TL; ДР: Сега можете да го стартувате Kubernetes на од Google.

Google денес (08.09.2020, прибл. преведувач) на настанот најави проширување на својата производна линија со лансирање на нова услуга.
Доверливите GKE јазли додаваат поголема приватност на работните оптоварувања што се извршуваат на Kubernetes. Во јули беше лансиран првиот производ наречен , а денес овие виртуелни машини се веќе јавно достапни за секого.
Confidential Computing е нов производ кој вклучува складирање на податоци во шифрирана форма додека се обработуваат. Ова е последната алка во синџирот за шифрирање податоци, бидејќи давателите на облак услуги веќе ги шифрираат податоците внатре и надвор. До неодамна, беше неопходно да се дешифрираат податоците додека се обработуваа, а многу експерти го гледаат ова како блескава дупка во областа на шифрирањето на податоците.
Иницијативата за доверливи компјутери на Google се заснова на соработка со Конзорциумот за доверливи компјутери, индустриска група за промовирање на концептот на доверливи средини за извршување (TEE). TEE е безбеден дел од процесорот во кој се шифрираат вчитаните податоци и код, што значи дека до овие информации не можат да пристапат други делови од истиот процесор.
Доверливите виртуелни машини на Google работат на виртуелни машини N2D што работат на EPYC процесори од втората генерација на AMD, кои користат технологија за безбедна шифрирана виртуелизација за да ги изолираат виртуелните машини од хипервизорот на кој работат. Постои гаранција дека податоците остануваат шифрирани без оглед на нивната употреба: оптоварување, аналитика, барања за модели за обука за вештачка интелигенција. Овие виртуелни машини се дизајнирани да ги задоволат потребите на секоја компанија која ракува со чувствителни податоци во регулирани области како што е банкарската индустрија.
Можеби поинтензивна е најавата за претстојното бета тестирање на Confidential GKE јазли, за кои Google вели дека ќе бидат претставени во претстојното издание 1.18 (ГКЕ). GKE е управувана, подготвена за производство средина за водење на контејнери во кои се сместени делови од современи апликации што можат да се извршуваат низ повеќе компјутерски средини. Kubernetes е алатка за оркестрација со отворен код што се користи за управување со овие контејнери.
Додавањето доверливи GKE јазли обезбедува поголема приватност при извршување на GKE кластерите. Кога додававме нов производ на линијата Confidential Computing, сакавме да обезбедиме ново ниво на
приватност и преносливост за оптоварување со контејнери. Доверливите GKE-јазли на Google се изградени на истата технологија како и доверливите VM-и, овозможувајќи ви да шифрирате податоци во меморијата користејќи клуч за шифрирање специфичен за јазол, генериран и управуван од процесорот AMD EPYC. Овие јазли ќе користат хардверско шифрирање RAM базирано на функцијата SEV на AMD, што значи дека вашите оптоварувања што работат на овие јазли ќе бидат шифрирани додека тие работат.
Сунил Поти и Ејал Манор, Cloud Engineers, Google
На доверливи GKE јазли, клиентите можат да ги конфигурираат кластерите на GKE така што базените на јазли работат на доверливи VM. Едноставно кажано, сите оптоварувања што работат на овие јазли ќе бидат шифрирани додека се обработуваат податоците.
Многу претпријатија бараат уште поголема приватност при користење на јавни облак услуги отколку за оптоварувањата во просториите што работат во просториите за да се заштитат од напаѓачи. Проширувањето на Google Cloud на неговата линија за доверливи компјутери ја подигнува оваа лента обезбедувајќи им на корисниците можност да обезбедат тајност за кластерите GKE. И со оглед на неговата популарност, Kubernetes е клучен чекор напред за индустријата, давајќи им на компаниите повеќе опции за безбедно хостирање на апликации од следната генерација во јавниот облак.
Холгер Мулер, аналитичар во Constellation Research.
NB Нашата компанија започнува ажуриран интензивен курс на 28-30 септември за оние кои сè уште не го познаваат Кубернетес, но сакаат да се запознаат со него и да започнат со работа. И по овој настан на 14-16 октомври, започнуваме ажурирана за искусни корисници на Kubernetes за кои е важно да ги знаат сите најнови практични решенија при работа со најновите верзии на Kubernetes и можните „гребло“. На Ќе ги анализираме во теорија и практика сложеноста на инсталирање и конфигурирање на кластер подготвен за производство („не-толку-лесен начин“), механизми за обезбедување безбедност и толеранција на грешки на апликациите.
Меѓу другото, Google рече дека неговите Доверливи VM ќе добијат некои нови функции бидејќи ќе станат општо достапни почнувајќи од денес. На пример, се појавија ревизорски извештаи кои содржат детални дневници за проверка на интегритетот на фирмверот на AMD Secure Processor што се користи за генерирање клучеви за секој примерок на доверливи VMs.
Исто така, има повеќе контроли за поставување специфични права за пристап, а Google исто така додаде можност за оневозможување на која било некласифицирана виртуелна машина на даден проект. Google ги поврзува и доверливите VM со други механизми за приватност за да обезбеди безбедност.
Можете да користите комбинација од споделени VPC со правила за заштитен ѕид и ограничувања на политиката на организацијата за да се осигурате дека доверливите VM можат да комуницираат со други доверливи VMs, дури и ако работат на различни проекти. Дополнително, можете да ги користите контролите на услугата VPC за да ги дефинирате опсегот на ресурсите на GCP за вашите доверливи VM-и.
Сунил Поти и Ејал Манор
Извор: www.habr.com
