TL; DR- ááᯠKubernetes ááᯠáááºááœáá·áºááá¯ááºáá«ááŒá®á
Google ááá±á· (08.09.2020/XNUMX/XNUMXá á¡áá®ážá
ááºáá¯á¶áž áá¬áá¬ááŒááºáá°) ááœá²á
áá»áŸáá¯á·ááŸáẠGKE nodes áá»á¬ážááẠKubernetes ááœáẠáá¯ááºáá±á¬ááºáá±áá±á¬ á¡áá¯ááºáá»á¬ážáá®ááá¯á· áá»áŸáá¯á·ááŸááºáá±ážááá¯ááᯠááá·áºáá±ážáááºá áá°ááá¯ááºáááœáẠááááá¯á¶ážáá¯ááºáá¯ááºáᯠá¡áááºáá±ážáá²á·áááºá
Confidential Computing ááẠá á®áá¶áá±á¬ááºááœááºáá±á ááºá¡ááœááºáž áá¯ááºááŸááºáá¬ážáá±á¬áá¯á¶á á¶ááŒáá·áº áá±áá¬ááááºážáááºážááŒááºážáá«áááºááá·áº áá¯ááºáá¯ááºá¡áá áºáá áºáá¯ááŒá áºáááºá cloud áááºáá±á¬ááºááŸá¯áá±ážáá°áá»á¬ážááẠáá±áá¬ááᯠáááº/á¡ááœáẠá á¬ááŸááºáá¬ážááŒá®ážááŒá áºáá±á¬ááŒá±á¬áá·áº áá±áá¬áá¯ááºááŸááºááŒááºážááœááºážáááºááŸá áá±á¬ááºáá¯á¶ážááá·áºááºááŒá áºáááºá áááŒá¬áá±ážáá®á¡ááá áááºážááᯠáá¯ááºáá±á¬ááºááŒá®ážáááºááŸáá·áºá¡áá»áŸ áá±áá¬ááᯠáá¯ááºááŸááºááẠááá¯á¡ááºááŒá®áž áááºážááᯠáá±áá¬áá¯ááºááŸááºááŒááºážáááºáááºááœáẠáááºááŸá¬ážáá±á¬á¡áá±á«ááºáá áºáá¯á¡ááŒá Ạáá»áœááºážáá»ááºáá°áá»á¬ážá áœá¬á ááŒááºááŒáááºá
Google á áá»áŸáá¯á·ááŸááºááœááºááŒá°áá¬á á¥áºážá á¬ážááŸá¯ááẠTrusted Execution Environments (TEEs) ááá±á¬ááá¬ážááᯠááŒáŸáá·áºáááºáááºá¡ááœáẠáá¯ááºáááºážá¡ááœá²á·áá áºáá¯ááŒá áºááá·áº áá»áŸáá¯á·ááŸááºááœááºááŒá°áá¬áá¯ááºáááºážá á¯ááŸáá·áº áá°ážáá±á«ááºážáá¯ááºáá±á¬ááºááŸá¯á¡áá±á«áº á¡ááŒá±áá¶áá¬ážáááºá TEE ááẠloaded data ááŸáá·áº code ááᯠencrypt áá¯ááºáá¬ážáá±á¬ áááá¯áááºáá¬á áá¯á¶ááŒá¯á¶áá±á¬ á¡á áááºá¡ááá¯ááºážáá áºáá¯ááŒá áºááŒá®áž ááá¯ááá¯áááºááŸá¬ á€á¡áá»ááºá¡áááºááᯠáá°áá®áá±á¬áááá¯áááºáá¬á á¡ááŒá¬ážá¡á áááºá¡ááá¯ááºážáá»á¬ážá០áááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºáááºááá¯ááºáá±á
Google á áá»áŸáá¯á·ááŸááºáá¬ážáá±á¬ VM áá»á¬ážááẠáááºážááá¯á·áááºáááºáá±ááá·áº hypervisor á០virtual machines áá»á¬ážááᯠááœá²áá¯ááºááẠSecure Encrypted Virtualization áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áá¬ážááá·áº AMD á áá¯ááááá»áá¯ážááẠEPYC áááá¯áááºáá¬áá»á¬ážááœáẠáá¯ááºáá±á¬ááºáá±áá±á¬ N2D virtual machines áá»á¬ážáá±á«áºááœáẠáá¯ááºáá±á¬ááºáááºá áá±áá¬ááᯠá¡áá¯á¶ážááŒá¯ááŸá¯ áááºááá¯á·áááºááŸáá á±áá¬áá° áá¯ááºááŸááºáá¬ážáá²ááŒá áºááŒá±á¬ááºáž á¡á¬ááá¶áá»áẠááŸááá«áááºá á¡áá¯ááºáá»áááºáá»á¬ážá ááœá²ááŒááºážá áááºááŒá¬áá»ááºáá»á¬ážá áá¬ááºáááºáá¯á¡ááœáẠáá±á·áá»áá·áºáá±ážáá¯á¶á á¶áá»á¬ážá¡ááœáẠáá±á¬ááºážááá¯ááŸá¯áá»á¬ážá ဠvirtual machines áá»á¬ážááẠáááºáá¯ááºáááºážá ááá·áº á ááºážáá»ááºážá ááºážáááºáž áááºáááºáá»á¬ážááœáẠá¡áá±ážááŒá®ážáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠááá¯ááºááœááºááá·áº áá¯áá¹ááá®ááá¯ááºážá ááá¯á¡ááºáá»ááºáá»á¬ážááᯠááŒáá·áºáááºážááẠáá®ááá¯ááºážáá¯ááºáá¬ážáá«áááºá
áá±á¬ááºáááºááá
á®ážááŸá¯ááŸá¬ áá»áŸáá¯á·ááŸáẠGKE nodes áá»á¬ážá áá¬ááá·áº beta á
ááºážáááºááŒááºážá ááŒá±áá¬áá»ááºááŒá
áºááŒá®áž áá¬ááá·áº 1.18 áá¯ááºáá±ááŸá¯ááœáẠGoogle á០ááááºáááºáááºáᯠááŒá±á¬ááŒá¬ážáá¬ážáááºá
áá»áŸáá¯á·ááŸáẠGKE nodes áá»á¬ážááá·áºááŒááºážááẠGKE á¡á á¯á¡áá±ážáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá±á¬á¡áá«ááœáẠááá¯ááá¯áá¯á¶ááŒá¯á¶á á±áá«áááºá áá¯ááºáá¯ááºá¡áá áºáá áºáá¯ááᯠáá»áŸáá¯á·ááŸááºááœááºááŒá°áá¬ááá¯ááºážááœáẠááá·áºáá±á¬á¡áá«á á¡ááá·áºá¡áá áºáá áºáá¯ááᯠáá±ážááá¯áá«áááºá
containerized workloads á¡ááœáẠááá¯ááºáá±ážááá¯ááºáá¬ááŸáá·áº áááºáá±á¬ááºáááœááºáá°ááŒááºážá Google á áá»áŸáá¯á·ááŸáẠGKE node áá»á¬ážááᯠAMD EPYC áááá¯áááºáá¬á០áá¯ááºáá¯ááºááŒá®áž á á®áá¶ááá·áºááœá²áá±á¬ node-specific encryption key ááᯠá¡áá¯á¶ážááŒá¯á áááºá¡á¬áž áá»áŸáá¯á·ááŸáẠVM áá»á¬ážáá²á·ááá¯á· áááºážááá¬áá±á«áºááœáẠáááºáá±á¬ááºáá¬ážáááºá ဠnode áá»á¬ážááẠAMD á SEV á¡ááºá¹áá«áááºá¡áá±á«áº á¡ááŒá±áá¶á áá¬á·ááºáá²á¡ááŒá±áᶠRAM áá¯ááºááŸááºááŒááºážááᯠá¡áá¯á¶ážááŒá¯áááºááŒá áºááŒá®áž ááá¯ááá¯áááºááŸá¬ á¡ááá¯áá« node áá»á¬ážááœáẠáá¯ááºáá±á¬ááºáá±áá±á¬ áááºáá¡áá¯ááºáá»á¬ážááᯠáááºážááá¯á·áá¯ááºáá±á¬ááºáá±áá»áááºááœáẠáá¯ááºááŸááºáá¬ážáááºááŒá áºáááºá
Sunil Potti ááŸáá·áº Eyal Manorá Cloud Engineersá Google
Confidential GKE node áá»á¬ážááœáẠáá¯á¶ážá áœá²áá°áá»á¬ážááẠConfidential VMs áá»á¬ážáá±á«áºááœáẠnode pool áá»á¬ážáááºáááºá á±ááẠGKE á¡á á¯á¡áá±ážáá»á¬ážááᯠconfigure áá¯ááºááá¯ááºáá«áááºá ááá¯ážááŸááºážá áœá¬ááŒá±á¬ááá»áŸááºá ဠnode áá»á¬ážáá±á«áºááœáẠáá¯ááºáá±á¬ááºáá±ááá·áº áááºááá·áºá¡áá¯ááºáá»á¬ážáááᯠáá±áá¬ááᯠáá¯ááºáá±á¬ááºáá±áá»áááºááœáẠáá¯ááºááŸááºáá¬ážáááºááŒá áºáááºá
áá¯ááºáááºážá¡áá»á¬ážá¡ááŒá¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážááŸáá¬ááœááºááẠá¥áá á¬á¡ááœááºážáá¯ááºáá±á¬ááºáá±áá±á¬á¡áá¯ááºáá»á¬ážááẠá¡áá»á¬ážáá°ááŸá¬ cloud áááºáá±á¬ááºááŸá¯áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯áá±á¬á¡áá«ááœáẠprivacy ááá¯ááá¯ááá¯ááá¯á¡ááºáááºá Google Cloud á áá»áŸáá¯á·ááŸááºááœááºááŒá°áá¬ááá¯ááºážááᯠáá»á²á·ááœááºááŒááºážááẠGKE á¡á á¯á¡áá±ážáá»á¬ážá¡ááœáẠáá»áŸáá¯á·ááŸááºááŸá¯áá±ážá áœááºážááá¯ááºááŸá¯ááŒáá·áº áá¯á¶ážá áœá²áá°áá»á¬ážá¡á¬áž á€áá¬ážááᯠááŒáŸáá·áºáááºáá±ážáá«áááºá áááºážááá»á±á¬áºááŒá¬ážááŸá¯á¡á Kubernetes ááẠáá¯áá¹ááá®áá»á¬ážááᯠá¡áá»á¬ážáá°ááŸá¬ cloud ááœáẠáá»áá¯ážáááºáá áºá¡ááá®áá±ážááŸááºážáá»á¬ážááᯠáá¯á¶ááŒá¯á¶á áœá¬áááºáá¶áá»ááºážáááẠáá±á¬ááºáááºááœá±ážáá»ááºá áá¬áá»á¬ážáá±ážá áœááºážááá¯ááºáá±á¬ á ááºááŸá¯áá¯ááºáááºážá¡ááœáẠá¡áááááŒá±ááŸááºážáá áºáá¯ááŒá áºáááºá
Holger Muellerá Constellation Research á០ááœá²ááŒááºážá áááºááŒá¬áá°á
NB áá»áœááºá¯ááºááá¯á·ááá¯áá¹ááá®ááẠá ááºáááºáᬠáá á០áá áááºá¡áá ááœááºážáá¶ááŒááºáááºáá¬ážáá±á¬ á¡áá°ážááŒááºáááºáááºáááºážááᯠááœáá·áºááŸá áºáá±ážáá«áááºá
Kubernetes á¡ááŒá±á áá¯ááºá áááºáž Kubernetes ááᯠááááá±ážáá°áá»á¬ážá¡ááœááºá ááá¯á·áá±á¬áº áááºážááᯠáááºážááŸá®ážááŒá®áž áá¯ááºáááºážá áááºááá¯áá°áá»á¬ážá¡ááœááºá á¡á±á¬ááºááá¯áá¬á 14-16 áááºáá±á·ááœáẠá€ááŒá áºáááºááŒá®ážáá±á¬ááºá áá»áœááºá¯ááºááá¯á·ááẠááœááºážáá¶ááŸá¯áá áºáá¯ááᯠá áááºáá¯ááºáá±á¬ááºáá±áá«áááºáKubernetes Mega Kubernetes ááá±á¬ááºáá¯á¶ážááœááºáá¬ážááŸááºážáá»á¬ážááŸáá·áº ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ âááœááºááºâ ááá¯á·ááŸáá·áºáá¯ááºáá±á¬ááºáá¬ááœáẠáá±á¬ááºáá¯á¶ážáááºááœá±á·áá»áá±á¬ááŒá±ááŸááºážáááºážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáááááºá¡áá±ážááŒá®ážáá±á¬ á¡ááœá±á·á¡ááŒá¯á¶ááŸá Kubernetes á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááœááºá ááááºKubernetes Mega áá»áœááºá¯ááºááá¯á·ááẠáá®á¡áá¯áá®ááŸáá·áº áááºááœá±á·ááœáẠáá¯ááºáá¯ááºááŸá¯-á¡áááºááá·áºááŸááá±á¬ á¡á á¯á¡áá±áž (âá-áá«-ááœááºáá°áá±á¬áááºážáááºážâ) ááᯠááá·áºááœááºážááŒááºážááŸáá·áº áááºáááºááŒááºážá ááŸá¯ááºááœá±ážááŸá¯ááºááœá±ážááŸá¯áá»á¬ážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááŒá®áž á¡áá¯á¶ážáá»ááŸá¯áá»á¬ážá áá¯á¶ááŒá¯á¶áá±ážááŸáá·áº á¡ááŸá¬ážá¡ááœááºážáá»á¬ážááᯠáá¶ááá¯ááºáááºááŸáá á±ááá·áº ááá¹ááá¬ážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬áá«áááºá
á¡ááŒá¬ážá¡áá¬áá»á¬ážáá²ááœááºá Google á áááºážá áá»áŸáá¯á·ááŸáẠVM áá»á¬ážááẠááá±á·ááŸá áááºá áá±áá¯áá»á¡á¬ážááŒáá·áº áááŸááá¬áá±á¬ááŒá±á¬áá·áº á¡ááºá¹áá«áááºá¡áá áºá¡áá»áá¯á·ááᯠáááŸááááºááŒá áºááŒá±á¬ááºáž ááŒá±á¬ááŒá¬ážáá²á·áááºá á¥ááá¬á¡á¬ážááŒáá·áºá á á¬áááºážá á áºá¡á á®áááºáá¶á á¬áá»á¬ážááœáẠáá»áŸáá¯á·ááŸáẠVM áá¥ááá¬áá áºáá¯á á®á¡ááœáẠáá±á¬á·áá»á¬ážáá¯ááºáá¯ááºáááºá¡áá¯á¶ážááŒá¯ááá·áº AMD Secure Processor firmware á ááá¯ááºáá¬ááŸá¯á á áºáá±ážáá»ááºá¡áá±ážá áááºááŸááºáááºážáá»á¬ážáá«áááºáááºá
áá®ážááŒá¬ážáááºáá±á¬ááºááœáá·áºáá»á¬ážááᯠáááºááŸááºááŒááºážá¡ááœáẠáá±á¬ááºááẠááááºážáá»á¯ááºááŸá¯áá»á¬ážáááºáž ááŸáááŒá®áž Google ááẠáá±ážáá¬ážááá·áº ááá±á¬áá»ááºáá áºáá¯ááœáẠá¡áá»áá¯ážá¡á á¬ážááœá²ááá¬ážáá±á¬ áááºááá·áº virtual machine ááá¯áááᯠááááºááá¯ááºááá·áº á áœááºážáááºááá¯áááºáž ááá·áºááœááºážáá¬ážáááºá Google ááẠáá¯á¶ááŒá¯á¶áá±ážáá±ážáá±á¬ááºááẠáá»áŸáá¯á·ááŸáẠVM áá»á¬ážááᯠá¡ááŒá¬ážáá±á¬ ááá¯ááºáá±ážááá¯ááºáá¬ááá¹ááá¬ážáá»á¬ážááŸáá·áºáááºáž áá»áááºáááºáá¬ážáááºá
áá»áŸáá¯á·ááŸáẠVM áá»á¬ážááẠááá°áá®áá±á¬ ááá±á¬áá»ááºáá»á¬ážááœáẠáá¯ááºáá±á¬ááºáá±áá±á¬áºáááºážá áá»áŸáá¯á·ááŸáẠVM áá»á¬ážááŸáá·áº áááºááœááºááá¯ááºááŒá±á¬ááºáž áá±áá»á¬á á±ááẠFirewall á ááºážáá»ááºážáá»á¬ážááŸáá·áº á¡ááœá²á·á¡á ááºážááá¯ááºáᬠáá°áá«áááá·áºáááºáá»ááºáá»á¬ážááŒáá·áº áá»áŸáá±áá¬ážáá±á¬ VPCs áá»á¬ážááᯠáá±á«ááºážá ááºá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá ááá¯á·á¡ááŒááºá áááºááá»áŸáá¯á·ááŸáẠVMs á¡ááœáẠGCP á¡áááºážá¡ááŒá áºáááºáááºááᯠáááºááŸááºááẠVPC áááºáá±á¬ááºááŸá¯ááááºážáá»á¯ááºááŸá¯áá»á¬ážááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá
Sunil Potti ááŸáá·áº Eyal Manor
source: www.habr.com