TL, д-р: Цяпер можна запусціць Kubernetes на ад Google.
Кампанія Google сёння (08.09.2020, заўв. перакладчыка) на мерапрыемстве паведаміла аб пашырэнні лінейкі сваіх прадуктаў запускам новага сэрвісу.
Вузлы Confidential GKE дадаюць больш сакрэтнасці нагрузкам, запушчаным у Kubernetes. У ліпені быў запушчаны першы прадукт пад назовам , а сёння гэтыя віртуальныя машыны ўжо агульнадаступныя ўсім.
Confidential Computing – навінка, якая прадугледжвае захоўванне дадзеных у шыфраваным выглядзе падчас іх апрацоўкі. Гэта апошняе звяно ў ланцугі шыфравання дадзеных, паколькі пастаўшчыкі хмарных паслуг ужо шыфруюць дадзеныя на ўваходзе і на вынахадзе. Да нядаўняга часу трэба было расшыфроўваць дадзеныя пры іх апрацоўцы, і шматлікія адмыслоўцы бачаць у гэтым відавочную дзірку ў вобласці шыфравання дадзеных.
Ініцыятыва Confidential Computing ад Google заснавана на супрацоўніцтве з кансорцыумам Confidential Computing, галіновай групай для прасоўвання канцэпцыі "надзейных асяродкаў выканання" (Trusted Execution Environments, TEEs). TEE – абароненая частка працэсара, у якой загружаныя дадзеныя і код – зашыфраваныя, што азначае немагчымасць атрымання доступу да гэтай інфармацыі іншымі часткамі гэтага ж працэсара.
Confidential VMs ад Google працуюць на віртуальных машынах N2D, запушчаных на працэсарах другога пакалення EPYC кампаніі AMD, якія выкарыстоўваюць тэхналогію Secure Encrypted Virtualization, якая дазваляе ізаляваць віртуальныя машыны ад гіпервізара, на якім яны працуюць. Ёсць гарантыя таго, што дадзеныя застаюцца зашыфраванымі па-за залежнасцю ад іх выкарыстання: працоўныя нагрузкі, аналітыка, запыты на трэніроўку мадэляў для штучнага інтэлекту. Гэтыя віртуальныя машыны распрацаваны для задавальнення запатрабаванняў любой кампаніі, якая працуе з сакрэтнымі дадзенымі ў рэгуляваных абласцях, напрыклад у банкаўскай галіне.
Магчыма больш надзённым з'яўляецца анонс аб маючым адбыцца beta-тэставанні вузлоў Confidential GKE, якія, па словах Google, будуць прадстаўлены ў маючым адбыцца выпуску 1.18. (GKE). GKE - кіраванае, гатовае да ўкаранення на вытворчасці асяроддзе для запуску кантэйнераў, у якіх размяшчаюцца часткі сучасных прыкладанняў, якія можна запускаць у некалькіх вылічальных асяроддзях. Kubernetes - інструмент аркестроўкі з адкрытым зыходным кодам, які выкарыстоўваецца для кіравання гэтымі кантэйнерамі.
Даданне вузлоў Confidential GKE забяспечвае вялікую сакрэтнасць пры запуску кластараў GKE. Пры даданні новага прадукта ў лінейцы Confidential Computing мы жадалі забяспечыць новы ўзровень
сакрэтнасці і пераноснасці для кантэйнерызаваная нагрузак. Вузлы Confidential GKE ад Google пабудаваны на той жа тэхналогіі, што і Confidential VMs, дазваляюць вам шыфраваць дадзеныя ў аператыўнай памяці з дапамогай унікальнага для кожнага вузла ключа шыфравання, які ствараецца і кіраванага працэсарам AMD EPYC. Такія вузлы будуць выкарыстоўваць апаратнае шыфраванне аператыўнай памяці на аснове функцыі SEV ад кампаніі AMD, што азначае, што вашыя працоўныя нагрузкі, выкананыя на такіх вузлах, будуць зашыфраваныя падчас іх працы.
Sunil Potti і Eyal Manor, інжынеры па хмарных тэхналогіях, Google
На вузлах Confidential GKE кліенты могуць наладзіць кластары GKE так, што пулы вузлоў будуць запушчаны на віртуальных машынах Confidential VMs. Прасцей кажучы - любыя працоўныя нагрузкі, якія выконваюцца на такіх вузлах, будуць зашыфраваны падчас апрацоўкі дадзеных.
Многім прадпрыемствам трэба яшчэ больш сакрэтнасці пры выкарыстанні публічных хмарных сэрвісаў, чым для лакальных працоўных нагрузак, якія запускаюцца на сваіх магутнасцях, што трэба для абароны ад зламыснікаў. Google Cloud пашыраючы сваю лінейку Confidential Computing павялічвае гэтую планку, падаючы карыстачам магчымасць забеспячэння сакрэтнасці для кластараў GKE. А з улікам папулярнасці Kubernetes – гэта ключавы крок наперад для галіны, які дае кампаніям больш магчымасцяў для бяспечнага размяшчэння прыкладанняў наступнага пакалення ў публічным воблаку.
Holger Mueller, аналітык Constellation Research.
NB Наша кампанія 28-30 верасня запускае абноўлены інтэнсіў для тых, хто яшчэ не ведае Kubernetes, але жадае з ім пазнаёміцца і пачаць працаваць. А пасля гэтага мерапрыемства 14-16 кастрычніка мы запускаем абноўлены для дасведчаных карыстачоў Kubernetes, якім важна ведаць усе апошнія практычныя рашэнні ў працы з Kubernetes апошніх версій і магчымыя "граблі". На разбярэм у тэорыі і на практыцы тонкасці ўстаноўкі і канфігурацыі production-ready кластара ("the-not-so-easy-way"), механізмы забеспячэння бяспекі і адмоваўстойлівасці прыкладанняў.
Акрамя іншага Google заявіла, што яе Confidential VMs атрымаюць некаторыя новыя магчымасці, паколькі яны становяцца агульнадаступнымі з гэтага дня. Напрыклад з'явіліся справаздачы аўдыту, утрымоўвальныя падрабязныя часопісы праверкі цэласнасці прашыўкі AMD Secure Processor, выкарыстоўванай для стварэння ключоў для кожнага асобніка Confidential VMs.
Таксама з'явілася больш элементаў кіравання для задання пэўных правоў доступу, а таксама Google дадала магчымасць адключэння любой несакрэтнай віртуальнай машыны на зададзеным праекце. Таксама Google злучае Confidential VMs з іншымі механізмамі забеспячэння сакрэтнасці для забеспячэння бяспекі.
Вы можаце выкарыстоўваць камбінацыю агульных VPC з правіламі firewall і абмежаваннямі палітыкі агранізацыі для забеспячэння ўпэўненасці ў тым, што Confidential VMs могуць абменьвацца дадзенымі з іншымі Confidential VMs, нават калі яны працуюць у розных праектах. Акрамя гэтага вы можаце выкарыстоўваць VPC Service Controls для задання вобласці рэсурсаў GCP для вашых Confidential VMs.
Sunil Potti і Eyal Manor
Крыніца: habr.com