TL; DR: Joale o ka tsamaisa Kubernetes ho tsoa ho Google.
Google kajeno (08.09.2020/XNUMX/XNUMX, hoo e ka bang. mofetoleli) ketsahalong eo e phatlalalitse katoloso ea mohala oa sehlahisoa sa eona ka ho qala tšebeletso e ncha.
Li-node tsa lekunutu tsa GKE li eketsa boinotši bo eketsehileng mesebetsing e mengata e sebetsang ho Kubernetes. Ka July, sehlahisoa sa pele se ile sa qalisoa se bitsoang , 'me kajeno mechine ena ea sebele e se e fumaneha phatlalatsa ho bohle.
Confidential Computing ke sehlahisoa se secha se kenyelletsang ho boloka data ka mokhoa o patiloeng ha e ntse e sebetsoa. Ena ke sehokelo sa ho qetela sa ketane ea encryption ea data, kaha bafani ba lits'ebeletso tsa maru ba se ba ntse ba notlela data ho tsoa le ho tsoa. Ho fihlela haufinyane tjena, ho ne ho hlokahala hore ho hlakoloe data ha e ntse e sebetsoa, 'me litsebi tse ngata li bona sena e le lesoba le khanyang tšimong ea ho kenyelletsa data.
Google's Confidential Computing Initiative e ipapisitse le tšebelisano 'moho le Confidential Computing Consortium, sehlopha sa indasteri ho khothaletsa mohopolo oa Trusted Execution Environments (TEEs). TEE ke karolo e sireletsehileng ea processor eo ho eona data e laetsoeng le khoutu li kentsoeng, ho bolelang hore tlhahisoleseling ena e ke ke ea fumanoa ke likarolo tse ling tsa processor e tšoanang.
Li-VM tsa Lekunutu tsa Google li sebelisa mechini ea N2D e sebetsang ho li-processor tsa AMD tsa moloko oa bobeli oa EPYC, tse sebelisang thekenoloji ea Secure Encrypted Virtualization ho arola mechini ea sebele ho hypervisor eo e sebetsang ho eona. Ho na le tiisetso ea hore data e lula e patiloe ho sa tsotellehe hore na e sebelisoa joang: mesebetsi e mengata, analytics, likōpo tsa mehlala ea koetliso bakeng sa bohlale ba maiketsetso. Mechini ena ea sebele e etselitsoe ho fihlela litlhoko tsa k'hamphani efe kapa efe e sebetsanang le lintlha tsa bohlokoa libakeng tse laoloang joalo ka indasteri ea libanka.
Mohlomong ntho e hatellang le ho feta ke phatlalatso ea tlhahlobo e tlang ea beta ea Confidential GKE node, eo Google e reng e tla hlahisoa tokollong e tlang ea 1.18. (GKE). GKE ke tikoloho e laoloang, e loketseng tlhahiso bakeng sa ho tsamaisa lijana tse amohelang likarolo tsa lits'ebetso tsa sejoale-joale tse ka tsamaisoang libakeng tse ngata tsa likhomphutha. Kubernetes ke sesebelisoa sa 'mino o bulehileng oa mohloli o sebelisoang ho laola lijana tsena.
Ho kenyelletsa li-node tsa Lekunutu tsa GKE ho fana ka lekunutu le leholo ha u tsamaisa lihlopha tsa GKE. Ha re kenya sehlahisoa se secha moleng oa Confidential Computing, re ne re batla ho fana ka boemo bo bocha ba
boinotši le ho nkeha ha mesebetsi e mengata. Li-Node tsa Lekunutu tsa Google tsa GKE li hahiloe holim'a theknoloji e ts'oanang le ea Confidential VMs, e u lumellang ho ngolla data mohopolong o sebelisa senotlolo se ikhethileng sa node se hlahisoang le ho laoloa ke processor ea AMD EPYC. Li-node tsena li tla sebelisa encryption ea RAM e thehiloeng ho Hardware e ipapisitseng le sebopeho sa AMD's SEV, ho bolelang hore meroalo ea hau ea mosebetsi e sebetsang ho li-node tsena e tla ngolisoa ha e ntse e sebetsa.
Sunil Potti le Eyal Manor, Cloud Engineers, Google
Ho li-node tsa Lekunutu tsa GKE, bareki ba ka hlophisa lihlopha tsa GKE e le hore matamo a node a sebetse ho Li-VM tsa Confidential. Ka mantsoe a bonolo feela, meroalo efe kapa efe e sebetsang ho li-node tsena e tla ngolisoa ha data e ntse e sebetsoa.
Likhoebo tse ngata li hloka ho ba boinotšing le ho feta ha li sebelisa lits'ebeletso tsa maru a sechaba ho feta tseo li li etsang bakeng sa meroalo e mengata ea mesebetsi e sebetsang meahong ho itšireletsa khahlanong le bahlaseli. Katoloso ea Google Cloud ea mohala oa eona oa Confidential Computing e phahamisa sekhahla sena ka ho fa basebelisi bokhoni ba ho fana ka lekunutu bakeng sa lihlopha tsa GKE. 'Me ka lebaka la botumo ba eona, Kubernetes ke mohato oa bohlokoa ho ea pele indastering, e fang lik'hamphani likhetho tse ling tsa ho amohela likopo tsa moloko o latelang ka mokhoa o sireletsehileng marung a sechaba.
Holger Mueller, Mohlahlobi oa Lipatlisiso tsa Sehlopha sa Linaleli.
NB Khamphani ea rona e qala thupelo e matla e nchafalitsoeng ka la 28-30 Loetse bakeng sa ba e-so tsebe Kubernetes, empa ba batla ho tloaelana le eona le ho qala ho sebetsa. Mme kamora ketsahalo ena ka la 14-16 Mphalane, re qala tlhahiso e nchafalitsoeng bakeng sa basebelisi ba nang le phihlelo ba Kubernetes bao ho leng bohlokoa ho tseba litharollo tsohle tsa morao-rao tse sebetsang ka ho sebetsa le mefuta ea morao-rao ea Kubernetes le "rake" e ka khonehang. E butsoe Re tla hlahloba ka khopolo le ka ts'ebetsong mekhoa e rarahaneng ea ho kenya le ho lokisa sehlopha se lokiselitsoeng tlhahiso ("the-not-so-so-easy-way"), mekhoa ea ho netefatsa tšireletso le mamello ea liphoso tsa likopo.
Har'a lintho tse ling, Google e boletse hore li-VM tsa eona tsa Lekunutu li tla fumana likarolo tse ncha ha li ntse li fumaneha ka kakaretso ho qala kajeno. Mohlala, litlaleho tsa tlhahlobo li hlahile li na le lintlha tse qaqileng tsa cheke ea botšepehi ea firmware ea AMD Secure Processor e sebelisoang ho hlahisa linotlolo bakeng sa mohlala o mong le o mong oa Confidential VMs.
Ho boetse ho na le litaolo tse ling bakeng sa ho beha litokelo tse khethehileng tsa phihlello, 'me Google e boetse e kentse bokhoni ba ho tima mochini ofe kapa ofe o sa tsejoeng oa projeke e itseng. Google e boetse e hokela lekunutu la VM le mekhoa e meng ea lekunutu ho fana ka ts'ireletso.
U ka sebelisa motsoako oa li-VPC tse arolelanoang tse nang le melao ea firewall le lithibelo tsa leano la mokhatlo ho netefatsa hore Li-VM tsa Lekunutu li ka buisana le li-VM tse ling tsa Lekunutu, leha li ntse li sebetsa mererong e fapaneng. Ho feta moo, o ka sebelisa Taolo ea Ts'ebeletso ea VPC ho seta sebaka sa lisebelisoa tsa GCP bakeng sa Confidential VMs.
Sunil Potti le Eyal Manor
Source: www.habr.com