הרצה של עומסי עבודה עם הרשאות מיוחדות בקוד פתוח ב-GKE Autopilot

בדף הזה מוסבר איך להריץ עומסי עבודה (workload) עם הרשאות מיוחדות בקוד פתוח ב-Google Kubernetes Engine (GKE) במצב Autopilot. הדף הזה מיועד למהנדסי פלטפורמה שרוצים להפעיל אפליקציות ספציפיות בקוד פתוח בצמתים של Autopilot.

מידע על רשימות היתרים לעומסי עבודה עם הרשאות מיוחדות ב-Autopilot

כברירת מחדל, ב-GKE Autopilot נאכפים אילוצי אבטחה שדוחים עומסי עבודה שנדרשות להם הרשאות מורחבות באשכול. לדוגמה, כברירת מחדל, אי אפשר להפעיל Pod שמאפשר מצב הרשאה או מוסיף את היכולת NET_RAW של Linux.

אפשר גם להריץ קבוצה ספציפית של עומסי עבודה עם הרשאות מיוחדות משותפי Autopilot ומפרויקטים מסוימים של קוד פתוח במצב Autopilot.

כדי לפרוס עומסי עבודה של קוד פתוח עם הרשאות במצב Autopilot:

  1. מתקינים רשימת היתרים לעומס העבודה על ידי פריסת אובייקט AllowlistSynchronizer. הכלי AllowlistSynchronizer מתקין את הרשימה הלבנה כאובייקט WorkloadAllowlist ומנהל את מחזור החיים שלה. הוראות מפורטות מופיעות במאמר בנושא הרצת עומסי עבודה עם הרשאות מיוחדות משותפי GKE Autopilot.
  2. מבצעים פריסה של עומס העבודה עם הרשאות מיוחדות בקוד פתוח באשכול, לפי שלבי ההתקנה במסמכי התיעוד של הפרויקט.

עומסי עבודה בקוד פתוח עם הרשאות מיוחדות ותמיכה ב-Autopilot

בטבלה הבאה מפורטים עומסי העבודה של קוד פתוח עם הרשאות מיוחדות שאפשר להריץ ב-Autopilot. כדי להפעיל עומס עבודה, יוצרים משאב AllowlistSynchronizer עם הנתיב לרשימות ההיתרים של עומס העבודה הזה בשדה allowlistPaths.

עומסי עבודה של קוד פתוח עם הרשאות מיוחדות ב-Autopilot נתיב לרשימת ההיתרים

Grafana Alloy

Grafana/alloy/*

Grafana Beyla

Grafana/beyla/*

בטבלה הזו מתוארות רק עומסי העבודה של קוד פתוח שדורשים הרשאות גבוהות ונתמכים ב-Autopilot. יכול להיות שתוכנות קוד פתוח שדורשות הרשאות מורחבות ולא מופיעות בטבלה הזו לא יפעלו ב-Autopilot. אם אפליקציה בקוד פתוח לא מפרה את אילוצי האבטחה שמוגדרים כברירת מחדל ב-Autopilot, אפשר להריץ את האפליקציה בלי רשימת היתרים.

המאמרים הבאים