Questa pagina fornisce informazioni sulle organizzazioni partner di Google Kubernetes Engine (GKE) Autopilot e sui carichi di lavoro specializzati che rendono disponibili nei cluster Autopilot.
Che cosa sono i workload partner Autopilot?
I cluster Google Kubernetes Engine (GKE) Autopilot di solito non consentono carichi di lavoro che richiedono privilegi elevati, come l'accesso a /var/run, privileged: true o funzionalità di file Linux con privilegi elevati come NET_RAW e SYS_ADMIN.
Le eccezioni a questa limitazione sono i workload dei partner Autopilot. Un sottoinsieme di Google Cloud partner fornisce carichi di lavoro con privilegi speciali per i cluster Autopilot. Puoi eseguire il deployment di questi carichi di lavoro partner per soddisfare requisiti come la raccolta di metriche a livello di nodo senza dover eseguire un container sidecar in ogni pod.
Panoramica della procedura di inclusione nella lista consentita
Ogni workload partner viene sottoposto a un processo di revisione per garantire che soddisfi i requisiti di base per GKE, ad esempio che disponga della quantità minima di autorizzazioni necessarie per funzionare correttamente e di un controllo granulare sulle risorse a cui i workload possono accedere.
Adottiamo misure come le seguenti per limitare le funzionalità di questi workload di cui è stato eseguito il deployment:
- Verifica che i container vengano estratti dalla posizione approvata.
- Rifiuta le specifiche del pod che non corrispondono a quelle approvate.
Se sei un Google Cloud partner con un workload Autopilot che richiede privilegi elevati e deve essere aggiunto a una lista consentita, contatta il tuo partner manager per informazioni sul programma per i partner Autopilot.
Esegui carichi di lavoro partner privilegiati in Autopilot
In GKE 1.32.2-gke.1652000 e versioni successive, alcuni partner forniscono liste consentite che corrispondono ai loro carichi di lavoro privilegiati. Questi workload non possono essere eseguiti nei cluster a meno che non installi la lista consentita corrispondente. Questo metodo presenta i seguenti vantaggi:
- Hai il controllo esplicito sulla possibilità di eseguire un workload partner nel tuo cluster.
- GKE sincronizza automaticamente le liste consentite nel cluster con l'ultima versione di un repository gestito da Google che archivia i file delle liste consentite per i carichi di lavoro dei partner.
- I carichi di lavoro dei partner che non soddisfano i criteri rigorosi di una consente installata vengono rifiutati durante il deployment.
Per saperne di più, consulta Esegui workload privilegiati dai partner GKE Autopilot.
I workload dei partner privilegiati aggiunti tra il 2021 e il 2024 possono essere eseguiti in modalità Autopilota senza una lista consentita. Gli operatori del cluster che dispongono delle autorizzazioni corrispondenti possono eseguire il deployment di questi carichi di lavoro nel cluster in qualsiasi momento.
Prezzi
Le risorse create dai carichi di lavoro partner nei cluster Autopilot vengono fatturate in base al modello di prezzi di Autopilot. Per informazioni su eventuali prezzi aggiuntivi per le soluzioni partner, consulta la documentazione del partner pertinente.
Workload dei partner Autopilot
Le sezioni seguenti descrivono i carichi di lavoro partner per Autopilot. I carichi di lavoro partner disponibili per ciascun cluster dipendono dalla versione GKE del cluster.
Questa tabella descrive solo i partner Google Cloud che dispongono di workload Autopilot che richiedono privilegi elevati. Altri partnerGoogle Cloud hanno prodotti che funzionano con Autopilot senza richiedere privilegi elevati. Per un elenco completo dei partner Google Cloud, consulta la directory dei partner.
Partner che supportano le liste consentite
La seguente tabella descrive i partner i cui workload sono disponibili per l'installazione con le liste consentite. Ogni voce di questa tabella include il percorso delle liste consentite dei workload di un partner, che puoi utilizzare per configurare l'installazione e la sincronizzazione delle liste consentite per il tuo cluster.
| Partner | Descrizione |
|---|---|
| Attributo |
Attribute offre una tecnologia di tagging zero che analizza i dati di runtime con eBPF per rivelare automaticamente i costi associati a clienti, funzionalità e app, anche in configurazioni condivise e multi-tenant. Attribute fornisce approfondimenti in tempo reale per l'ottimizzazione del margine, la strategia di determinazione dei prezzi e la responsabilità dei costi.
Percorso della lista consentita: Per maggiori informazioni, consulta la Guida all'installazione degli attributi per GKE Autopilot (accesso richiesto). |
| Checkmk |
Checkmk aiuta le organizzazioni a monitorare l'affidabilità e la disponibilità delle proprie applicazioni, a ottimizzare l'utilizzo delle risorse e a risolvere i problemi che potrebbero sorgere. Checkmk può rilevare e raccogliere automaticamente i dati a livello di cluster, fornendo visibilità sulle prestazioni e sull'integrità di GKE Autopilot e visualizzando le informazioni con dashboard.
Percorso della lista consentita: Per maggiori informazioni, consulta Istruzioni di installazione di Checkmk per GKE Autopilot. |
| CrowdStrike Falcon |
CrowdStrike Falcon aiuta a proteggere l'infrastruttura cloud e a prevenire le violazioni sfruttando il machine learning e l'intelligence sulle minacce basata sull'intervento umano per ridurre la superficie di attacco e fornire visibilità degli eventi nell'ambiente. Il sensore dello spazio utente di CrowdStrike Falcon fornisce visibilità e protezione per GKE Autopilot utilizzando un singolo agente, proteggendo sia il nodo sia i container in esecuzione.
Percorso della lista consentita: Per saperne di più, consulta la Guida all'implementazione di CrowdStrike Falcon per GKE (è necessario l'accesso). |
| Datadog |
Datadog offre visibilità sulle app in container in esecuzione su GKE Autopilot raccogliendo metriche, log e tracce, il che aiuta a identificare i problemi di rendimento e a fornire il contesto per la risoluzione dei problemi.
Percorso della lista consentita: Per saperne di più, consulta Monitorare GKE Autopilot con Datadog. |
| Dynatrace |
Dynatrace fornisce l'osservabilità aziendale per la modernizzazione della piattaforma di sicurezza e l'adozione del cloud con rilevamento in tempo reale e contesto causale basato sull'AI. Puoi eseguire il deployment di Dynatrace OneAgent nel tuo ambiente Google Cloud per ottenere approfondimenti automatizzati sull'utilizzo e sul rendimento dei tuoi cluster GKE. Percorsi della lista consentita:
Per maggiori informazioni, consulta le istruzioni di installazione di Dynatrace per GKE Autopilot. |
| Gremlin |
Gremlin aiuta le aziende a creare sistemi più affidabili identificando e risolvendo i potenziali punti di errore. La sua piattaforma cloud-native si integra con Google Cloud, consentendo ai team DevOps di testare l'affidabilità e rilevare i rischi nell'infrastruttura e nelle applicazioni cloud.
Percorso della lista consentita: Per maggiori informazioni, consulta Installazione di Gremlin su GKE Autopilot. |
| Harness |
Harness Chaos Engineering ti consente di introdurre errori nelle applicazioni e nell'infrastruttura per testare la resilienza dei servizi aziendali. La piattaforma fornisce strumenti per creare una pratica di test di resilienza scalabile, con funzionalità come esperimenti, ChaosGuard per la governance e consigli basati sull'AI. Offre inoltre funzionalità aziendali come RBAC, SSO e controllo.
Percorso della lista consentita: Per saperne di più, consulta la documentazione di Harness Chaos Engineering per GKE Autopilot. |
| Kodem |
Kodem integra l'analisi del codice e del runtime per fornire ai team di sicurezza informazioni contestuali. Kodem offre visibilità su codice sorgente, container, sistema operativo e memoria per aiutarti a identificare le vulnerabilità sfruttabili. Questa visibilità aiuta i team di sicurezza a dare la priorità, determinare la causa principale e risolvere o mitigare i rischi. Percorsi della lista consentita:
Per maggiori informazioni, consulta Sensori di runtime di sicurezza Kodem per GKE Autopilot (accesso richiesto). |
| Sensore Orca |
Orca Sensor è un sensore basato su eBPF che può essere implementato nei cluster GKE Autopilot per fornire visibilità e protezione in fase di runtime integrate con la piattaforma di sicurezza Orca Cloud.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione del sensore Orca (è necessario l'accesso). |
| Prisma Cloud di Palo Alto Networks |
I DaemonSet Defenders di Prisma Cloud applicano i criteri per il tuo ambiente. Prisma Cloud Radar mostra una visualizzazione dei nodi e dei cluster per consentirti di identificare i rischi e analizzare gli incidenti.
Percorso della lista consentita: Per saperne di più, consulta la guida all'installazione di Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
SentinelOne fornisce una soluzione di protezione dalle minacce basata sull'AI per i workload containerizzati. Questa soluzione ti consente di monitorare, rilevare e analizzare le minacce basate su processi, file e binari in nodi e container all'interno dei cluster GKE Autopilot.
Percorso della lista consentita: Per ulteriori informazioni, consulta la guida all'installazione di SentinelOne Kubernetes (accesso richiesto). |
| Steadybit |
Steadybit è una piattaforma per il chaos engineering che aiuta i team a migliorare l'affidabilità e la resilienza dei loro sistemi inserendo errori e testando la risposta delle applicazioni. Offre strumenti di automazione per simulare interruzioni negli ambienti cloud-native.
Percorso della lista consentita: Per maggiori informazioni, consulta Steadybit su GKE Autopilot. |
| Piattaforma DevOps sicura Sysdig |
La piattaforma Sysdig Secure DevOps ti aiuta a implementare pratiche di sicurezza dei container nei tuoi cluster GKE Autopilot, tra cui il monitoraggio e la protezione dei carichi di lavoro utilizzando l'agente Sysdig. L'agente Sysdig è un componente host che elabora le chiamate di sistema, crea file di acquisizione ed esegue audit e conformità.
Percorso della lista consentita: Per maggiori informazioni, consulta Visibilità e sicurezza per GKE Autopilot. |
| Trend Micro |
Trend Vision One Container Security offre protezione per i container dallo sviluppo al deployment e in produzione. Aiuta a prevenire vulnerabilità, attacchi e configurazioni errate pre-runtime e runtime nelle applicazioni containerizzate.
Percorso della lista consentita: Per maggiori informazioni, consulta la guida all'installazione di Trend Vision One per Container Security su GKE. |
| Upwind |
Upwind è una piattaforma di sicurezza cloud che utilizza il contesto di runtime per identificare rischi, minacce e approfondimenti dall'infrastruttura e dai carichi di lavoro cloud. Il suo sensore basato su eBPF per i cluster GKE Autopilot fornisce il contesto di runtime per la gestione della postura, il rilevamento delle minacce in tempo reale e le misure di difesa, per contribuire a garantire la sicurezza.
Percorso della lista consentita: Per maggiori informazioni, consulta Aggiornamento della compatibilità di GKE Autopilot Upwind. |
| Uptycs |
La piattaforma Uptycs Container Security ti aiuta a implementare le best practice di sicurezza per i cluster GKE Autopilot tramite la sua soluzione di monitoraggio basata su sensori eBPF runtime. La piattaforma offre visibilità su processi, connessioni e controlli di sicurezza RBAC di Kubernetes fornendo monitoraggio della sicurezza, funzionalità di conformità e rilevamento delle minacce in nodi e carichi di lavoro containerizzati.
Percorso della lista consentita: Per ulteriori informazioni, consulta l'aggiornamento sulla compatibilità di Uptycs GKE Autopilot. |
| Virtana |
Virtana Container Observability offre visibilità su Kubernetes, OpenShift e ambienti containerizzati. Basato sulla telemetria open source, aiuta i team a rilevare e risolvere i problemi, ottimizzare l'utilizzo delle risorse e mantenere le prestazioni. Percorsi della lista consentita:
Per saperne di più, consulta Esegui il deployment di Virtana sui cluster GKE Autopilot. |
| Sensore di runtime Wiz |
Wiz Runtime Sensor fornisce funzionalità di rilevamento e risposta per i carichi di lavoro cloud. Si tratta di un agente basato su eBPF che può essere implementato nei cluster GKE per fornire visibilità e monitoraggio in tempo reale di processi in esecuzione, connessioni di rete, attività dei file e chiamate di sistema per rilevare, analizzare e rispondere a comportamenti dannosi che interessano il workload.
Percorso della lista consentita: Per maggiori informazioni, consulta la panoramica di Wiz Runtime Sensor. |
Partner che non supportano le liste consentite
La tabella seguente descrive i partner i cui workload non supportano le liste consentite. Questi carichi di lavoro potrebbero avere meno funzionalità, ad esempio la mancanza di supporto per i registri delle immagini privati.
| Partner | Descrizione |
|---|---|
| Acquamarina |
Aqua supporta la protezione e garantisce la conformità per l'intero ciclo di vita dei carichi di lavoro su GKE Autopilot e in particolare i pod Kubernetes, che eseguono più container con set condivisi di risorse di archiviazione e networking. Per maggiori informazioni, consulta Proteggere i workload nativi per il cloud su GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard offre una sicurezza unificata e cloud-native per applicazioni, workload e rete. Puoi utilizzarlo per gestire la tua postura di sicurezza in tutti gli ambienti Google Cloud. Per saperne di più, consulta Onboarding dei cluster Kubernetes. |
| Elastic Cloud su Kubernetes (ECK) |
Basato sul pattern Kubernetes Operator, Elastic Cloud on Kubernetes (ECK) estende le funzionalità di orchestrazione di base di Kubernetes per supportare la configurazione e la gestione di Elastic Stack su Kubernetes. Con Elastic Cloud on Kubernetes puoi gestire e monitorare più cluster, scalare la capacità e lo spazio di archiviazione dei cluster ed eseguire modifiche alla configurazione sicure tramite upgrade continui. Per ulteriori informazioni, consulta la guida rapida di ECK. |
| HashiCorp Consul |
HashiCorp Consul è una soluzione di networking dei servizi per automatizzare le configurazioni di rete, scoprire i servizi e abilitare la connettività sicura tra gli ambienti, incluso GKE Autopilot. Per maggiori informazioni, consulta le istruzioni di installazione di Consul per GKE Autopilot. |
| Kubecost |
Kubecost fornisce visibilità e approfondimenti sui costi in tempo reale per i team che utilizzano GKE, incluso Autopilot, aiutandoti a monitorare i costi di Kubernetes. Per maggiori informazioni, consulta le istruzioni di installazione di Kubecost per GKE Autopilot. |
| Lacework |
Lacework fornisce visibilità e contesto per difendere gli ambienti cloud utilizzando il machine learning. La piattaforma di sicurezza Lacework apprende il comportamento normale nel tuo ambiente cloud per aiutarti a individuare le minacce. Per maggiori informazioni, consulta le istruzioni di installazione di Lacework per GKE Autopilot. |
| New Relic |
L'integrazione di New Relic Kubernetes offre l'osservabilità dello stato e delle prestazioni del tuo ambiente utilizzando l'agente di infrastruttura New Relic, che raccoglie i dati di telemetria dal tuo cluster utilizzando diverse integrazioni di New Relic, come l'integrazione degli eventi Kubernetes, l'agente Prometheus e il plug-in New Relic Logs Kubernetes. Per maggiori informazioni, consulta le istruzioni di installazione di New Relic per GKE Autopilot. |
| Splunk Observability Cloud |
Splunk Observability Cloud offre visibilità sulla composizione, sullo stato e sui problemi in corso all'interno di un cluster. Per saperne di più, consulta la guida all'installazione di Splunk Kubernetes. |