从历史上看，数据在静态时是通过数据存储中的加密和使用网络技术在传输过程中得到保护的，但是一旦这些数据在计算机的CPU中被处理，它就会被解密并以纯文本的形式进行。新的机密计算技术正在改变游戏规则，因为它们提供数据保护，即使代码运行在CPU上，有安全的硬件包围。今天，我们宣布，我们将把机密计算带到Kubernetes的工作负载中。Azure的机密计算Azure是首个支持基于Intel®Software Guard Extensions（Intel SGX）的机密计算构建的主要云平台。去年，我们发布了在Intel®Xeon®处理器上运行的DC系列虚拟机的预览版，这些虚拟机可以进行机密计算。这种机密的计算能力还提供了一个额外的保护层，即使是在云提供商处，也可以防止潜在的恶意内部人员，减少数据泄漏的机会，并可能有助于满足一些法规遵从性需求。机密计算支持几个以前不可能的用例。受监管行业的客户现在可以使用敏感的合作伙伴或客户数据进行协作，以检测欺诈场景，而不必让对方看到这些数据。在另一个例子中，客户可以在安全的飞地中执行关键任务的支付处理。库伯内特斯的工作原理有了Kubernetes的机密计算，客户现在可以通过运行在CPU上的代码和安全的硬件飞地，为他们的Kubernetes工作负载获得额外的数据保护层。使用openenclavesdk在代码中进行机密计算。在支持Intel SGX的硬件上创建一个Kubernetes群集，例如运行Ubuntu16.04或Ubuntu18.04的DC系列虚拟机，并将机密计算设备插件安装到这些虚拟机中。设备插件（作为守护进程运行）将加密页缓存（EPC）RAM作为Kubernetes的可调度资源使用。然后，Kubernetes用户可以将使用openenclavesdk的pod和容器调度到支持可信执行环境（TEE）的硬件上。下面的pod规范演示了如何通过定义特定EPC内存的限制来调度pod访问TEE，该EPC内存由preview中的设备插件通告给Kubernetes调度器。现在，这些集群中的pod可以使用安全的飞地运行容器，并利用机密计算。运行Kubernetes容器在DC系列基础成本的基础上没有额外的费用。Open Enclave SDK最近由微软开源，并提供给Linux标准化基金会的机密计算联盟，以创建一个统一的API，用于整个行业的各种硬件组件和软件运行时。今天就用Azure试试Kubernetes的机密计算吧。请在我们的调查或在GitHub上告诉我们您的想法。