TL, DR: Nyní můžete spustit Kubernetes od Googlu.
Google dnes (08.09.2020/XNUMX/XNUMX, Cca. překladatel) na akci oznámila rozšíření své produktové řady spuštěním nové služby.
Důvěrné uzly GKE přidávají větší soukromí pracovní zátěži běžící na Kubernetes. V červenci byl uveden na trh první produkt tzv a dnes jsou tyto virtuální stroje již veřejně dostupné všem.
Confidential Computing je nový produkt, který zahrnuje ukládání dat v šifrované podobě během jejich zpracování. Toto je poslední článek v řetězci šifrování dat, protože poskytovatelé cloudových služeb již šifrují data dovnitř a ven. Až donedávna bylo nutné data dešifrovat tak, jak byla zpracována, a mnozí odborníci to vidí jako do očí bijící díru v oblasti šifrování dat.
Iniciativa Confidential Computing Initiative společnosti Google je založena na spolupráci s Confidential Computing Consortium, průmyslovou skupinou, která propaguje koncept Trusted Execution Environments (TEE). TEE je zabezpečená část procesoru, ve které jsou načtená data a kód šifrována, což znamená, že k těmto informacím nemají přístup jiné části stejného procesoru.
Důvěrné virtuální počítače Google běží na virtuálních strojích N2D běžících na procesorech AMD EPYC druhé generace, které využívají technologii Secure Encrypted Virtualization k izolaci virtuálních strojů od hypervizoru, na kterém běží. Existuje záruka, že data zůstanou šifrována bez ohledu na jejich použití: pracovní zátěž, analytika, požadavky na trénovací modely pro umělou inteligenci. Tyto virtuální stroje jsou navrženy tak, aby vyhovovaly potřebám jakékoli společnosti, která nakládá s citlivými daty v regulovaných oblastech, jako je například bankovnictví.
Možná naléhavější je oznámení o nadcházejícím beta testování uzlů Confidential GKE, které podle Googlu budou představeny v nadcházející verzi 1.18 (GKE). GKE je spravované, produkčně připravené prostředí pro spouštění kontejnerů, které hostí části moderních aplikací, které lze provozovat v různých výpočetních prostředích. Kubernetes je open source nástroj pro orchestraci používaný ke správě těchto kontejnerů.
Přidání důvěrných uzlů GKE poskytuje větší soukromí při spouštění clusterů GKE. Při přidávání nového produktu do řady Confidential Computing jsme chtěli poskytnout novou úroveň
soukromí a přenositelnost pro kontejnerové pracovní zátěže. Uzly Google Confidential GKE jsou postaveny na stejné technologii jako Confidential VM, což vám umožňuje šifrovat data v paměti pomocí šifrovacího klíče specifického pro uzel generovaného a spravovaného procesorem AMD EPYC. Tyto uzly budou používat hardwarové šifrování RAM založené na funkci SEV společnosti AMD, což znamená, že vaše pracovní zátěže běžící na těchto uzlech budou zašifrovány, zatímco budou spuštěny.
Sunil Potti a Eyal Manor, Cloud Engineers, Google
V uzlech Confidential GKE mohou zákazníci nakonfigurovat clustery GKE tak, aby fondy uzlů běžely na důvěrných virtuálních počítačích. Jednoduše řečeno, jakákoli pracovní zátěž běžící na těchto uzlech bude při zpracování dat šifrována.
Mnoho podniků vyžaduje při používání veřejných cloudových služeb ještě více soukromí, než je tomu u místních úloh spouštěných na místě, aby se chránily před útočníky. Rozšíření řady Confidential Computing od společnosti Google Cloud tuto laťku zvyšuje tím, že uživatelům poskytuje možnost zajistit pro clustery GKE utajení. A vzhledem ke své popularitě je Kubernetes klíčovým krokem vpřed pro toto odvětví, který společnostem poskytuje více možností, jak bezpečně hostovat aplikace nové generace ve veřejném cloudu.
Holger Mueller, analytik společnosti Constellation Research.
NB Naše společnost zahajuje 28. – 30. září aktualizovaný intenzivní kurz pro ty, kteří Kubernetes ještě neznají, ale chtějí se s ním seznámit a začít pracovat. A po této události 14.–16. října spouštíme aktualizaci pro zkušené uživatele Kubernetes, pro které je důležité znát všechna nejnovější praktická řešení při práci s nejnovějšími verzemi Kubernetes a případným „rake“. Na Budeme analyzovat v teorii a praxi složitosti instalace a konfigurace clusteru připraveného na produkci (“ne-tak-snadná cesta”), mechanismy pro zajištění bezpečnosti a odolnosti aplikací proti chybám.
Google mimo jiné uvedl, že jeho důvěrné virtuální počítače získají některé nové funkce, jakmile budou ode dneška obecně dostupné. Objevily se například auditní zprávy obsahující podrobné protokoly kontroly integrity firmwaru AMD Secure Processor používaného ke generování klíčů pro každou instanci důvěrných virtuálních počítačů.
Přibylo také ovládacích prvků pro nastavení konkrétních přístupových práv a Google přidal i možnost deaktivovat jakýkoli nezařazený virtuální stroj na daném projektu. Google také propojuje důvěrné virtuální počítače s dalšími mechanismy ochrany soukromí, aby zajistila bezpečnost.
Můžete použít kombinaci sdílených virtuálních počítačů s pravidly brány firewall a omezeními zásad organizace, abyste zajistili, že důvěrné virtuální počítače mohou komunikovat s jinými důvěrnými virtuálními počítači, i když běží na různých projektech. Kromě toho můžete pomocí ovládacích prvků služby VPC nastavit rozsah prostředků GCP pro vaše důvěrné virtuální počítače.
Sunil Potti a Eyal Manor
Zdroj: www.habr.com