TL; DR: Bây giờ bạn có thể chạy Kubernetes trên từ Google.
Google hôm nay (08.09.2020/XNUMX/XNUMX, khoảng người phiên dịch) tại sự kiện đã công bố mở rộng dòng sản phẩm của mình với việc ra mắt dịch vụ mới.
Các nút GKE bí mật tăng thêm quyền riêng tư cho khối lượng công việc chạy trên Kubernetes. Tháng XNUMX, sản phẩm đầu tiên được ra mắt mang tên và ngày nay những máy ảo này đã được cung cấp công khai cho tất cả mọi người.
Máy tính bí mật là một sản phẩm mới liên quan đến việc lưu trữ dữ liệu ở dạng mã hóa trong khi dữ liệu đang được xử lý. Đây là liên kết cuối cùng trong chuỗi mã hóa dữ liệu vì các nhà cung cấp dịch vụ đám mây đã mã hóa dữ liệu vào và ra. Cho đến gần đây, việc giải mã dữ liệu khi nó được xử lý là cần thiết và nhiều chuyên gia coi đây là một lỗ hổng rõ ràng trong lĩnh vực mã hóa dữ liệu.
Sáng kiến điện toán bí mật của Google dựa trên sự cộng tác với Hiệp hội điện toán bí mật, một nhóm ngành nhằm thúc đẩy khái niệm Môi trường thực thi đáng tin cậy (TEE). TEE là một phần bảo mật của bộ xử lý, trong đó dữ liệu và mã được tải sẽ được mã hóa, có nghĩa là các phần khác của cùng bộ xử lý không thể truy cập được thông tin này.
Máy ảo bí mật của Google chạy trên các máy ảo N2D chạy trên bộ xử lý EPYC thế hệ thứ hai của AMD, sử dụng công nghệ ảo hóa được mã hóa an toàn để cách ly các máy ảo khỏi bộ ảo hóa mà chúng chạy trên đó. Có sự đảm bảo rằng dữ liệu vẫn được mã hóa bất kể mục đích sử dụng: khối lượng công việc, phân tích, yêu cầu mô hình đào tạo về trí tuệ nhân tạo. Những máy ảo này được thiết kế để đáp ứng nhu cầu của bất kỳ công ty nào xử lý dữ liệu nhạy cảm trong các lĩnh vực được quản lý như ngành ngân hàng.
Có lẽ cấp bách hơn là thông báo về bản thử nghiệm beta sắp tới của các nút GKE bí mật, mà Google cho biết sẽ được giới thiệu trong bản phát hành 1.18 sắp tới (GKE). GKE là môi trường được quản lý, sẵn sàng sản xuất để chạy các bộ chứa lưu trữ các phần của ứng dụng hiện đại có thể chạy trên nhiều môi trường điện toán. Kubernetes là một công cụ điều phối nguồn mở được sử dụng để quản lý các vùng chứa này.
Việc thêm các nút GKE bí mật mang lại sự riêng tư cao hơn khi chạy các cụm GKE. Khi thêm một sản phẩm mới vào dòng Máy tính bí mật, chúng tôi muốn cung cấp một cấp độ mới về
quyền riêng tư và tính di động cho khối lượng công việc được chứa trong container. Các nút GKE bí mật của Google được xây dựng trên cùng công nghệ với các máy ảo bí mật, cho phép bạn mã hóa dữ liệu trong bộ nhớ bằng khóa mã hóa dành riêng cho nút do bộ xử lý AMD EPYC tạo và quản lý. Các nút này sẽ sử dụng mã hóa RAM dựa trên phần cứng dựa trên tính năng SEV của AMD, nghĩa là khối lượng công việc của bạn chạy trên các nút này sẽ được mã hóa trong khi chúng đang chạy.
Sunil Potti và Eyal Manor, Kỹ sư đám mây, Google
Trên các nút GKE bí mật, khách hàng có thể định cấu hình các cụm GKE để nhóm nút chạy trên các máy ảo bí mật. Nói một cách đơn giản, mọi khối lượng công việc chạy trên các nút này sẽ được mã hóa trong khi dữ liệu được xử lý.
Nhiều doanh nghiệp thậm chí còn yêu cầu nhiều quyền riêng tư hơn khi sử dụng dịch vụ đám mây công cộng so với khối lượng công việc tại chỗ chạy tại chỗ để bảo vệ khỏi những kẻ tấn công. Việc mở rộng dòng Điện toán bí mật của Google Cloud đã nâng cao tiêu chuẩn này bằng cách cung cấp cho người dùng khả năng cung cấp tính bảo mật cho các cụm GKE. Và với sự phổ biến của nó, Kubernetes là một bước tiến quan trọng của ngành, mang đến cho các công ty nhiều lựa chọn hơn để lưu trữ các ứng dụng thế hệ tiếp theo một cách an toàn trên đám mây công cộng.
Holger Mueller, Nhà phân tích tại Constellation Research.
NB Công ty chúng tôi đang triển khai khóa học chuyên sâu cập nhật vào ngày 28-30 tháng XNUMX dành cho những người chưa biết đến Kubernetes nhưng muốn làm quen và bắt đầu làm việc. Và sau sự kiện này vào ngày 14–16 tháng XNUMX, chúng tôi sẽ tung ra bản cập nhật dành cho người dùng Kubernetes có kinh nghiệm, những người mà điều quan trọng là phải biết tất cả các giải pháp thực tế mới nhất khi làm việc với các phiên bản Kubernetes mới nhất và có thể là “cào”. TRÊN Chúng tôi sẽ phân tích về mặt lý thuyết và thực tế sự phức tạp của việc cài đặt và định cấu hình cụm sẵn sàng sản xuất (“cách không dễ dàng”), các cơ chế đảm bảo tính bảo mật và khả năng chịu lỗi của ứng dụng.
Trong số những điều khác, Google cho biết các máy ảo bí mật của họ sẽ có một số tính năng mới khi chúng được cung cấp rộng rãi bắt đầu từ hôm nay. Ví dụ: các báo cáo kiểm tra xuất hiện chứa nhật ký chi tiết về quá trình kiểm tra tính toàn vẹn của chương trình cơ sở Bộ xử lý bảo mật AMD được sử dụng để tạo khóa cho từng phiên bản của Máy ảo bí mật.
Ngoài ra còn có nhiều biện pháp kiểm soát hơn để đặt quyền truy cập cụ thể và Google cũng đã thêm khả năng vô hiệu hóa bất kỳ máy ảo chưa được phân loại nào trên một dự án nhất định. Google cũng kết nối máy ảo bí mật với các cơ chế bảo mật khác để cung cấp bảo mật.
Bạn có thể sử dụng kết hợp các VPC dùng chung với các quy tắc tường lửa và các hạn chế trong chính sách của tổ chức để đảm bảo rằng các VM Bí mật có thể giao tiếp với các VM Bí mật khác, ngay cả khi chúng đang chạy trên các dự án khác nhau. Ngoài ra, bạn có thể sử dụng Kiểm soát dịch vụ VPC để đặt phạm vi tài nguyên GCP cho máy ảo bí mật của mình.
Sunil Potti và trang viên Eyal
Nguồn: www.habr.com