TL; DR: Jy kan nou Kubernetes op laat loop van Google.
Google vandag (08.09.2020/XNUMX/XNUMX, ongeveer. vertaler) by die geleentheid het die uitbreiding van sy produkreeks aangekondig met die bekendstelling van 'n nuwe diens.
Vertroulike GKE-nodusse voeg meer privaatheid by werkladings wat op Kubernetes loop. In Julie is die eerste produk bekendgestel genaamd , en vandag is hierdie virtuele masjiene reeds publiek beskikbaar vir almal.
Confidential Computing is 'n nuwe produk wat die stoor van data in geënkripteerde vorm behels terwyl dit verwerk word. Dit is die laaste skakel in die data-enkripsieketting, aangesien wolkdiensverskaffers reeds data in en uit enkripteer. Tot onlangs was dit nodig om data te dekripteer soos dit verwerk is, en baie kenners sien dit as 'n ooglopende gat in die veld van data-enkripsie.
Google se Confidential Computing Initiative is gebaseer op 'n samewerking met die Confidential Computing Consortium, 'n bedryfsgroep om die konsep van Trusted Execution Environments (TEE's) te bevorder. TEE is 'n veilige deel van die verwerker waarin die gelaaide data en kode geïnkripteer is, wat beteken dat hierdie inligting nie deur ander dele van dieselfde verwerker verkry kan word nie.
Google se Confidential VM's loop op N2D virtuele masjiene wat op AMD se tweede generasie EPYC verwerkers loop, wat Secure Encrypted Virtualization-tegnologie gebruik om virtuele masjiene te isoleer van die hipervisor waarop hulle loop. Daar is 'n waarborg dat die data geïnkripteer bly ongeag die gebruik daarvan: werkladings, ontledings, versoeke vir opleidingsmodelle vir kunsmatige intelligensie. Hierdie virtuele masjiene is ontwerp om te voldoen aan die behoeftes van enige maatskappy wat sensitiewe data in gereguleerde gebiede soos die bankbedryf hanteer.
Miskien meer dringend is die aankondiging van die komende beta-toetsing van vertroulike GKE-nodusse, wat volgens Google in die komende 1.18-vrystelling bekendgestel sal word (GKE). GKE is 'n bestuurde, produksiegereed omgewing vir die bestuur van houers wat dele van moderne toepassings huisves wat oor verskeie rekenaaromgewings uitgevoer kan word. Kubernetes is 'n oopbron-orkestrasie-instrument wat gebruik word om hierdie houers te bestuur.
Die byvoeging van vertroulike GKE-nodusse bied groter privaatheid wanneer GKE-klusters uitgevoer word. Toe ons 'n nuwe produk by die Confidential Computing-lyn gevoeg het, wou ons 'n nuwe vlak van
privaatheid en oordraagbaarheid vir werkladings in containers. Google se Vertroulike GKE-nodusse is gebou op dieselfde tegnologie as Vertroulike VM's, wat jou toelaat om data in die geheue te enkripteer met 'n nodus-spesifieke enkripsiesleutel wat deur die AMD EPYC-verwerker gegenereer en bestuur word. Hierdie nodusse sal hardeware-gebaseerde RAM-enkripsie gebruik gebaseer op AMD se SEV-kenmerk, wat beteken dat jou werkladings wat op hierdie nodusse loop, geïnkripteer sal word terwyl hulle loop.
Sunil Potti en Eyal Manor, Wolkingenieurs, Google
Op Vertroulike GKE-nodusse kan klante GKE-klusters opstel sodat noduspoele op Vertroulike VM's loop. Eenvoudig gestel, enige werklading wat op hierdie nodusse loop, sal geïnkripteer word terwyl data verwerk word.
Baie ondernemings benodig selfs meer privaatheid wanneer hulle publieke wolkdienste gebruik as wat hulle doen vir werkladings op die perseel wat op die perseel loop om teen aanvallers te beskerm. Google Cloud se uitbreiding van sy Confidential Computing-lyn verhoog hierdie balk deur gebruikers die vermoë te bied om geheimhouding vir GKE-klusters te verskaf. En gegewe sy gewildheid, is Kubernetes 'n belangrike stap vorentoe vir die bedryf, wat maatskappye meer opsies bied om die volgende generasie toepassings veilig in die openbare wolk aan te bied.
Holger Mueller, ontleder by Constellation Research.
NB Ons maatskappy stel 'n opgedateerde intensiewe kursus op 28-30 September bekend vir diegene wat nog nie Kubernetes ken nie, maar daarmee kennis wil maak en begin werk. En na hierdie geleentheid op 14–16 Oktober, stel ons 'n bygewerkte vir ervare Kubernetes-gebruikers vir wie dit belangrik is om al die nuutste praktiese oplossings te ken in die werk met die nuutste weergawes van Kubernetes en moontlike "rake". Aan Ons sal in teorie en in die praktyk die ingewikkeldhede van die installering en konfigurasie van 'n produksie-gereed groepering ("die-nie-so-maklike-manier"), meganismes om sekuriteit en fouttoleransie van toepassings te verseker, ontleed.
Google het onder meer gesê dat sy Vertroulike VM's 'n paar nuwe kenmerke sal kry soos wat hulle van vandag af algemeen beskikbaar word. Ouditverslae het byvoorbeeld verskyn wat gedetailleerde logboeke bevat van die integriteitkontrole van die AMD Secure Processor-firmware wat gebruik word om sleutels vir elke geval van vertroulike VM's te genereer.
Daar is ook meer kontroles vir die opstel van spesifieke toegangsregte, en Google het ook die vermoë bygevoeg om enige ongeklassifiseerde virtuele masjien op 'n gegewe projek te deaktiveer. Google verbind ook Vertroulike VM's met ander privaatheidsmeganismes om sekuriteit te verskaf.
Jy kan 'n kombinasie van gedeelde VPC's met firewall-reëls en organisasiebeleidsbeperkings gebruik om te verseker dat Vertroulike VM's met ander vertroulike VM's kan kommunikeer, selfs al loop hulle op verskillende projekte. Daarbenewens kan jy VPC-dienskontroles gebruik om die GCP-hulpbronomvang vir jou vertroulike VM's te stel.
Sunil Potti en Eyal Manor
Bron: will.com