TL, DR: Та одоо Kubernetes дээр ажиллах боломжтой Google-ээс.
Google өнөөдөр (08.09.2020, ойролцоогоор. орчуулагч) арга хэмжээнд шинэ үйлчилгээг нэвтрүүлснээр бүтээгдэхүүнийхээ хүрээг өргөтгөснөө зарлав.
Нууц GKE зангилаа нь Kubernetes дээр ажиллаж байгаа ажлын ачаалалд илүү их нууцлалыг нэмдэг. XNUMX-р сард нэртэй анхны бүтээгдэхүүнээ гаргасан , мөн өнөөдөр эдгээр виртуал машинууд аль хэдийн хүн бүрт нээлттэй байна.
Нууц тооцоолол нь өгөгдлийг боловсруулж байх үед шифрлэгдсэн хэлбэрээр хадгалах шинэ бүтээгдэхүүн юм. Үүлэн үйлчилгээ үзүүлэгчид аль хэдийн дотогш болон гадагш өгөгдлийг шифрлэдэг тул энэ нь өгөгдөл шифрлэлтийн гинжин хэлхээний сүүлчийн холбоос юм. Саяхныг хүртэл өгөгдлийг боловсруулах явцад шифрлэлтийг тайлах шаардлагатай байсан бөгөөд олон шинжээчид үүнийг өгөгдөл шифрлэлтийн талбарт тод томруун нүх гэж үздэг.
Google-ийн Confidential Computing Initiative нь Confidential Computing Consortium буюу Trusted Execution Environments (TEEs) үзэл баримтлалыг сурталчлах салбарын бүлэгтэй хамтран ажиллахад үндэслэсэн болно. TEE нь ачаалагдсан өгөгдөл, кодыг шифрлэсэн процессорын аюулгүй хэсэг бөгөөд энэ мэдээлэлд ижил процессорын бусад хэсгүүд хандах боломжгүй гэсэн үг юм.
Google-ийн Confidential VM-ууд нь AMD-н хоёр дахь үеийн EPYC процессорууд дээр ажилладаг N2D виртуал машинууд дээр ажилладаг бөгөөд тэдгээр нь виртуал машинуудыг ажиллаж байгаа гипервизороос тусгаарлахын тулд Secure Encrypted Virtualization технологийг ашигладаг. Өгөгдөл ашиглалтаас үл хамааран шифрлэгдсэн хэвээр байх баталгаа бий: ажлын ачаалал, аналитик, хиймэл оюун ухаанд зориулсан сургалтын загварт хүсэлт. Эдгээр виртуал машинууд нь банкны салбар гэх мэт зохицуулалттай салбарт нууц мэдээлэлтэй харьцдаг аливаа компанийн хэрэгцээг хангахад зориулагдсан.
Google-ийн хэлснээр удахгүй гарах 1.18 хувилбарт танилцуулагдах болно гэж Google-ийн үзэж байгаагаар Нууц GKE зангилааны удахгүй болох бета туршилтын тухай зарлах нь илүү чухал зүйл байж магадгүй юм. (GKE). GKE нь олон тооны компьютерийн орчинд ажиллах боломжтой орчин үеийн хэрэглээний программуудын хэсгүүдийг агуулсан контейнер ажиллуулахад зориулагдсан удирдлагатай, үйлдвэрлэлд бэлэн орчин юм. Kubernetes бол эдгээр контейнеруудыг удирдахад ашигладаг нээлттэй эхийн зохион байгуулалтын хэрэгсэл юм.
Нууц GKE зангилаа нэмэх нь GKE кластеруудыг ажиллуулахад илүү их нууцлалыг хангана. Нууц тооцооллын шугамд шинэ бүтээгдэхүүн нэмэхдээ бид шинэ түвшинд хүргэхийг хүссэн
чингэлэг дэх ажлын ачааллыг нууцлах, зөөвөрлөх. Google-ийн Confidential GKE зангилаанууд нь Confidential VM-тэй ижил технологи дээр бүтээгдсэн бөгөөд AMD EPYC процессороор үүсгэсэн, удирддаг зангилааны тусгай шифрлэлтийн түлхүүрийг ашиглан санах ой дахь өгөгдлийг шифрлэх боломжийг танд олгоно. Эдгээр зангилаанууд нь AMD-н SEV функц дээр суурилсан техник хангамжид суурилсан RAM шифрлэлтийг ашиглах бөгөөд энэ нь эдгээр зангилаанууд дээр ажиллаж байх үед таны ажлын ачааллыг шифрлэх болно гэсэн үг юм.
Sunil Potti болон Eyal Manor, Cloud Engineers, Google
Нууц GKE зангилаанууд дээр үйлчлүүлэгчид GKE кластеруудыг тохируулах боломжтой бөгөөд ингэснээр зангилааны сангууд Нууц VM дээр ажилладаг. Энгийнээр хэлбэл, эдгээр зангилаанууд дээр ажиллаж байгаа аливаа ачааллыг өгөгдөл боловсруулах явцад шифрлэнэ.
Олон аж ахуйн нэгжүүд нийтийн үүлэн үйлчилгээг ашиглахдаа халдагчдаас хамгаалахын тулд газар дээр нь ажиллаж байгаа ажлын ачааллаас илүү нууцлал шаарддаг. Google Cloud нь Нууц Тооцооллын шугамаа өргөжүүлснээр хэрэглэгчдэд GKE кластеруудын нууцлалыг хангах боломжийг олгож байгаагаараа энэ түвшинг дээшлүүлж байна. Түгээмэл тархсанаар нь Kubernetes нь компаниудад шинэ үеийн програмуудыг нийтийн үүлэнд найдвартай байршуулах илүү олон боломжийг олгож, салбарын хувьд урагшлах гол алхам юм.
Холгер Мюллер, Constellation Research-ийн шинжээч.
NB Манай компани 28-р сарын 30-XNUMX-ны хооронд шинэчилсэн эрчимжүүлсэн сургалтаа эхлүүлж байна Кубернетесийг хараахан мэдэхгүй байгаа ч үүнтэй танилцаж, ажиллаж эхлэхийг хүсч буй хүмүүст зориулав. 14-р сарын 16-XNUMX-нд болох энэхүү арга хэмжээний дараа бид шинэчлэгдсэн хувилбарыг эхлүүлж байна Kubernetes-ийн хамгийн сүүлийн үеийн хувилбарууд болон боломжит "тармуур"-тай ажиллах хамгийн сүүлийн үеийн практик шийдлүүдийг мэдэх нь чухал байдаг туршлагатай Kubernetes хэрэглэгчдийн хувьд. Асаалттай Бид үйлдвэрлэхэд бэлэн кластерийг суулгах, тохируулах нарийн төвөгтэй байдал ("тийм ч хялбар биш арга"), аюулгүй байдлыг хангах механизм, хэрэглээний алдааг тэсвэрлэх чадварыг онолын болон практикт шинжлэх болно.
Бусад зүйлсийн дотор Google-ийн хэлснээр Нууц VM-үүд нь өнөөдрөөс эхлэн ерөнхийдөө ашиглах боломжтой болсон тул зарим шинэ боломжуудыг олж авах болно. Жишээлбэл, Нууц VM-ийн тохиолдол бүрт түлхүүр үүсгэхэд ашигладаг AMD Secure Processor программын бүрэн бүтэн байдлын шалгалтын нарийвчилсан бүртгэлийг агуулсан аудитын тайлан гарч ирэв.
Мөн тусгай хандалтын эрхийг тохируулах илүү олон хяналтууд байдаг бөгөөд Google нь тухайн төсөл дээр ямар ч ангилалгүй виртуал машиныг идэвхгүй болгох боломжийг нэмсэн. Google нь аюулгүй байдлыг хангах үүднээс Нууц VM-ийг бусад нууцлалын механизмтай холбодог.
Нууц VM-үүд өөр өөр төсөл дээр ажиллаж байсан ч бусад Нууц VM-үүдтэй холбогдох боломжтой байхын тулд та галт ханын дүрэм, байгууллагын бодлогын хязгаарлалттай хуваалцсан VPC-ийн хослолыг ашиглаж болно. Нэмж дурдахад, та Нууц VM-ийн GCP нөөцийн хамрах хүрээг тохируулахын тулд VPC үйлчилгээний хяналтыг ашиглаж болно.
Сунил Потти, Эйял Манор нар
Эх сурвалж: www.habr.com