שותפים של טייס אוטומטי

Autopilot

בדף הזה מפורט מידע על ארגוני שותפים של Google Kubernetes Engine ‏ (GKE) במצב Autopilot, ועל עומסי העבודה המיוחדים שהם מציעים באשכולות Autopilot.

מהן עומסי עבודה של שותפים ב-Autopilot?

בדרך כלל, אשכולות במצב Autopilot ב-Google Kubernetes Engine‏ (GKE) לא מאפשרים עומסי עבודה שדורשים הרשאות מורחבות, כמו גישה אל /var/run, privileged: true או יכולות קבצים של Linux עם הרשאות גבוהות כמו NET_RAW ו-SYS_ADMIN.

החריגים להגבלה הזו הם עומסי עבודה של שותפים ב-Autopilot. קבוצת משנה של Google Cloud שותפים מספקת עומסי עבודה (workloads) עם הרשאות מיוחדות לאשכולות Autopilot. אתם יכולים לפרוס את עומסי העבודה של השותפים האלה כדי לעמוד בדרישות כמו איסוף מדדים ברמת הצומת בלי להפעיל קונטיינר sidecar בכל Pod.

סקירה כללית של תהליך הוספת כתובות לרשימת ההיתרים

כל עומס עבודה של שותף עובר תהליך בדיקה כדי לוודא שהוא עומד בדרישות הבסיסיות של GKE, כמו הרשאת הגישה המינימלית שנדרשת להפעלה תקינה, ושליטה מדויקת במשאבים שעומסי העבודה יכולים לגשת אליהם.

אנחנו נוקטים אמצעים כמו אלה כדי להגביל את היכולות של עומסי העבודה האלה שנפרסו:

מוודאים שהמאגרים נמשכים מהמיקום שאושר.
לדחות מפרטי Pod שלא תואמים למפרט שאושר.

אם אתם Google Cloud שותפים עם עומס עבודה של Autopilot שדורש הרשאות מורחבות וצריך להוסיף אותו לרשימת ההיתרים, פנו למנהל השותפים שלכם כדי לקבל מידע על תוכנית השותפים של Autopilot.

הפעלת עומסי עבודה של שותפים עם הרשאות מיוחדות ב-Autopilot

ב-GKE גרסה ‎1.32.2-gke.1652000 ואילך, חלק מהשותפים מספקים רשימות היתרים שתואמות לעומסי העבודה עם הרשאות היתר שלהם. אי אפשר להריץ את עומסי העבודה האלה באשכולות שלכם אלא אם תתקינו את רשימת ההיתרים המתאימה. היתרונות של השיטה הזו:

יש לכם שליטה מפורשת בשאלה אם עומס עבודה של שותף יכול לפעול באשכול שלכם.
‫GKE מסנכרן באופן אוטומטי את רשימות ההיתרים באשכול עם הגרסה העדכנית ממאגר בניהול Google שבו מאוחסנים קבצים של רשימות היתרים לעומסי עבודה של שותפים.
עומסי עבודה של שותפים שלא עומדים בקריטריונים המחמירים של רשימת היתרים מותקנת נדחים במהלך הפריסה.

מידע נוסף זמין במאמר הפעלת עומסי עבודה עם הרשאות מיוחדות משותפי GKE Autopilot.

עומסי עבודה של שותפים עם הרשאות מיוחדות שנוספו בין 2021 ל-2024 יכולים לפעול במצב טייס אוטומטי ללא רשימת היתרים. מפעילים של אשכולות שיש להם את ההרשאות המתאימות יכולים לפרוס את עומסי העבודה האלה באשכול שלכם בכל שלב.

תמחור

כל המשאבים שעומסי עבודה של שותפים יוצרים באשכולות Autopilot שלכם מחויבים בהתאם למודל התמחור של Autopilot. למידע על תמחור נוסף של פתרונות שותפים, אפשר לעיין במסמכי התיעוד של השותף הרלוונטי.

עומסי עבודה של שותפים בטייס אוטומטי

בקטעים הבאים מתוארים עומסי העבודה של השותפים ב-Autopilot. עומסי העבודה של השותפים שזמינים לכל אחד מהאשכולות תלויים בגרסת GKE של האשכול.

בטבלה הזו מתוארים רק שותפים Google Cloud שמפעילים עומסי עבודה של Autopilot שדורשים הרשאות מורחבות. לשותפים אחריםGoogle Cloud יש מוצרים שעובדים עם Autopilot בלי צורך בהרשאות מורחבות. רשימה מלאה של השותפים זמינה במדריך השותפים. Google Cloud

שותפים שתומכים ברשימות היתרים

בטבלה הבאה מתוארים שותפים שהעומסים שלהם זמינים להתקנה באמצעות רשימות היתרים. כל רשומה בטבלה הזו כוללת את הנתיב לרשימות ההיתרים של עומסי העבודה של השותף, שבהן אפשר להשתמש כדי להגדיר התקנה וסנכרון של רשימת היתרים עבור האשכול.

שותף	תיאור
מאפיין	‫Attribute מציעה טכנולוגיה של תיוג אפס שמנתחת נתוני זמן ריצה באמצעות eBPF כדי לחשוף באופן אוטומטי עלויות שמשויכות ללקוחות, לתכונות ולאפליקציות, כולל בהגדרות משותפות ובהגדרות של דיירים מרובים. המאפיין מספק תובנות בזמן אמת לאופטימיזציה של שולי הרווח, לאסטרטגיית התמחור ולשקיפות העלויות. נתיב רשימת ההיתרים: `Attribute/sensor/*` מידע נוסף זמין במדריך להתקנת מאפיינים ב-GKE Autopilot (נדרשת התחברות).
Checkmk	‫Checkmk עוזר לארגונים לעקוב אחרי המהימנות והזמינות של האפליקציות שלהם, לבצע אופטימיזציה של השימוש במשאבים ולטפל בבעיות שעלולות להתעורר. ‫Checkmk יכולה לגלות ולאסוף נתונים באופן אוטומטי בכל האשכול, וכך לספק תובנות לגבי הביצועים והתקינות של GKE Autopilot, ולהציג את המידע באמצעות לוחות בקרה. נתיב רשימת ההיתרים: `Checkmk/checkmk_kube_agent/*` מידע נוסף זמין במאמר הוראות להתקנת Checkmk ב-GKE Autopilot.
CrowdStrike Falcon	‫CrowdStrike Falcon עוזר לאבטח את תשתית הענן ולמנוע פרצות אבטחה באמצעות למידת מכונה ומודיעין איומים שמבוסס על פעולות אנושיות. כך אפשר לצמצם את שטח הפנים של ההתקפה ולספק נראות של אירועים בסביבה. חיישן מרחב המשתמש של CrowdStrike Falcon מספק נראות והגנה ל-GKE Autopilot באמצעות סוכן יחיד, ומגן גם על הצומת וגם על הקונטיינרים שפועלים בו. נתיב רשימת ההיתרים: `CrowdStrike/falcon-sensor/*` מידע נוסף זמין במדריך הפריסה של CrowdStrike Falcon ל-GKE (נדרשת התחברות).
Datadog	‫Datadog מספקת תובנות לגבי אפליקציות מבוססות קונטיינרים שפועלות ב-GKE Autopilot על ידי איסוף מדדים, יומנים ונתוני מעקב. כך אפשר לזהות בעיות בביצועים ולקבל הקשר לפתרון בעיות. נתיב רשימת ההיתרים: `Datadog/datadog/*` מידע נוסף זמין במאמר מעקב אחרי GKE Autopilot באמצעות Datadog.
Dynatrace	‫Dynatrace מספקת יכולות ניטור (observability) ברמה שמתאימה לארגונים לצורך מודרניזציה של פלטפורמת האבטחה ומעבר לענן, עם גילוי בזמן אמת והקשר סיבתי מבוסס-AI. אתם יכולים לפרוס את Dynatrace OneAgent בסביבת Google Cloud כדי לקבל תובנות אוטומטיות לגבי השימוש באשכולות GKE והביצועים שלהם. נתיבים ברשימת ההיתרים: `Dynatrace/csidriver/` `Dynatrace/csijob/` `Dynatrace/logmonitoring/*` מידע נוסף זמין ב הוראות ההתקנה של Dynatrace ל-GKE Autopilot.
Gremlin	‫Gremlin עוזר לארגונים לבנות מערכות אמינות יותר על ידי זיהוי נקודות כשל פוטנציאליות וטיפול בהן. הפלטפורמה מותאמת לענן ומשתלבת עם Google Cloud, ומאפשרת לצוותי DevOps לבדוק את האמינות ולזהות סיכונים בתשתית הענן ובאפליקציות. נתיב רשימת ההיתרים: `Gremlin/agent/*` מידע נוסף זמין במאמר בנושא התקנת Gremlin ב-GKE Autopilot.
רתמה	בעזרת Chaos Engineering אתם יכולים להוסיף תקלות לאפליקציות ולתשתית כדי לבדוק את העמידות של שירותים עסקיים. הפלטפורמה מספקת כלים לבניית תהליך בדיקה של עמידות שניתן להרחבה, עם תכונות כמו Experiments,‏ ChaosGuard לניהול והמלצות מבוססות-AI. היא כוללת גם יכולות ארגוניות כמו RBAC,‏ SSO וביקורת. נתיב רשימת ההיתרים: `Harness/allowlists/*` מידע נוסף זמין ב מאמרי העזרה בנושא Harness Chaos Engineering ל-GKE Autopilot.
Kodem	‫Kodem משלב ניתוח קוד וניתוח בזמן ריצה כדי לספק לצוותי אבטחה תובנות הקשריות. ‫Kodem מספקת נראות בקוד המקור, בקונטיינרים, במערכת ההפעלה ובזיכרון, כדי לעזור לזהות נקודות תורפה שניתן לנצל. התובנות האלה עוזרות לצוותי האבטחה לתעדף את הפעולות, לקבוע את שורש הבעיה ולתקן או לצמצם את הסיכונים. נתיבים ברשימת ההיתרים: `Kodem-Security/koltan/` `Kodem-Security/komon/` למידע נוסף, אפשר לעיין במאמר בנושא Kodem Security Runtime sensors for GKE Autopilot (נדרשת התחברות).
חיישן Orca	‫Orca Sensor הוא חיישן מבוסס-eBPF שאפשר לפרוס אותו באשכולות GKE Autopilot כדי לספק נראות והגנה בזמן ריצה שמשולבות בפלטפורמת האבטחה Orca Cloud. נתיב רשימת ההיתרים: `Orca-Security/orca-allowlist/*` מידע נוסף זמין במדריך להתקנת Orca Sensor (נדרשת התחברות).
‫Prisma Cloud של Palo Alto Networks	ה-Defenders של Prisma Cloud DaemonSet אוכפים את המדיניות בסביבה שלכם. ב-Prisma Cloud Radar מוצגת ויזואליזציה של הצמתים והאשכולות שלכם, כדי שתוכלו לזהות סיכונים ולחקור אירועים. נתיב רשימת ההיתרים: `Palo-Alto-Networks/prisma-cloud-defender/*` מידע נוסף זמין במדריך להתקנת Prisma Cloud Kubernetes.
SentinelOne Cloud Workload Security for Containers	‫SentinelOne מספקת פתרון להגנה מפני איומים שמבוסס על AI לעומסי עבודה מבוססי-קונטיינרים. הפתרון הזה מאפשר לכם לעקוב אחרי איומים שמבוססים על תהליכים, קבצים וקובצי הפעלה, לזהות אותם ולנתח אותם בצמתים ובקונטיינרים באשכולות GKE Autopilot. נתיב רשימת ההיתרים: `SentinelOne/s1-agent/*` מידע נוסף זמין במדריך להתקנת SentinelOne Kubernetes (נדרשת כניסה).
Steadybit	‫Steadybit היא פלטפורמה להנדסת כאוס שעוזרת לצוותים לשפר את המהימנות והחוסן של המערכות שלהם על ידי הזרקת כשלים ובדיקה של תגובת האפליקציות. הוא מציע כלי אוטומציה לסימול שיבושים בסביבות מבוססות-ענן. נתיב רשימת ההיתרים: `Steadybit/extension-container/*` מידע נוסף זמין במאמר בנושא Steadybit ב-GKE Autopilot.
Sysdig Secure DevOps Platform	פלטפורמת Sysdig Secure Devops עוזרת לכם להטמיע שיטות לאבטחת קונטיינרים באשכולות GKE Autopilot, כולל ניטור ואבטחה של עומסי עבודה באמצעות סוכן Sysdig. הסוכן של Sysdig הוא רכיב מארח שמעבד קריאות למערכת, יוצר קובצי לכידה ומבצע ביקורת ותאימות. נתיב רשימת ההיתרים: `Sysdig/agent/*` למידע נוסף, אפשר לעיין במאמר בנושא חשיפה ואבטחה ב-GKE Autopilot.
Trend Micro	‫Trend Vision One Container Security מספק הגנה על קונטיינרים משלב הפיתוח ועד הפריסה ובסביבת הייצור. הוא עוזר למנוע פגיעויות, מתקפות וטעויות בהגדרות של אפליקציות מבוססות-קונטיינרים לפני זמן הריצה ובמהלכו. נתיב רשימת ההיתרים: `Trend-Vision-One/trendmicro-scout/*` מידע נוסף זמין במדריך להתקנת Trend Vision One ל-Container Security ב-GKE.
Upwind	‫Upwind היא פלטפורמת אבטחה בענן שמשתמשת בהקשר של זמן הריצה כדי לזהות סיכונים, איומים ותובנות מתשתיות ענן ומעומסי עבודה. החיישן מבוסס-eBPF עבור אשכולות GKE Autopilot מספק הקשר בזמן ריצה לניהול מצב האבטחה, זיהוי איומים בזמן אמת ואמצעי הגנה, כדי לעזור להבטיח אבטחה. נתיב רשימת ההיתרים: `Upwind/upwind-agent/*` מידע נוסף זמין במאמר עדכון בנושא תאימות של Upwind ל-GKE Autopilot.
Uptycs	פלטפורמת האבטחה של Uptycs Container עוזרת לכם להטמיע שיטות מומלצות לאבטחה של אשכולות GKE Autopilot באמצעות פתרון הניטור שלה שמבוסס על חיישן זמן ריצה של eBPF. הפלטפורמה מספקת נראות של תהליכים, חיבורים ואמצעי בקרה של RBAC ב-Kubernetes, באמצעות ניטור לצורכי אבטחה, יכולות תאימות וזיהוי איומים בעומסי עבודה ובצמתים מבוססי-קונטיינרים. נתיב רשימת ההיתרים: `Uptycs/uptycs-runtime-sensor/*` מידע נוסף זמין במאמר Uptycs GKE Autopilot compatibility update.
Virtana	‫Virtana Container Observability מספקת תובנות לגבי סביבות של Kubernetes,‏ OpenShift וקונטיינרים. הכלי מבוסס על טלמטריה בקוד פתוח, ועוזר לצוותים לזהות ולפתור בעיות, לבצע אופטימיזציה של השימוש במשאבים ולשמור על הביצועים. נתיבים ברשימת ההיתרים: `Virtana/cadvisor/` `Virtana/node-exporter/` מידע נוסף זמין במאמר בנושא פריסת Virtana באשכולות GKE Autopilot.
Wiz Runtime Sensor	חיישן Wiz Runtime מספק יכולות זיהוי ותגובה לעומסי עבודה בענן. זהו סוכן מבוסס eBPF שאפשר לפרוס באשכולות GKE כדי לספק נראות בזמן אמת ומעקב אחרי תהליכים שפועלים, חיבורי רשת, פעילות בקבצים וקריאות למערכת, במטרה לזהות התנהגות זדונית שמשפיעה על עומס העבודה, לחקור אותה ולתת עליה מענה. נתיב רשימת ההיתרים: `Wiz/wiz-sensor/*` מידע נוסף זמין במאמר סקירה כללית על Wiz Runtime Sensor.

שותפים שלא תומכים ברשימות היתרים

בטבלה הבאה מתוארים שותפים שעומסי העבודה שלהם לא תומכים ברשימות היתרים. יכול להיות שבעומסי העבודה האלה יהיו פחות תכונות, למשל חוסר תמיכה במאגרי תמונות פרטיים.

שותף	תיאור
טורקיז	‫Aqua תומכת באבטחה ובציות לכל מחזור החיים של עומסי עבודה ב-GKE Autopilot, ובאופן ספציפי בתרמילי Kubernetes שמריצים כמה קונטיינרים עם קבוצות משותפות של משאבי אחסון ורשת. מידע נוסף זמין במאמר בנושא הגנה על עומסי עבודה מקוריים בענן ב-GKE Autopilot.
Check Point CloudGuard	‫Check Point CloudGuard מספק אבטחה מאוחדת ומותאמת לענן באפליקציות, בעומסי העבודה וברשת שלכם. אפשר להשתמש בו כדי לנהל את מצב האבטחה בסביבות Google Cloud. מידע נוסף זמין במאמר בנושא צירוף אשכולות Kubernetes.
Elastic Cloud on Kubernetes (ECK)	‫Elastic Cloud on Kubernetes‏ (ECK) מבוסס על דפוס Kubernetes Operator, ומרחיב את יכולות התזמור הבסיסיות של Kubernetes כדי לתמוך בהגדרה ובניהול של Elastic Stack ב-Kubernetes. עם Elastic Cloud on Kubernetes אפשר לנהל ולנטר כמה אשכולות, לשנות את הקיבולת והאחסון של האשכולות ולבצע שינויים בטוחים בהגדרות באמצעות שדרוגים מתגלגלים. מידע נוסף זמין במאמר מדריך למתחילים ל-ECK.
HashiCorp Consul	‫HashiCorp Consul הוא פתרון לניהול רשתות שירותים, שמאפשר להפוך את הגדרות הרשת לאוטומטיות, לגלות שירותים ולאפשר קישוריות מאובטחת בין סביבות, כולל GKE Autopilot. מידע נוסף זמין בהוראות להתקנת Consul ב-GKE Autopilot.
Kubecost	‫Kubecost מספק לצוותים שמשתמשים ב-GKE, כולל Autopilot, תובנות ונתונים על עלויות בזמן אמת, ועוזר לכם לעקוב אחרי העלויות של Kubernetes. מידע נוסף זמין בהוראות ההתקנה של Kubecost ל-GKE Autopilot.
תחרה	‫Lacework מספקת נראות והקשר להגנה על סביבות ענן באמצעות למידת מכונה. פלטפורמת האבטחה של Lacework לומדת את ההתנהגות הרגילה בסביבת הענן שלכם כדי לעזור לכם לזהות איומים. מידע נוסף זמין בהוראות ההתקנה של Lacework ל-GKE Autopilot.
New Relic	השילוב של New Relic Kubernetes מאפשר לכם לקבל תובנות לגבי הבריאות והביצועים של הסביבה שלכם באמצעות סוכן התשתית של New Relic, שאוסף נתוני טלמטריה מהאשכול שלכם באמצעות כמה שילובים של New Relic, כמו שילוב האירועים של Kubernetes, ‏ Prometheus Agent והתוסף New Relic Logs Kubernetes. מידע נוסף זמין בהוראות ההתקנה של New Relic ל-GKE Autopilot.
Splunk Observability Cloud	‫Splunk Observability Cloud מספק תובנות לגבי ההרכב, המצב והבעיות השוטפות באשכול. מידע נוסף זמין במדריך ההתקנה של Splunk Kubernetes.

שותפים של טייס אוטומטי קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.