TL; DR: İndi Kubernetes-i işə sala bilərsiniz google-dən.
Google bu gün (08.09.2020/XNUMX/XNUMX, təqribən. tərcüməçi) tədbirdə yeni xidmətin istifadəyə verilməsi ilə məhsul xəttini genişləndirdiyini elan etdi.
Məxfi GKE qovşaqları Kubernetes-də işləyən iş yüklərinə daha çox məxfilik əlavə edir. İyul ayında ilk məhsul adlı məhsul buraxıldı , və bu gün bu virtual maşınlar artıq hamı üçün açıqdır.
Konfidensial Hesablama məlumatların emal zamanı şifrələnmiş formada saxlanmasını nəzərdə tutan yeni məhsuldur. Bu, məlumatların şifrələmə zəncirindəki son keçiddir, çünki bulud xidməti təminatçıları artıq məlumatları daxil və xaricə şifrələyir. Son vaxtlara qədər verilənlərin işləndiyi kimi onların şifrəsini açmaq lazım idi və bir çox ekspertlər bunu məlumatların şifrələnməsi sahəsində parlaq dəlik kimi görürlər.
Google-un Məxfi Hesablama Təşəbbüsü Etibarlı İcra Mühitləri (TEE) konsepsiyasını təşviq etmək üçün sənaye qrupu olan Məxfi Hesablama Konsorsiumu ilə əməkdaşlığa əsaslanır. TEE yüklənmiş məlumat və kodun şifrələndiyi prosessorun təhlükəsiz hissəsidir, yəni bu məlumat eyni prosessorun digər hissələri tərəfindən əldə edilə bilməz.
Google-un Confidential VM-ləri virtual maşınları işlədikləri hipervizordan təcrid etmək üçün Secure Encrypted Virtualization texnologiyasından istifadə edən AMD-nin ikinci nəsil EPYC prosessorlarında işləyən N2D virtual maşınlarında işləyir. İstifadəsindən asılı olmayaraq məlumatların şifrəli qalmasına zəmanət var: iş yükləri, analitika, süni intellekt üçün təlim modelləri üçün sorğular. Bu virtual maşınlar bank sənayesi kimi tənzimlənən sahələrdə həssas məlumatları idarə edən istənilən şirkətin ehtiyaclarını ödəmək üçün nəzərdə tutulmuşdur.
Ola bilsin ki, daha aktual olan Google-un qarşıdan gələn 1.18 buraxılışında təqdim ediləcəyini söyləyən Məxfi GKE qovşaqlarının qarşıdan gələn beta testinin elanıdır. (GKE). GKE bir çox hesablama mühitində işlədilə bilən müasir tətbiqlərin hissələrini özündə saxlayan konteynerləri işə salmaq üçün idarə olunan, istehsala hazır mühitdir. Kubernetes bu konteynerləri idarə etmək üçün istifadə edilən açıq mənbəli orkestrasiya vasitəsidir.
Məxfi GKE qovşaqlarının əlavə edilməsi GKE klasterlərini işlədən zaman daha çox məxfilik təmin edir. Məxfi Hesablama xəttinə yeni bir məhsul əlavə edərkən, yeni bir səviyyəni təmin etmək istədik
konteynerləşdirilmiş iş yükləri üçün məxfilik və daşınma. Google-un Məxfi GKE qovşaqları, AMD EPYC prosessoru tərəfindən yaradılan və idarə olunan node-xüsusi şifrələmə açarından istifadə edərək yaddaşdakı məlumatları şifrələməyə imkan verən Məxfi VM-lər ilə eyni texnologiya üzərində qurulub. Bu qovşaqlar AMD-nin SEV funksiyasına əsaslanan hardware əsaslı RAM şifrələməsindən istifadə edəcək, yəni bu qovşaqlarda işləyən iş yükləriniz onlar işləyərkən şifrələnəcək.
Sunil Potti və Eyal Manor, Bulud Mühəndisləri, Google
Məxfi GKE qovşaqlarında müştərilər GKE klasterlərini konfiqurasiya edə bilərlər ki, qovşaq hovuzları Məxfi VM-lərdə işləsin. Sadə dillə desək, bu qovşaqlarda işləyən hər hansı iş yükü məlumatların işlənməsi zamanı şifrələnəcək.
Bir çox müəssisə ictimai bulud xidmətlərindən istifadə edərkən təcavüzkarlardan qorunmaq üçün yerli iş yükləri üçün olduğundan daha çox məxfilik tələb edir. Google Buludun Məxfi Hesablama xəttini genişləndirməsi istifadəçilərə GKE klasterləri üçün məxfilik təmin etmək imkanı verməklə bu zolağı qaldırır. Populyarlığını nəzərə alsaq, Kubernetes şirkətlərə ictimai buludda gələcək nəsil tətbiqləri təhlükəsiz yerləşdirmək üçün daha çox seçim imkanı verən sənaye üçün irəliyə doğru mühüm addımdır.
Holger Mueller, Constellation Research analitiki.
NB Şirkətimiz 28-30 sentyabr tarixlərində yenilənmiş intensiv kursa başlayır hələ Kubernetes-i tanımayan, lakin onunla tanış olub işə başlamaq istəyənlər üçün. Oktyabrın 14-16-da baş tutacaq bu tədbirdən sonra biz yenilənmiş proqramı işə salırıq Kubernetes-in ən son versiyaları və mümkün “rake” ilə işləmək üçün bütün son praktik həlləri bilmək vacib olan təcrübəli Kubernetes istifadəçiləri üçün. Aktiv İstehsala hazır klasterin (“o qədər də asan olmayan yol”) quraşdırılması və konfiqurasiyasının incəliklərini, tətbiqlərin təhlükəsizliyini və nasazlıqlara dözümlülüyünü təmin etmək mexanizmlərini nəzəri və praktikada təhlil edəcəyik.
Digər şeylər arasında Google, Məxfi VM-lərinin bu gündən etibarən ümumi istifadəyə verildiyi üçün bəzi yeni xüsusiyyətlər qazanacağını söylədi. Məsələn, Məxfi VM-lərin hər bir nümunəsi üçün açarlar yaratmaq üçün istifadə edilən AMD Secure Processor mikroproqramının bütövlüyünün yoxlanılmasına dair təfərrüatlı qeydləri ehtiva edən audit hesabatları ortaya çıxdı.
Xüsusi giriş hüquqlarını təyin etmək üçün daha çox nəzarət var və Google, həmçinin müəyyən bir layihədə hər hansı təsnif edilməmiş virtual maşını söndürmək imkanı əlavə etdi. Google həmçinin təhlükəsizliyi təmin etmək üçün Məxfi VM-ləri digər məxfilik mexanizmləri ilə əlaqələndirir.
Siz məxfi VM-lərin müxtəlif layihələrdə işləsələr belə, digər Məxfi VM-lərlə əlaqə saxlamasını təmin etmək üçün firewall qaydaları və təşkilat siyasəti məhdudiyyətləri ilə paylaşılan VPC-lərin birləşməsindən istifadə edə bilərsiniz. Əlavə olaraq, Məxfi VM-ləriniz üçün GCP resurs dairəsini təyin etmək üçün VPC Xidmət Nəzarətlərindən istifadə edə bilərsiniz.
Sunil Potti və Eyal Manor
Mənbə: www.habr.com