西向域,英伟达以太网超级网卡(Ethernet SuperNIC)是专为满足AI工作负载极端需求而设计的网络适配器,它能为大规模GPU集群提供所需的卓越性能、吞吐量和拥塞管理能力。
随着AI集群规模的不断扩大,云服务提供商正在寻求安全且一致的方法,将资源调配和控制能力延伸至AI计算网络内部,从而进一步增强超级网卡已提供的性能和可扩展性。
英伟达BlueField Astra架构深度解析
新媒网跨境获悉,在2026年国际消费电子展(CES 2026)上,英伟达发布的Rubin平台隆重推出了基于BlueField-4 DPU运行的BlueField高级安全可信资源架构(Astra)。BlueField Astra是一项突破性的系统级架构,它融合了硬件与软件的创新,并深度集成于英伟达Vera Rubin NVL72计算托盘之中。
通过BlueField-4 DPU与英伟达ConnectX-9超级网卡之间的专用连接,BlueField Astra将管理能力、资源调配和策略执行扩展到了东西向网络。这标志着计算节点所有的网络输入/输出(I/O)首次完全由DPU控制。
借助BlueField Astra,云服务提供商能够将其在BlueField-4 DPU上运行的可信软件堆栈,扩展至AI计算网络,以安全地管理租户隔离和网络策略。这些策略通过DPU的带外(out-of-band)端口进行编程,并直接在超级网卡硬件中强制执行,从而确保整个系统控制的一致性。
BlueField Astra的核心在于其全新的控制平面架构。与传统模式中,由基于主机的软件同时配置网卡和网络结构不同,BlueField Astra将超级网卡的控制平面与主机操作系统完全隔离。这一设计确保了租户工作负载,即使在裸金属环境中运行,也无法篡改或获取网络调配信息。
图1. 支持BlueField Astra管理模型的Vera Rubin NVL72计算托盘
如图1所示,BlueField Astra在BlueField-4 DPU与ConnectX-9超级网卡之间建立了一条直接路径,从而构建了一个统一的控制架构。这一架构实现了以下关键特性:
- 专用连接: 每张英伟达ConnectX-9超级网卡都直接连接到BlueField-4 DPU,使得DPU能够在不依赖主机中央处理器(CPU)的情况下,对超级网卡进行编程、配置和监控。
- 带外控制: BlueField Astra将所有资源调配指令和网络策略都通过BlueField嵌入式Arm核心进行路由和处理,确保管理通道的独立性。
- 南北向与东西向统一控制: BlueField-4 DPU将南北向和东西向两个网络域整合到一个单一的可信控制点之下。管理南北向网络以实现租户隔离和安全策略的同一个DPU,现在将这些能力延伸到了东西向的AI计算网络。
- 与租户隔离: 租户使用超级网卡进行AI数据传输,但无法访问或控制管理功能,这些功能完全独立地由DPU负责。
- 安全模型一致性: 通过将英伟达DOCA软件堆栈从主机转移到DPU,BlueField Astra确保东西向网络能够继承与南北向流量已验证的、云端对齐的安全态势。
BlueField Astra赋能卓越控制、高度一致性和强大信心
BlueField Astra通过在南北向和东西向两个网络域之间创建统一的控制平面,彻底改变了AI基础设施的管理方式。凭借以BlueField-4 DPU为核心的单一控制点,服务提供商能够简化资源调配,持续一致地执行策略,并有效降低运营复杂性,所有操作均无需触及主机CPU。
从设计之初,BlueField Astra就致力于提供更强的隔离性和安全性。超级网卡的控制平面与租户工作负载完全隔离,并由DPU全面管理,从而确保租户无法绕过或更改既定策略。这种模式有效地阻止了横向移动和配置漂移,同时赋予了云服务提供商在多租户环境中安全提供裸金属GPU节点的强大信心。
BlueField Astra还带来了运营上的一致性。服务提供商能够将他们在南北向前端已使用的基于DOCA的管理工具和工作流程,无缝扩展到东西向的计算网络。策略被下推至超级网卡硬件执行,实现了细粒度的、感知租户的资源调配,同时保持了英伟达超级网卡闻名的高性能优势。
最终,BlueField Astra支持合规性和可审计性。由于策略和配置驻留在DPU而非主机上,云服务提供商获得了更清晰的审计跟踪,并且安全态势与受监管行业的要求高度一致。这确保了安全性并非事后“打补丁”,而是深入嵌入到大规模AI基础设施的操作系统之中。
将运营工作流扩展至裸金属AI系统
BlueField Astra基于DOCA软件平台构建,为在BlueField-4 DPU上部署和运营基础设施服务提供了统一的方法。通过将网络、安全、存储和管理功能锚定在DPU上,Astra使得现有的DOCA微服务和运营工作流能够自然地扩展到裸金属AI系统和东西向计算网络。
在Astra架构下,DOCA微服务直接在BlueField-4 DPU上运行,并通过DPU管理的控制平面与英伟达ConnectX-9超级网卡进行交互。这种模式在保持与现有DOCA部署兼容性的同时,为多租户、裸金属AI环境提供了更强的隔离和控制能力,且不会给主机操作系统引入新的依赖。
BlueField Astra支持一系列DOCA微服务,这些微服务共同构成了AI系统的基础设施控制层,具体包括:
- 网络
- 南北向(N-S): DOCA基于主机的网络(HBN)在前AI集群前端提供租户感知的资源调配、隔离和策略执行。
- 东西向(E-W): DOCA加速的开放虚拟交换机(Open vSwitch, OVS)将软件定义网络扩展到AI计算网络中,实现GPU节点之间受控的连接,同时保持网络控制与租户工作负载隔离。
- 安全
- DOCA Argus从DPU提供基础设施级别的遥测和运行时可见性,支持在租户信任边界之外进行监控和强制执行。
- 存储
- DOCA SNAP通过DPU卸载存储服务,实现安全、隔离的数据路径,独立于主机软件运行。
- 管理
- DOCA DMS提供设备发现、生命周期管理和安全调配功能,允许云服务提供商通过以DPU为核心的集中控制点管理AI节点和超级网卡。
这些DOCA微服务共同作用,使得BlueField Astra能够在南北向和东西向两个域中保持一致的、软件定义的基础设施模型,同时保留大规模AI工作负载所需的性能特性。
保障AI基础设施的未来
随着AI工作负载的规模不断升级,服务提供商需要在提供裸金属性能的同时,维持严格的多租户安全性。通过BlueField Astra,英伟达将可信控制从前端网络延伸至AI计算网络本身。通过在统一且隔离的架构下结合BlueField DPU与超级网卡,BlueField Astra赋能云服务提供商,使其能够充满信心地构建、调配和保护下一代AI基础设施。
如需深入了解英伟达Vera Rubin NVL72和英伟达BlueField-4如何塑造AI基础设施的未来,欢迎观看英伟达首席执行官黄仁勋在CES 2026上的英伟达现场演示。欲获取更多BlueField-4功能与能力详情,请查阅BlueField-4产品说明书。
新媒网(公号: 新媒网跨境发布),是一个专业的跨境电商、游戏、支付、贸易和广告社区平台,为百万跨境人传递最新的海外淘金精准资讯情报。
本文来源:新媒网 https://nmedialink.com/posts/nvidia-astra-boosts-ai-security-ces-2026.html
