03/02/2026 –, Debussy
Imaginons un cluster Kubernetes confidentiel comme une bergerie : pour pouvoir y entrer, il faut montrer pâte blanche. Dans cette présentation, nous montrerons comment nous utilisons l’attestation à distance pour vérifier quel nœud a accès à un cluster Kubernetes. L’opérateur “cluster confidentiel” se charge de vérifier que les nœuds du cluster utilisent une version autorisée du système d’exploitation, tel un berger vérifiant qu’aucun loup, même déguisé, ne rentre dans la bergerie.
Nous montrerons comment combiner un serveur d’attestation à distance (Trustee), les fonctionnalités d’informatique confidentielle (Confidential Computing) des processeurs x86_64 et les TPMs pour vérifier les composants de la chaîne de démarrage d’un nœud Kubernetes. Nous présenterons l’opérateur qui se charge de configurer Trustee et de mettre à jour continuellement les politiques de contrôle d’accès ainsi que les valeurs considérées comme valides (valeurs de référence) pour le système d’exploitation des nœuds du cluster.
D’un seul nœud à un cluster complet, nous présenterons comment tirer au mieux parti des capacités d’informatique confidentielle des processeurs x86_64 pour sécuriser une infrastructure dans le cloud ou un déploiement “Bare Metal”. Ainsi aucun loup ne dévorera nos moutons et le berger pourra dormir tranquille.
Timothée Ravier est un ingénieur dans l'équipe CoreOS à Red Hat. Il maintient les Fedora Atomic Desktops (Silverblue, Kinoite). Il est développeur KDE et membre de l'équipe qui maintient les applications KDE en tant que Flatpaks sur Flathub.
Mastodon : https://floss.social/@siosm
GitHub : https://github.com/travier
Alice est Principal Software Engineer et s'intéresse à la virtualisation et aux conteneurs, et à toutes leurs possibles combinaisons.
Ancienne responsable de la maintenance de KubeVirt, elle a récemment rejoint l'équipe CoreOS et commencé à travailler sur les clusters confidentiels et cluster api.
LinkedIn : https://de.linkedin.com/in/afrosi