TL; DR: Artık Kubernetes'i çalıştırabilirsiniz Google'dan.
Google bugün (08.09.2020/XNUMX/XNUMX, yakl. çevirmen) etkinlikte yeni bir hizmetin lansmanı ile ürün yelpazesini genişlettiğini duyurdu.
Gizli GKE düğümleri, Kubernetes'te çalışan iş yüklerine daha fazla gizlilik katar. Temmuz ayında ilk ürün piyasaya sürüldü. ve bugün bu sanal makineler zaten herkesin kullanımına açık.
Gizli Bilgi İşlem, verilerin işlenirken şifrelenmiş biçimde saklanmasını içeren yeni bir üründür. Bulut hizmet sağlayıcıları zaten verileri giriş ve çıkışları şifrelediğinden bu, veri şifreleme zincirindeki son halkadır. Yakın zamana kadar verilerin işlenirken şifrelerinin çözülmesi gerekiyordu ve birçok uzman bunu veri şifreleme alanında göze çarpan bir delik olarak görüyor.
Google'ın Gizli Bilgi İşlem Girişimi, Güvenilir Yürütme Ortamları (TEE'ler) kavramını destekleyen bir sektör grubu olan Gizli Bilgi İşlem Konsorsiyumu ile yapılan işbirliğine dayanmaktadır. TEE, yüklenen veri ve kodun şifrelendiği işlemcinin güvenli bir parçasıdır; bu, bu bilgilere aynı işlemcinin diğer bölümleri tarafından erişilemeyeceği anlamına gelir.
Google'ın Gizli VM'leri, sanal makineleri üzerinde çalıştıkları hiper yöneticiden izole etmek için Güvenli Şifrelenmiş Sanallaştırma teknolojisini kullanan AMD'nin ikinci nesil EPYC işlemcileri üzerinde çalışan N2D sanal makinelerde çalışır. Verilerin, kullanımından bağımsız olarak şifrelenmiş kalacağının bir garantisi vardır: iş yükleri, analizler, yapay zeka için eğitim modelleri talepleri. Bu sanal makineler, bankacılık sektörü gibi düzenlemeye tabi alanlarda hassas verileri işleyen herhangi bir şirketin ihtiyaçlarını karşılamak üzere tasarlanmıştır.
Belki de daha acil olanı, Google'ın yaklaşan 1.18 sürümünde tanıtılacağını söylediği Gizli GKE düğümlerinin yaklaşan beta testinin duyurulmasıdır. (GKE). GKE, birden fazla bilgi işlem ortamında çalıştırılabilen modern uygulamaların parçalarını barındıran konteynerleri çalıştırmak için yönetilen, üretime hazır bir ortamdır. Kubernetes, bu konteynerleri yönetmek için kullanılan açık kaynaklı bir düzenleme aracıdır.
Gizli GKE düğümlerinin eklenmesi, GKE kümelerini çalıştırırken daha fazla gizlilik sağlar. Gizli Bilgi İşlem serisine yeni bir ürün eklerken, yeni bir düzeyde bilgi sağlamak istedik.
Container mimarisine alınmış iş yükleri için gizlilik ve taşınabilirlik. Google'ın Gizli GKE düğümleri, Gizli VM'lerle aynı teknoloji üzerine kuruludur ve AMD EPYC işlemci tarafından oluşturulan ve yönetilen düğüme özgü bir şifreleme anahtarını kullanarak bellekteki verileri şifrelemenize olanak tanır. Bu düğümler, AMD'nin SEV özelliğini temel alan donanım tabanlı RAM şifrelemesini kullanacak; bu, bu düğümlerde çalışan iş yüklerinizin, çalışırken şifreleneceği anlamına geliyor.
Sunil Potti ve Eyal Manor, Bulut Mühendisleri, Google
Gizli GKE düğümlerinde müşteriler, GKE kümelerini, düğüm havuzlarının Gizli VM'lerde çalışacak şekilde yapılandırabilir. Basitçe söylemek gerekirse, bu düğümlerde çalışan tüm iş yükleri, veriler işlenirken şifrelenecektir.
Pek çok kuruluş, genel bulut hizmetlerini kullanırken, saldırganlara karşı koruma sağlamak amacıyla şirket içinde çalışan şirket içi iş yüklerinden daha fazla gizliliğe ihtiyaç duyar. Google Cloud'un Gizli Bilgi İşlem serisini genişletmesi, kullanıcılara GKE kümeleri için gizlilik sağlama yeteneği sağlayarak bu çıtayı yükseltiyor. Popülerliği göz önüne alındığında Kubernetes, şirketlere yeni nesil uygulamaları genel bulutta güvenli bir şekilde barındırmak için daha fazla seçenek sunarak sektör için ileriye doğru atılmış önemli bir adımdır.
Holger Mueller, Constellation Research Analisti.
NB Şirketimiz 28-30 Eylül'de güncellenmiş yoğun bir kurs başlatıyor Henüz Kubernetes'i bilmeyen ama tanımak ve çalışmaya başlamak isteyenler için. 14-16 Ekim'deki bu etkinlikten sonra güncellenmiş bir sürümü başlatıyoruz. Kubernetes'in en son sürümleriyle çalışma ve olası "komisyon" ile ilgili en yeni pratik çözümleri bilmenin önemli olduğu deneyimli Kubernetes kullanıcıları için. Açık Üretime hazır bir kümenin ("o kadar da kolay olmayan yol") kurulumu ve yapılandırılmasının karmaşıklıklarını, uygulamaların güvenliğini ve hata toleransını sağlamaya yönelik mekanizmaları teoride ve pratikte analiz edeceğiz.
Google, diğer şeylerin yanı sıra, Gizli VM'lerinin bugünden itibaren genel kullanıma sunuldukça bazı yeni özellikler kazanacağını söyledi. Örneğin, Gizli VM'lerin her bir örneği için anahtar oluşturmak amacıyla kullanılan AMD Güvenli İşlemci donanım yazılımının bütünlük kontrolünün ayrıntılı günlüklerini içeren denetim raporları ortaya çıktı.
Ayrıca belirli erişim haklarını ayarlamak için daha fazla kontrol vardır ve Google ayrıca belirli bir projede sınıflandırılmamış herhangi bir sanal makineyi devre dışı bırakma özelliğini de eklemiştir. Google ayrıca güvenlik sağlamak için Gizli Sanal Makineleri diğer gizlilik mekanizmalarına da bağlar.
Gizli VM'lerin farklı projelerde çalışıyor olsalar bile diğer Gizli VM'lerle iletişim kurabilmesini sağlamak için paylaşılan VPC'lerin güvenlik duvarı kuralları ve kuruluş politikası kısıtlamalarıyla bir kombinasyonunu kullanabilirsiniz. Ayrıca Gizli Sanal Makineleriniz için GCP kaynak kapsamını ayarlamak amacıyla VPC Hizmet Kontrollerini kullanabilirsiniz.
Sunil Potti ve Eyal Malikanesi
Kaynak: habr.com
