このページでは、Google Kubernetes Engine(GKE)Autopilot パートナー組織と、Autopilot クラスタで利用可能な特殊なワークロードについて説明します。
Autopilot パートナー ワークロードとは
Google Kubernetes Engine(GKE)Autopilot クラスタでは通常、昇格した権限(/var/run や privileged: true へのアクセス、NET_RAW、SYS_ADMIN などの権限の高い Linux ファイル機能へのアクセスなど)を必要とするワークロードは許可されません。
この制限の例外となるのが、Autopilot パートナー ワークロードです。Google Cloud パートナーのサブセットは、Autopilot クラスタ向けの特別な権限を持つワークロードを提供しています。これらのパートナー ワークロードをデプロイすることで、すべての Pod でサイドカー コンテナを実行することなく、ノードレベルの指標の収集などの要件を満たすことができます。
許可リストへの登録プロセスの概要
すべてのパートナー ワークロードは、レビュー プロセスを経て、GKE のベースライン要件(適切に実行するために必要な最小権限があることや、ワークロードがアクセスできるリソースに対してきめ細かい制御ができることなど)を満たしていることが確認されます。
Google では次のような手段で、デプロイされたワークロードの機能を制限しています。
- コンテナが承認済みのロケーションから pull されていることを確認する。
- 承認済みの仕様と一致しない Pod 仕様を拒否する。
昇格した権限を必要とし、許可リストに追加する必要がある Autopilot ワークロードを提供している Google Cloud パートナーの場合は、パートナー マネージャーに Autopilot パートナー プログラムに関する情報を依頼してください。
Autopilot で特権パートナー ワークロードを実行する
GKE バージョン 1.32.2-gke.1652000 以降では、一部のパートナーが特権ワークロードに対応する許可リストを提供しています。対応する許可リストをインストールしない限り、これらのワークロードはクラスタで実行できません。この方法には次のメリットがあります。
- パートナー ワークロードをクラスタで実行できるかどうかを明示的に制御できます。
- GKE は、クラスタ内の許可リストを、パートナー ワークロードの許可リスト ファイルを保存する Google 管理のリポジトリの最新バージョンと自動的に同期します。
- インストールされた許可リストの厳格な基準を満たしていないパートナー ワークロードは、デプロイ中に拒否されます。
詳細については、GKE Autopilot パートナーの特権ワークロードを実行するをご覧ください。
2021 年から 2024 年の間に追加された特権パートナー ワークロードは、許可リストなしで Autopilot モードで実行できます。対応する権限を持つクラスタ オペレーターは、これらのワークロードをいつでもクラスタにデプロイできます。
料金
パートナー ワークロードによって Autopilot クラスタ内に作成されるリソースは、Autopilot 料金モデルに従って課金されます。パートナー ソリューションの追加料金については、関連するパートナーのドキュメントをご覧ください。
Autopilot パートナー ワークロード
以降のセクションでは、Autopilot のパートナー ワークロードについて説明します。各クラスタで使用できるパートナー ワークロードは、クラスタの GKE バージョンによって異なります。
この表には、昇格権限が必要な Autopilot ワークロードを提供している Google Cloud パートナーのみを記載しています。他のGoogle Cloud パートナーは、昇格権限なしで Autopilot と連携するプロダクトを提供しています。 Google Cloudパートナーの一覧については、Partners ディレクトリをご覧ください。
許可リストをサポートしているパートナー
次の表に示すのは、許可リストを使用してワークロードをインストールできるパートナーです。この表の各エントリには、パートナーのワークロード許可リストのパスが含まれています。このパスを使用して、クラスタの許可リストのインストールと同期を構成できます。
| パートナー | 説明 |
|---|---|
| 属性 |
Attribute はゼロタグ設定テクノロジーを提供しており、eBPF でランタイム データを分析することで、共有設定やマルチテナント設定を含む、顧客、機能、アプリに関する費用を自動的に可視化します。Attribute により、利益率の最適化、価格戦略、費用の説明責任に関するリアルタイムの分析情報を得られます。
許可リストのパス: 詳細については、GKE Autopilot 向けの Attribute インストール ガイド(ログインが必要)をご覧ください。 |
| Checkmk |
Checkmk は、組織がアプリケーションの信頼性と可用性をモニタリングし、リソース使用量を最適化して、発生する可能性のある問題に対処するうえで役立ちます。Checkmk により、クラスタ全体のデータを自動的に検出して収集し、GKE Autopilot のパフォーマンスと健全性を可視化できます。また、ダッシュボードで情報を可視化できます。
許可リストのパス: 詳細については、GKE Autopilot 向けの Checkmk インストール手順をご覧ください。 |
| CrowdStrike Falcon |
CrowdStrike Falcon は、ML と人間主導の脅威インテリジェンスを活用することで、クラウド インフラストラクチャを保護し、侵害を阻止します。これにより、攻撃対象領域が縮小し、環境内のイベントを可視化できます。CrowdStrike Falcon のユーザー空間センサーは、単一のエージェントを使用して GKE Autopilot の可視性と保護を提供し、ノードとそこで実行されているコンテナの両方を保護します。
許可リストのパス: 詳細については、GKE 用 CrowdStrike Falcon デプロイガイド(ログインが必要です)をご覧ください。 |
| Datadog |
Datadog は、指標、ログ、トレースを収集して、GKE Autopilot で動作しているコンテナ化されたアプリを可視化します。これにより、パフォーマンスの問題を特定し、トラブルシューティングのコンテキストを提供します。
許可リストのパス: 詳細については、Datadog で GKE Autopilot をモニタリングするをご覧ください。 |
| Dynatrace |
Dynatrace は、リアルタイム検出と AI を活用した因果コンテキストを提供することで、セキュリティ プラットフォームのモダナイゼーションとクラウドの採用を実現するエンタープライズ オブザーバビリティを提供します。 Google Cloud 環境に Dynatrace OneAgent をデプロイすると、GKE クラスタの使用状況やパフォーマンスに関する自動インサイトを取得できます。 許可リストのパス:
詳細については、GKE Autopilot 向けの Dynatrace インストール手順をご覧ください。 |
| Gremlin |
Gremlin は、潜在的な障害点を特定して対処することで、企業がより信頼性の高いシステムを構築できるよう支援します。Gremlin のクラウドネイティブ プラットフォームは Google Cloudと統合されており、DevOps チームはクラウド インフラストラクチャとアプリケーション全体で信頼性をテストし、リスクを検出できます。
許可リストのパス: 詳細については、GKE Autopilot での Gremlin のインストール をご覧ください。 |
| Harness |
Harness Chaos Engineering を使用すると、アプリケーションとインフラストラクチャに障害を導入して、ビジネス サービスの復元力をテストできます。このプラットフォームには、スケーラブルな復元性テスト プラクティスを構築するためのツールが用意されています。たとえば、テスト、ガバナンス用の ChaosGuard、AI を活用した推奨事項などの機能があります。また、ロールベース アクセス制御、SSO、監査などのエンタープライズ機能も提供します。
許可リストのパス: 詳細については、GKE Autopilot での Harness Chaos Engineering に関するドキュメントをご覧ください。 |
| Kubecost |
Kubecost は、Autopilot を含む GKE を使用するチームにリアルタイムの費用の可視化と分析情報を提供します。これにより、Kubernetes の費用をモニタリングできます。 詳細については、GKE Autopilot 向けの Kubecost インストール手順をご覧ください。 |
| Orca センサー |
Orca Sensor は、GKE Autopilot クラスタにデプロイできる eBPF ベースのセンサーです。Orca Cloud Security Platform と統合されたランタイムの可視性と保護を提供します。
許可リストのパス: 詳細については、Orca Sensor インストール ガイド(ログインが必要)をご覧ください。 |
| Palo Alto Networks の Prisma Cloud |
Prisma Cloud DaemonSet Defender は、環境のポリシーを適用します。Prisma Cloud Radar はノードとクラスタを可視化するため、リスクを特定してインシデントを調査できます。
許可リストのパス: 詳細については、Prisma Cloud Kubernetes インストール ガイドをご覧ください。 |
| SentinelOne Cloud Workload Security for Containers |
SentinelOne は、コンテナ化されたワークロード向けに AI を活用した脅威保護ソリューションを提供しています。このソリューションを使用すると、GKE Autopilot クラスタ内のノードとコンテナの両方で、プロセス、ファイル、バイナリベースの脅威をモニタリング、検出、分析できます。
許可リストのパス: 詳細については、SentinelOne Kubernetes インストール ガイド(ログインが必要)をご覧ください。 |
| Steadybit |
Steadybit は、障害を挿入してアプリケーションの応答方法をテストすることで、システムの信頼性と復元力を向上させる、カオス エンジニアリング用のプラットフォームです。クラウドネイティブ環境で停止をシミュレートするための自動化ツールを提供します。
許可リストのパス: 詳細については、GKE Autopilot での Steadybit をご覧ください。 |
| Sysdig Secure DevOps Platform |
Sysdig Secure DevOps Platform を使用すると、GKE Autopilot クラスタにコンテナ セキュリティのプラクティス(Sysdig エージェントを使用したワークロードのモニタリングと保護など)を実装できます。Sysdig エージェントは、syscall を処理し、キャプチャ ファイルを作成し、監査とコンプライアンスを実行するホスト コンポーネントです。
許可リストのパス: 詳細については、GKE Autopilot の可視性とセキュリティをご覧ください。 |
| Upwind |
Upwind は、ランタイム コンテキストを使用して、クラウド インフラストラクチャとワークロードのリスク、脅威、分析情報を特定するクラウド セキュリティ プラットフォームです。GKE Autopilot クラスタ用の eBPF ベースのセンサーは、ポスチャーの管理、リアルタイムの脅威検出、防御対策のランタイム コンテキストを提供し、セキュリティの確保に役立ちます。
許可リストのパス: 詳細については、Upwind GKE Autopilot の互換性に関する更新をご覧ください。 |
| Uptycs |
Uptycs Container Security Platform は、eBPF ランタイム センサーベースのモニタリング ソリューションを通じて、GKE Autopilot クラスタのセキュリティのベスト プラクティスを実装するのに役立ちます。このプラットフォームは、コンテナ化されたワークロードとノード全体でセキュリティ モニタリング、コンプライアンス機能、脅威の検出を提供することで、プロセス、接続、Kubernetes ロールベース アクセス制御を可視化します。
許可リストのパス: 詳細については、Uptycs GKE Autopilot の互換性に関する更新をご覧ください。 |
| Virtana |
Virtana Container Observability は、Kubernetes、OpenShift、コンテナ化された環境の可視性を提供します。オープンソースのテレメトリーに基づいて構築されており、チームが問題を検出して解決し、リソース使用量を最適化し、パフォーマンスを維持するのに役立ちます。 許可リストのパス:
詳細については、GKE Autopilot クラスタに Virtana をデプロイするをご覧ください。 |
| Wiz Runtime Sensor |
Wiz Runtime Sensor は、クラウドのワークロードに対して検出および対応機能を提供します。これは GKE クラスタにデプロイできる eBPF ベースのエージェントです。実行中のプロセス、ネットワーク接続、ファイル アクティビティ、システムコールのリアルタイムの可視性とモニタリングを提供し、ワークロードに影響を与える悪意のある動作を検出、調査、対応します。
許可リストのパス: 詳細については、Wiz Runtime Sensor の概要をご覧ください。 |
許可リストをサポートしていないパートナー
次の表に示すのは、ワークロードが許可リストをサポートしていないパートナーです。これらのワークロードには、プライベート イメージ レジストリのサポートがないなど、機能が少ない場合があります。
| パートナー | 説明 |
|---|---|
| Aqua |
Aqua は、GKE Autopilot で、ワークロードのライフサイクル全体を通じたコンプライアンスの確保をサポートします。特に、ストレージ セットとネットワーキング リソースを共有し、複数のコンテナを実行する Kubernetes Pod に対応しています。 詳細については、GKE Autopilot でのクラウド ネイティブ ワークロードの保護をご覧ください。 |
| Check Point CloudGuard |
Check Point CloudGuard は、統合されたクラウドネイティブ セキュリティをアプリケーション、ワークロード、ネットワークに全体的に提供します。 Google Cloud環境全体のセキュリティ ポスチャーの管理に使用できます。 詳細については、Kubernetes クラスタのオンボーディングをご覧ください。 |
| Elastic Cloud on Kubernetes(ECK) |
Kubernetes Operator パターンを基盤として構築された Elastic Cloud on Kubernetes(ECK)は、Kubernetes の基本的なオーケストレーション機能を拡張し、Kubernetes 上の Elastic Stack の設定と管理をサポートします。Elastic Cloud on Kubernetes を使用すると、複数のクラスタの管理とモニタリング、クラスタの容量とストレージのスケーリング、ローリング アップグレードによる安全な構成変更を行うことができます。 詳細については、ECK のクイックスタートをご覧ください。 |
| HashiCorp Consul |
HashiCorp Consul は、ネットワーク構成の自動化やサービスの検出を行い、GKE Autopilot などの環境間で安全な接続を実現するサービス ネットワーキング ソリューションです。 詳細については、GKE Autopilot 向けの Consul インストール手順をご覧ください。 |
| Lacework |
Lacework は、ML を使用してクラウド環境を保護するための可視性とコンテキストを提供します。Lacework セキュリティ プラットフォームはクラウド環境での正常な動作を学習するので、脅威を特定できるようになります。 詳細については、GKE Autopilot 向けの Lacework インストール手順をご覧ください。 |
| New Relic |
New Relic と Kubernetes の統合により、New Relic インフラストラクチャ エージェントを使用して、環境の健全性とパフォーマンスを確認できます。このエージェントは、Kubernetes イベント統合、Prometheus Agent、New Relic Logs Kubernetes プラグインなどの New Relic 統合を使用して、クラスタからテレメトリー データを収集します。 詳細については、GKE Autopilot 向けの New Relic インストール手順をご覧ください。 |
| Splunk Observability Cloud |
Splunk Observability Cloud は、クラスタ内の構成、状態、継続的な問題を可視化します。 詳細については、Splunk Kubernetes インストール ガイドをご覧ください。 |