TL; DR: Mahimo na nimong padaganon ang Kubernetes gikan sa Google.
Google karon (08.09.2020/XNUMX/XNUMX, gibanabana. tighubad) sa maong kalihokan gipahibalo ang pagpalapad sa linya sa produkto niini uban ang paglansad sa usa ka bag-ong serbisyo.
Ang kompidensyal nga mga node sa GKE nagdugang og dugang nga pribasiya sa mga workload nga nagdagan sa Kubernetes. Niadtong Hulyo, ang unang produkto gilusad nga gitawag , ug karon kini nga mga virtual nga makina magamit na sa publiko sa tanan.
Ang Confidential Computing usa ka bag-ong produkto nga naglakip sa pagtipig sa datos sa naka-encrypt nga porma samtang kini giproseso. Kini ang kataposang link sa data encryption chain, tungod kay ang cloud service providers naka-encrypt na ug data sa sulod ug gawas. Hangtud bag-o lang, gikinahanglan ang pag-decrypt sa datos samtang kini giproseso, ug daghang mga eksperto ang nagtan-aw niini isip usa ka nagsidlak nga lungag sa natad sa data encryption.
Ang Confidential Computing Initiative sa Google gibase sa usa ka kolaborasyon sa Confidential Computing Consortium, usa ka grupo sa industriya nga nagpasiugda sa konsepto sa Trusted Execution Environments (TEEs). Ang TEE usa ka luwas nga bahin sa processor diin ang gikarga nga datos ug code gi-encrypt, nga nagpasabot nga kini nga impormasyon dili ma-access sa ubang mga bahin sa samang processor.
Ang Google's Confidential VMs nagdagan sa N2D virtual machines nga nagdagan sa AMD's second-generation EPYC processors, nga naggamit sa Secure Encrypted Virtualization nga teknolohiya aron ihimulag ang mga virtual machine gikan sa hypervisor nga ilang gipadagan. Adunay usa ka garantiya nga ang datos nagpabilin nga naka-encrypt bisan unsa pa ang paggamit niini: mga workloads, analytics, mga hangyo alang sa mga modelo sa pagbansay alang sa artipisyal nga paniktik. Kini nga mga virtual machine gidisenyo aron matubag ang mga panginahanglanon sa bisan unsang kompanya nga nagdumala sa sensitibo nga datos sa mga regulated nga lugar sama sa industriya sa bangko.
Tingali ang labi ka dinalian mao ang pagpahibalo sa umaabot nga beta testing sa Confidential GKE nodes, nga giingon sa Google nga ipaila sa umaabot nga 1.18 nga pagpagawas. (GKE). Ang GKE usa ka gidumala, andam nga produksiyon nga palibot alang sa pagpadagan sa mga sudlanan nga nag-host sa mga bahin sa modernong mga aplikasyon nga mahimong magamit sa daghang mga palibot sa kompyuter. Ang Kubernetes usa ka open source orkestra nga himan nga gigamit sa pagdumala niini nga mga sudlanan.
Ang pagdugang sa Confidential GKE node naghatag ug mas dako nga pribasiya kung nagdagan sa mga cluster sa GKE. Kung magdugang ug bag-ong produkto sa linya sa Confidential Computing, gusto namong muhatag ug bag-ong lebel sa
pagkapribado ug kadali sa pagdala alang sa mga sulud sa trabaho. Ang Google's Confidential GKE nodes gitukod sa parehas nga teknolohiya sa Confidential VMs, nga nagtugot kanimo sa pag-encrypt sa data sa memorya gamit ang usa ka node-specific nga encryption key nga gihimo ug gidumala sa AMD EPYC processor. Kini nga mga node mogamit sa hardware-based RAM encryption base sa AMD's SEV feature, nga nagpasabot nga ang imong mga workloads nga nagdagan niini nga mga node ma-encrypt samtang sila nagdagan.
Sunil Potti ug Eyal Manor, Cloud Engineers, Google
Sa Confidential GKE nodes, ang mga kustomer maka-configure sa GKE clusters aron ang mga node pool modagan sa Confidential VMs. Sa yano nga pagkasulti, ang bisan unsang mga workload nga nagdagan sa kini nga mga node ma-encrypt samtang giproseso ang datos.
Daghang mga negosyo ang nanginahanglan labi pa nga pribasiya kung gigamit ang mga serbisyo sa publiko nga panganod kaysa sa ilang gibuhat alang sa mga karga sa trabaho sa lugar nga nagdagan sa lugar aron mapanalipdan batok sa mga tig-atake. Ang pagpalapad sa Google Cloud sa Confidential Computing nga linya niini nagpataas niini nga bar pinaagi sa paghatag sa mga tiggamit og abilidad sa paghatag og sekreto para sa mga cluster sa GKE. Ug tungod sa pagkapopular niini, ang Kubernetes usa ka yawe nga lakang sa unahan alang sa industriya, nga naghatag sa mga kompanya og daghang mga kapilian aron luwas nga mag-host sa mga sunod nga henerasyon nga aplikasyon sa publiko nga panganod.
Holger Mueller, Analista sa Constellation Research.
NB Ang among kompanya naglansad sa usa ka na-update nga intensive nga kurso kaniadtong Setyembre 28-30 para sa mga wala pa makaila sa Kubernetes, apan gusto nga makaila niini ug magsugod sa pagtrabaho. Ug pagkahuman niini nga panghitabo kaniadtong Oktubre 14β16, naglansad kami usa ka na-update alang sa mga eksperyensiyadong Kubernetes nga tiggamit diin importante nga mahibaloan ang tanang pinakabag-o nga praktikal nga mga solusyon sa pagtrabaho uban sa pinakabag-o nga bersyon sa Kubernetes ug posible nga "rake". Sa Atong analisahon sa teorya ug sa praktis ang mga kakuti sa pag-instalar ug pag-configure sa usa ka pundok nga andam na sa produksiyon ("ang-dili-sa-sayon-nga paagi"), mga mekanismo alang sa pagsiguro sa seguridad ug pagtugot sa sayup sa mga aplikasyon.
Lakip sa ubang mga butang, ang Google nag-ingon nga ang Confidential VMs niini makakuha og pipila ka mga bag-ong feature ingon nga kini kasagarang magamit sugod karon. Pananglitan, ang mga taho sa pag-audit nagpakita nga adunay mga detalyado nga log sa pagsusi sa integridad sa AMD Secure Processor firmware nga gigamit sa pagmugna og mga yawe alang sa matag higayon sa Confidential VMs.
Adunay usab daghang mga kontrol alang sa pagtakda sa piho nga mga katungod sa pag-access, ug gidugang usab sa Google ang abilidad sa pag-disable sa bisan unsang wala ma-classified nga virtual machine sa usa ka gihatag nga proyekto. Gikonektar usab sa Google ang Confidential VMs sa ubang mga mekanismo sa pagkapribado aron mahatagan og seguridad.
Mahimo nimong gamiton ang kombinasyon sa gipaambit nga mga VPC nga adunay mga lagda sa firewall ug mga pagdili sa palisiya sa organisasyon aron masiguro nga ang mga Kompidensyal nga VM mahimong makigkomunikar sa ubang mga Kompidensyal nga VM, bisan kung nagdagan sila sa lainlaing mga proyekto. Dugang pa, mahimo nimong gamiton ang VPC Service Controls aron itakda ang GCP resource scope para sa imong Confidential VMs.
Sunil Potti ug Eyal Manor
Source: www.habr.com