TL; DR: Þú getur nú keyrt Kubernetes á frá Google.
Google í dag (08.09.2020/XNUMX/XNUMX, ca. þýðandi) á viðburðinum tilkynnti stækkun vörulínu sinnar með kynningu á nýrri þjónustu.
Trúnaðarmál GKE hnútar bæta meira næði við vinnuálag sem keyrir á Kubernetes. Í júlí kom fyrsta varan á markað sem heitir , og í dag eru þessar sýndarvélar nú þegar aðgengilegar öllum.
Confidential Computing er ný vara sem felur í sér að geyma gögn á dulkóðuðu formi á meðan þau eru í vinnslu. Þetta er síðasti hlekkurinn í dulkóðunarkeðjunni þar sem skýjaþjónustuveitendur dulkóða gögn inn og út. Þar til nýlega var nauðsynlegt að afkóða gögn þegar þau voru unnin og margir sérfræðingar líta á þetta sem hrópandi gat á sviði gagnadulkóðunar.
Confidential Computing frumkvæði Google er byggt á samstarfi við Confidential Computing Consortium, iðnaðarhóp til að kynna hugmyndina um traust framkvæmdaumhverfi (TEEs). TEE er öruggur hluti örgjörvans þar sem hlaðin gögn og kóða eru dulkóðuð, sem þýðir að aðrir hlutar sama örgjörva geta ekki nálgast þessar upplýsingar.
Confidential VMs Google keyra á N2D sýndarvélum sem keyra á annarri kynslóð EPYC örgjörva AMD, sem nota Secure Encrypted Virtualization tækni til að einangra sýndarvélar frá hypervisornum sem þær keyra á. Það er trygging fyrir því að gögnin haldist dulkóðuð óháð notkun þeirra: vinnuálag, greiningar, beiðnir um þjálfunarlíkön fyrir gervigreind. Þessar sýndarvélar eru hannaðar til að mæta þörfum hvers fyrirtækis sem meðhöndlar viðkvæm gögn á eftirlitssvæðum eins og bankaiðnaðinum.
Kannski er meira aðkallandi tilkynningin um væntanlega beta prófun á trúnaðarlegum GKE hnútum, sem Google segir að verði kynnt í komandi 1.18 útgáfu (GKE). GKE er stýrt, framleiðslutilbúið umhverfi til að keyra gáma sem hýsa hluta nútímaforrita sem hægt er að keyra yfir mörg tölvuumhverfi. Kubernetes er opinn uppspretta hljómsveitarverkfæri sem notað er til að stjórna þessum gámum.
Að bæta við trúnaðarlegum GKE hnútum veitir meira næði þegar keyrt er GKE klasa. Þegar nýrri vöru var bætt við Confidential Computing línuna vildum við bjóða upp á nýtt stig af
næði og flytjanleika fyrir gámavinnuálag. Confidential GKE hnútar Google eru byggðir á sömu tækni og Confidential VM, sem gerir þér kleift að dulkóða gögn í minni með því að nota hnútsértækan dulkóðunarlykil sem er búinn til og stjórnað af AMD EPYC örgjörvanum. Þessir hnútar munu nota vinnsluminni dulkóðun sem byggir á vélbúnaði sem byggir á SEV eiginleika AMD, sem þýðir að vinnuálag þitt sem keyrir á þessum hnútum verður dulkóðað á meðan þeir eru í gangi.
Sunil Potti og Eyal Manor, Cloud Engineers, Google
Á trúnaðarlegum GKE hnútum geta viðskiptavinir stillt GKE klasa þannig að hnútahópar keyri á trúnaðarlegum VM. Einfaldlega sagt, allt vinnuálag sem keyrir á þessum hnútum verður dulkóðað á meðan gögn eru unnin.
Mörg fyrirtæki krefjast enn meira næðis þegar þau nota opinbera skýjaþjónustu en þau gera fyrir vinnuálag á staðnum sem keyrir á staðnum til að vernda gegn árásarmönnum. Stækkun Google Cloud á Confidential Computing línu sinni hækkar þessa gröf með því að veita notendum möguleika á að veita leynd fyrir GKE klasa. Og miðað við vinsældir þess er Kubernetes lykilskref fram á við fyrir iðnaðinn, sem gefur fyrirtækjum fleiri möguleika til að hýsa næstu kynslóð forrita á öruggan hátt í almenningsskýinu.
Holger Mueller, sérfræðingur hjá Constellation Research.
NB Fyrirtækið okkar er að setja af stað uppfært gjörvanámskeið dagana 28.-30. september fyrir þá sem enn þekkja ekki Kubernetes, en vilja kynnast því og byrja að vinna. Og eftir þennan viðburð 14.–16. október erum við að setja af stað uppfærslu fyrir reynda Kubernetes notendur sem mikilvægt er að þekkja allar nýjustu hagnýtu lausnirnar við að vinna með nýjustu útgáfur af Kubernetes og mögulegum „rake“. Á Við munum greina í orði og reynd ranghala við að setja upp og stilla framleiðslutilbúinn klasa ("ekki-svo-auðvelda leiðin"), aðferðir til að tryggja öryggi og bilanaþol forrita.
Meðal annars sagði Google að trúnaðarvinir þeirra muni öðlast nokkra nýja eiginleika þegar þeir verða almennt fáanlegir frá og með deginum í dag. Til dæmis birtust endurskoðunarskýrslur sem innihéldu nákvæmar skrár yfir heilleikaathugun AMD Secure Processor vélbúnaðar sem notaður var til að búa til lykla fyrir hvert tilvik af trúnaðarlegum VM.
Það eru líka fleiri stýringar til að stilla tiltekinn aðgangsrétt og Google hefur einnig bætt við möguleikanum á að slökkva á óflokkuðum sýndarvélum í tilteknu verkefni. Google tengir einnig trúnaðar-VMs við aðrar persónuverndaraðferðir til að veita öryggi.
Þú getur notað blöndu af sameiginlegum VPC með eldveggsreglum og skipulagsstefnutakmörkunum til að tryggja að trúnaðar-VMs geti átt samskipti við aðrar trúnaðar-VMs, jafnvel þótt þær séu í gangi á mismunandi verkefnum. Að auki geturðu notað VPC þjónustustýringar til að stilla GCP auðlindaumfangið fyrir trúnaðar-VM þína.
Sunil Potti og Eyal Manor
Heimild: www.habr.com