TL; DR: Енді Kubernetes қолданбасын іске қосуға болады google-ден.
Google бүгін (08.09.2020, шамамен. аудармашы) іс-шарада жаңа сервисті іске қосу арқылы өнім желісінің кеңеюі туралы хабарлады.
Құпия GKE түйіндері Kubernetes жүйесінде жұмыс істейтін жұмыс жүктемелеріне көбірек құпиялылықты қосады. Шілде айында атты алғашқы өнім шығарылды , және бүгінде бұл виртуалды машиналар барлығына қолжетімді.
Құпия есептеулер өңдеу кезінде деректерді шифрланған түрде сақтауды қамтитын жаңа өнім. Бұл деректерді шифрлау тізбегіндегі соңғы сілтеме, өйткені бұлттық қызмет провайдерлері деректерді кіріс және шығыс шифрлап қойған. Соңғы уақытқа дейін деректерді өңдеу кезінде шифрын ашу қажет болды және көптеген сарапшылар мұны деректерді шифрлау саласындағы жарқыраған тесік ретінде қарастырады.
Google компаниясының құпия есептеулер бастамасы Сенімді орындау орталары (TEEs) тұжырымдамасын ілгерілетуге арналған салалық топ болып табылатын Confidential Computing Consortium-пен ынтымақтастыққа негізделген. TEE – жүктелген деректер мен код шифрланған процессордың қауіпсіз бөлігі, яғни бұл ақпаратқа бір процессордың басқа бөліктері қол жеткізе алмайды.
Google компаниясының Confidential VM құрылғылары виртуалды машиналарды олар жұмыс істейтін гипервизордан оқшаулау үшін Secure Encrypted Virtualization технологиясын пайдаланатын AMD екінші буындағы EPYC процессорларында жұмыс істейтін N2D виртуалды машиналарында жұмыс істейді. Қолданылуына қарамастан деректер шифрланған болып қала беретініне кепілдік бар: жұмыс жүктемелері, аналитика, жасанды интеллект үшін оқыту үлгілеріне сұраныстар. Бұл виртуалды машиналар банк индустриясы сияқты реттелетін салалардағы құпия деректерді өңдейтін кез келген компанияның қажеттіліктерін қанағаттандыруға арналған.
Мүмкін, Google алдағы 1.18 шығарылымында енгізілетін Құпия GKE түйіндерінің алдағы бета сынағы туралы хабарландыру одан да өзекті болуы мүмкін. (GKE). GKE – бірнеше есептеу орталарында іске қосуға болатын заманауи қолданбалардың бөліктерін орналастыратын контейнерлерді іске қосуға арналған басқарылатын, өндіріске дайын орта. Kubernetes - бұл контейнерлерді басқару үшін пайдаланылатын ашық бастапқы оркестрлік құрал.
Құпия GKE түйіндерін қосу GKE кластерлерін іске қосу кезінде көбірек құпиялылықты қамтамасыз етеді. Құпия есептеулер желісіне жаңа өнімді қосқанда, біз жаңа деңгейді қамтамасыз еткіміз келді
контейнерлік жұмыс жүктемелері үшін құпиялылық және тасымалдану. Google құпия GKE түйіндері AMD EPYC процессоры арқылы жасалған және басқарылатын түйінге арнайы шифрлау кілтін пайдаланып жадтағы деректерді шифрлауға мүмкіндік беретін Құпия VM құрылғыларымен бірдей технологияға негізделген. Бұл түйіндер AMD SEV мүмкіндігіне негізделген аппараттық құралға негізделген жедел жад шифрлауын пайдаланады, яғни осы түйіндерде жұмыс істейтін жұмыс жүктемелері олар жұмыс істеп тұрған кезде шифрланады.
Сунил Потти және Эйал Манор, бұлттық инженерлер, Google
Құпия GKE түйіндерінде тұтынушылар GKE кластерлерін конфигурациялай алады, осылайша түйін пулдары Құпия виртуалды виртуалды құрылғыларда іске қосылады. Қарапайым тілмен айтқанда, осы түйіндерде жұмыс істейтін кез келген жұмыс жүктемелері деректер өңделген кезде шифрланады.
Көптеген кәсіпорындар жалпы бұлттық қызметтерді пайдаланған кезде шабуылдаушылардан қорғау үшін жергілікті жерде жұмыс істейтін жергілікті жұмыс жүктемелеріне қарағанда көбірек құпиялылықты қажет етеді. Google Cloud компаниясының Құпия есептеулер желісін кеңейтуі пайдаланушыларға GKE кластерлерінің құпиялығын қамтамасыз ету мүмкіндігін беру арқылы бұл жолақты көтереді. Оның танымалдылығын ескере отырып, Kubernetes компанияларға келесі буын қолданбаларын жалпыға қолжетімді бұлтта қауіпсіз орналастыруға көбірек мүмкіндіктер беретін сала үшін маңызды қадам болып табылады.
Холгер Мюллер, Constellation Research сарапшысы.
NB Біздің компания 28-30 қыркүйек аралығында жаңартылған қарқынды курсты бастайды Кубернетесті әлі білмейтін, бірақ онымен танысып, жұмысқа кіріскісі келетіндер үшін. 14-16 қазандағы осы оқиғадан кейін біз жаңартылған бағдарламаны іске қосамыз тәжірибелі Kubernetes пайдаланушылары үшін, олар үшін Kubernetes-тің соңғы нұсқаларымен жұмыс істеудің барлық соңғы практикалық шешімдерін және ықтимал «рейкті» білу маңызды. Қосулы Біз өндіріске дайын кластерді («оңай емес жол») орнатудың және конфигурациялаудың қыр-сырын, қауіпсіздікті және қосымшалардың ақауларға төзімділігін қамтамасыз ету механизмдерін теориялық және тәжірибе жүзінде талдаймыз.
Басқа нәрселермен қатар, Google өзінің Құпия виртуалды машиналары бүгіннен бастап жалпы қолжетімді болатындықтан, кейбір жаңа мүмкіндіктерге ие болатынын айтты. Мысалы, құпия виртуалды виртуалды құрылғылардың әрбір данасы үшін кілттерді жасау үшін пайдаланылатын AMD Secure Processor микробағдарламасының тұтастығын тексерудің егжей-тегжейлі журналдары бар аудит есептері пайда болды.
Сондай-ақ белгілі бір кіру құқықтарын орнатуға арналған басқару элементтері бар және Google сонымен қатар берілген жобада кез келген жіктелмеген виртуалды машинаны өшіру мүмкіндігін қосты. Сондай-ақ, Google қауіпсіздікті қамтамасыз ету үшін Құпия VM құрылғыларын басқа құпиялылық механизмдерімен қосады.
Құпия виртуалды виртуалды құрылғылар басқа жобаларда іске қосылған болса да, басқа Құпия виртуалды виртуалды құрылғылармен байланыса алатынына көз жеткізу үшін брандмауэр ережелері мен ұйым саясатының шектеулері бар ортақ VPC комбинациясын пайдалануға болады. Сонымен қатар, құпия виртуалды машиналар үшін GCP ресурсының ауқымын орнату үшін VPC қызметтік басқару элементтерін пайдалануға болады.
Сунил Потти және Эйал Манор
Ақпарат көзі: www.habr.com