TL; DR: Эми сиз Kubernetes'ти иштете аласыз Google келген.
Google бүгүн (08.09.2020/XNUMX/XNUMX, болжол менен котормочу) иш-чарада жаңы кызматты ишке киргизүү менен өзүнүн продуктуларынын линиясын кеңейткенин жарыялады.
Жашыруун GKE түйүндөрү Kubernetes'те иштеген жүктөмдөрдүн купуялуулугун арттырат. Июль айында биринчи продукт деп аталган , жана бүгүнкү күндө бул виртуалдык машиналар бардыгы үчүн ачык.
Confidencial Computing - бул иштелип жаткан маалыматтарды шифрленген түрдө сактоону камтыган жаңы продукт. Бул маалыматты шифрлөө чынжырынын акыркы шилтемеси, анткени булут кызмат көрсөтүүчүлөрү маалыматтарды киргизип жана сыртка шифрлеп коюшкан. Акыркы убакка чейин, ал иштелип жаткан маалыматтарды чечмелөө зарыл болгон, жана көптөгөн эксперттер бул маалыматтарды шифрлөө жаатындагы жаркыраган тешик катары көрүшөт.
Google'дун Confidential Computing Initiative Confidential Computing Consortium, Trusted Execution Environments (TEEs) концепциясын жайылтуу үчүн тармактык топ менен кызматташууга негизделген. TEE - жүктөлгөн маалыматтар жана код шифрленген процессордун коопсуз бөлүгү, демек, бул маалымат бир эле процессордун башка бөлүктөрүнө кире албайт.
Google'дун Confidential VM'дери AMDдин экинчи муундагы EPYC процессорлорунда иштеген N2D виртуалдык машиналарында иштейт, алар виртуалдык машиналарды иштеп жаткан гипервизордон обочолонтуу үчүн Secure Encrypted Virtualization технологиясын колдонушат. Берилиштер колдонулушуна карабастан шифрленген бойдон кала берээрине кепилдик бар: иш жүктөмдөрү, аналитика, жасалма интеллект үчүн окутуу моделдерине суроо-талаптар. Бул виртуалдык машиналар банк индустриясы сыяктуу жөнгө салынган чөйрөлөрдө купуя маалыматтарды иштеткен компаниянын муктаждыктарын канааттандыруу үчүн иштелип чыккан.
Мүмкүн, Google'дун айтымында, алдыдагы 1.18 релизинде киргизиле турган Конфиденциалдуу GKE түйүндөрүнүн алдыдагы бета сынагынын жарыясы көбүрөөк актуалдуу. (GKE). GKE - бул бир нече эсептөө чөйрөсүндө иштей турган заманбап колдонмолордун бөлүктөрүн камтыган контейнерлерди иштетүү үчүн башкарылган, өндүрүшкө даяр чөйрө. Kubernetes бул контейнерлерди башкаруу үчүн колдонулган ачык булактуу оркестрлөө куралы.
Жашыруун GKE түйүндөрүн кошуу GKE кластерлерин иштетүүдө көбүрөөк купуялуулукту камсыз кылат. Жашыруун эсептөө линиясына жаңы продукт кошуп жатканда, биз жаңы деңгээл менен камсыз кылууну кааладык
контейнердик иш жүктөрү үчүн купуялуулук жана көчмө. Google'дун Confidential GKE түйүндөрү, AMD EPYC процессору тарабынан түзүлгөн жана башкарылган түйүнгө тиешелүү шифрлөө ачкычын колдонуп, эстутумдагы маалыматтарды шифрлоого мүмкүндүк берүүчү Конфиденциалдуу VM'лер сыяктуу эле технологияга курулган. Бул түйүндөр AMDдин SEV өзгөчөлүгүнүн негизинде аппараттык камсыздоого негизделген оперативдүү эс шифрлөөсүн колдонушат, демек, бул түйүндөрдө иштеген жүктерүңүз алар иштеп жатканда шифрленет.
Sunil Potti жана Eyal Manor, Cloud Engineers, Google
Confidential GKE түйүндөрүндө кардарлар GKE кластерлерин конфигурациялай алышат, ошентип түйүн пулдары Жашыруун VM'лерде иштей алат. Жөнөкөй сөз менен айтканда, бул түйүндөрдө иштеген бардык жүктөр маалыматтар иштетилип жатканда шифрленет.
Көптөгөн ишканалар коомдук булут кызматтарын колдонууда чабуулчулардан коргоо үчүн жерде иштеген жерде иштеген жумуш жүктөмөсүнө караганда көбүрөөк купуялуулукту талап кылат. Google Булуттун өзүнүн Жашыруун эсептөө линиясын кеңейтүүсү колдонуучуларга GKE кластерлеринин сырын камсыз кылуу мүмкүнчүлүгүн берүү менен бул тилкени көтөрөт. Жана анын популярдуулугун эске алганда, Kubernetes бул тармактын алдыга карай негизги кадамы болуп саналат, бул компанияларга кийинки муундагы тиркемелерди коомдук булутта коопсуз жайгаштыруу үчүн көбүрөөк мүмкүнчүлүктөрдү берет.
Холгер Мюллер, Constellation Research компаниясынын аналитиги.
NB Биздин компания 28-30-сентябрда жаңыланган интенсивдүү курсту баштап жатат Кубернетести али билбеген, бирок аны менен таанышып, иштей баштагысы келгендер үчүн. Ал эми 14-16-октябрдагы бул иш-чарадан кийин биз жаңыланганды ишке киргизип жатабыз тажрыйбалуу Kubernetes колдонуучулары үчүн, алар үчүн Kubernetesтин акыркы версиялары жана мүмкүн болгон "тырмоо" менен иштөөдө эң акыркы практикалык чечимдерди билүү маанилүү. Күйүк Биз теориялык жана практикалык жактан өндүрүшкө даяр кластерди орнотуунун жана конфигурациялоонун татаалдыктарын («анчалык оңой эмес жол»), коопсуздукту камсыздоо механизмдерин жана тиркемелердин каталарына чыдамдуулугун талдап чыгабыз.
Башка нерселер менен катар, Google анын Жашыруун VMлери бүгүндөн баштап жалпыга жеткиликтүү болуп калгандыктан, кээ бир жаңы функцияларга ээ болорун айтты. Мисалы, Конфиденциалдуу VMлердин ар бир инстанциясы үчүн ачкычтарды түзүү үчүн колдонулган AMD Secure Processor микропрограммасынын бүтүндүгүн текшерүүнүн деталдуу журналдарын камтыган аудит отчеттору пайда болду.
Ошондой эле белгилүү бир мүмкүндүк алуу укуктарын орнотуу үчүн дагы башка башкаруу каражаттары бар жана Google ошондой эле берилген долбоордо кандайдыр бир классификацияланбаган виртуалдык машинаны өчүрүү мүмкүнчүлүгүн кошкон. Google ошондой эле коопсуздукту камсыз кылуу үчүн Конфиденциалдуу VMлерди башка купуялык механизмдери менен байланыштырат.
Конфиденциалдуу VM'лер башка Жашыруун VM'лер менен байланыша алышына кепилдик берүү үчүн брандмауэр эрежелери жана уюм саясатынын чектөөлөрү менен жалпы VPC айкалышын колдоно аласыз, ал тургай, алар башка долбоорлордо иштеп жатса да. Кошумча, сиз купуя VM'лериңиз үчүн GCP ресурсунун көлөмүн коюу үчүн VPC Кызмат Башкарууларын колдоно аласыз.
Сунил Потти жана Эйал Манор
Source: www.habr.com
