TL; DR: Gallwch nawr redeg Kubernetes ymlaen o google.
Google heddiw (08.09.2020/XNUMX/XNUMX, tua. cyfieithydd) yn y digwyddiad cyhoeddi ehangu ei linell gynnyrch gyda lansiad gwasanaeth newydd.
Mae nodau GKE cyfrinachol yn ychwanegu mwy o breifatrwydd at lwythi gwaith sy'n rhedeg ar Kubernetes. Ym mis Gorffennaf, lansiwyd y cynnyrch cyntaf o'r enw , a heddiw mae'r peiriannau rhithwir hyn eisoes ar gael yn gyhoeddus i bawb.
Mae Cyfrifiadura Cyfrinachol yn gynnyrch newydd sy'n golygu storio data ar ffurf wedi'i amgryptio tra'i fod yn cael ei brosesu. Dyma'r ddolen olaf yn y gadwyn amgryptio data, gan fod darparwyr gwasanaethau cwmwl eisoes yn amgryptio data i mewn ac allan. Tan yn ddiweddar, roedd angen dadgryptio data wrth iddo gael ei brosesu, ac mae llawer o arbenigwyr yn gweld hyn fel twll amlwg ym maes amgryptio data.
Mae Menter Cyfrifiadura Cyfrinachol Google yn seiliedig ar gydweithrediad â'r Confidential Computing Consortium, grŵp diwydiant i hyrwyddo'r cysyniad o Amgylcheddau Cyflawni Ymddiried (TEEs). Mae TEE yn rhan ddiogel o'r prosesydd lle mae'r data a'r cod wedi'u llwytho wedi'u hamgryptio, sy'n golygu na all rhannau eraill o'r un prosesydd gael mynediad at y wybodaeth hon.
Mae VMs Cyfrinachol Google yn rhedeg ar beiriannau rhithwir N2D sy'n rhedeg ar broseswyr EPYC ail genhedlaeth AMD, sy'n defnyddio technoleg Rhithwiroli Diogel wedi'i Amgryptio i ynysu peiriannau rhithwir o'r hypervisor y maent yn rhedeg arno. Mae gwarant bod y data'n parhau i gael ei amgryptio waeth beth fo'i ddefnydd: llwythi gwaith, dadansoddeg, ceisiadau am fodelau hyfforddi ar gyfer deallusrwydd artiffisial. Mae'r peiriannau rhithwir hyn wedi'u cynllunio i ddiwallu anghenion unrhyw gwmni sy'n trin data sensitif mewn meysydd rheoledig fel y diwydiant bancio.
Efallai yn fwy dybryd yw'r cyhoeddiad am y profion beta sydd ar ddod o nodau GKE Cyfrinachol, y mae Google yn dweud a fydd yn cael eu cyflwyno yn y datganiad 1.18 sydd i ddod. (GKE). Mae GKE yn amgylchedd a reolir sy'n barod i gynhyrchu ar gyfer rhedeg cynwysyddion sy'n cynnal rhannau o gymwysiadau modern y gellir eu rhedeg ar draws amgylcheddau cyfrifiadurol lluosog. Offeryn cerddorfa ffynhonnell agored yw Kubernetes a ddefnyddir i reoli'r cynwysyddion hyn.
Mae ychwanegu nodau GKE Cyfrinachol yn darparu mwy o breifatrwydd wrth redeg clystyrau GKE. Wrth ychwanegu cynnyrch newydd at y llinell Cyfrifiadura Cyfrinachol, roeddem am ddarparu lefel newydd o
preifatrwydd a hygludedd ar gyfer llwythi gwaith amlwyth. Mae nodau GKE Cyfrinachol Google wedi'u hadeiladu ar yr un dechnoleg â VMs Cyfrinachol, sy'n eich galluogi i amgryptio data yn y cof gan ddefnyddio allwedd amgryptio nod-benodol a gynhyrchir ac a reolir gan brosesydd AMD EPYC. Bydd y nodau hyn yn defnyddio amgryptio RAM yn seiliedig ar galedwedd yn seiliedig ar nodwedd SEV AMD, sy'n golygu y bydd eich llwythi gwaith sy'n rhedeg ar y nodau hyn yn cael eu hamgryptio tra'u bod yn rhedeg.
Sunil Potti ac Eyal Manor, Peirianwyr Cwmwl, Google
Ar nodau GKE Cyfrinachol, gall cwsmeriaid ffurfweddu clystyrau GKE fel bod pyllau nodau yn rhedeg ar VMs Cyfrinachol. Yn syml, bydd unrhyw lwythi gwaith sy'n rhedeg ar y nodau hyn yn cael eu hamgryptio wrth i ddata gael ei brosesu.
Mae angen hyd yn oed mwy o breifatrwydd ar lawer o fentrau wrth ddefnyddio gwasanaethau cwmwl cyhoeddus nag y maent ar gyfer llwythi gwaith ar y safle sy'n rhedeg ar y safle i amddiffyn rhag ymosodwyr. Mae ehangiad Google Cloud o'i linell Cyfrifiadura Cyfrinachol yn codi'r bar hwn trwy roi'r gallu i ddefnyddwyr ddarparu cyfrinachedd ar gyfer clystyrau GKE. Ac o ystyried ei boblogrwydd, mae Kubernetes yn gam allweddol ymlaen i'r diwydiant, gan roi mwy o opsiynau i gwmnïau gynnal cymwysiadau cenhedlaeth nesaf yn ddiogel yn y cwmwl cyhoeddus.
Holger Mueller, Dadansoddwr yn Constellation Research.
DS Mae ein cwmni yn lansio cwrs dwys wedi'i ddiweddaru ar 28-30 Medi ar gyfer y rhai nad ydynt yn gwybod Kubernetes eto, ond yn awyddus i ddod yn gyfarwydd ag ef a dechrau gweithio. Ac ar ôl y digwyddiad hwn ar Hydref 14-16, rydym yn lansio diweddariad ar gyfer defnyddwyr Kubernetes profiadol y mae'n bwysig gwybod yr holl atebion ymarferol diweddaraf ar eu cyfer wrth weithio gyda'r fersiynau diweddaraf o Kubernetes a “rake” posibl. Ar Byddwn yn dadansoddi mewn theori ac yn ymarferol gymhlethdodau gosod a ffurfweddu clwstwr sy'n barod ar gyfer cynhyrchu (“y ffordd nad yw mor hawdd”), mecanweithiau ar gyfer sicrhau diogelwch a goddefgarwch o ddiffygion mewn cymwysiadau.
Ymhlith pethau eraill, dywedodd Google y bydd ei VMs Cyfrinachol yn ennill rhai nodweddion newydd wrth iddynt ddod ar gael yn gyffredinol gan ddechrau heddiw. Er enghraifft, ymddangosodd adroddiadau archwilio yn cynnwys logiau manwl o wiriad cywirdeb cadarnwedd Prosesydd Diogel AMD a ddefnyddir i gynhyrchu allweddi ar gyfer pob achos o VMs Cyfrinachol.
Mae yna hefyd fwy o reolaethau ar gyfer gosod hawliau mynediad penodol, ac mae Google hefyd wedi ychwanegu'r gallu i analluogi unrhyw beiriant rhithwir annosbarthedig ar brosiect penodol. Mae Google hefyd yn cysylltu VMs Cyfrinachol â mecanweithiau preifatrwydd eraill i ddarparu diogelwch.
Gallwch ddefnyddio cyfuniad o VPCs a rennir gyda rheolau wal dân a chyfyngiadau polisi sefydliadol i sicrhau y gall VMs Cyfrinachol gyfathrebu â VMs Cyfrinachol eraill, hyd yn oed os ydynt yn rhedeg ar brosiectau gwahanol. Yn ogystal, gallwch ddefnyddio Rheolyddion Gwasanaeth VPC i osod cwmpas adnoddau GCP ar gyfer eich VMs Cyfrinachol.
Sunil Potti a Eyal Manor
Ffynhonnell: hab.com