TL, RD: Agora podes executar Kubernetes de Google.
Google hoxe (08.09.2020/XNUMX/XNUMX, aprox. tradutor) no evento anunciou a ampliación da súa liña de produtos co lanzamento dun novo servizo.
Os nós confidenciais de GKE engaden máis privacidade ás cargas de traballo que se executan en Kubernetes. En xullo lanzouse o primeiro produto chamado , e hoxe estas máquinas virtuais xa están dispoñibles publicamente para todos.
A informática confidencial é un novo produto que consiste en almacenar datos en forma cifrada mentres se procesan. Este é o último elo da cadea de cifrado de datos, xa que os provedores de servizos na nube xa cifran os datos de entrada e saída. Ata hai pouco, era necesario descifrar os datos a medida que se procesaban, e moitos expertos ven isto como un buraco evidente no campo do cifrado de datos.
A Confidential Computing Initiative de Google baséase nunha colaboración co Confidential Computing Consortium, un grupo do sector para promover o concepto de Trusted Execution Environments (TEE). TEE é unha parte segura do procesador na que se cifran os datos e o código cargados, o que significa que outras partes do mesmo procesador non poden acceder a esta información.
As máquinas virtuales confidenciais de Google execútanse en máquinas virtuais N2D que se executan nos procesadores EPYC de segunda xeración de AMD, que utilizan a tecnoloxía Secure Encrypted Virtualization para illar as máquinas virtuais do hipervisor no que se executan. Hai garantía de que os datos permanecen encriptados independentemente do seu uso: cargas de traballo, análises, solicitudes de modelos de formación para intelixencia artificial. Estas máquinas virtuais están deseñadas para satisfacer as necesidades de calquera empresa que manexa datos sensibles en áreas reguladas como o sector bancario.
Quizais sexa máis apremiante o anuncio da próxima proba beta dos nodos confidenciais de GKE, que Google di que se presentará na próxima versión 1.18. (GKE). GKE é un ambiente xestionado e preparado para a produción para executar contedores que albergan partes de aplicacións modernas que se poden executar en varios entornos informáticos. Kubernetes é unha ferramenta de orquestración de código aberto que se utiliza para xestionar estes contedores.
Engadir nós confidenciais de GKE proporciona unha maior privacidade cando se executan clústeres de GKE. Ao engadir un novo produto á liña de informática confidencial, queriamos ofrecer un novo nivel de
privacidade e portabilidade para cargas de traballo en contedores. Os nodos GKE confidenciais de Google están construídos coa mesma tecnoloxía que as máquinas virtuales confidenciais, o que lle permite cifrar os datos na memoria mediante unha clave de cifrado específica do nodo xerada e xestionada polo procesador AMD EPYC. Estes nodos utilizarán o cifrado de RAM baseado en hardware baseado na función SEV de AMD, o que significa que as cargas de traballo que se executan nestes nodos cifraranse mentres estean en execución.
Sunil Potti e Eyal Manor, enxeñeiros de nube, Google
Nos nós confidenciais de GKE, os clientes poden configurar clústeres de GKE para que os grupos de nodos se executen en máquinas virtuales confidenciais. En pocas palabras, todas as cargas de traballo que se executan nestes nodos cifraranse mentres se procesan os datos.
Moitas empresas requiren aínda máis privacidade cando usan servizos de nube pública que para as cargas de traballo locais que se executan na instalación para protexerse dos atacantes. A expansión de Google Cloud da súa liña de computación confidencial eleva este listón ao ofrecer aos usuarios a posibilidade de proporcionar segredo aos clústeres de GKE. E dada a súa popularidade, Kubernetes é un paso adiante clave para a industria, que ofrece ás empresas máis opcións para aloxar de forma segura aplicacións de próxima xeración na nube pública.
Holger Mueller, analista de Constellation Research.
NB A nosa empresa lanzará un curso intensivo actualizado do 28 ao 30 de setembro para aqueles que aínda non coñecen Kubernetes, pero queren familiarizarse con el e comezar a traballar. E despois deste evento do 14 ao 16 de outubro, lanzamos unha actualización para usuarios experimentados de Kubernetes para os que é importante coñecer todas as últimas solucións prácticas para traballar coas últimas versións de Kubernetes e posibles "rake". Activado Analizaremos na teoría e na práctica as complejidades da instalación e configuración dun clúster preparado para a produción (“the-not-so-easy-way”), mecanismos para garantir a seguridade e a tolerancia a fallos das aplicacións.
Entre outras cousas, Google dixo que as súas máquinas virtuales confidenciais gañarán algunhas funcións novas a medida que estean dispoñibles xeralmente a partir de hoxe. Por exemplo, apareceron informes de auditoría que conteñen rexistros detallados da comprobación de integridade do firmware do procesador seguro de AMD utilizado para xerar claves para cada instancia de máquinas virtuales confidenciais.
Tamén hai máis controis para configurar dereitos de acceso específicos e Google tamén engadiu a posibilidade de desactivar calquera máquina virtual non clasificada nun determinado proxecto. Google tamén conecta máquinas virtuales confidenciais con outros mecanismos de privacidade para proporcionar seguridade.
Podes usar unha combinación de VPC compartidas con regras de firewall e restricións de políticas de organización para garantir que as máquinas virtuales confidenciais poidan comunicarse con outras máquinas virtuales confidenciais, aínda que se estean executando en proxectos diferentes. Ademais, podes usar os controis de servizo VPC para definir o ámbito dos recursos GCP para as túas máquinas virtuales confidenciais.
Sunil Potti e Eyal Manor
Fonte: www.habr.com