Acerca de las listas de entidades permitidas para cargas de trabajo de Autopilot con privilegios
De forma predeterminada, GKE Autopilot aplica restricciones de seguridad que rechazan las cargas de trabajo que necesitan privilegios elevados en el clúster. Por ejemplo, de forma predeterminada, no puedes ejecutar un Pod que habilite el modo con privilegios ni agregar la capacidad de Linux NET_RAW.
De manera opcional, puedes ejecutar un conjunto específico de cargas de trabajo con privilegios de socios de Autopilot y de ciertos proyectos de código abierto en modo Autopilot.
Para implementar cargas de trabajo de código abierto con privilegios en modo Autopilot, haz lo siguiente:
- Instala una lista de entidades permitidas para la carga de trabajo mediante la implementación de un objeto
AllowlistSynchronizer. AllowlistSynchronizer instala la lista de entidades permitidas como un objetoWorkloadAllowlisty administra su ciclo de vida. Para obtener instrucciones, consulta Ejecuta cargas de trabajo con privilegios de socios de GKE Autopilot. - Implementa la carga de trabajo de código abierto con privilegios en tu clúster. Para ello, sigue los pasos de instalación que se indican en la documentación del proyecto.
Cargas de trabajo de código abierto con privilegios compatibles con Autopilot
En la siguiente tabla, se describen las cargas de trabajo de código abierto con privilegios que puedes ejecutar en Autopilot. Para habilitar una carga de trabajo, crea un
AllowlistSynchronizer recurso con la ruta de acceso a las listas de entidades permitidas para esa
carga de trabajo en el campo allowlistPaths.
| Cargas de trabajo de código abierto con privilegios para Autopilot | Ruta de la lista de entidades permitidas |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
En esta tabla, solo se describen las cargas de trabajo de código abierto que necesitan privilegios elevados y que son compatibles con Autopilot. Es posible que el software de código abierto que requiere privilegios elevados y que no aparece en esta tabla no funcione en Autopilot. Si una aplicación de código abierto no infringe las restricciones de seguridad predeterminadas en Autopilot, puedes ejecutar la aplicación sin una lista de entidades permitidas.