Tl; DR: Maaari mo na ngayong patakbuhin ang Kubernetes mula sa Google.
Google ngayon (08.09.2020/XNUMX/XNUMX, tinatayang tagasalin) sa kaganapan inihayag ang pagpapalawak ng linya ng produkto nito sa paglulunsad ng bagong serbisyo.
Ang mga kumpidensyal na GKE node ay nagdaragdag ng higit pang privacy sa mga workload na tumatakbo sa Kubernetes. Noong Hulyo, ang unang produkto ay inilunsad na tinatawag na , at ngayon ang mga virtual machine na ito ay magagamit na ng publiko sa lahat.
Ang Confidential Computing ay isang bagong produkto na kinabibilangan ng pag-iimbak ng data sa naka-encrypt na form habang ito ay pinoproseso. Ito ang huling link sa data encryption chain, dahil ang mga cloud service provider ay naka-encrypt na ng data papasok at palabas. Hanggang kamakailan lamang, kinailangan na i-decrypt ang data habang pinoproseso ito, at nakikita ito ng maraming eksperto bilang isang nakasisilaw na butas sa larangan ng pag-encrypt ng data.
Ang Confidential Computing Initiative ng Google ay batay sa isang pakikipagtulungan sa Confidential Computing Consortium, isang grupo ng industriya upang i-promote ang konsepto ng Trusted Execution Environments (TEEs). Ang TEE ay isang secure na bahagi ng processor kung saan naka-encrypt ang na-load na data at code, na nangangahulugang hindi maa-access ang impormasyong ito ng ibang bahagi ng parehong processor.
Gumagana ang Mga Kumpidensyal na VM ng Google sa mga N2D virtual machine na tumatakbo sa mga pangalawang henerasyong EPYC processor ng AMD, na gumagamit ng teknolohiyang Secure Encrypted Virtualization upang ihiwalay ang mga virtual machine mula sa hypervisor kung saan sila tumatakbo. May garantiya na mananatiling naka-encrypt ang data anuman ang paggamit nito: mga workload, analytics, mga kahilingan para sa mga modelo ng pagsasanay para sa artificial intelligence. Ang mga virtual machine na ito ay idinisenyo upang matugunan ang mga pangangailangan ng anumang kumpanya na humahawak ng sensitibong data sa mga regulated na lugar gaya ng industriya ng pagbabangko.
Marahil ang higit na pagpindot ay ang anunsyo ng paparating na beta testing ng Confidential GKE node, na sinasabi ng Google na ipapakilala sa paparating na 1.18 release (GKE). Ang GKE ay isang pinapamahalaan, production-ready na environment para sa pagpapatakbo ng mga container na nagho-host ng mga bahagi ng modernong application na maaaring patakbuhin sa maraming computing environment. Ang Kubernetes ay isang open source orchestration tool na ginagamit upang pamahalaan ang mga container na ito.
Ang pagdaragdag ng Kumpidensyal na mga GKE node ay nagbibigay ng higit na privacy kapag nagpapatakbo ng mga cluster ng GKE. Kapag nagdadagdag ng bagong produkto sa linya ng Confidential Computing, gusto naming magbigay ng bagong antas ng
privacy at portability para sa mga containerized na workload. Ang Kumpidensyal na GKE node ng Google ay binuo sa parehong teknolohiya gaya ng mga Kumpidensyal na VM, na nagbibigay-daan sa iyong mag-encrypt ng data sa memorya gamit ang isang node-specific na encryption key na nabuo at pinamamahalaan ng AMD EPYC processor. Ang mga node na ito ay gagamit ng hardware-based na RAM encryption batay sa tampok na SEV ng AMD, na nangangahulugang ang iyong mga workload na tumatakbo sa mga node na ito ay mae-encrypt habang tumatakbo ang mga ito.
Sunil Potti at Eyal Manor, Cloud Engineers, Google
Sa Mga Kumpidensyal na GKE node, maaaring i-configure ng mga customer ang mga cluster ng GKE para tumakbo ang mga node pool sa mga Kumpidensyal na VM. Sa madaling salita, ang anumang mga workload na tumatakbo sa mga node na ito ay ie-encrypt habang pinoproseso ang data.
Maraming mga negosyo ang nangangailangan ng higit pang privacy kapag gumagamit ng mga pampublikong serbisyo sa cloud kaysa sa ginagawa nila para sa mga nasa nasasakupan na workload na tumatakbo sa lugar upang maprotektahan laban sa mga umaatake. Ang pagpapalawak ng Google Cloud sa Confidential Computing line nito ay nagpapataas sa bar na ito sa pamamagitan ng pagbibigay sa mga user ng kakayahang magbigay ng lihim para sa mga cluster ng GKE. At dahil sa kasikatan nito, ang Kubernetes ay isang mahalagang hakbang pasulong para sa industriya, na nagbibigay sa mga kumpanya ng higit pang mga opsyon upang secure na mag-host ng mga susunod na henerasyong application sa pampublikong cloud.
Holger Mueller, Analyst sa Constellation Research.
NB Ang aming kumpanya ay naglulunsad ng na-update na masinsinang kurso sa Setyembre 28-30 para sa mga hindi pa nakakaalam ng Kubernetes, ngunit nais na makilala ito at magsimulang magtrabaho. At pagkatapos ng kaganapang ito sa Oktubre 14–16, naglulunsad kami ng na-update para sa mga may karanasang gumagamit ng Kubernetes kung saan mahalagang malaman ang lahat ng pinakabagong praktikal na solusyon sa pagtatrabaho sa mga pinakabagong bersyon ng Kubernetes at posibleng "rake". Naka-on Susuriin namin sa teorya at sa pagsasanay ang mga masalimuot ng pag-install at pag-configure ng isang cluster na handa sa produksyon (“the-not-so-easy-way”), mga mekanismo para sa pagtiyak ng seguridad at fault tolerance ng mga application.
Kabilang sa iba pang mga bagay, sinabi ng Google na ang mga Kumpidensyal na VM nito ay magkakaroon ng ilang mga bagong tampok habang ang mga ito ay karaniwang magagamit simula ngayon. Halimbawa, lumabas ang mga ulat sa pag-audit na naglalaman ng mga detalyadong log ng pagsusuri sa integridad ng firmware ng AMD Secure Processor na ginagamit upang makabuo ng mga susi para sa bawat pagkakataon ng Mga Kumpidensyal na VM.
Mayroon ding higit pang mga kontrol para sa pagtatakda ng mga partikular na karapatan sa pag-access, at idinagdag din ng Google ang kakayahang i-disable ang anumang hindi natukoy na virtual machine sa isang partikular na proyekto. Ikinokonekta rin ng Google ang mga Kumpidensyal na VM sa iba pang mekanismo sa privacy upang magbigay ng seguridad.
Maaari kang gumamit ng kumbinasyon ng mga nakabahaging VPC na may mga panuntunan sa firewall at mga paghihigpit sa patakaran ng organisasyon upang matiyak na ang mga Kumpidensyal na VM ay maaaring makipag-ugnayan sa iba pang mga Kumpidensyal na VM, kahit na tumatakbo ang mga ito sa iba't ibang proyekto. Bukod pa rito, maaari mong gamitin ang Mga Kontrol ng Serbisyo ng VPC upang itakda ang saklaw ng mapagkukunan ng GCP para sa iyong mga Kumpidensyal na VM.
Sunil Potti at Eyal Manor
Pinagmulan: www.habr.com