TL; DR: Vi nun povas ruli Kubernetes sur de Guglo.
Guglo hodiaŭ (08.09.2020/XNUMX/XNUMX, ĉ. tradukisto) ĉe la evento anoncis la vastiĝon de sia produktserio kun la lanĉo de nova servo.
Konfidencaj GKE-nodoj aldonas pli da privateco al laborkvantoj kurantaj sur Kubernetes. En julio, la unua produkto estis lanĉita nomita , kaj hodiaŭ ĉi tiuj virtualaj maŝinoj jam estas publike disponeblaj por ĉiuj.
Konfidenca Komputado estas nova produkto kiu implikas stoki datumojn en ĉifrita formo dum ĝi estas prilaborata. Ĉi tiu estas la lasta ligilo en la datuma ĉifrada ĉeno, ĉar provizantoj de nubaj servoj jam ĉifras datumojn en kaj eksteren. Ĝis antaŭ nelonge, estis necese malĉifri datumojn dum ĝi estis prilaborita, kaj multaj fakuloj vidas ĉi tion kiel okulfrapa truo en la kampo de datuma ĉifrado.
Confidential Computing Initiative de Google baziĝas sur kunlaboro kun la Konfidenca Komputila Konsorcio, industria grupo por reklami la koncepton de Trusted Execution Environments (TEEs). TEE estas sekura parto de la procesoro en kiu la ŝarĝitaj datumoj kaj kodo estas ĉifritaj, kio signifas, ke ĉi tiuj informoj ne povas esti aliritaj de aliaj partoj de la sama procesoro.
La Konfidencaj VMs de Google funkcias per virtualaj maŝinoj N2D, kiuj funkcias per la duageneraciaj EPYC-procesoroj de AMD, kiuj uzas Secure Encrypted Virtualization-teknologion por izoli virtualajn maŝinojn de la hiperviziero sur kiu ili funkcias. Estas garantio, ke la datumoj restas ĉifritaj sendepende de ĝia uzo: laborŝarĝoj, analizoj, petoj por trejnado de modeloj por artefarita inteligenteco. Ĉi tiuj virtualaj maŝinoj estas dizajnitaj por renkonti la bezonojn de iu ajn kompanio pritraktanta sentemajn datumojn en reguligitaj areoj kiel la banka industrio.
Eble pli urĝa estas la anonco pri la venonta beta-testo de Konfidencaj GKE-nodoj, kiujn Google diras, estos enkondukitaj en la venonta 1.18-eldono. (GKE). GKE estas administrita, produktadpreta medio por ruli ujojn, kiuj gastigas partojn de modernaj aplikoj, kiuj povas esti rulitaj tra pluraj komputikmedioj. Kubernetes estas malfermfonta orkestra ilo uzata por administri ĉi tiujn ujojn.
Aldono de Konfidencaj GKE-nodoj donas pli grandan privatecon dum rulado de GKE-grupoj. Aldonante novan produkton al la linio Konfidenca Komputado, ni volis provizi novan nivelon de
privateco kaj porteblo por konteneritaj laborŝarĝoj. La Konfidencaj GKE-nodoj de Google estas konstruitaj sur la sama teknologio kiel Konfidencaj VMs, permesante vin ĉifri datumojn en memoro per nodo-specifa ĉifrada ŝlosilo generita kaj administrita de la AMD EPYC-procesoro. Ĉi tiuj nodoj uzos aparataron-bazitan RAM-ĉifradon bazitan sur la SEV-trajto de AMD, kio signifas, ke viaj laborkvantoj, kiuj funkcias sur ĉi tiuj nodoj, estos ĉifritaj dum ili funkcias.
Sunil Potti kaj Eyal Manor, Cloud Engineers, Guglo
Sur Konfidencaj GKE-nodoj, klientoj povas agordi GKE-aretojn tiel ke nodgrupoj funkcias per Konfidencaj VM-oj. Simple dirite, ĉiuj laborŝarĝoj kurantaj sur ĉi tiuj nodoj estos ĉifrita dum datumoj estas prilaboritaj.
Multaj entreprenoj postulas eĉ pli da privateco kiam ili uzas publikajn nubajn servojn ol ili faras por surlokaj laborŝarĝoj kurantaj surloke por protekti kontraŭ atakantoj. La ekspansio de Google Cloud de ĝia Konfidenca Komputado-linio altigas ĉi tiun stango provizante al uzantoj la kapablon provizi sekretecon por GKE-aretoj. Kaj pro ĝia populareco, Kubernetes estas ŝlosila paŝo antaŭen por la industrio, donante al kompanioj pli da ebloj por sekure gastigi venontgeneraciajn aplikojn en la publika nubo.
Holger Mueller, Analizisto ĉe Constellation Research.
NB Nia kompanio lanĉas ĝisdatigitan intensan kurson la 28-30-an de septembro por tiuj, kiuj ankoraŭ ne konas Kubernetes, sed volas konatiĝi kun ĝi kaj eklabori. Kaj post ĉi tiu evento la 14-16-an de oktobro, ni lanĉas ĝisdatigitan por spertaj uzantoj de Kubernetes, por kiuj gravas koni ĉiujn plej novajn praktikajn solvojn en laboro kun la plej novaj versioj de Kubernetes kaj ebla "rake". On Ni analizos en teorio kaj praktike la komplikaĵojn de instalo kaj agordo de produktadpreta areto ("la-ne-tiel-facila-maniero"), mekanismoj por certigi sekurecon kaj misfunkciadon de aplikoj.
Interalie, Google diris, ke ĝiaj Konfidencaj VM-oj akiros kelkajn novajn funkciojn, kiam ili iĝas ĝenerale haveblaj ekde hodiaŭ. Ekzemple, reviziaj raportoj aperis enhavantaj detalajn protokolojn de la integreckontrolo de la AMD Secure Processor-firmvaro uzata por generi ŝlosilojn por ĉiu kazo de Konfidencaj VM-oj.
Estas ankaŭ pli da kontroloj por agordi specifajn alirrajtojn, kaj Guglo ankaŭ aldonis la kapablon malŝalti ajnan neklasifikitan virtualan maŝinon en difinita projekto. Google ankaŭ ligas Konfidencajn VM-ojn kun aliaj privatecaj mekanismoj por provizi sekurecon.
Vi povas uzi kombinaĵon de komunaj VPC-oj kun fajromuraj reguloj kaj organizaj politikaj limigoj por certigi, ke Konfidencaj VM-oj povas komuniki kun aliaj Konfidencaj VM-oj, eĉ se ili funkcias en malsamaj projektoj. Aldone, vi povas uzi VPC-Servajn Kontrolojn por agordi la rimedan amplekson de GCP por viaj Konfidencaj VM-oj.
Sunil Potti kaj Eyal Manor
fonto: www.habr.com