Aku; DR: Hiki iā ʻoe ke holo i nā Kubernetes ma mai Google mai.
Google i kēia lā (08.09.2020/XNUMX/XNUMX, kokoke. mea unuhi) ma ka hanana hoʻolaha i ka hoʻonui ʻana o kāna laina huahana me ka hoʻomaka ʻana o kahi lawelawe hou.
Hoʻohui nā node GKE huna i ka pilikino i nā haʻahaʻa hana e holo ana ma nā Kubernetes. I Iulai, ua hoʻokuʻu ʻia ka huahana mua i kapa ʻia , a i kēia lā ua loaʻa mua kēia mau mīkini virtual i ka lehulehu.
He huahana hou ʻo Confidential Computing e pili ana i ka mālama ʻana i ka ʻikepili ma ke ʻano i hoʻopili ʻia i ka wā e hana ʻia ana. ʻO kēia ka loulou hope loa ma ke kaulahao hoʻopili ʻikepili, ʻoiai ua hoʻopili nā mea lawelawe kapuaʻi i ka ʻikepili i loko a i waho. A hiki i kēia manawa, pono e hoʻokaʻawale i ka ʻikepili i ka wā i hana ʻia ai, a ʻike nā poʻe akamai he nui kēia ma ke ʻano o ka encryption data.
Hoʻokumu ʻia ka Confidential Computing Initiative o Google ma kahi hui pū me ka Confidential Computing Consortium, kahi hui ʻoihana e hāpai i ka manaʻo o Trusted Execution Environments (TEEs). ʻO TEE kahi ʻāpana paʻa o ka kaʻina hana kahi i hoʻopili ʻia ai ka ʻikepili i hoʻouka ʻia a me ke code, ʻo ia hoʻi ʻaʻole hiki ke ʻike ʻia kēia ʻike e nā ʻāpana ʻē aʻe o ka kaʻina hana like.
Holo ka Google Confidential VM ma nā mīkini virtual N2D e holo ana ma nā kaʻina hana EPYC lua o ka AMD, e hoʻohana ana i ka ʻenehana Secure Encrypted Virtualization e hoʻokaʻawale i nā mīkini virtual mai ka hypervisor kahi a lākou e holo ai. Aia kahi hōʻoia e hoʻopili ʻia ka ʻikepili me ka nānā ʻole i kāna hoʻohana ʻana: nā haʻahaʻa hana, analytics, noi no nā kumu hoʻomaʻamaʻa no ka naʻauao artificial. Hoʻolālā ʻia kēia mau mīkini virtual e hoʻokō i nā pono o kekahi ʻoihana e lawelawe ana i nā ʻikepili koʻikoʻi ma nā wahi i hoʻoponopono ʻia e like me ka ʻoihana panakō.
ʻOi aku paha ka paʻakikī o ka hoʻolaha ʻana o ka hoʻāʻo beta e hiki mai ana o Confidential GKE nodes, ka mea a Google e ʻōlelo ai e hoʻokomo ʻia i ka hoʻokuʻu 1.18 e hiki mai ana. (GKE). ʻO GKE kahi kaiapuni i hoʻokele ʻia, mākaukau hana no ka holo ʻana i nā ipu e hoʻokipa ana i nā ʻāpana o nā noi hou e hiki ke holo ma waena o nā kaiapuni helu lehulehu. ʻO Kubernetes kahi mea hana orchestration kumu i hoʻohana ʻia no ka mālama ʻana i kēia mau ipu.
Hāʻawi ka hoʻohui ʻana i nā node GKE Confidential i ka pilikino i ka wā e holo ana i nā pūʻulu GKE. I ka hoʻohui ʻana i kahi huahana hou i ka laina Confidential Computing, makemake mākou e hāʻawi i kahi pae hou o
ka pilikino a me ka lawe ʻana no nā haʻahaʻa hana containerized. Kūkulu ʻia nā node GKE Confidential o Google ma ka ʻenehana like me Confidential VMs, e ʻae iā ʻoe e hoʻopili i ka ʻikepili i ka hoʻomanaʻo me ka hoʻohana ʻana i kahi kī hoʻopunipuni kikoʻī i hana ʻia a mālama ʻia e ka mea hana AMD EPYC. E hoʻohana ana kēia mau nodes i ka hoʻopili RAM e pili ana i ka hardware e pili ana i ka hiʻohiʻona SEV o AMD, ʻo ia ka mea e hoʻopili ʻia kāu mau hana e holo ana ma kēia mau nodes i ka wā e holo ana lākou.
ʻO Sunil Potti lāua ʻo Eyal Manor, Cloud Engineers, Google
Ma nā node GKE Confidential, hiki i nā mea kūʻai ke hoʻonohonoho i nā pūʻulu GKE i mea e holo ai nā pūnāwai node ma nā VM Confidential. ʻO ka maʻalahi, e hoʻopili ʻia nā haʻahaʻa hana e holo ana ma kēia mau nodes i ka wā e hoʻoili ʻia ai ka ʻikepili.
Nui nā ʻoihana e koi aku i kahi pilikino hou aʻe i ka wā e hoʻohana ai i nā lawelawe kapuaʻi lehulehu ma mua o kā lākou hana ʻana no nā hana hana ma ka hale e holo ana ma ka hale e pale aku i nā mea hoʻouka. ʻO ka hoʻonui ʻana o Google Cloud i kāna laina Confidential Computing e hoʻokiʻekiʻe i kēia pae ma ka hāʻawi ʻana i nā mea hoʻohana i ka hiki ke hāʻawi i kahi huna no nā pūʻulu GKE. A hāʻawi ʻia i kona kaulana, ʻo Kubernetes kahi hana koʻikoʻi i mua no ka ʻoihana, e hāʻawi ana i nā ʻoihana i nā koho hou aʻe e hoʻokipa paʻa i nā noi o nā hanauna e hiki mai ana i ke ao lehulehu.
ʻO Holger Mueller, ka mea loiloi ma ka Constellation Research.
NB Ke hoʻomaka nei kā mākou hui i kahi papa koʻikoʻi hou ma Kepakemapa 28-30 no ka poʻe i ʻike ʻole iā Kubernetes, akā makemake lākou e ʻike a hoʻomaka i ka hana. A ma hope o kēia hanana ma ʻOkakopa 14–16, ke hoʻolaha nei mākou i kahi mea hou no nā mea hoʻohana Kubernetes akamai no lākou he mea nui e ʻike i nā hoʻonā kūpono hou loa i ka hana ʻana me nā mana hou loa o Kubernetes a me ka "rake" hiki. Ma ka E kālailai mākou ma ke kumumanaʻo a me ka hoʻomaʻamaʻa ʻana i nā mea paʻakikī o ka hoʻonohonoho ʻana a me ka hoʻonohonoho ʻana i kahi pūʻulu mākaukau hana ("ʻaʻole-so-maʻalahi-ala"), nā mīkini no ka hōʻoia ʻana i ka palekana a me ka hoʻomanawanui hewa ʻana o nā noi.
Ma waena o nā mea ʻē aʻe, ua ʻōlelo ʻo Google e loaʻa i kāna Confidential VMs kekahi mau hiʻohiʻona hou e like me ka loaʻa ʻana o lākou e hoʻomaka i kēia lā. No ka laʻana, ua ʻike ʻia nā hōʻike loiloi e loaʻa ana nā moʻolelo kikoʻī o ka nānā pono o ka firmware AMD Secure Processor i hoʻohana ʻia e hana i nā kī no kēlā me kēia laʻana o nā VM Confidential.
Nui aʻe nā mana no ka hoʻonohonoho ʻana i nā kuleana komo kikoʻī, a ua hoʻohui pū ʻo Google i ka hiki ke hoʻopau i kekahi mīkini virtual unclassified ma kahi papahana i hāʻawi ʻia. Hoʻopili pū ʻo Google i nā VM Confidential me nā hana pilikino ʻē aʻe e hāʻawi i ka palekana.
Hiki iā ʻoe ke hoʻohana i ka hui pū ʻana o nā VPC i kaʻana like me nā lula firewall a me nā palena kulekele hui e hōʻoia i hiki i nā VM Confidential ke kamaʻilio me nā VM Confidential ʻē aʻe, ʻoiai inā e holo ana lākou ma nā papahana like ʻole. Eia hou, hiki iā ʻoe ke hoʻohana i nā Mana lawelawe VPC no ka hoʻonohonoho ʻana i ka laulā kumu waiwai GCP no kāu mau VM Paʻa.
ʻO Sunil Potti lāua ʻo Eyal Manor
Source: www.habr.com