TL; DR: Sie können Kubernetes jetzt ausführen von Google.
Google heute (08.09.2020, ca. Übersetzer) Beim Event kündigte die Erweiterung seiner Produktlinie mit der Einführung eines neuen Dienstes an.
Vertrauliche GKE-Knoten sorgen für mehr Privatsphäre bei Arbeitslasten, die auf Kubernetes ausgeführt werden. Im Juli wurde das erste Produkt mit dem Namen „ , und heute sind diese virtuellen Maschinen bereits für jedermann öffentlich zugänglich.
Confidential Computing ist ein neues Produkt, bei dem Daten während der Verarbeitung verschlüsselt gespeichert werden. Dies ist das letzte Glied in der Datenverschlüsselungskette, da Cloud-Dienstanbieter die Daten bereits ein- und ausgehend verschlüsseln. Bis vor kurzem war es notwendig, Daten während der Verarbeitung zu entschlüsseln, und viele Experten sehen darin eine eklatante Lücke im Bereich der Datenverschlüsselung.
Die Confidential Computing Initiative von Google basiert auf einer Zusammenarbeit mit dem Confidential Computing Consortium, einer Industriegruppe zur Förderung des Konzepts der Trusted Execution Environments (TEEs). TEE ist ein sicherer Teil des Prozessors, in dem die geladenen Daten und der Code verschlüsselt sind, was bedeutet, dass andere Teile desselben Prozessors nicht auf diese Informationen zugreifen können.
Die Confidential VMs von Google laufen auf virtuellen N2D-Maschinen, die auf AMDs EPYC-Prozessoren der zweiten Generation laufen, die mithilfe der Secure Encrypted Virtualization-Technologie virtuelle Maschinen vom Hypervisor isolieren, auf dem sie laufen. Es besteht die Garantie, dass die Daten unabhängig von ihrer Verwendung verschlüsselt bleiben: Workloads, Analysen, Anfragen für Trainingsmodelle für künstliche Intelligenz. Diese virtuellen Maschinen sind so konzipiert, dass sie den Anforderungen jedes Unternehmens gerecht werden, das in regulierten Bereichen wie der Bankenbranche mit sensiblen Daten umgeht.
Vielleicht noch dringlicher ist die Ankündigung des bevorstehenden Betatests von Confidential GKE-Knoten, der laut Google in der kommenden Version 1.18 eingeführt wird (GKE). GKE ist eine verwaltete, produktionsbereite Umgebung zum Ausführen von Containern, die Teile moderner Anwendungen hosten, die in mehreren Computerumgebungen ausgeführt werden können. Kubernetes ist ein Open-Source-Orchestrierungstool zur Verwaltung dieser Container.
Das Hinzufügen vertraulicher GKE-Knoten bietet mehr Datenschutz beim Ausführen von GKE-Clustern. Als wir der Confidential Computing-Reihe ein neues Produkt hinzufügten, wollten wir ein neues Niveau bieten
Datenschutz und Portabilität für Container-Workloads. Die Confidential GKE-Knoten von Google basieren auf derselben Technologie wie Confidential VMs und ermöglichen Ihnen die Verschlüsselung von Daten im Speicher mithilfe eines knotenspezifischen Verschlüsselungsschlüssels, der vom AMD EPYC-Prozessor generiert und verwaltet wird. Diese Knoten verwenden eine hardwarebasierte RAM-Verschlüsselung auf Basis der SEV-Funktion von AMD, was bedeutet, dass Ihre auf diesen Knoten ausgeführten Workloads während der Ausführung verschlüsselt werden.
Sunil Potti und Eyal Manor, Cloud Engineers, Google
Auf vertraulichen GKE-Knoten können Kunden GKE-Cluster so konfigurieren, dass Knotenpools auf vertraulichen VMs ausgeführt werden. Einfach ausgedrückt: Alle auf diesen Knoten ausgeführten Workloads werden während der Datenverarbeitung verschlüsselt.
Viele Unternehmen benötigen bei der Nutzung öffentlicher Cloud-Dienste noch mehr Datenschutz als bei lokalen Workloads, um sich vor Angreifern zu schützen. Die Erweiterung der Confidential Computing-Reihe von Google Cloud legt diese Messlatte höher, indem sie Benutzern die Möglichkeit bietet, GKE-Cluster vertraulich zu behandeln. Und angesichts seiner Beliebtheit ist Kubernetes ein wichtiger Fortschritt für die Branche und bietet Unternehmen mehr Möglichkeiten, Anwendungen der nächsten Generation sicher in der öffentlichen Cloud zu hosten.
Holger Müller, Analyst bei Constellation Research.
NB Unser Unternehmen startet vom 28. bis 30. September einen aktualisierten Intensivkurs für diejenigen, die Kubernetes noch nicht kennen, sich aber damit vertraut machen und mit der Arbeit beginnen möchten. Und nach dieser Veranstaltung vom 14. bis 16. Oktober veröffentlichen wir eine aktualisierte Version für erfahrene Kubernetes-Benutzer, für die es wichtig ist, die neuesten praktischen Lösungen für die Arbeit mit den neuesten Versionen von Kubernetes und möglichen „Rake“ zu kennen. An Wir werden in Theorie und Praxis die Feinheiten der Installation und Konfiguration eines produktionsbereiten Clusters („der nicht so einfache Weg“) sowie Mechanismen zur Gewährleistung der Sicherheit und Fehlertoleranz von Anwendungen analysieren.
Google sagte unter anderem, dass seine Confidential VMs ab heute einige neue Funktionen erhalten werden, da sie allgemein verfügbar sind. Beispielsweise erschienen Prüfberichte mit detaillierten Protokollen der Integritätsprüfung der AMD Secure Processor-Firmware, die zur Generierung von Schlüsseln für jede Instanz von Confidential VMs verwendet wurde.
Es gibt außerdem mehr Steuerelemente zum Festlegen spezifischer Zugriffsrechte, und Google hat außerdem die Möglichkeit hinzugefügt, alle nicht klassifizierten virtuellen Maschinen für ein bestimmtes Projekt zu deaktivieren. Google verbindet Confidential VMs auch mit anderen Datenschutzmechanismen, um Sicherheit zu gewährleisten.
Sie können eine Kombination aus gemeinsam genutzten VPCs mit Firewallregeln und Einschränkungen durch Organisationsrichtlinien verwenden, um sicherzustellen, dass Confidential VMs mit anderen Confidential VMs kommunizieren können, auch wenn sie in anderen Projekten ausgeführt werden. Darüber hinaus können Sie VPC Service Controls verwenden, um den GCP-Ressourcenbereich für Ihre Confidential VMs festzulegen.
Sunil Potti und Eyal Manor
Source: habr.com