TL; DR: Teraz môžete spustiť Kubernetes od spoločnosti Google.
Google dnes (08.09.2020/XNUMX/XNUMX, približne. prekladateľ) na podujatí oznámila rozšírenie svojho produktového radu spustením novej služby.
Dôverné uzly GKE pridávajú viac súkromia pracovným zaťaženiam bežiacim na Kubernetes. V júli bol uvedený na trh prvý produkt tzv a dnes sú tieto virtuálne stroje už verejne dostupné pre každého.
Confidential Computing je nový produkt, ktorý zahŕňa ukladanie údajov v šifrovanej forme počas ich spracovania. Toto je posledný článok v reťazci šifrovania údajov, pretože poskytovatelia cloudových služieb už šifrujú údaje dovnútra a von. Až donedávna bolo potrebné dešifrovať dáta tak, ako boli spracovávané, a mnohí odborníci to považujú za do očí bijúcu dieru v oblasti šifrovania dát.
Iniciatíva Confidential Computing Initiative spoločnosti Google je založená na spolupráci s Confidential Computing Consortium, priemyselnou skupinou, ktorá propaguje koncept Trusted Execution Environments (TEE). TEE je zabezpečená časť procesora, v ktorej sú načítané dáta a kód šifrované, čo znamená, že k týmto informáciám nemajú prístup iné časti toho istého procesora.
Dôverné virtuálne počítače Google bežia na virtuálnych strojoch N2D bežiacich na procesoroch AMD EPYC druhej generácie, ktoré využívajú technológiu Secure Encrypted Virtualization na izoláciu virtuálnych strojov od hypervízora, na ktorom bežia. Existuje záruka, že údaje zostanú šifrované bez ohľadu na ich použitie: pracovné zaťaženie, analytika, požiadavky na tréningové modely pre umelú inteligenciu. Tieto virtuálne stroje sú navrhnuté tak, aby vyhovovali potrebám každej spoločnosti, ktorá narába s citlivými údajmi v regulovaných oblastiach, ako je napríklad bankovníctvo.
Možno naliehavejšie je oznámenie o pripravovanom beta testovaní uzlov Confidential GKE, o ktorých spoločnosť Google hovorí, že budú predstavené v nadchádzajúcom vydaní 1.18 (GKE). GKE je spravované prostredie pripravené na prevádzku na spúšťanie kontajnerov, ktoré sú hostiteľmi častí moderných aplikácií, ktoré možno spustiť vo viacerých výpočtových prostrediach. Kubernetes je nástroj na orchestráciu s otvoreným zdrojom, ktorý sa používa na správu týchto kontajnerov.
Pridanie dôverných uzlov GKE poskytuje väčšie súkromie pri spúšťaní klastrov GKE. Pri pridávaní nového produktu do radu Confidential Computing sme chceli poskytnúť novú úroveň
súkromie a prenosnosť pre kontajnerové pracovné zaťaženia. Uzly Dôverné GKE od spoločnosti Google sú postavené na rovnakej technológii ako dôverné virtuálne počítače, čo vám umožňuje šifrovať údaje v pamäti pomocou šifrovacieho kľúča špecifického pre uzol, ktorý generuje a spravuje procesor AMD EPYC. Tieto uzly budú používať hardvérové šifrovanie RAM založené na funkcii AMD SEV, čo znamená, že vaše pracovné zaťaženie bežiace na týchto uzloch bude počas ich spustenia šifrované.
Sunil Potti a Eyal Manor, Cloud Engineers, Google
Na dôverných uzloch GKE môžu zákazníci nakonfigurovať klastre GKE tak, aby sa oblasti uzlov spúšťali na dôverných virtuálnych počítačoch. Jednoducho povedané, akékoľvek pracovné zaťaženie bežiace na týchto uzloch bude počas spracovania údajov šifrované.
Mnohé podniky vyžadujú pri používaní verejných cloudových služieb ešte viac súkromia ako pri lokálnych úlohách spustených na mieste, aby sa chránili pred útočníkmi. Rozšírenie radu Confidential Computing od Google Cloud zvyšuje túto latku tým, že používateľom poskytuje možnosť utajiť klastre GKE. A vzhľadom na svoju popularitu je Kubernetes kľúčovým krokom vpred pre toto odvetvie, ktorý poskytuje spoločnostiam viac možností na bezpečné hosťovanie aplikácií novej generácie vo verejnom cloude.
Holger Mueller, analytik spoločnosti Constellation Research.
NB Naša spoločnosť spúšťa v dňoch 28. – 30. septembra aktualizovaný intenzívny kurz pre tých, ktorí ešte Kubernetes nepoznajú, ale chcú sa s ním zoznámiť a začať pracovať. A po tejto udalosti 14. – 16. októbra spúšťame aktualizáciu pre skúsených používateľov Kubernetes, pre ktorých je dôležité poznať všetky najnovšie praktické riešenia pri práci s najnovšími verziami Kubernetes a prípadným „rake“. Zapnuté Budeme analyzovať v teórii a v praxi zložitosť inštalácie a konfigurácie klastra pripravenej na produkciu (“nie-tak-ľahký spôsob”), mechanizmy na zaistenie bezpečnosti a odolnosti aplikácií voči chybám.
Spoločnosť Google okrem iného uviedla, že jej dôverné virtuálne počítače získajú niektoré nové funkcie, keď budú od dnešného dňa všeobecne dostupné. Objavili sa napríklad správy o audite, ktoré obsahovali podrobné záznamy o kontrole integrity firmvéru zabezpečeného procesora AMD používaného na generovanie kľúčov pre každú inštanciu dôverných virtuálnych počítačov.
Pribudlo aj viac ovládacích prvkov na nastavenie konkrétnych prístupových práv a Google pridal aj možnosť zakázať akýkoľvek nezaradený virtuálny stroj na danom projekte. Google tiež spája dôverné virtuálne počítače s ďalšími mechanizmami ochrany osobných údajov, aby zaistil bezpečnosť.
Môžete použiť kombináciu zdieľaných virtuálnych počítačov s pravidlami brány firewall a obmedzeniami zásad organizácie, aby ste zaistili, že dôverné virtuálne počítače môžu komunikovať s inými dôvernými virtuálnymi počítačmi, aj keď bežia na rôznych projektoch. Okrem toho môžete použiť ovládacie prvky služby VPC na nastavenie rozsahu prostriedkov GCP pre vaše dôverné virtuálne počítače.
Sunil Potti a Eyal Manor
Zdroj: hab.com