TL; DR: Jo kinne no Kubernetes útfiere fan google.
Google hjoed (08.09.2020/XNUMX/XNUMX, ca. oersetter) op it evenemint kundige de útwreiding fan har produktline oan mei de lansearring fan in nije tsjinst.
Fertroulike GKE-knooppunten foegje mear privacy ta oan wurkloads dy't rinne op Kubernetes. Yn july waard it earste produkt lansearre neamd , en hjoed binne dizze firtuele masines al iepenbier beskikber foar elkenien.
Confidential Computing is in nij produkt dat omfettet it opslaan fan gegevens yn fersifere foarm wylst it wurdt ferwurke. Dit is de lêste keppeling yn 'e gegevensfersiferingsketen, om't providers fan wolktsjinsten al gegevens yn en út fersiferje. Oant koartlyn wie it nedich om gegevens te ûntsiferjen as se waarden ferwurke, en in protte saakkundigen sjogge dit as in opfallend gat op it mêd fan gegevensfersifering.
Google's Confidential Computing Initiative is basearre op in gearwurking mei it Confidential Computing Consortium, in yndustrygroep om it konsept fan Trusted Execution Environments (TEE's) te befoarderjen. TEE is in feilich diel fan 'e prosessor wêryn de laden gegevens en koade binne fersifere, wat betsjut dat dizze ynformaasje net tagonklik wurde kin troch oare dielen fan deselde prosessor.
Google's fertroulike VM's rinne op N2D firtuele masines dy't rinne op AMD's twadde-generaasje EPYC-processors, dy't Secure Encrypted Virtualization technology brûke om firtuele masines te isolearjen fan 'e hypervisor wêrop se rinne. D'r is in garânsje dat de gegevens fersifere bliuwe, nettsjinsteande har gebrûk: workloads, analytics, oanfragen foar trainingsmodellen foar keunstmjittige yntelliginsje. Dizze firtuele masines binne ûntworpen om te foldwaan oan 'e behoeften fan elk bedriuw dat gefoelige gegevens behannelet yn regele gebieten lykas de banksektor.
Miskien mear druk is de oankundiging fan 'e kommende beta-testen fan fertroulike GKE-knooppunten, dy't Google seit sil wurde yntrodusearre yn' e kommende 1.18 release (GKE). GKE is in beheare, produksje-klear omjouwing foar it útfieren fan konteners dy't dielen fan moderne applikaasjes hostje dy't kinne wurde útfierd oer meardere komputeromjouwings. Kubernetes is in iepen boarne orkestraasje-ark dat wurdt brûkt om dizze konteners te behearjen.
It tafoegjen fan fertroulike GKE-knooppunten jout gruttere privacy by it útfieren fan GKE-klusters. By it tafoegjen fan in nij produkt oan de Confidential Computing line, wy woenen te foarsjen in nij nivo fan
privacy en portabiliteit foar containerized workloads. Google's fertroulike GKE-knooppunten binne boud op deselde technology as fertroulike VM's, wêrtroch jo gegevens yn it ûnthâld kinne fersiferje mei in knooppuntspesifike fersiferingskaai generearre en beheard troch de AMD EPYC-prosessor. Dizze knooppunten sille hardware-basearre RAM-fersifering brûke basearre op AMD's SEV-funksje, wat betsjut dat jo workloads dy't op dizze knooppunten rinne, sille wurde fersifere wylst se rinne.
Sunil Potti en Eyal Manor, Cloud Engineers, Google
Op fertroulike GKE-knooppunten kinne klanten GKE-klusters konfigurearje sadat node-pools rinne op fertroulike VM's. Simply set, alle workloads dy't rinne op dizze knopen sille wurde fersifere wylst gegevens wurde ferwurke.
In protte bedriuwen fereaskje noch mear privacy by it brûken fan iepenbiere wolktsjinsten dan se dogge foar on-premises workloads dy't op-premises rinne om te beskermjen tsjin oanfallers. De útwreiding fan Google Cloud fan har Confidential Computing-line ferheget dizze bar troch brûkers de mooglikheid te jaan om geheim te jaan foar GKE-klusters. En sjoen syn populariteit is Kubernetes in wichtige stap foarút foar de yndustry, wêrtroch bedriuwen mear opsjes jouwe om applikaasjes fan folgjende generaasje feilich te hostjen yn 'e iepenbiere wolk.
Holger Mueller, Analyst by Constellation Research.
NB Us bedriuw lanseart in bywurke yntinsive kursus op 28-30 septimber foar dyjingen dy't Kubernetes noch net kenne, mar der mei yn 'e kunde komme wolle en begjinne te wurkjen. En nei dit evenemint op 14-16 oktober lansearje wy in bywurke foar betûfte Kubernetes brûkers foar wa't it is wichtich om te witten al de nijste praktyske oplossings yn wurkjen mei de nijste ferzjes fan Kubernetes en mooglik "rake". Op Wy sille analysearje yn teory en yn 'e praktyk de intricacies fan it ynstallearjen en konfigurearjen fan in produksje-klear kluster ("de-net-sa-easy-way"), meganismen foar it garandearjen fan feiligens en fouttolerânsje fan applikaasjes.
Google sei ûnder oaren dat har fertroulike VM's wat nije funksjes sille krije as se fan hjoed ôf algemien beskikber wurde. Bygelyks, auditrapporten ferskynden mei detaillearre logs fan 'e yntegriteitskontrôle fan' e AMD Secure Processor-firmware brûkt om kaaien te generearjen foar elke eksimplaar fan fertroulike VM's.
D'r binne ek mear kontrôles foar it ynstellen fan spesifike tagongsrjochten, en Google hat ek de mooglikheid tafoege om elke net-klassifisearre firtuele masine op in bepaald projekt út te skeakeljen. Google ferbynt ek fertroulike VM's mei oare privacymeganismen om feiligens te leverjen.
Jo kinne in kombinaasje fan dielde VPC's brûke mei firewall-regels en beheinings foar organisaasjebelied om te soargjen dat Fertroulike VM's kinne kommunisearje mei oare Fertroulike VM's, sels as se op ferskate projekten rinne. Derneist kinne jo VPC-tsjinstkontrôles brûke om it GCP-boarnegebiet yn te stellen foar jo fertroulike VM's.
Sunil Potti en Eyal Manor
Boarne: www.habr.com