TL; DR: Sekarang Anda dapat menjalankan Kubernetes dari Google.
Google hari ini (08.09.2020/XNUMX/XNUMX, kira-kira Penerjemah) di acara tersebut mengumumkan perluasan lini produknya dengan peluncuran layanan baru.
Node GKE rahasia menambahkan lebih banyak privasi pada beban kerja yang berjalan di Kubernetes. Pada bulan Juli, produk pertama diluncurkan bernama , dan saat ini mesin virtual ini sudah tersedia untuk umum untuk semua orang.
Confidential Computing adalah produk baru yang melibatkan penyimpanan data dalam bentuk terenkripsi saat sedang diproses. Ini adalah tautan terakhir dalam rantai enkripsi data, karena penyedia layanan cloud sudah mengenkripsi data masuk dan keluar. Sampai saat ini, data perlu didekripsi saat diproses, dan banyak ahli melihat hal ini sebagai kelemahan besar dalam bidang enkripsi data.
Inisiatif Komputasi Rahasia Google didasarkan pada kolaborasi dengan Konsorsium Komputasi Rahasia, sebuah grup industri yang mempromosikan konsep Lingkungan Eksekusi Tepercaya (TEEs). TEE adalah bagian prosesor yang aman di mana data dan kode yang dimuat dienkripsi, yang berarti informasi ini tidak dapat diakses oleh bagian lain dari prosesor yang sama.
VM Rahasia Google berjalan pada mesin virtual N2D yang berjalan pada prosesor EPYC generasi kedua AMD, yang menggunakan teknologi Virtualisasi Terenkripsi Aman untuk mengisolasi mesin virtual dari hypervisor tempat mesin tersebut dijalankan. Ada jaminan bahwa data tetap terenkripsi terlepas dari penggunaannya: beban kerja, analitik, permintaan model pelatihan kecerdasan buatan. Mesin virtual ini dirancang untuk memenuhi kebutuhan setiap perusahaan yang menangani data sensitif di bidang yang diatur seperti industri perbankan.
Mungkin yang lebih mendesak adalah pengumuman pengujian beta node GKE Rahasia yang akan datang, yang menurut Google akan diperkenalkan pada rilis 1.18 mendatang. (GKE). GKE adalah lingkungan terkelola dan siap produksi untuk menjalankan container yang menghosting bagian-bagian aplikasi modern yang dapat dijalankan di berbagai lingkungan komputasi. Kubernetes adalah alat orkestrasi open source yang digunakan untuk mengelola container ini.
Menambahkan node GKE Rahasia memberikan privasi yang lebih baik saat menjalankan cluster GKE. Saat menambahkan produk baru ke lini Confidential Computing, kami ingin memberikan level baru
privasi dan portabilitas untuk beban kerja dalam container. Node GKE Rahasia Google dibuat dengan teknologi yang sama dengan VM Rahasia, memungkinkan Anda mengenkripsi data dalam memori menggunakan kunci enkripsi khusus node yang dibuat dan dikelola oleh prosesor AMD EPYC. Node ini akan menggunakan enkripsi RAM berbasis perangkat keras berdasarkan fitur SEV AMD, yang berarti beban kerja Anda yang berjalan pada node ini akan dienkripsi saat sedang berjalan.
Sunil Potti dan Eyal Manor, Insinyur Cloud, Google
Pada node GKE Rahasia, pelanggan dapat mengonfigurasi cluster GKE sehingga kumpulan node berjalan di VM Rahasia. Sederhananya, setiap beban kerja yang berjalan pada node ini akan dienkripsi saat data diproses.
Banyak perusahaan memerlukan lebih banyak privasi saat menggunakan layanan cloud publik dibandingkan dengan beban kerja lokal yang dijalankan di lokasi guna melindungi dari penyerang. Perluasan lini Komputasi Rahasia Google Cloud meningkatkan standar ini dengan memberikan pengguna kemampuan untuk memberikan kerahasiaan untuk cluster GKE. Dan mengingat popularitasnya, Kubernetes merupakan langkah maju yang penting bagi industri ini, memberikan perusahaan lebih banyak pilihan untuk menghosting aplikasi generasi berikutnya dengan aman di cloud publik.
Holger Mueller, Analis di Constellation Research.
NB Perusahaan kami meluncurkan kursus intensif yang diperbarui pada 28-30 September bagi yang belum mengenal Kubernetes, namun ingin mengenalnya dan mulai bekerja. Dan setelah acara ini pada tanggal 14-16 Oktober, kami meluncurkan pembaruan untuk pengguna Kubernetes berpengalaman yang penting untuk mengetahui semua solusi praktis terbaru dalam bekerja dengan versi terbaru Kubernetes dan kemungkinan “rake”. Pada Kami akan menganalisis secara teori dan praktik seluk-beluk pemasangan dan konfigurasi cluster siap produksi (“cara yang tidak terlalu mudah”), mekanisme untuk memastikan keamanan dan toleransi kesalahan aplikasi.
Antara lain, Google mengatakan bahwa VM Rahasianya akan mendapatkan beberapa fitur baru saat tersedia secara umum mulai hari ini. Misalnya, muncul laporan audit yang berisi log terperinci tentang pemeriksaan integritas firmware Prosesor Aman AMD yang digunakan untuk menghasilkan kunci untuk setiap mesin virtual Rahasia.
Ada juga lebih banyak kontrol untuk menetapkan hak akses tertentu, dan Google juga menambahkan kemampuan untuk menonaktifkan mesin virtual apa pun yang tidak diklasifikasikan pada proyek tertentu. Google juga menghubungkan VM Rahasia dengan mekanisme privasi lainnya untuk memberikan keamanan.
Anda dapat menggunakan kombinasi VPC bersama dengan aturan firewall dan batasan kebijakan organisasi untuk memastikan bahwa VM Rahasia dapat berkomunikasi dengan VM Rahasia lainnya, meskipun mereka berjalan pada proyek yang berbeda. Selain itu, Anda dapat menggunakan Kontrol Layanan VPC untuk menetapkan cakupan sumber daya GCP untuk VM Rahasia Anda.
Sunil Potti dan Eyal Manor
Sumber: www.habr.com