TL; DR: Issa tista' tħaddem Kubernetes fuq minn Google.
Google illum (08.09.2020/XNUMX/XNUMX, madwar. traduttur) fl-avveniment ħabbret l-espansjoni tal-linja tal-prodotti tagħha bit-tnedija ta 'servizz ġdid.
Nodi GKE kunfidenzjali jżidu aktar privatezza mal-piżijiet tax-xogħol li jaħdmu fuq Kubernetes. F'Lulju, tnieda l-ewwel prodott imsejjaħ , u llum dawn il-magni virtwali diġà huma pubblikament disponibbli għal kulħadd.
Il-Kompjuter Kunfidenzjali huwa prodott ġdid li jinvolvi l-ħażna tad-dejta f'forma kriptata waqt li tkun qed tiġi pproċessata. Din hija l-aħħar ħolqa fil-katina tal-kriptaġġ tad-dejta, peress li l-fornituri tas-servizzi tal-cloud diġà jikkriptaw id-dejta ġewwa u barra. Sa ftit ilu, kien meħtieġ li d-data tiġi dekriptjata kif ġiet ipproċessata, u ħafna esperti jaraw dan bħala toqba evidenti fil-qasam tal-kriptaġġ tad-data.
L-Inizjattiva tal-Kompjuter Kunfidenzjali ta' Google hija bbażata fuq kollaborazzjoni mal-Konsorzju tal-Kompjuter Kunfidenzjali, grupp tal-industrija biex jippromwovi l-kunċett ta' Ambjenti ta' Eżekuzzjoni Fiduċjali (TEEs). TEE hija parti sigura tal-proċessur li fiha d-data mgħobbija u l-kodiċi huma encrypted, li jfisser li din l-informazzjoni ma tistax tiġi aċċessata minn partijiet oħra tal-istess proċessur.
Il-VMs Kunfidenzjali ta' Google jaħdmu fuq magni virtwali N2D li jaħdmu fuq il-proċessuri EPYC tat-tieni ġenerazzjoni ta' AMD, li jużaw it-teknoloġija Secure Encrypted Virtualization biex jiżolaw magni virtwali mill-hypervisor li jaħdmu fuqu. Hemm garanzija li d-dejta tibqa’ kriptata irrispettivament mill-użu tagħha: xogħolijiet, analiżi, talbiet għal mudelli ta’ taħriġ għall-intelliġenza artifiċjali. Dawn il-magni virtwali huma ddisinjati biex jissodisfaw il-ħtiġijiet ta 'kwalunkwe kumpanija li timmaniġġja data sensittiva f'oqsma regolati bħall-industrija bankarja.
Forsi aktar urġenti hija t-tħabbira tat-test beta li ġej tan-nodi GKE Kunfidenzjali, li Google jgħid li se jiġu introdotti fir-rilaxx 1.18 li jmiss. (GKE). GKE huwa ambjent ġestit u lest għall-produzzjoni għat-tħaddim ta' kontenituri li jospitaw partijiet ta' applikazzjonijiet moderni li jistgħu jitħaddmu f'diversi ambjenti tal-kompjuters. Kubernetes hija għodda ta 'orkestrazzjoni ta' sors miftuħ użata biex timmaniġġja dawn il-kontenituri.
Iż-żieda ta' nodi GKE Kunfidenzjali tipprovdi privatezza akbar meta tħaddem clusters GKE. Meta żżid prodott ġdid mal-linja tal-Kompjuter Kunfidenzjali, ridna nipprovdu livell ġdid ta '
il-privatezza u l-portabbiltà għal xogħolijiet fil-kontejners. In-nodi GKE Kunfidenzjali ta 'Google huma mibnija fuq l-istess teknoloġija bħall-VMs Kunfidenzjali, li jippermettulek tikkodifika d-dejta fil-memorja billi tuża ċavetta ta' encryption speċifika għan-nodi ġġenerata u ġestita mill-proċessur AMD EPYC. Dawn in-nodi se jużaw encryption RAM ibbażat fuq hardware bbażat fuq il-karatteristika SEV ta 'AMD, li jfisser li l-piżijiet tax-xogħol tiegħek li qed jaħdmu fuq dawn in-nodi se jkunu encrypted waqt li jkunu qed jaħdmu.
Sunil Potti u Eyal Manor, Cloud Engineers, Google
Fuq nodi GKE Kunfidenzjali, il-klijenti jistgħu jikkonfiguraw clusters GKE sabiex il-pools tan-nodi jimxu fuq VMs Kunfidenzjali. Fi kliem sempliċi, kwalunkwe xogħol li jaħdem fuq dawn in-nodi se jiġi encrypted waqt li d-dejta tiġi pproċessata.
Ħafna intrapriżi jeħtieġu saħansitra aktar privatezza meta jużaw is-servizzi pubbliċi tal-cloud milli jagħmlu għal xogħolijiet fuq il-post li jaħdmu fuq il-post biex jipproteġu kontra l-attakkanti. L-espansjoni tal-Google Cloud tal-linja tal-Kompjuter Kunfidenzjali tagħha tgħolli dan il-livell billi tipprovdi lill-utenti bil-kapaċità li jipprovdu segretezza għall-clusters GKE. U minħabba l-popolarità tiegħu, Kubernetes huwa pass ewlieni 'l quddiem għall-industrija, li jagħti lill-kumpaniji aktar għażliet biex jospitaw b'mod sigur applikazzjonijiet tal-ġenerazzjoni li jmiss fil-cloud pubbliku.
Holger Mueller, Analista fil-Costellation Research.
NB Il-kumpanija tagħna qed tniedi kors intensiv aġġornat fit-28-30 ta’ Settembru għal dawk li għadhom ma jafux Kubernetes, iżda jridu jiffamiljarizzawha u jibdew jaħdmu. U wara dan l-avveniment fl-14–16 ta’ Ottubru, qed inniedu aġġornat għall-utenti ta 'Kubernetes b'esperjenza li għalihom huwa importanti li tkun taf l-aħħar soluzzjonijiet prattiċi kollha fil-ħidma ma' l-aħħar verżjonijiet ta 'Kubernetes u "rake" possibbli. Fuq Se nanalizzaw fit-teorija u fil-prattika l-intricacies tal-installazzjoni u l-konfigurazzjoni ta 'cluster lest għall-produzzjoni ("the-not-so-easy-way"), mekkaniżmi biex tiġi żgurata s-sigurtà u t-tolleranza tal-ħsarat tal-applikazzjonijiet.
Fost affarijiet oħra, Google qalet li l-VMs Kunfidenzjali tagħha se jiksbu xi karatteristiċi ġodda hekk kif dawn isiru ġeneralment disponibbli mil-lum. Pereżempju, dehru rapporti tal-awditjar li fihom zkuk dettaljati tal-kontroll tal-integrità tal-firmware tal-Proċessur Sikur AMD użat biex jiġġenera ċwievet għal kull istanza ta 'VMs Kunfidenzjali.
Hemm ukoll aktar kontrolli biex jiġu stabbiliti drittijiet ta 'aċċess speċifiċi, u Google żiedet ukoll il-kapaċità li tiddiżattiva kwalunkwe magna virtwali mhux klassifikata fuq proġett partikolari. Google tgħaqqad ukoll VMs Kunfidenzjali ma 'mekkaniżmi oħra ta' privatezza biex tipprovdi sigurtà.
Tista' tuża taħlita ta' VPCs kondiviżi b'regoli tal-firewall u restrizzjonijiet ta' politika ta' organizzazzjoni biex tiżgura li VMs Kunfidenzjali jistgħu jikkomunikaw ma' VMs Kunfidenzjali oħra, anki jekk ikunu qed jaħdmu fuq proġetti differenti. Barra minn hekk, tista' tuża VPC Service Controls biex tissettja l-ambitu tar-riżorsi tal-GCP għall-VMs Kunfidenzjali tiegħek.
Sunil Potti u Eyal Manor
Sors: www.habr.com