本頁面提供 Google Kubernetes Engine (GKE) Autopilot 合作夥伴機構的相關資訊,以及這些機構在 Autopilot 叢集中提供的專門工作負載。
什麼是 Autopilot 合作夥伴工作負載?
Google Kubernetes Engine (GKE) Autopilot 叢集通常不允許需要提升權限的工作負載,例如存取 /var/run、privileged: true 或高權限 Linux 檔案功能 (如 NET_RAW 和 SYS_ADMIN)。
這項限制的例外情況是 Autopilot 合作夥伴工作負載。部分Google Cloud 合作夥伴會為 Autopilot 叢集提供具有特殊權限的工作負載。您可以部署這些合作夥伴工作負載,以滿足相關需求,例如收集節點層級指標,不必在每個 Pod 中執行 Sidecar 容器。
許可清單程序總覽
每個合作夥伴工作負載都會經過審查程序,確保符合 GKE 的基本要求,例如具備正確執行所需的最低權限,以及對工作負載可存取的資源進行精細控管。
我們會採取下列措施,限制這些已部署工作負載的功能:
- 確認容器是從核准位置提取。
- 拒絕不符合核准規格的 Pod 規格。
如果您是 Google Cloud 合作夥伴,且 Autopilot 工作負載需要提升權限並加入允許清單,請洽詢合作夥伴經理,瞭解 Autopilot 合作夥伴計畫。
在 Autopilot 中執行具備權限的合作夥伴工作負載
在 GKE 1.32.2-gke.1652000 以上版本中,部分合作夥伴會提供與其具備權限的工作負載相應的允許清單。除非您安裝對應的許可清單,否則這些工作負載無法在叢集中執行。這個方法有以下優點:
- 您可以明確控管合作夥伴工作負載是否能在叢集中執行。
- GKE 會自動將叢集中的允許清單,與 Google 管理存放區的最新版本同步,該存放區會儲存合作夥伴工作負載的允許清單檔案。
- 如果合作夥伴工作負載不符合已安裝允許清單的嚴格條件,系統會在部署期間拒絕。
詳情請參閱「從 GKE Autopilot 合作夥伴執行具備權限的工作負載」。
2021 年至 2024 年間新增的特許合作夥伴工作負載,可在自動駕駛模式下執行,不必加入許可清單。只要具備相應權限,叢集運算子隨時都能在叢集部署這些工作負載。
定價
合作夥伴工作負載在 Autopilot 叢集中建立的任何資源,都會按照 Autopilot 定價模式計費。 如要瞭解合作夥伴解決方案的額外定價資訊,請參閱相關合作夥伴的說明文件。
Autopilot 合作夥伴工作負載
以下各節說明 Autopilot 的合作夥伴工作負載。每個叢集可用的合作夥伴工作負載,取決於叢集的 GKE 版本。
下表僅說明需要提高權限的 Autopilot 工作負載合作夥伴。 Google Cloud 其他Google Cloud 合作夥伴的產品也適用於 Autopilot,且不需要提升權限。如需合作夥伴完整清單,請參閱 Google Cloud合作夥伴目錄。
支援允許清單的合作夥伴
下表列出可透過許可清單安裝工作負載的合作夥伴。這個表格中的每個項目都包含合作夥伴工作負載許可清單的路徑,可用於為叢集設定許可清單安裝和同步。
| 合作夥伴 | 說明 |
|---|---|
| 屬性 |
Attribute 提供零標記技術,可使用 eBPF 分析執行階段資料,自動顯示與客戶、功能和應用程式相關聯的費用,包括共用和多租戶設定。這項屬性提供即時洞察資料,有助於提升利潤、制定定價策略,以及追蹤成本。
許可清單路徑: 詳情請參閱 GKE Autopilot 的屬性安裝指南 (需要登入)。 |
| Checkmk |
Checkmk 可協助機構監控應用程式的可靠性和可用性、盡可能提高資源使用效率,並解決可能發生的問題。Checkmk 可自動探索及收集叢集資料,讓您掌握 GKE Autopilot 的效能和健康狀態,並透過資訊主頁將資訊視覺化。
許可清單路徑: |
| CrowdStrike Falcon |
CrowdStrike Falcon 運用機器學習和人為驅動的威脅情報,減少受攻擊面並提供環境中的事件顯示設定,協助保護雲端基礎架構並防止資料外洩。CrowdStrike Falcon 的使用者空間感應器可透過單一代理程式,為 GKE Autopilot 提供顯示設定和保護功能,同時保護節點和在節點上執行的容器。
許可清單路徑: |
| Datadog |
Datadog 會收集指標、記錄和追蹤記錄,提供在 GKE Autopilot 上執行的容器化應用程式相關資訊,協助找出效能問題,並提供疑難排解的背景資訊。
許可清單路徑: 詳情請參閱「使用 Datadog 監控 GKE Autopilot」。 |
| Dynatrace |
Dynatrace 提供企業級可觀測性,可即時探索及運用 AI 輔助因果關係脈絡,協助您完成資安平台現代化和雲端採用作業。您可以在 Google Cloud 環境中部署 Dynatrace OneAgent,自動取得 GKE 叢集的使用情況和效能洞察資訊。 許可清單路徑:
|
| Gremlin |
Gremlin 可找出並解決潛在的故障點,協助企業建構更可靠的系統。這個雲端原生平台可與 Google Cloud整合,讓開發運作團隊測試可靠性,並偵測雲端基礎架構和應用程式的風險。
許可清單路徑: 詳情請參閱「 在 GKE Autopilot 上安裝 Gremlin」。 |
| 胸背帶 |
您可以運用 Chaos Engineering,在應用程式和基礎架構中引入錯誤,測試業務服務的韌性。這個平台提供各種工具,協助您建立可擴充的韌性測試做法,包括實驗、用於控管的 ChaosGuard,以及 AI 輔助建議等功能。此外,這項服務也提供企業級功能,例如 RBAC、SSO 和稽核。
許可清單路徑: |
| Orca 感應器 |
Orca Sensor 是以 eBPF 為基礎的感應器,可部署至 GKE Autopilot 叢集,提供與 Orca Cloud Security Platform 整合的執行階段可視性和保護功能。
許可清單路徑: 詳情請參閱 Orca 感應器安裝指南 (須登入)。 |
| Palo Alto Networks 的 Prisma Cloud |
Prisma Cloud DaemonSet Defender 會強制執行環境政策。Prisma Cloud Radar 會顯示節點和叢集的視覺化資料,方便您找出風險並調查事件。
許可清單路徑: 詳情請參閱 Prisma Cloud Kubernetes 安裝指南。 |
| SentinelOne Cloud Workload Security for Containers |
SentinelOne 提供 AI 輔助的威脅防護解決方案,可保護容器化工作負載。這項解決方案可讓您監控、偵測及分析 GKE Autopilot 叢集節點和容器中的程序、檔案和二進位檔威脅。
許可清單路徑: |
| Steadybit |
Steadybit 是混亂工程平台,可協助團隊注入失敗並測試應用程式的回應方式,進而提升系統的穩定性和韌性。這項服務提供自動化工具,可模擬雲端原生環境中的中斷情形。
許可清單路徑: 詳情請參閱「GKE Autopilot 上的 Steadybit」。 |
| Sysdig Secure DevOps Platform |
Sysdig Secure Devops Platform 可協助您在 GKE Autopilot 叢集中導入容器安全做法,包括使用 Sysdig 代理程式監控及保護工作負載。Sysdig 代理程式是主機元件,可處理系統呼叫、建立擷取檔案,以及執行稽核和法規遵循作業。
許可清單路徑: 詳情請參閱「GKE Autopilot 的可見度和安全性」。 |
| 趨勢科技 |
Trend Vision One Container Security 可在容器從開發到部署的整個過程,以及實際工作環境中提供保護。有助於防止容器化應用程式在執行前和執行期間發生安全漏洞、遭到攻擊及設定錯誤。
許可清單路徑: 詳情請參閱「Trend Vision One installation guide for Container Security on GKE」。 |
| Upwind |
Upwind 雲端安全平台會使用執行階段情境,從雲端基礎架構和工作負載中找出風險、威脅和洞察資訊。這項服務以 eBPF 為基礎,為 GKE Autopilot 叢集提供感應器,可提供執行階段環境資訊,以利進行安全狀態管理、即時偵測威脅,並採取防禦措施,確保安全無虞。
許可清單路徑: 詳情請參閱「Upwind GKE Autopilot 相容性更新」。 |
| Uptycs |
Uptycs 容器安全平台提供以 eBPF 執行階段感應器為基礎的監控解決方案,可協助您為 GKE Autopilot 叢集導入安全防護最佳做法。這個平台提供安全監控、法規遵循功能,以及容器化工作負載和節點的威脅偵測功能,可讓您掌握程序、連線和 Kubernetes RBAC 安全控管措施。
許可清單路徑: 詳情請參閱「Uptycs GKE Autopilot 相容性更新」。 |
| Virtana |
Virtana Container Observability 可讓您掌握 Kubernetes、OpenShift 和容器化環境的狀況。這項功能以開放原始碼遙測技術為基礎,可協助團隊偵測及解決問題、盡可能減少資源用量,並維持效能。 許可清單路徑:
詳情請參閱「在 GKE Autopilot 叢集上部署 Virtana」。 |
| Wiz Runtime Sensor |
Wiz 執行階段感應器可為雲端工作負載提供偵測與回應功能。這項代理程式以 eBPF 為基礎,可部署至 GKE 叢集,即時監控及掌握執行中的程序、網路連線、檔案活動和系統呼叫,藉此偵測、調查及回應影響工作負載的惡意行為。
許可清單路徑: 詳情請參閱「Wiz 執行階段感應器總覽」。 |
不支援允許清單的合作夥伴
下表說明工作負載不支援許可清單的合作夥伴。這些工作負載的功能可能較少,例如不支援私有映像檔登錄。
| 合作夥伴 | 說明 |
|---|---|
| Aqua |
Aqua 支援在 GKE Autopilot 上,確保工作負載完整生命週期的安全和合規性,特別是 Kubernetes Pod,這些 Pod 會執行多個容器,並共用儲存空間和網路資源集。 詳情請參閱「Protecting Cloud Native Workloads on GKE Autopilot」(保護 GKE Autopilot 上的雲端原生工作負載)。 |
| Check Point CloudGuard |
Check Point CloudGuard 可為應用程式、工作負載和網路提供統一的雲端原生安全防護。您可以使用這項服務,管理各環境的安全性狀態 Google Cloud。 詳情請參閱「加入 Kubernetes 叢集」。 |
| Kubernetes 上的 Elastic Cloud (ECK) |
Elastic Cloud on Kubernetes (ECK) 以 Kubernetes Operator 模式為基礎建構而成,可擴充基本 Kubernetes 自動化調度功能,支援在 Kubernetes 上設定及管理 Elastic Stack。透過 Kubernetes 上的 Elastic Cloud,您可以管理及監控多個叢集、擴充叢集容量和儲存空間,以及透過滾動升級執行安全的設定變更。 詳情請參閱 ECK 快速入門導覽課程。 |
| HashiCorp Consul |
HashiCorp Consul 是一項服務網路解決方案,可自動設定網路、探索服務,並在各個環境 (包括 GKE Autopilot) 中啟用安全連線。 |
| Kubecost |
Kubecost 可為使用 GKE (包括 Autopilot) 的團隊提供即時費用資訊和洞察資料,協助您監控 Kubernetes 費用。 |
| Lacework |
Lacework 運用機器學習技術,提供雲端環境的相關資訊和情境,協助防禦威脅。Lacework 安全性平台會學習雲端環境中的正常行為,協助您發現威脅。 |
| New Relic |
New Relic Kubernetes 整合服務會使用 New Relic 基礎架構代理程式,從叢集收集遙測資料,並透過 Kubernetes 事件整合、Prometheus 代理程式和 New Relic Logs Kubernetes 外掛程式等多項 New Relic 整合服務,提供環境健康狀態和效能的觀測資料。 |
| Splunk Observability Cloud |
Splunk Observability Cloud 可讓您掌握叢集內的組成、狀態和持續發生的問題。 詳情請參閱 Splunk Kubernetes 安裝指南。 |