TL, DR: Hadda waxaad ku wadi kartaa Kubernetes ka Google.
Google maanta (08.09.2020/XNUMX/XNUMX, qiyaastii turjumaan) xaflada ayaa ku dhawaaqday balaadhinta khadka wax soo saarka iyada oo la bilaabay adeeg cusub.
Noodhyada qarsoon ee GKE waxay ku daraan sirnimo dheeri ah culeysyada shaqada ee ku socda Kubernetes. Bishii Luulyo, badeecadii ugu horreysay ayaa la bilaabay oo la yiraahdo , maantana mashiinadan casriga ah ayaa durbaba si guud u diyaar ah qof walba.
Xisaabinta Qarsoodiga ah waa badeecad cusub oo ku lug leh kaydinta xogta qaab sir ah inta la farsameynayo. Kani waa isku xirka ugu dambeeya ee silsiladda sirta xogta, maadaama bixiyeyaasha adeegga daruuriga ay mar hore sireeyeen xogta gudaha iyo dibedda. Ilaa dhawaan, waxay ahayd lagama maarmaan in xogta la furfuro sidi loo farsamaynayey, khubaro badanina waxay u arkaan in tani ay tahay dalool ifaya oo ku yaal goobta sirta xogta.
Hindisaha Xisaabinta Qarsoon ee Google waxa uu ku salaysan yahay wada shaqayn lala yeesho Confidential Computing Consortium, koox warshadeed si kor loogu qaado fikradda Deegaanka la aamini karo (TEEs). TEE waa qayb aamin ah oo ka mid ah Processor-ka kaas oo xogta la raran yahay iyo koodka la sifeeyo, taas oo macnaheedu yahay in macluumaadkan aanay heli karin qaybaha kale ee isla processor-ka.
VM-yada qarsoodiga ah ee Google waxay ku shaqeeyaan mishiinnada farsamada gacanta ee N2D oo ku shaqeeya soo-saareyaasha jiilka labaad ee AMD ee EPYC, kuwaas oo adeegsada tignoolajiyada la sugi karo ee la sugi karo si ay mishiinnada farsamada ka soocaan hypervisor-ka ay ku shaqeeyaan. Waxaa jira dammaanad ah in xogtu ay ahaanayso mid sir ah iyadoon loo eegin isticmaalkeeda: culayska shaqada, falanqaynta, codsiyada moodooyinka tababarka ee sirdoonka macmal. Mashiinadan casriga ah waxaa loogu talagalay inay daboolaan baahida shirkad kasta oo gacanta ku haysa xogta xasaasiga ah ee meelaha la nidaamiyay sida warshadaha bangiyada.
Waxaa laga yaabaa in cadaadis badan ay tahay ku dhawaaqida tijaabada beta ee soo socota ee noodhka Qarsoodiga ah ee GKE, kaas oo Google uu sheegay in lagu soo bandhigi doono sii deynta 1.18 ee soo socota. (GKE) GKE waa deegaan la maareeyey, diyaarsan wax soo saarka loogu talagalay in lagu socodsiiyo weelasha kuwaas oo martigeliya qaybo ka mid ah codsiyada casriga ah ee lagu socodsiin karo jawiga kombuyuutarada badan. Kubernetes waa qalab abaabul oo il furan oo loo isticmaalo in lagu maareeyo weelashan.
Ku darista qanjidhada sirta ah ee GKE waxay bixisaa sirnimo weyn marka la wado kooxaha GKE. Marka lagu daro alaab cusub khadka Xisaabinta Qarsoon, waxaan rabnay inaan bixino heer cusub oo ah
sirta iyo qaadida culeyska shaqada weel ku jira. Google's Confidential GKE nodes waxay ku dhisan yihiin teknoolojiyad la mid ah tan VM-yada Qarsoon, taasoo kuu oggolaanaysa inaad sir xogta ku jirta xusuusta adigoo isticmaalaya fure sireed-gaar ah oo uu soo saaray oo uu maamulo processor-ka AMD EPYC. Noocyadani waxay isticmaali doonaan sirta RAM-ku-salaysan ee ku salaysan AMD's SEV feature, taas oo macnaheedu yahay culayska shaqada ee ku socda noodhadhkan waa la sir doona inta ay socdaan.
Sunil Potti iyo Eyal Manor, Cloud Engineers, Google
Dhinaca noodhadhka Qarsoodiga ah ee GKE, macaamiishu waxay habayn karaan rucubyada GKE si barkadaha noodhka ugu shaqeeyaan VM-yada Qarsoodiga ah. Si fudud loo dhigo, culays kasta oo shaqo oo ku socda qanjidhadan waa la sir doona inta xogta la farsameynayo.
Shirkado badan ayaa xitaa u baahan sir gaar ah marka ay isticmaalayaan adeegyada daruuraha dadweynaha marka loo eego sida ay ugu sameeyaan culeyska shaqada ee dhismaha ee ku dhex socda dhismaha si ay uga difaacaan weerarrada. Balaadhinta Google Cloud ee khadkeeda Xisaabinta Qarsoon ayaa kor u qaadaysa barkan iyada oo siinaya isticmaalayaasha awood ay ku bixiyaan sirta kooxaha GKE Oo marka la eego caannimadeeda, Kubernetes waa tallaabo muhiim ah oo horay loo qaaday warshadaha, taasoo siinaysa shirkadaha fursado badan si ay si ammaan ah ugu martigeliyaan codsiyada jiilka xiga ee daruuraha dadweynaha.
Holger Mueller, Falanqeeyaha Cilmi-baarista Xiddigaha.
NB Shirkadeena waxay bilaabeysaa koorsada degdega ah oo la cusboonaysiiyay Sebtembar 28-30 kuwa aan weli aqoonin Kubernetes, laakiin raba in ay bartaan oo ay bilaabaan shaqada. Dhacdadan ka dib Oktoobar 14-16, waxaan bilaabaynaa wax cusub Isticmaalayaasha khibrada leh ee Kubernetes kuwaas oo ay muhiim u tahay in la ogaado dhammaan xalalka ugu dambeeyay ee la taaban karo ee la shaqeynta noocyadii ugu dambeeyay ee Kubernetes iyo "rake" suurtagal ah. Daar Waxaan ku falanqeyn doonaa aragti ahaan iyo ficil ahaan qallafsanaanta rakibidda iyo habaynta koox-soo-saarka diyaarsan ("sida-aan-si-fudud-jidka"), hababka lagu hubinayo amniga iyo dulqaadka khaladka ah ee codsiyada.
Waxyaabaha kale, Google wuxuu sheegay in VM-yadeeda sirta ah ay heli doonaan astaamo cusub maadaama ay guud ahaan noqdaan kuwa la heli karo laga bilaabo maanta. Tusaale ahaan, warbixinnada hantidhawrku waxay u muuqdeen kuwo ay ku jiraan diiwaanno tafatiran oo hubinta daacadnimada AMD Secure Processor firmware ee loo adeegsaday soo saarista furayaasha tusaale kasta oo VM-yada Qarsoon.
Waxa kale oo jira kontaroolo badan oo lagu dejinayo xuquuqo gaar ah oo gaar ah, Google waxa ay sidoo kale ku dartay awoodda ay ku joojin karto mishiin kasta oo dalwad ah oo aan la kala saarin oo ku jira mashruuc la bixiyay. Google waxa kale oo uu ku xidhaa VM-yada sirta ah hababka kale ee sirta ah si loo bixiyo amniga.
Waxaad isticmaali kartaa isku-darka VPC-yada la wadaago ee leh xeerarka dab-damiska iyo xayiraadaha siyaasadda ururka si loo hubiyo in VM-yada Qarsoon ay la xiriiri karaan VM-yada kale ee Qarsoon, xitaa haddii ay ku socdaan mashaariic kala duwan. Intaa waxaa dheer, waxaad isticmaali kartaa Xakamaynta Adeegga VPC si aad u dejiso baaxadda kheyraadka GCP ee VM-yada qarsoon.
Sunil Potti iyo Eyal Manor
Source: www.habr.com