Google-ka, waxaanu aaminsanahay in mustaqbalka xisaabinta daruuraha uu si isa soo taraysa ugu wareegi doono adeegyada gaarka ah, ee sirta ah ee siiya isticmaalayaasha kalsoonida buuxda ee xogtooda gaarka ah.
Google Cloud waxay mar hore siraysaa xogta macmiilka marka la sii marayo iyo marka la nasanayo, laakiin wali waxay u baahan tahay in la furfuro si loo farsameeyo. Xisaabinta qarsoodiga ah waa tignoolajiyada kacaanka ee loo isticmaalo in lagu sireeyo xogta inta lagu jiro habaynta. Deegaannada xisaabinta ee qarsoodiga ah waxay kuu oggolaanayaan inaad ku kaydiso xogta sirta ah RAM iyo meelaha kale ee ka baxsan processor-ka (CPU).
VM-yada sirta ah ayaa hadda ku jira tijaabada beta waana alaabtii ugu horreysay ee Google Cloud Computing sirta ah. Waxaan horeyba u isticmaalnay farsamooyin go'doomin oo kala duwan iyo farsamooyin sandboxing ah oo ka mid ah kaabayaashayada daruuraha si aan u hubinno amniga dhismaha kiraystayaasha badan. VM-yada qarsoodiga ah waxay u qaadaan amniga heerka xiga iyagoo siinaya sirta-xusuusta si ay u sii fogeeyaan culeyskooda shaqo ee daruuraha, iyagoo ka caawinaya macaamiisheena inay ilaaliyaan xogta xasaasiga ah. Waxaan u maleyneynaa in tani ay xiiso gaar ah u yeelan doonto kuwa ka shaqeeya warshadaha nidaamsan (laga yaabee wax ku saabsan GDPR iyo waxyaabaha kale ee la xiriira, qiyaastii turjumaan).
Furista fursado cusub
Horeba Asylo, oo ah goobta isha furan ee xisaabinta qarsoodiga ah, waxaan diirada saarnay samaynta jawi xisaabinta sirta ah si sahlan loo geyn karo loona isticmaali karo, bixinta waxqabad sare iyo codsi shaqo kasta oo aad doorato inaad ku shaqeyso daruuraha. Waxaan aaminsanahay inaadan u baahnayn inaad wax u dhimato isticmaalka, dabacsanaanta, waxqabadka iyo amniga.
Iyada oo VM-yada Qarsoodiga ah ay galayaan beta, waxaanu nahay bixiyaha daruuriga ah ee ugu horreeya ee bixiya heerkan amniga iyo go'doominta-oo siiya macaamiisha ikhtiyaar fudud, fudud oo la adeegsan karo oo loogu talagalay codsiyada cusub iyo kuwa βportedβ (malaha ku saabsan codsiyada waxaa lagu dhex ordi karaa daruuraha iyada oo aan isbedel la taaban karin qiyaastii turjumaan). Waxaan bixinaa:
-
Qarsoodi aan isbarbardhigi karin: Macaamiishu waxay ilaalin karaan sirta xogtooda xasaasiga ah ee daruuraha, xitaa marka la farsamaynayo. VM-yada qarsoodiga ah waxay ka faa'iidaystaan ββββsifada Secure Encrypted Virtualization (SEV) ee soo-saareyaasha jiilka labaad ee AMD EPYC. Xogtaadu waxay ahaanaysaa mid sir ah inta lagu jiro isticmaalka, tusmaynta, waydiinta, iyo tababarka. Furayaasha sirta ah waxaa loogu abuuray qalabka si gooni ah mashiin kasta oo farsamaysan oo waligiis ha ka tagin qalabka.
-
Hal-abuur la hagaajiyay: Xisaabinta qarsoodiga ah waxay furi kartaa hab-samaynta xaaladaha aan markii hore suurtogal ahayn. Shirkaduhu hadda waxay wadaagi karaan xog-ururin waxayna iska kaashan karaan cilmi-baarista daruuraha iyadoo la ilaalinayo sirta.
-
Qarsoodinimada culeyska shaqada ee la soo xawilay: Hadafkayagu waa inaan fududeyno xisaabinta sirta ah. U gudubka VM-yada Qarsoodiga ah waa mid aan kala go 'lahayn - dhammaan culeysyada shaqada ee GCP ee ku shaqeeya mashiinnada farsamada gacanta waxay u guuri karaan VM-yada Qarsoon. Way fududahay - kaliya calaamadee hal sanduuq.
-
Ilaalinta Khatarta Sare: Xisaabinta qarsoodiga ah waxay dhistaa ilaalinta VM-yada Shielded ee ka dhanka ah rootkits iyo bootkits, ka caawinta hubinta daacadnimada nidaamka qalliinka ee loo doortay inuu ku shaqeeyo VM-ga Qarsoon.
Aasaaska VM-yada Qarsoon
VM-yada qarsoodiga ah waxay ku shaqeeyaan mashiinnada farsamada gacanta ee N2D kuwaas oo ku shaqeeya soo-saarayaasha jiilka labaad ee AMD EPYC. Astaanta SEV ee AMD waxay soo bandhigtaa waxqabadka sare ee culeyska shaqada ee u baahan xisaabinta iyadoo la ilaalinayo mashiinka farsamada RAM oo lagu sir ah fure kasta-VM uu soo saaray oo uu maamulo processor-ka EPYC. Furayaasha waxaa abuuraya AMD Secure Processor Processor marka mashiinka farsamada la abuurayo oo ay ku yaalliin si gaar ah, taas oo ka dhigaysa mid aan la heli karin Google iyo mashiinnada kale ee farsamada ee ku shaqeeya isku mid ah.
Marka laga soo tago sirta RAM-ga ku dhex dhisan, waxaanu ku dhisnay VM-yada Qarsoon ee dusha sare ee VM-yada Shielded si loo bixiyo iska caabin-iska-caabbinta sawirka nidaamka hawlgalka, xaqiijinta daacadnimada firmware, binary kernel, iyo darawallada. Sawirada ay bixiso Google waxaa ka mid ah Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) iyo RHEL 8.2. Waxaan ka shaqeyneynaa Centos, Debian iyo kuwa kale si aan u bixinno sawirada nidaamka hawlgalka kale.
Waxaan sidoo kale si dhow ula shaqeynaa kooxda injineernimada AMD Cloud Solution si loo hubiyo in sirta xusuusta mashiinka farsamada aysan saameyn ku yeelan waxqabadka. Waxaan ku darnay taageerada darawalada cusub ee OSS (nvme iyo gvnic) si ay wax uga qabtaan codsiyada kaydinta iyo taraafikada shabakada iyagoo ka sarreeya borotokoollada hore. Tani waxay suurtogal ka dhigtay in la xaqiijiyo in tilmaamayaasha waxqabadka VM-yada qarsoodiga ah ay ku dhow yihiin kuwa mashiinnada farsamada casriga ah.
Secure Encrypted Virtualization, oo lagu dhisay jiilka labaad ee soo-saareyaasha AMD EPYC, ayaa bixisa qaab cusub oo amniga qalabka kaas oo gacan ka geysta ilaalinta xogta jawiga macmalka ah. Si aan u taageerno GCE-da cusub ee Qarsoon VMs N2D, waxaanu kala shaqaynay Google si aanu uga caawino macaamiisha ilaalinta xogtooda iyo hubinta waxqabadka culayska shaqada. Aad ayaan ugu faraxsanahay inaan aragno in VM-yada Qarsoon ay bixiyaan isla heerka waxqabadka sare ee culeysyada shaqada sida N2D VM-yada caadiga ah.
Raghu Nambiar, Madaxweyne ku-xigeenka, Xarunta Deegaanka Xogta, AMD
Farsamada Isbeddelka Ciyaarta
Xisaabinta qarsoodiga ah waxay gacan ka geysan kartaa beddelka habka ganacsiyada u habeeyaan xogta daruuraha iyadoo la ilaalinayo sirta iyo amniga. Sidoo kale, faa'iidooyinka kale, shirkaduhu waxay awoodi doonaan inay wada shaqeeyaan iyaga oo aan wax u dhimin sirta xogta. Wadashaqeynta noocan oo kale ah, ayaa sidoo kale, u horseedi karta horumarinta tignoolajiyada iyo fikradaha xitaa isbeddelka badan, sida awoodda si deg deg ah loo abuuro tallaalo loona daweeyo cudurrada natiijada iskaashigaas sugan.
Ma sugi karno inaan aragno fursadaha tignoolajiyadan u furto shirkaddaada. Fiiri si aad wax badan uga ogaato.
PS Ma ahan markii ugu horeysay, oo aan rajeyneyno inaysan ahayn tii ugu dambeysay, Google ayaa soo saartay tignoolajiyada wax ka beddesha adduunka. Sida ku dhacday Kubernetes dhawaanahan. Waxaan taageernaa oo u qaybinnaa tignoolajiyada Goggle intii karaankeena ah waxaanan tababarnaa khabiirada IT-ga ee Ruushka. Shirkaddayadu waa mid ka mid ah 3 Kubernetes Bixiyaha Adeegga Shahaadaysan iyo ka kaliya Kubernetes Tababarka Shuraakada ee Ruushka. Taasi waa sababta aan u qabano kulamo tababar oo degdeg ah Kubernetes guga iyo dayrta kasta. Koorasyada xiga ee degdegga ah ayaa la qaban doonaa Sebtembar 28-30 iyo Oktoobar 14-16 .
Source: www.habr.com