TL. DRԱյժմ կարող եք գործարկել Kubernetes-ը Google-ից:
Google այսօր (08.09.2020/XNUMX/XNUMX, մոտ. թարգմանիչ) միջոցառման ժամանակ հայտարարեց իր արտադրանքի գծի ընդլայնման մասին՝ նոր ծառայության գործարկումով։
Գաղտնի GKE հանգույցներն ավելի շատ գաղտնիություն են ավելացնում Kubernetes-ով աշխատող աշխատանքային բեռներին: Հուլիսին թողարկվեց առաջին արտադրանքը, որը կոչվում էր , և այսօր այս վիրտուալ մեքենաներն արդեն հասանելի են բոլորի համար։
Confidential Computing-ը նոր արտադրանք է, որը ներառում է տվյալների պահպանումը գաղտնագրված ձևով, մինչ դրանք մշակվում են: Սա տվյալների գաղտնագրման շղթայի վերջին օղակն է, քանի որ ամպային ծառայություններ մատուցողներն արդեն գաղտնագրում են տվյալները ներս և դուրս: Մինչև վերջերս անհրաժեշտ էր գաղտնազերծել տվյալները, երբ դրանք մշակվում էին, և շատ փորձագետներ դա տեսնում են որպես փայլուն անցք տվյալների կոդավորման ոլորտում:
Google-ի Confidential Computing Initiative-ը հիմնված է Confidential Computing Consortium-ի հետ համագործակցության վրա, որը արդյունաբերական խումբ է, որը խթանում է Trusted Execution Environments (TEEs) հայեցակարգը: TEE-ն պրոցեսորի անվտանգ մասն է, որտեղ բեռնված տվյալները և ծածկագիրը գաղտնագրված են, ինչը նշանակում է, որ այս տեղեկատվությունը չի կարող մուտք գործել նույն պրոցեսորի այլ մասեր:
Google-ի գաղտնի VM-ներն աշխատում են N2D վիրտուալ մեքենաների վրա, որոնք աշխատում են AMD-ի երկրորդ սերնդի EPYC պրոցեսորների վրա, որոնք օգտագործում են Secure Encrypted Virtualization տեխնոլոգիան՝ վիրտուալ մեքենաները մեկուսացնելու հիպերվիզորից, որի վրա աշխատում են: Կա երաշխիք, որ տվյալները մնում են կոդավորված՝ անկախ դրանց կիրառությունից՝ ծանրաբեռնվածություն, վերլուծություն, արհեստական ինտելեկտի համար ուսուցման մոդելների հարցումներ: Այս վիրտուալ մեքենաները նախատեսված են բավարարելու ցանկացած ընկերության կարիքները, որոնք մշակում են զգայուն տվյալներ կարգավորվող ոլորտներում, ինչպիսիք են բանկային արդյունաբերությունը:
Թերևս ավելի հրատապ է Գաղտնի GKE հանգույցների առաջիկա բետա փորձարկման մասին հայտարարությունը, որը Google-ն ասում է, որ կներկայացվի առաջիկա 1.18 թողարկումում: (GKE): GKE-ն կառավարվող, արտադրության համար պատրաստ միջավայր է բեռնարկղերի գործարկման համար, որոնք հյուրընկալում են ժամանակակից հավելվածների մասեր, որոնք կարող են գործարկվել բազմաթիվ հաշվողական միջավայրերում: Kubernetes-ը բաց կոդով նվագախմբի գործիք է, որն օգտագործվում է այս կոնտեյներները կառավարելու համար:
Գաղտնի GKE հանգույցների ավելացումն ապահովում է ավելի մեծ գաղտնիություն GKE կլաստերների գործարկման ժամանակ: Գաղտնի հաշվողական գծին նոր արտադրանք ավելացնելիս մենք ցանկանում էինք նոր մակարդակ ապահովել
գաղտնիություն և տեղափոխելիություն բեռնարկղային ծանրաբեռնվածության համար: Google-ի Confidential GKE հանգույցները կառուցված են նույն տեխնոլոգիայի վրա, ինչ Confidential VM-ները, որոնք թույլ են տալիս գաղտնագրել տվյալները հիշողության մեջ՝ օգտագործելով AMD EPYC պրոցեսորի կողմից ստեղծված և կառավարվող հատուկ հանգույցի գաղտնագրման բանալի: Այս հանգույցները կօգտագործեն ապարատային վրա հիմնված RAM-ի կոդավորումը՝ հիմնված AMD-ի SEV ֆունկցիայի վրա, ինչը նշանակում է, որ ձեր աշխատանքային բեռները, որոնք աշխատում են այս հանգույցներում, կգաղտնագրվեն մինչ դրանք աշխատում են:
Սունիլ Փոթի և Էյալ Մանոր, Cloud Engineers, Google
Գաղտնի GKE հանգույցներում հաճախորդները կարող են կարգավորել GKE կլաստերներն այնպես, որ հանգույցների լողավազաններն աշխատեն Գաղտնի VM-ների վրա: Պարզ ասած, այս հանգույցների վրա աշխատող ցանկացած ծանրաբեռնվածություն կգաղտնագրվի տվյալների մշակման ընթացքում:
Շատ ձեռնարկություններ նույնիսկ ավելի մեծ գաղտնիություն են պահանջում հանրային ամպային ծառայություններից օգտվելիս, քան դա անում են ներտնային աշխատանքային ծանրաբեռնվածության դեպքում, որոնք աշխատում են տեղում՝ հարձակվողներից պաշտպանվելու համար: Google Cloud-ի իր Գաղտնի հաշվողական գծի ընդլայնումը բարձրացնում է այս նշաձողը` տրամադրելով օգտատերերին GKE կլաստերների համար գաղտնիություն ապահովելու հնարավորություն: Եվ հաշվի առնելով իր ժողովրդականությունը՝ Kubernetes-ը առանցքային քայլ է արդյունաբերության համար՝ տալով ընկերություններին ավելի շատ հնարավորություններ՝ ապահով կերպով հյուրընկալելու հաջորդ սերնդի հավելվածները հանրային ամպում:
Հոլգեր Մյուլլեր, Constellation Research-ի վերլուծաբան.
NB Մեր ընկերությունը սեպտեմբերի 28-30-ը սկսում է թարմացված ինտենսիվ դասընթաց նրանց համար, ովքեր դեռ չգիտեն Kubernetes-ը, բայց ցանկանում են ծանոթանալ ու սկսել աշխատել։ Եվ հոկտեմբերի 14-16-ի այս միջոցառումից հետո մենք սկսում ենք թարմացված փորձառու Kubernetes օգտատերերի համար, որոնց համար կարևոր է իմանալ բոլոր վերջին գործնական լուծումները Kubernetes-ի վերջին տարբերակների և հնարավոր «ռեյկի» հետ աշխատելու համար: Վրա Մենք տեսականորեն և գործնականում կվերլուծենք արտադրության համար պատրաստ կլաստերի տեղադրման և կազմաձևման բարդությունները («ոչ այնքան հեշտ ճանապարհ»), անվտանգության ապահովման մեխանիզմները և հավելվածների սխալների հանդուրժողականությունը:
Ի թիվս այլ բաների, Google-ն ասաց, որ իր Գաղտնի վիրտուալ մեքենաները ձեռք կբերեն որոշ նոր հնարավորություններ, քանի որ դրանք ընդհանուր առմամբ հասանելի կդառնան այսօրվանից: Օրինակ՝ հայտնվեցին աուդիտի հաշվետվությունները, որոնք պարունակում էին AMD Secure Processor որոնվածի ամբողջականության ստուգման մանրամասն մատյաններ, որոնք օգտագործվում էին գաղտնի VM-ների յուրաքանչյուր օրինակի համար բանալիներ ստեղծելու համար:
Կան նաև ավելի շատ վերահսկումներ հատուկ մուտքի իրավունքներ սահմանելու համար, և Google-ը նաև ավելացրել է հնարավորություն՝ անջատելու որևէ չդասակարգված վիրտուալ մեքենա տվյալ նախագծի վրա: Google-ը նաև միացնում է Գաղտնի վիրտուալ մեքենաները գաղտնիության այլ մեխանիզմների հետ՝ անվտանգություն ապահովելու համար:
Դուք կարող եք օգտագործել ընդհանուր VPC-ների համակցությունը firewall-ի կանոններով և կազմակերպության քաղաքականության սահմանափակումներով՝ ապահովելու, որ Գաղտնի VM-ները կարող են շփվել այլ գաղտնի VM-ների հետ, նույնիսկ եթե դրանք աշխատում են տարբեր նախագծերի վրա: Բացի այդ, դուք կարող եք օգտագործել VPC ծառայության վերահսկիչները՝ ձեր Գաղտնի VM-ների համար GCP ռեսուրսի շրջանակը սահմանելու համար:
Սունիլ Փոթին և Էյալ Մանորը
Source: www.habr.com