TL; DR: Du kan nu køre Kubernetes på fra Google.
Google i dag (08.09.2020/XNUMX/XNUMX, ca. oversætter) ved arrangementet annoncerede udvidelsen af sin produktlinje med lanceringen af en ny tjeneste.
Fortrolige GKE-noder tilføjer mere privatliv til arbejdsbelastninger, der kører på Kubernetes. I juli blev det første produkt lanceret kaldet , og i dag er disse virtuelle maskiner allerede offentligt tilgængelige for alle.
Confidential Computing er et nyt produkt, der involverer lagring af data i krypteret form, mens det behandles. Dette er det sidste led i datakrypteringskæden, da cloud-tjenesteudbydere allerede krypterer data ind og ud. Indtil for nylig var det nødvendigt at dekryptere data, mens de blev behandlet, og mange eksperter ser dette som et grelt hul inden for datakryptering.
Googles Confidential Computing Initiative er baseret på et samarbejde med Confidential Computing Consortium, en industrigruppe, der skal fremme konceptet Trusted Execution Environments (TEE'er). TEE er en sikker del af processoren, hvori de indlæste data og kode er krypteret, hvilket betyder, at denne information ikke kan tilgås af andre dele af den samme processor.
Googles fortrolige VM'er kører på N2D virtuelle maskiner, der kører på AMD's andengenerations EPYC-processorer, som bruger Secure Encrypted Virtualization-teknologi til at isolere virtuelle maskiner fra den hypervisor, de kører på. Der er en garanti for, at dataene forbliver krypteret uanset deres brug: arbejdsbelastninger, analyser, anmodninger om træningsmodeller til kunstig intelligens. Disse virtuelle maskiner er designet til at imødekomme behovene hos enhver virksomhed, der håndterer følsomme data i regulerede områder såsom bankindustrien.
Måske mere presserende er annonceringen af den kommende beta-test af fortrolige GKE-noder, som Google siger vil blive introduceret i den kommende 1.18-udgivelse (GKE). GKE er et administreret, produktionsklar miljø til at køre containere, der er vært for dele af moderne applikationer, der kan køres på tværs af flere computermiljøer. Kubernetes er et open source-orkestreringsværktøj, der bruges til at administrere disse containere.
Tilføjelse af fortrolige GKE-noder giver større privatliv, når du kører GKE-klynger. Når vi tilføjede et nyt produkt til Confidential Computing-linjen, ønskede vi at give et nyt niveau af
privatliv og portabilitet til containeriserede arbejdsbelastninger. Googles fortrolige GKE-noder er bygget på samme teknologi som fortrolige VM'er, hvilket giver dig mulighed for at kryptere data i hukommelsen ved hjælp af en nodespecifik krypteringsnøgle genereret og administreret af AMD EPYC-processoren. Disse noder vil bruge hardwarebaseret RAM-kryptering baseret på AMDs SEV-funktion, hvilket betyder, at dine arbejdsbelastninger, der kører på disse noder, bliver krypteret, mens de kører.
Sunil Potti og Eyal Manor, Cloud Engineers, Google
På fortrolige GKE-noder kan kunder konfigurere GKE-klynger, så nodepuljer kører på fortrolige VM'er. Kort sagt vil enhver arbejdsbelastning, der kører på disse noder, blive krypteret, mens data behandles.
Mange virksomheder kræver endnu mere privatliv, når de bruger offentlige cloud-tjenester, end de gør for lokale arbejdsbelastninger, der kører på stedet for at beskytte mod angribere. Google Clouds udvidelse af sin Confidential Computing-linje hæver denne bar ved at give brugerne mulighed for at give hemmeligholdelse af GKE-klynger. Og i betragtning af dens popularitet er Kubernetes et vigtigt skridt fremad for industrien, der giver virksomheder flere muligheder for sikkert at hoste næste generations applikationer i den offentlige sky.
Holger Mueller, analytiker hos Constellation Research.
NB Vores virksomhed lancerer et opdateret intensivt forløb den 28.-30. september for dem, der endnu ikke kender Kubernetes, men gerne vil stifte bekendtskab med det og begynde at arbejde. Og efter dette arrangement den 14.–16. oktober lancerer vi en opdateret for erfarne Kubernetes-brugere, for hvem det er vigtigt at kende alle de nyeste praktiske løsninger i arbejdet med de nyeste versioner af Kubernetes og mulig "rake". På Vi vil i teorien og i praksis analysere forviklingerne ved at installere og konfigurere en produktionsklar klynge ("den-ikke-så-lette-måden"), mekanismer til sikring af sikkerhed og fejltolerance af applikationer.
Blandt andet sagde Google, at dets fortrolige VM'er vil få nogle nye funktioner, efterhånden som de bliver almindeligt tilgængelige fra i dag. For eksempel dukkede revisionsrapporter op med detaljerede logfiler over integritetstjekket af AMD Secure Processor-firmwaren, der blev brugt til at generere nøgler for hver forekomst af fortrolige VM'er.
Der er også flere kontroller til at indstille specifikke adgangsrettigheder, og Google har også tilføjet muligheden for at deaktivere enhver uklassificeret virtuel maskine på et givet projekt. Google forbinder også fortrolige VM'er med andre privatlivsmekanismer for at give sikkerhed.
Du kan bruge en kombination af delte VPC'er med firewallregler og organisationspolitikbegrænsninger for at sikre, at fortrolige VM'er kan kommunikere med andre fortrolige VM'er, selvom de kører på forskellige projekter. Derudover kan du bruge VPC Service Controls til at indstille GCP-ressourceomfanget for dine fortrolige VM'er.
Sunil Potti og Eyal Manor
Kilde: www.habr.com