机密 GKE 节点可用于计算优化的 C2D 虚拟机。
许多公司已采用 Google Kubernetes Engine (GKE) 作为其应用程序基础架构中的关键组件。在某些情况下,使用容器和 Kubernetes 的优势可以超越传统架构,但迁移到云端并在云端运行应用程序通常需要战略规划以降低风险并防止数据泄露。这是可以使用机密 GKE 节点来增强 GKE 集群或节点池的安全性的地方。
机密 GKE 节点利用专用硬件来加密使用中的数据,非常适合在云中处理敏感数据的组织。为了更轻松地开始使用机密 GKE 节点,您今天运行的 GKE 标准工作负载可以作为机密 GKE 工作负载运行,而无需您更改代码。
机密 GKE 节点的安全基础
随着我们将机密计算产品组合从机密 VM扩展到机密 GKE 节点再到机密 Dataproc,确保高性能是关键。机密 GKE 节点建立在与机密 VM相同的技术基础上,并利用 AMD EPYC(骁龙)处理器的安全加密虚拟化 (SEV) 功能。此功能允许您使用由处理器生成和管理的特定于节点的专用密钥将数据加密保存在内存中。密钥是在节点创建期间在硬件中生成的,并且仅驻留在处理器中,因此谷歌云或主机上运行的其他节点无法使用它们。
结合C2D VMs的高性能
以前,机密 GKE 节点通常仅在通用 N2D VM 上可用,但现在它们也可在计算优化的 C2D VM 上使用。C2D 机器系列提供从 2 个 vCPU 到 112 个 vCPU 的 VM 大小,提供高达 896 GB 的内存,适用于性能密集型工作负载。C2D 标准和 C2D 高 CPU 机器服务于计算密集型工作负载,包括高性能 Web 服务器和媒体转码。C2D 高内存机器服务于高性能计算 (HPC) 和电子设计自动化 (EDA) 等需要更多内存的特殊工作负载。
计算优化的 C2D VM 上的机密 GKE 节点可能适合需要高性能和安全性的用例。您可以对在 GKE 集群内或仅在特定节点池上处理的数据进行使用中加密,而不会显着降低性能。这与金融服务、医疗保健、零售、区块链和电信等行业相关,这些行业通常拥有需要额外安全措施的敏感数据或个人身份信息 (PII)。
MATRIXX 如何使用机密 GKE 节点
MATRIXX Software 选择机密 GKE 节点为使用中的数据提供透明加密,以补充静态数据的加密,以按照隐私法规的要求保护个人订户数据。
MATRIXX 数字商务平台 (DCP) 是面向通信行业的实时 5G 货币化,服务于全球许多最大的运营商集团、区域运营商和新兴数字服务提供商。MATRIXX 使用 Google Cloud Confidential GKE Nodes 提供云优先的数字商务解决方案,为当前和新的电信业务模型提供商业和运营敏捷性。
一份名为“在云端保护您的 5G 收入流”的白皮书描述了当 MATRIXX DCP 在谷歌云上部署机密计算时,“其订户数据、账户余额、网络事件和费用/收入流在使用中是如何加密的,而无需进行任何操作。更改应用程序代码或影响性能。”
机密 GKE 节点在全球可用
在 Google Cloud,致力于投资机密计算,已将支持扩展到 VM 系列,例如 C2D VM。在 C2D 虚拟机上运行的机密 GKE 节点在全球范围内可用,包括 us-central1(爱荷华州)、asia-southeast1(新加坡)、us-east1(南卡罗来纳州)、us-east4(北弗吉尼亚州)、asia-east1(台湾)和 europe-west4(荷兰)。请注意,机密 GKE 节点在 C2D 或 N2D 机器可用的地方可用。
机密 GKE 节点的定价
除了Compute Engine和机密 VM定价的成本外,部署机密 GKE 节点没有额外费用。
试用机密 GKE 节点以实现集群级支持
首先,转到 Google Cloud 控制台中的 Google Kubernetes Engine 页面。在顶部导航栏中,单击“创建”。在 Create Cluster 模式中,选择“Standard: You manage your cluster”并单击 Configure。
接下来,在左侧导航窗格中的“集群”下,单击“安全性”。选中“启用机密 GKE 节点”复选框。
然后,再次从左侧导航窗格中的节点池下,单击节点。在 Machine Configuration 和 Machine family 下,选择 Compute-optimized 选项卡,然后选择 C2D 机器类型。
根据需要配置集群的其余部分,然后单击创建。
做出安全的设计选择应该很容易,尤其是当工作负载涉及敏感数据的高性能处理时。您现在可以通过将机密 GKE 节点添加到您的 GKE 工作负载来帮助保护您的敏感应用程序和数据。
