Questa pagina fornisce informazioni sulle organizzazioni partner di Google Kubernetes Engine (GKE) Autopilot e sui carichi di lavoro specializzati che rendono disponibili nei cluster Autopilot.
Che cosa sono i carichi di lavoro dei partner Autopilot?
I cluster Google Kubernetes Engine (GKE) Autopilot di solito non consentono carichi di lavoro che richiedono privilegi elevati, come l'accesso a /var/run, privileged: true o funzionalità di file Linux con privilegi elevati come NET_RAW e SYS_ADMIN.
Le eccezioni a questa limitazione sono i carichi di lavoro dei partner Autopilot. Un sottoinsieme di Google Cloud partner fornisce carichi di lavoro con privilegi speciali per i cluster Autopilot. Puoi eseguire il deployment di questi carichi di lavoro dei partner per soddisfare requisiti come la raccolta di metriche a livello di nodo senza dover eseguire un container sidecar in ogni pod.
Panoramica della procedura di inserimento nella lista consentita
Ogni carico di lavoro dei partner viene sottoposto a una procedura di revisione per garantire che soddisfi i requisiti di base per GKE, ad esempio che abbia la quantità minima di autorizzazioni richieste per il corretto funzionamento e un controllo granulare sulle risorse a cui i carichi di lavoro possono accedere.
Adottiamo misure come le seguenti per limitare le funzionalità di questi carichi di lavoro di cui è stato eseguito il deployment:
- Verifichiamo che i container vengano estratti dalla località approvata.
- Rifiutiamo le specifiche dei pod che non corrispondono alla specifica approvata.
Se sei un Google Cloud partner con un carico di lavoro Autopilot che richiede privilegi elevati e deve essere aggiunto a una lista consentita, contatta il tuo partner manager per informazioni sul programma partner Autopilot.
Eseguire carichi di lavoro dei partner con privilegi in Autopilot
In GKE 1.32.2-gke.1652000 e versioni successive, alcuni partner forniscono liste consentite che corrispondono ai loro carichi di lavoro con privilegi. Questi carichi di lavoro non possono essere eseguiti nei cluster a meno che non installi la lista consentita corrispondente. Questo metodo presenta i seguenti vantaggi:
- Hai il controllo esplicito sulla possibilità di eseguire un carico di lavoro dei partner nel tuo cluster.
- GKE sincronizza automaticamente le liste consentite nel cluster con l'ultima versione di un repository gestito da Google che archivia i file delle liste consentite per i carichi di lavoro dei partner.
- I carichi di lavoro dei partner che non soddisfano i criteri rigorosi di una lista consentita installata vengono rifiutati durante il deployment.
Per saperne di più, consulta Eseguire carichi di lavoro con privilegi dei partner GKE Autopilot.
I carichi di lavoro dei partner con privilegi aggiunti tra il 2021 e il 2024 possono essere eseguiti in modalità Autopilot senza una lista consentita. Gli operatori dei cluster che dispongono delle autorizzazioni corrispondenti possono eseguire il deployment di questi carichi di lavoro nel cluster in qualsiasi momento.
Prezzi
Le risorse create dai carichi di lavoro dei partner nei cluster Autopilot vengono fatturate in base al modello di prezzi di Autopilot. Per informazioni su eventuali prezzi aggiuntivi per le soluzioni dei partner, consulta la documentazione del partner pertinente.
Carichi di lavoro dei partner Autopilot
Le sezioni seguenti descrivono i carichi di lavoro dei partner per Autopilot. I carichi di lavoro dei partner disponibili per ciascun cluster dipendono dalla versione GKE del cluster.
Questa tabella descrive solo i Google Cloud partner che hanno carichi di lavoro Autopilot che richiedono privilegi elevati. Altri Google Cloud partner hanno prodotti che funzionano con Autopilot senza richiedere privilegi elevati. Per un elenco completo dei Google Cloud partner, consulta la directory dei partner.
Partner che supportano le liste consentite
La tabella seguente descrive i partner i cui carichi di lavoro sono disponibili per l'installazione con le liste consentite. Ogni voce di questa tabella include il percorso delle liste consentite dei carichi di lavoro di un partner, che puoi utilizzare per configurare l'installazione e la sincronizzazione delle liste consentite per il tuo cluster.
| Partner | Descrizione |
|---|---|
| Attributo |
Attribute offre una tecnologia di tagging zero che analizza i dati di runtime con eBPF per rivelare automaticamente i costi associati a clienti, funzionalità e app, anche in configurazioni condivise e multi-tenant. Attribute fornisce insight in tempo reale per l'ottimizzazione dei margini, la strategia di pricing e la responsabilità dei costi.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di Attribute per GKE Autopilot (accesso obbligatorio). |
| Checkmk |
Checkmk aiuta le organizzazioni a monitorare l'affidabilità e la disponibilità delle applicazioni, a ottimizzare l'utilizzo delle risorse e a risolvere i problemi che potrebbero verificarsi. Checkmk può rilevare e raccogliere automaticamente i dati a livello di cluster fornendo visibilità sulle prestazioni e sullo stato di GKE Autopilot e visualizzando le informazioni con le dashboard.
Percorso della lista consentita: Per saperne di più, consulta le istruzioni di installazione di Checkmk per GKE Autopilot. |
| CrowdStrike Falcon |
CrowdStrike Falcon aiuta a proteggere l'infrastruttura cloud e a prevenire le violazioni sfruttando il machine learning e l'intelligence sulle minacce basata sull'uomo per ridurre la superficie di attacco e fornire visibilità sugli eventi nell'ambiente. Il sensore dello spazio utente di CrowdStrike Falcon fornisce visibilità e protezione per GKE Autopilot utilizzando un singolo agente, proteggendo sia il nodo sia i container in esecuzione su di esso.
Percorso della lista consentita: Per saperne di più, consulta la guida al deployment di CrowdStrike Falcon per GKE (accesso obbligatorio) . |
| Dash0 |
Dash0 è una piattaforma di osservabilità agentica basata su OpenTelemetry che ti aiuta a monitorare i carichi di lavoro GKE Autopilot con log, metriche, e tracce correlate. Combinando la telemetria unificata con l'analisi automatizzata, Dash0 ti aiuta a rilevare, comprendere e risolvere i problemi più rapidamente.
Percorso della lista consentita: Per saperne di più, consulta Installare l'operatore Dash0 su GKE Autopilot. |
| Datadog |
Datadog fornisce visibilità sulle app containerizzate in esecuzione su GKE Autopilot raccogliendo metriche, log e tracce, il che aiuta a identificare i problemi di prestazioni e a fornire il contesto per la risoluzione dei problemi.
Percorso della lista consentita: Per saperne di più, consulta Monitorare GKE Autopilot con Datadog. |
| Dynatrace |
Dynatrace fornisce osservabilità di livello enterprise per la modernizzazione della piattaforma di sicurezza e l'adozione del cloud con rilevamento in tempo reale e contesto causale basato sull'AI. Puoi eseguire il deployment di Dynatrace OneAgent nel tuo Google Cloud ambiente per ottenere insight automatici sull'utilizzo e sulle prestazioni dei tuoi cluster GKE. Percorsi delle liste consentite:
Per saperne di più, consulta le istruzioni di installazione di Dynatrace per GKE Autopilot. |
| Gremlin |
Gremlin aiuta le aziende a creare sistemi più affidabili identificando e risolvendo i potenziali punti di errore. La sua piattaforma cloud-native si integra con Google Cloud, consentendo ai team DevOps di testare l'affidabilità e rilevare i rischi nell'infrastruttura e nelle applicazioni cloud.
Percorso della lista consentita: Per saperne di più, consulta Installare Gremlin su GKE Autopilot. |
| Harness |
Harness Chaos Engineering ti consente di introdurre errori nelle applicazioni e nell'infrastruttura per testare la resilienza dei servizi aziendali. La piattaforma fornisce strumenti per creare una pratica di test di resilienza scalabile, con funzionalità come Esperimenti, ChaosGuard per la governance e consigli basati sull'AI. Offre anche funzionalità di livello enterprise come RBAC, SSO e audit.
Percorso della lista consentita: Per saperne di più, consulta la documentazione di Harness Chaos Engineering per GKE Autopilot. |
| Kodem |
Kodem integra l'analisi del codice e del runtime per fornire ai team di sicurezza insight contestuali. Kodem fornisce visibilità su codice sorgente, container, sistema operativo e memoria per aiutare a identificare le vulnerabilità sfruttabili. Questa visibilità aiuta i team di sicurezza a dare la priorità, determinare la causa principale e correggere o mitigare i rischi. Percorsi delle liste consentite:
Per saperne di più, consulta i sensori di runtime di Kodem Security per GKE Autopilot (accesso obbligatorio). |
| Sensore Orca |
Orca Sensor è un sensore basato su eBPF che può essere eseguito il deployment nei cluster GKE Autopilot per fornire visibilità e protezione del runtime integrate con la piattaforma Orca Cloud Security.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di Orca Sensor (accesso obbligatorio). |
| Prisma Cloud di Palo Alto Networks |
I difensori DaemonSet di Prisma Cloud applicano le policy per il tuo ambiente. Prisma Cloud Radar mostra una visualizzazione di i nodi e i cluster in modo da poter identificare i rischi e analizzare gli incidenti.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
SentinelOne fornisce una soluzione di protezione dalle minacce basata sull'AI per i carichi di lavoro containerizzati. Questa soluzione ti consente di monitorare, rilevare e analizzare le minacce basate su processi, file e binari su nodi e container all'interno dei cluster GKE Autopilot.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di SentinelOne Kubernetes (accesso obbligatorio). |
| Steadybit |
Steadybit è una piattaforma per l'ingegneria del caos che aiuta i team a migliorare l'affidabilità e la resilienza dei propri sistemi inserendo errori e testando la risposta delle applicazioni. Offre strumenti di automazione per simulare interruzioni negli ambienti cloud-native.
Percorso della lista consentita: Per saperne di più, consulta Steadybit su GKE Autopilot. |
| Piattaforma Sysdig Secure DevOps |
La piattaforma Sysdig Secure Devops ti aiuta a implementare le pratiche di sicurezza dei container nei cluster GKE Autopilot, inclusi il monitoraggio e la protezione dei carichi di lavoro utilizzando l'agente Sysdig. L'agente Sysdig è un componente host che elabora le chiamate di sistema, crea file di acquisizione, ed esegue audit e conformità.
Percorso della lista consentita: Per saperne di più, consulta Visibilità e sicurezza per GKE Autopilot. |
| Trend Micro |
Trend Vision One Container Security fornisce protezione per i container dallo sviluppo al deployment e in produzione. Aiuta a prevenire vulnerabilità, attacchi e configurazioni errate pre-runtime e runtime nelle applicazioni containerizzate.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di Trend Vision One per Container Security su GKE. |
| Upwind |
Upwind è una piattaforma di sicurezza cloud che utilizza il contesto di runtime per identificare rischi, minacce e insight dall'infrastruttura cloud e dai carichi di lavoro. Il suo sensore basato su eBPF per i cluster GKE Autopilot fornisce il contesto di runtime per la gestione della postura, il rilevamento delle minacce in tempo reale e le misure di difesa, per garantire la sicurezza.
Percorso della lista consentita: Per saperne di più, consulta l' aggiornamento della compatibilità di Upwind GKE Autopilot. |
| Uptycs |
La piattaforma di sicurezza dei container Uptycs ti aiuta a implementare le best practice di sicurezza per GKE Autopilot cluster tramite la sua soluzione di monitoraggio basata su sensori di runtime eBPF. La piattaforma offre visibilità su processi, connessioni e controlli di sicurezza RBAC di Kubernetes fornendo monitoraggio della sicurezza, funzionalità di conformità e rilevamento delle minacce su nodi e carichi di lavoro containerizzati.
Percorso della lista consentita: Per saperne di più, consulta l' aggiornamento della compatibilità di Uptycs GKE Autopilot. |
| Virtana |
Virtana Container Observability fornisce visibilità su Kubernetes, OpenShift e ambienti containerizzati. Basato sulla telemetria open source, aiuta i team a rilevare e risolvere i problemi, a ottimizzare l'utilizzo delle risorse e a mantenere le prestazioni. Percorsi delle liste consentite:
Per saperne di più, consulta Eseguire il deployment di Virtana sui cluster GKE Autopilot. |
| Sensore di runtime Wiz |
Il sensore di runtime Wiz fornisce funzionalità di rilevamento e risposta per i carichi di lavoro cloud. È un agente basato su eBPF che può essere eseguito il deployment nei cluster GKE per fornire visibilità e monitoraggio in tempo reale dei processi in esecuzione, delle connessioni di rete, dell'attività dei file e delle chiamate di sistema per rilevare, analizzare e rispondere a comportamenti dannosi che interessano il carico di lavoro.
Percorso della lista consentita: Per saperne di più, consulta la panoramica del sensore di runtime Wiz. |
Partner che non supportano le liste consentite
La tabella seguente descrive i partner i cui carichi di lavoro non supportano le liste consentite. Questi carichi di lavoro potrebbero avere meno funzionalità, ad esempio la mancanza di supporto per i registri di immagini privati.
| Partner | Descrizione |
|---|---|
| Aqua |
Aqua supporta la protezione e la conformità per l'intero ciclo di vita dei carichi di lavoro su GKE Autopilot e, in particolare, i pod Kubernetes, che eseguono più container con set condivisi di risorse di archiviazione e rete. Per saperne di più, consulta Proteggere i carichi di lavoro cloud-native su GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard fornisce sicurezza cloud-native unificata per applicazioni, carichi di lavoro e rete. Puoi utilizzarlo per gestire la tua security posture negli Google Cloud ambienti. Per saperne di più, consulta Eseguire l'onboarding dei cluster Kubernetes. |
| Elastic Cloud su Kubernetes (ECK) |
Basato sul pattern dell'operatore Kubernetes, Elastic Cloud su Kubernetes (ECK) estende le funzionalità di orchestrazione di base di Kubernetes per supportare la configurazione e la gestione di Elastic Stack su Kubernetes. Con Elastic Cloud su Kubernetes puoi gestire e monitorare più cluster, scalare la capacità e l'archiviazione dei cluster ed eseguire modifiche di configurazione sicure tramite upgrade in sequenza. Per saperne di più, consulta la guida rapida di ECK. |
| HashiCorp Consul |
HashiCorp Consul è una soluzione di rete di servizi per automatizzare le configurazioni di rete, rilevare i servizi e abilitare la connettività sicura tra gli ambienti, incluso GKE Autopilot. Per saperne di più, consulta le istruzioni di installazione di Consul per GKE Autopilot. |
| Kubecost |
Kubecost fornisce visibilità e insight sui costi in tempo reale per i team che utilizzano GKE, incluso Autopilot, aiutandoti a monitorare i costi di Kubernetes. Per saperne di più, consulta le istruzioni di installazione di Kubecost per GKE Autopilot. |
| Lacework |
Lacework fornisce visibilità e contesto per proteggere gli ambienti cloud ambienti utilizzando il machine learning. La piattaforma di sicurezza Lacework apprende il comportamento normale nel tuo ambiente cloud per aiutarti a individuare le minacce. Per saperne di più, consulta le istruzioni di installazione di Lacework per GKE Autopilot. |
| New Relic |
L'integrazione di New Relic Kubernetes ti offre osservabilità sullo stato e sulle prestazioni del tuo ambiente utilizzando l'agente dell'infrastruttura New Relic, che raccoglie i dati di telemetria dal tuo cluster utilizzando diverse integrazioni di New Relic, come l'integrazione degli eventi Kubernetes, l'agente Prometheus e il plug-in Kubernetes di New Relic Logs. Per saperne di più, consulta le istruzioni di installazione di New Relic per GKE Autopilot. |
| Splunk Observability Cloud |
Splunk Observability Cloud fornisce visibilità sulla composizione, sullo stato e sui problemi in corso all'interno di un cluster. Per saperne di più, consulta la guida all'installazione di Splunk Kubernetes. |