TL; DR: Du kan nu köra Kubernetes på från Google.
Google idag (08.09.2020/XNUMX/XNUMX, cirka. översättare) vid evenemanget tillkännagav expansionen av sin produktlinje med lanseringen av en ny tjänst.
Konfidentiella GKE-noder ger mer integritet till arbetsbelastningar som körs på Kubernetes. I juli lanserades den första produkten som heter , och idag är dessa virtuella maskiner redan offentligt tillgängliga för alla.
Confidential Computing är en ny produkt som innebär att data lagras i krypterad form medan den bearbetas. Detta är den sista länken i datakrypteringskedjan, eftersom molntjänstleverantörer redan krypterar data in och ut. Fram till nyligen var det nödvändigt att dekryptera data när den bearbetades, och många experter ser detta som ett påfallande hål inom datakryptering.
Googles Confidential Computing Initiative är baserat på ett samarbete med Confidential Computing Consortium, en branschgrupp för att främja konceptet Trusted Execution Environments (TEE). TEE är en säker del av processorn där inlästa data och kod är krypterad, vilket innebär att denna information inte kan nås av andra delar av samma processor.
Googles konfidentiella virtuella datorer körs på virtuella N2D-maskiner som körs på AMD:s andra generationens EPYC-processorer, som använder Secure Encrypted Virtualization-teknik för att isolera virtuella maskiner från hypervisorn som de körs på. Det finns en garanti för att uppgifterna förblir krypterade oavsett hur de används: arbetsbelastningar, analyser, förfrågningar om utbildningsmodeller för artificiell intelligens. Dessa virtuella maskiner är designade för att möta behoven hos alla företag som hanterar känslig data inom reglerade områden som banksektorn.
Kanske mer pressande är tillkännagivandet av den kommande betatestningen av konfidentiella GKE-noder, som Google säger kommer att introduceras i den kommande 1.18-versionen (GKE). GKE är en hanterad, produktionsklar miljö för att köra behållare som är värd för delar av moderna applikationer som kan köras över flera datormiljöer. Kubernetes är ett orkestreringsverktyg med öppen källkod som används för att hantera dessa behållare.
Att lägga till konfidentiella GKE-noder ger större integritet när du kör GKE-kluster. När vi lade till en ny produkt till Confidential Computing-linjen ville vi ge en ny nivå av
integritet och portabilitet för containeriserade arbetsbelastningar. Googles konfidentiella GKE-noder är byggda på samma teknik som konfidentiella virtuella datorer, vilket gör att du kan kryptera data i minnet med en nodspecifik krypteringsnyckel som genereras och hanteras av AMD EPYC-processorn. Dessa noder kommer att använda hårdvarubaserad RAM-kryptering baserad på AMD:s SEV-funktion, vilket innebär att dina arbetsbelastningar som körs på dessa noder kommer att krypteras medan de körs.
Sunil Potti och Eyal Manor, Cloud Engineers, Google
På konfidentiella GKE-noder kan kunder konfigurera GKE-kluster så att nodpooler körs på konfidentiella virtuella datorer. Enkelt uttryckt kommer alla arbetsbelastningar som körs på dessa noder att krypteras medan data bearbetas.
Många företag kräver ännu mer integritet när de använder offentliga molntjänster än vad de gör för lokala arbetsbelastningar som körs på plats för att skydda mot angripare. Google Clouds expansion av sin linje för konfidentiell datoranvändning höjer ribban genom att ge användarna möjligheten att tillhandahålla sekretess för GKE-kluster. Och med tanke på dess popularitet är Kubernetes ett viktigt steg framåt för branschen, vilket ger företag fler alternativ att säkert hosta nästa generations applikationer i det offentliga molnet.
Holger Mueller, analytiker på Constellation Research.
NB Vårt företag lanserar en uppdaterad intensivkurs den 28-30 september för de som ännu inte känner till Kubernetes, men vill bekanta sig med det och börja arbeta. Och efter detta event den 14–16 oktober lanserar vi en uppdaterad för erfarna Kubernetes-användare för vilka det är viktigt att känna till alla de senaste praktiska lösningarna för att arbeta med de senaste versionerna av Kubernetes och eventuell "rake". På Vi kommer att analysera i teorin och i praktiken krångligheterna med att installera och konfigurera ett produktionsfärdigt kluster ("det-inte-så-enkla sättet"), mekanismer för att säkerställa säkerhet och feltolerans för applikationer.
Bland annat sa Google att deras konfidentiella virtuella datorer kommer att få några nya funktioner när de blir allmänt tillgängliga från och med idag. Till exempel dök revisionsrapporter upp med detaljerade loggar över integritetskontrollen av AMD Secure Processor-firmware som användes för att generera nycklar för varje instans av konfidentiella virtuella datorer.
Det finns också fler kontroller för att ställa in specifika åtkomsträttigheter, och Google har också lagt till möjligheten att inaktivera valfri oklassificerad virtuell maskin på ett givet projekt. Google kopplar också samman konfidentiella virtuella datorer med andra sekretessmekanismer för att ge säkerhet.
Du kan använda en kombination av delade VPC:er med brandväggsregler och organisationspolicybegränsningar för att säkerställa att Konfidentiella VM:er kan kommunicera med andra Konfidentiella VM:er, även om de körs på olika projekt. Dessutom kan du använda VPC Service Controls för att ställa in GCP-resursomfånget för dina konfidentiella virtuella datorer.
Sunil Potti och Eyal Manor
Källa: will.com