edgelesssys/constellation
GitHub: edgelesssys/constellation
一个基于机密虚拟机的 Kubernetes 发行版,为整个集群提供运行时内存加密、网络和存储透明加密,实现对云基础设施的零信任隔离。
Stars: 1100 | Forks: 61
# 始终加密的 Kubernetes
## 目标
从安全角度来看,Constellation 旨在保持所有数据始终加密,并防止来自基础设施层的访问(即从 TCB 中移除基础设施)。这包括来自数据中心员工、特权云管理员的访问,以及通过基础设施发起攻击的攻击者(例如,恶意同租户提升其权限)。
从 DevOps 的角度来看,Constellation 的设计和工作方式正如您对现代 K8s 引擎的期望一样。
## 使用场景
加密您的 K8s 适用于:
* 提高集群的整体安全性
* 提高 SaaS 产品的可信度
* 将敏感工作负载从本地迁移到云端
* 满足合规性要求
## 特性
### 🔒 一切始终加密
* 运行时加密:所有节点均在基于 AMD SEV 或 Intel TDX 的机密虚拟机 (CVM) 内运行。
* 网络透明加密:所有 [Pod 间流量均自动加密][network-encryption]
* 存储透明加密:所有写入持久存储的数据均自动加密。
这包括[节点状态磁盘][storage-encryption]、[通过 CSI 的持久卷][csi]以及 [S3 对象存储][s3proxy]。
* 密钥透明管理:所有加密[密钥均在机密上下文中进行管理][key-management]
### 🔍 一切可验证
* 基于 CVM 远程认证功能的“全集群”[认证][cluster-attestation]
* 针对机密计算优化的[节点镜像][images];经过完全度量且受完整性保护
* 使用 [sigstore](https://www.sigstore.dev/) 和 [SLSA Level 3](https://slsa.dev/spec/v0.1/#security-levels) 进行[供应链保护][supply-chain]。
### 🚀 性能与扩展
* 采用多主节点架构和堆叠 etcd 拓扑的高可用性
* 动态集群自动扩缩容,支持新节点的验证和安全引导
* 具有竞争力的[性能][performance]
### 🧩 易于使用和集成
* Constellation 是 [CNCF 认证][certified]的 Kubernetes。它遵循 Kubernetes 的[版本支持政策][k8s-version-support],很可能与您现有的工作负载和工具兼容。
* 支持 AWS、Azure、GCP 和 STACKIT。
* 支持使用 [MiniConstellation][first-steps-local] 进行本地安装。
* 支持 [Terraform][terraform-provider]
## 快速入门
如果您已经熟悉 Kubernetes,上手 Constellation 将非常容易:
1. 📦 [安装 CLI][install] 或使用 [Terraform provider][terraform-provider]
2. ⌨️ 在[云端][first-steps]或[本地][first-steps-local]创建 Constellation 集群
3. 🏎️ [运行您的应用][examples]
了解更多:["Constellation 入门"视频系列](https://www.youtube.com/playlist?list=PLEhAl3D5WVvRYxO_yI7KzmtJ7rJUyQgNu)。
## 文档
欲了解更多信息,请参阅[文档](https://docs.edgeless.systems/constellation)。
您可以从以下部分开始。
* [机密 Kubernetes][confidential-kubernetes](Constellation 与 AKS/GKE + CVM 的对比)
* [安全优势][security-benefits]
* [架构][architecture]
## 支持
* 如果遇到问题,请确保使用[最新版本](https://github.com/edgelesssys/constellation/releases/latest)并查看[已知问题](https://github.com/edgelesssys/constellation/issues?q=is%3Aopen+is%3Aissue+label%3A%22known+issue%22)。
* 请提交 [issue][github-issues] 以获取帮助或报告错误。
* 如果您有疑问或想讨论想法,请加入 [GitHub discussions](https://github.com/edgelesssys/constellation/discussions)。
* 访问我们的[博客](https://www.edgeless.systems/blog/)阅读技术深度解析和教程,并在 [LinkedIn] 上关注我们以获取新闻。
* Edgeless Systems 还提供[企业支持][enterprise-support]。
## 贡献
请参阅 [`CONTRIBUTING.md`](CONTRIBUTING.md) 了解如何贡献。最重要的几点:
* 欢迎提交 Pull requests!您需要同意我们的[贡献者许可协议][cla-assistant]。
* 请遵守[行为准则](/CODE_OF_CONDUCT.md)。
## 许可证
Constellation 根据 [Business Source License 1.1](LICENSE) 授权。您可以免费将其用于非生产用途。您可以在文档的 [license] 部分找到更多信息。
## 目标
从安全角度来看,Constellation 旨在保持所有数据始终加密,并防止来自基础设施层的访问(即从 TCB 中移除基础设施)。这包括来自数据中心员工、特权云管理员的访问,以及通过基础设施发起攻击的攻击者(例如,恶意同租户提升其权限)。
从 DevOps 的角度来看,Constellation 的设计和工作方式正如您对现代 K8s 引擎的期望一样。
## 使用场景
加密您的 K8s 适用于:
* 提高集群的整体安全性
* 提高 SaaS 产品的可信度
* 将敏感工作负载从本地迁移到云端
* 满足合规性要求
## 特性
### 🔒 一切始终加密
* 运行时加密:所有节点均在基于 AMD SEV 或 Intel TDX 的机密虚拟机 (CVM) 内运行。
* 网络透明加密:所有 [Pod 间流量均自动加密][network-encryption]
* 存储透明加密:所有写入持久存储的数据均自动加密。
这包括[节点状态磁盘][storage-encryption]、[通过 CSI 的持久卷][csi]以及 [S3 对象存储][s3proxy]。
* 密钥透明管理:所有加密[密钥均在机密上下文中进行管理][key-management]
### 🔍 一切可验证
* 基于 CVM 远程认证功能的“全集群”[认证][cluster-attestation]
* 针对机密计算优化的[节点镜像][images];经过完全度量且受完整性保护
* 使用 [sigstore](https://www.sigstore.dev/) 和 [SLSA Level 3](https://slsa.dev/spec/v0.1/#security-levels) 进行[供应链保护][supply-chain]。
### 🚀 性能与扩展
* 采用多主节点架构和堆叠 etcd 拓扑的高可用性
* 动态集群自动扩缩容,支持新节点的验证和安全引导
* 具有竞争力的[性能][performance]
### 🧩 易于使用和集成
* Constellation 是 [CNCF 认证][certified]的 Kubernetes。它遵循 Kubernetes 的[版本支持政策][k8s-version-support],很可能与您现有的工作负载和工具兼容。
* 支持 AWS、Azure、GCP 和 STACKIT。
* 支持使用 [MiniConstellation][first-steps-local] 进行本地安装。
* 支持 [Terraform][terraform-provider]
## 快速入门
如果您已经熟悉 Kubernetes,上手 Constellation 将非常容易:
1. 📦 [安装 CLI][install] 或使用 [Terraform provider][terraform-provider]
2. ⌨️ 在[云端][first-steps]或[本地][first-steps-local]创建 Constellation 集群
3. 🏎️ [运行您的应用][examples]
了解更多:["Constellation 入门"视频系列](https://www.youtube.com/playlist?list=PLEhAl3D5WVvRYxO_yI7KzmtJ7rJUyQgNu)。
## 文档
欲了解更多信息,请参阅[文档](https://docs.edgeless.systems/constellation)。
您可以从以下部分开始。
* [机密 Kubernetes][confidential-kubernetes](Constellation 与 AKS/GKE + CVM 的对比)
* [安全优势][security-benefits]
* [架构][architecture]
## 支持
* 如果遇到问题,请确保使用[最新版本](https://github.com/edgelesssys/constellation/releases/latest)并查看[已知问题](https://github.com/edgelesssys/constellation/issues?q=is%3Aopen+is%3Aissue+label%3A%22known+issue%22)。
* 请提交 [issue][github-issues] 以获取帮助或报告错误。
* 如果您有疑问或想讨论想法,请加入 [GitHub discussions](https://github.com/edgelesssys/constellation/discussions)。
* 访问我们的[博客](https://www.edgeless.systems/blog/)阅读技术深度解析和教程,并在 [LinkedIn] 上关注我们以获取新闻。
* Edgeless Systems 还提供[企业支持][enterprise-support]。
## 贡献
请参阅 [`CONTRIBUTING.md`](CONTRIBUTING.md) 了解如何贡献。最重要的几点:
* 欢迎提交 Pull requests!您需要同意我们的[贡献者许可协议][cla-assistant]。
* 请遵守[行为准则](/CODE_OF_CONDUCT.md)。
## 许可证
Constellation 根据 [Business Source License 1.1](LICENSE) 授权。您可以免费将其用于非生产用途。您可以在文档的 [license] 部分找到更多信息。
标签:Always Encrypted, Confidential Computing, Confidential VM, EVTX分析, EVTX分析, Go, JSONLines, PET, Privacy-Enhancing Technologies, Ruby工具, SaaS 安全, SEV, SGX, TDX, 人工智能安全, 内存加密, 合规性, 子域名突变, 无基础设施信任, 日志审计, 机密虚拟机, 机密计算, 特权访问防护, 运行时加密, 集群加密, 零信任