TL; DR: Kubernetes exekutatu dezakezu orain Google-tik.
Google gaur (08.09.2020/XNUMX/XNUMX, gutxi gorabehera. itzultzailea) ekitaldian bere produktu-lerroaren hedapena iragarri zuen zerbitzu berri bat abian jarriz.
GKE nodo konfidentzialek pribatutasun gehiago gehitzen diete Kubernetes-en exekutatzen diren lan-kargari. Uztailean, lehen produktua kaleratu zen izenekoa , eta gaur egun makina birtual hauek publikoki eskuragarri daude jada guztiontzat.
Konfidentziala Informatika produktu berri bat da, eta datuak zifratuta gordetzea dakar prozesatzen ari diren bitartean. Hau da datuak enkriptatzeko katearen azken esteka, hodeiko zerbitzu-hornitzaileek dagoeneko datuak enkriptatzen eta enkriptatzen dituzte. Duela gutxi arte, beharrezkoa zen datuak prozesatzen ziren heinean deszifratzea, eta aditu askok datuen zifraketaren arloan zulo nabarmena dela ikusten dute.
Google-ren Confidential Computing Initiative Confidential Computing Consortium-ekin lankidetzan oinarritzen da, Trusted Execution Environments (TEEs) kontzeptua sustatzeko industria talde batekin. TEE prozesadorearen zati seguru bat da eta bertan kargatutako datuak eta kodea enkriptatzen dira, hau da, informazio hori ezin dute prozesadore bereko beste zatiek sartu.
Google-ren Konfidentzial VM-ak AMDren bigarren belaunaldiko EPYC prozesadoreetan exekutatzen diren N2D makina birtualetan exekutatzen dira, zeinak Secure Encrypted Virtualization teknologia erabiltzen duten makina birtualak exekutatzen duten hipervisoretik isolatzeko. Datuak erabilera edozein dela ere zifratuta geratzen direla bermatuta dago: lan-kargak, analisiak, adimen artifizialerako prestakuntza-ereduen eskaerak. Makina birtual hauek banku-industria bezalako eremu arautuetan datu sentikorrak maneiatzen dituzten edozein enpresaren beharrei erantzuteko diseinatuta daude.
Beharbada larriagoa da GKE Konfidentzial nodoen hurrengo beta probaren iragarpena, Google-k 1.18 hurrengo bertsioan aurkeztuko duela dio. (GKE). GKE produkziorako prest dagoen ingurune kudeatu bat da, hainbat informatika-ingurunetan exekutatu daitezkeen aplikazio modernoen zatiak hartzen dituzten edukiontziak exekutatzeko. Kubernetes edukiontzi hauek kudeatzeko kode irekiko orkestrazio tresna bat da.
GKE nodo konfidentzialak gehitzeak pribatutasun handiagoa eskaintzen du GKE klusterrak exekutatzen direnean. Konfidentzial Informatika lerroari produktu berri bat gehitzean, maila berri bat eman nahi izan dugu
pribatutasuna eta eramangarritasuna edukiontzidun lan-kargak egiteko. Google-ren Konfidentzial GKE nodoak Konfidentzial VM-en teknologia berdinean eraikita daude, eta, horri esker, memorian datuak enkriptatzeko aukera ematen dizu, AMD EPYC prozesadoreak sortutako eta kudeatutako nodoen berariazko enkriptazio-gako bat erabiliz. Nodo hauek hardwarean oinarritutako RAM enkriptatzea erabiliko dute AMD-ren SEV funtzioan oinarrituta, hau da, nodo hauetan exekutatzen ari diren lan-kargak enkriptatuko dira exekutatzen ari diren bitartean.
Sunil Potti eta Eyal Manor, Cloud Engineers, Google
GKE konfidentzialaren nodoetan, bezeroek GKE klusterrak konfigura ditzakete, nodo multzoak isilpeko VMetan exekutatzeko. Besterik gabe, nodo hauetan exekutatzen diren lan-karga guztiak zifratuko dira datuak prozesatzen diren bitartean.
Enpresa askok are pribatutasun handiagoa behar dute hodeiko zerbitzu publikoak erabiltzen dituztenean, erasotzaileetatik babesteko lokalean exekutatzen diren lan-karga lokaletarako baino. Google Cloud-ek bere Konfidentzial Informatika-lerroaren hedapenak maila hau igotzen du erabiltzaileei GKE klusterrei sekretua emateko gaitasuna eskainiz. Eta bere ospea ikusita, Kubernetes funtsezko urratsa da industriarako, enpresei aukera gehiago ematen dizkiela hodei publikoan hurrengo belaunaldiko aplikazioak modu seguruan hartzeko.
Holger Mueller, Constellation Research-eko analista.
Oharra Gure konpainiak ikastaro trinko eguneratua jarriko du martxan irailaren 28tik 30era oraindik Kubernetes ezagutzen ez dutenentzat, baina hura ezagutu eta lanean hasi nahi dutenentzat. Eta urriaren 14tik 16rako ekitaldi honen ostean, eguneratze berri bat jarriko dugu abian Kubernetes esperientziadun erabiltzaileentzat, zeinentzat garrantzitsua den azken irtenbide praktiko guztiak ezagutzea Kubernetesen azken bertsioekin eta "rake" posibleekin lan egiteko. On Teorian eta praktikan ekoizpenerako prest dagoen kluster bat (Β«the-not-so-easy-wayΒ») instalatzeko eta konfiguratzeko zailtasunak aztertuko ditugu, aplikazioen segurtasuna eta akatsen tolerantzia bermatzeko mekanismoak.
Besteak beste, Google-k esan zuen bere VM konfidentzialak funtzio berri batzuk irabaziko dituela gaurtik aurrera orokorrean eskuragarri egongo diren heinean. Esaterako, auditoretza-txostenak agertu ziren Konfidentzial VM-en instantzia bakoitzerako gakoak sortzeko erabiltzen den AMD Secure Processor firmwarearen osotasunaren egiaztapenaren erregistro zehatzak zituztenak.
Sarbide-eskubide zehatzak ezartzeko kontrol gehiago ere badaude, eta Google-k proiektu jakin batean sailkatu gabeko edozein makina birtual desgaitzeko gaitasuna ere gehitu du. Google-k Isilpeko VM-ak beste pribatutasun-mekanismo batzuekin konektatzen ditu segurtasuna emateko.
Partekatutako VPCen konbinazioa erabil dezakezu suebaki-arauekin eta erakunde-politikaren murrizketekin, Isilpeko VM-ak beste Isilpeko VM batzuekin komunika daitezkeela ziurtatzeko, nahiz eta proiektu ezberdinetan exekutatzen ari diren. Gainera, VPC Zerbitzuen Kontrolak erabil ditzakezu GCP baliabide-esparrua zure Konfidentzial VMetarako.
Sunil Potti eta Eyal Manor
Iturria: www.habr.com