TP; DR: Endi siz Kubernetes-ni ishga tushirishingiz mumkin google-dan.
Google bugun (08.09.2020, taxminan. tarjimon) tadbirda yangi xizmatni ishga tushirish bilan mahsulot qatorini kengaytirishni e'lon qildi.
Maxfiy GKE tugunlari Kubernetes-da ishlaydigan ish yuklariga ko'proq maxfiylik qo'shadi. Iyul oyida birinchi mahsulot nomli ishga tushirildi , va bugungi kunda bu virtual mashinalar allaqachon hamma uchun ochiq.
Maxfiy hisoblash - bu ma'lumotlarni qayta ishlash jarayonida shifrlangan shaklda saqlashni o'z ichiga olgan yangi mahsulot. Bu ma'lumotlarni shifrlash zanjiridagi so'nggi bo'g'indir, chunki bulutli xizmat ko'rsatuvchi provayderlar allaqachon ma'lumotlarni kirish va tashqarida shifrlaydi. Yaqin vaqtgacha ma'lumotlarni qayta ishlash jarayonida shifrini ochish kerak edi va ko'plab mutaxassislar buni ma'lumotlarni shifrlash sohasidagi yorqin teshik deb bilishadi.
Googlening Maxfiy hisoblash tashabbusi Confidential Computing Consortium, ishonchli ijro muhitlari (TEE) kontseptsiyasini targ'ib qilish bo'yicha sanoat guruhi bilan hamkorlikka asoslangan. TEE protsessorning xavfsiz qismi bo'lib, unda yuklangan ma'lumotlar va kod shifrlangan, ya'ni bu ma'lumotlarga bir xil protsessorning boshqa qismlari kirishi mumkin emas.
Google’ning Maxfiy VM’lari virtual mashinalarni o‘zlari ishlayotgan gipervisordan ajratib olish uchun Secure Encrypted Virtualization texnologiyasidan foydalanadigan AMD’ning ikkinchi avlod EPYC protsessorlarida ishlaydigan N2D virtual mashinalarida ishlaydi. Ma'lumotlarning ishlatilishidan qat'iy nazar shifrlanganligi kafolati mavjud: ish yuklari, tahlillar, sun'iy intellekt uchun o'qitish modellariga so'rovlar. Ushbu virtual mashinalar bank sanoati kabi tartibga solinadigan sohalarda nozik ma'lumotlar bilan ishlaydigan har qanday kompaniyaning ehtiyojlarini qondirish uchun mo'ljallangan.
Ehtimol, ko'proq dolzarb bo'lib, Google'ning ta'kidlashicha, bo'lajak 1.18 versiyasida taqdim etiladigan Maxfiy GKE tugunlarining bo'lajak beta-sinovini e'lon qilishdir. (GKE). GKE - bu bir nechta hisoblash muhitlarida ishlashi mumkin bo'lgan zamonaviy ilovalarning qismlarini o'z ichiga olgan konteynerlarni ishga tushirish uchun boshqariladigan, ishlab chiqarishga tayyor muhit. Kubernetes - bu konteynerlarni boshqarish uchun ishlatiladigan ochiq manbali orkestratsiya vositasi.
Maxfiy GKE tugunlarini qoʻshish GKE klasterlarini ishga tushirishda koʻproq maxfiylikni taʼminlaydi. Maxfiy hisoblash liniyasiga yangi mahsulotni qo'shganda, biz yangi darajani taqdim qilmoqchi edik
konteynerli ish yuklari uchun maxfiylik va portativlik. Google maxfiy GKE tugunlari Maxfiy VMlar bilan bir xil texnologiya asosida qurilgan boʻlib, AMD EPYC protsessori tomonidan yaratilgan va boshqariladigan tugunga xos shifrlash kaliti yordamida xotiradagi maʼlumotlarni shifrlash imkonini beradi. Ushbu tugunlar AMD ning SEV xususiyatiga asoslangan apparatga asoslangan RAM shifrlashdan foydalanadi, ya'ni ushbu tugunlarda ishlaydigan ish yuklaringiz ular ishlayotgan vaqtda shifrlanadi.
Sunil Potti va Eyal Manor, bulut muhandislari, Google
Maxfiy GKE tugunlarida mijozlar GKE klasterlarini konfiguratsiya qilishlari mumkin, shunda tugunlar hovuzlari Maxfiy VMlarda ishlaydi. Oddiy qilib aytganda, ushbu tugunlarda ishlaydigan har qanday ish yuklari ma'lumotlar qayta ishlanayotganda shifrlanadi.
Ko'pgina korxonalar tajovuzkorlardan himoya qilish uchun mahalliy bulut xizmatlaridan foydalanishda mahalliy ish yuklariga qaraganda ko'proq maxfiylikni talab qiladi. Google Cloud oʻzining Maxfiy hisoblash liniyasini kengaytirishi foydalanuvchilarga GKE klasterlari uchun maxfiylikni taʼminlash imkoniyatini taqdim etish orqali ushbu chiziqni oshiradi. Va uning mashhurligini hisobga olgan holda, Kubernetes sanoat uchun muhim qadam bo'lib, kompaniyalarga yangi avlod ilovalarini ommaviy bulutda xavfsiz joylashtirish uchun ko'proq imkoniyatlar beradi.
Xolger Myuller, Constellation Research tahlilchisi.
NB Kompaniyamiz 28-30 sentyabr kunlari yangilangan intensiv kursni boshlaydi Kubernetesni hali bilmaganlar, lekin u bilan tanishib ishlashni xohlaydiganlar uchun. 14-16 oktyabr kunlari bo'lib o'tgan ushbu tadbirdan so'ng biz yangilangan dasturni ishga tushiramiz Kubernetes-ning so'nggi versiyalari va mumkin bo'lgan "rake" bilan ishlashda barcha so'nggi amaliy echimlarni bilish muhim bo'lgan tajribali Kubernetes foydalanuvchilari uchun. Yoniq Biz ishlab chiqarishga tayyor klasterni ("unchalik oson bo'lmagan yo'l") o'rnatish va sozlashning nozik tomonlarini, xavfsizlikni ta'minlash mexanizmlarini va ilovalarning xatolarga chidamliligini nazariy va amaliyotda tahlil qilamiz.
Boshqa narsalar qatorida, Google o'zining Maxfiy VMlari bugundan boshlab umumiy foydalanish mumkin bo'lgan ba'zi yangi xususiyatlarga ega bo'lishini aytdi. Masalan, Maxfiy VMlarning har bir nusxasi uchun kalitlarni yaratishda foydalaniladigan AMD Secure Processor proshivkasining yaxlitligini tekshirishning batafsil jurnallaridan iborat audit hisobotlari paydo bo'ldi.
Muayyan kirish huquqlarini o'rnatish uchun qo'shimcha boshqaruv elementlari ham mavjud va Google ma'lum bir loyihada har qanday tasniflanmagan virtual mashinani o'chirish qobiliyatini ham qo'shdi. Google shuningdek, xavfsizlikni taʼminlash uchun Maxfiy VMʼlarni boshqa maxfiylik mexanizmlari bilan bogʻlaydi.
Maxfiy VMlar turli loyihalarda ishlayotgan bo'lsa ham, boshqa Maxfiy VMlar bilan bog'lanishini ta'minlash uchun xavfsizlik devori qoidalari va tashkilot siyosati cheklovlari bilan umumiy VPC kombinatsiyasidan foydalanishingiz mumkin. Bundan tashqari, siz Maxfiy VM’laringiz uchun GCP resurs doirasini o‘rnatish uchun VPC xizmatini boshqarish vositalaridan foydalanishingiz mumkin.
Sunil Potti va Eyal Manor
Manba: www.habr.com