Esta página fornece informações sobre as organizações parceiras do Autopilot do Google Kubernetes Engine (GKE) e as cargas de trabalho especializadas que elas disponibilizam nos clusters do Autopilot.
O que são as cargas de trabalho de parceiros do Autopilot?
Os clusters do Autopilot do Google Kubernetes Engine (GKE) geralmente não permitem
cargas de trabalho que exijam privilégios elevados, como acesso a /var/run,
privileged: true ou recursos de arquivos do Linux altamente privilegiados, como NET_RAW e SYS_ADMIN.
As exceções a essa restrição são as cargas de trabalho de parceiros do Autopilot. Um subconjunto de Google Cloud parceiros fornece cargas de trabalho com privilégios especiais para clusters do Autopilot. É possível implantar essas cargas de trabalho de parceiros para atender a requisitos como coleta de métricas no nível do nó sem precisar executar um contêiner secundário em cada pod.
Visão geral do processo de autorização
Cada carga de trabalho do parceiro passa por um processo de revisão para garantir que atenda aos requisitos de referência do GKE, como ter a menor quantidade de permissões necessárias para executar corretamente e controle refinado sobre os recursos que a cargas de trabalho poderão acessar.
Tomamos medidas como as seguintes para restringir os recursos dessas cargas de trabalho implantadas:
- verificar se os contêineres são extraídos do local aprovado.
- recusar as especificações do pod que não correspondem à especificação aprovada.
Se você for um Google Cloud parceiro com uma carga de trabalho do Autopilot que exige privilégios elevados e precisa ser adicionada a uma lista de permissões, entre em contato com seu gerente de parceiros para informações sobre o programa de parceiros do Autopilot.
Executar cargas de trabalho de parceiros privilegiados no Autopilot
Na versão 1.32.2-gke.1652000 e mais recentes do GKE, alguns parceiros fornecem listas de permissões que correspondem às cargas de trabalho privilegiadas. Essas cargas de trabalho não podem ser executadas nos clusters, a menos que você instale a lista de permissões correspondente. Esse método tem os seguintes benefícios:
- Você tem controle explícito sobre se uma carga de trabalho de parceiro pode ser executada no cluster.
- O GKE sincroniza automaticamente as listas de permissões no cluster com a versão mais recente de um repositório gerenciado pelo Google que armazena arquivos de lista de permissões para cargas de trabalho de parceiros.
- As cargas de trabalho de parceiros que não atendem aos critérios rigorosos de uma lista de permissões instalada são rejeitadas durante a implantação.
Para mais informações, consulte Executar cargas de trabalho privilegiadas de parceiros do Autopilot do GKE.
As cargas de trabalho de parceiros privilegiados que foram adicionadas entre 2021 e 2024 podem ser executadas no modo Autopilot sem uma lista de permissões. Os operadores de cluster que têm as permissões correspondentes podem implantar essas cargas de trabalho no cluster a qualquer momento.
Preços
Todos os recursos que as cargas de trabalho dos parceiros criam nos clusters do Autopilot são faturados de acordo com o modelo de preços do Autopilot. Para mais informações sobre preços adicionais de soluções de parceiros, consulte a documentação relevante do parceiro.
Cargas de trabalho de parceiros do Autopilot
As seções a seguir descrevem as cargas de trabalho de parceiros para o Autopilot. As cargas de trabalho do parceiro disponíveis para cada um dos clusters dependem da versão do GKE do cluster.
Esta tabela descreve apenas os Google Cloud parceiros que têm cargas de trabalho do Autopilot que precisam de privilégios elevados. Outros Google Cloud parceiros têm produtos que funcionam com o Autopilot sem precisar de privilégios elevados. Para conferir uma lista completa de Google Cloud parceiros, consulte o Diretório de parceiros.
Parceiros que oferecem suporte a listas de permissões
A tabela a seguir descreve os parceiros cujas cargas de trabalho estão disponíveis para instalação com listas de permissões. Cada entrada nesta tabela inclui o caminho para as listas de permissões de carga de trabalho de um parceiro, que podem ser usadas para configurar a instalação e a sincronização da lista de permissões para o cluster.
| Parceiro | Descrição |
|---|---|
| Atributo |
O atributo oferece tecnologia de codificação zero que analisa dados de tempo de execução com eBPF para revelar custos associados a clientes, recursos e apps automaticamente, incluindo configurações compartilhadas e multitenant. O atributo fornece insights em tempo real para otimização de margem, estratégia de preços e responsabilidade de custos.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação de atributos para o Autopilot do GKE (login obrigatório). |
| Checkmk |
O Checkmk ajuda as organizações a monitorar a confiabilidade e a disponibilidade dos aplicativos, otimizar o uso de recursos e resolver problemas que possam surgir. O Checkmk pode descobrir e coletar automaticamente dados em todo o cluster, fornecendo visibilidade sobre o desempenho e a integridade do Autopilot do GKE, e visualizar as informações com painéis.
Caminho da lista de permissões: Para mais informações, consulte as instruções de instalação do Checkmk para o Autopilot do GKE. |
| CrowdStrike Falcon |
O CrowdStrike Falcon ajuda a proteger a infraestrutura em nuvem e evitar violações usando o machine learning e a inteligência contra ameaças orientada por humanos para reduzir a superfície de ataque e fornecer visibilidade dos eventos no ambiente. O sensor de espaço do usuário do CrowdStrike Falcon oferece visibilidade e proteção para o Autopilot do GKE com um único agente, protegendo tanto o nó quanto os contêineres em execução nele.
Caminho da lista de permissões: Para mais informações, consulte Guia de implantação do CrowdStrike Falcon para GKE (o login é obrigatório). |
| Dash0 |
O Dash0 é uma plataforma de observabilidade agêntica criada no OpenTelemetry que ajuda a monitorar cargas de trabalho do Autopilot do GKE com registros, métricas, e traces correlacionados. Ao combinar telemetria unificada com análise automatizada, o Dash0 ajuda a detectar, entender e resolver problemas com mais rapidez.
Caminho da lista de permissões: Para mais informações, consulte Instalar o operador Dash0 no Autopilot do GKE. |
| Datadog |
O Datadog oferece visibilidade de apps conteinerizados em execução no Autopilot do GKE ao coletar métricas, registros e traces, o que ajuda a identificar problemas de desempenho e fornecer contexto para a solução de problemas.
Caminho da lista de permissões: Para mais informações, consulte Monitorar o Autopilot do GKE com o Datadog. |
| Dynatrace |
A Dynatrace oferece observabilidade empresarial para modernização da plataforma de segurança e adoção da nuvem com descoberta em tempo real e contexto causal com tecnologia de IA. É possível implantar o Dynatrace OneAgent no seu Google Cloud ambiente para receber insights automatizados sobre o uso e o desempenho dos clusters do GKE. Caminhos da lista de permissões:
Para mais informações, consulte as instruções de instalação do Dynatrace para o Autopilot do GKE. |
| Gremlin |
O Gremlin ajuda as empresas a criar sistemas mais confiáveis, identificando e resolvendo possíveis pontos de falha. A plataforma nativa da nuvem se integra ao Google Cloud, permitindo que as equipes de DevOps testem a confiabilidade e detectem riscos em toda a infraestrutura e aplicativos de nuvem.
Caminho da lista de permissões: Para mais informações, consulte Instalar o Gremlin no Autopilot do GKE. |
| Harness |
O Harness Chaos Engineering permite introduzir falhas em aplicativos e infraestrutura para testar a resiliência dos serviços empresariais. A plataforma fornece ferramentas para criar uma prática de teste de resiliência escalonável, com recursos como experimentos, ChaosGuard para governança e recomendações com tecnologia de IA. Ele também oferece recursos empresariais, como RBAC, SSO e auditoria.
Caminho da lista de permissões: Para mais informações, consulte a documentação do Harness Chaos Engineering para o Autopilot do GKE. |
| Kodem |
O Kodem integra análise de código e de tempo de execução para fornecer insights contextuais às equipes de segurança. O Kodem oferece visibilidade em código-fonte, contêineres, SO e memória para ajudar a identificar vulnerabilidades exploráveis. Essa visibilidade ajuda as equipes de segurança a priorizar, determinar a causa raiz e corrigir ou mitigar riscos. Caminhos da lista de permissões:
Para mais informações, consulte os sensores de tempo de execução de segurança do Kodem para o Autopilot do GKE (login obrigatório). |
| Sensor Orca |
O sensor Orca é um sensor baseado em eBPF que pode ser implantado em clusters do Autopilot do GKE para fornecer visibilidade e proteção de tempo de execução integradas à plataforma de segurança do Orca Cloud.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do sensor Orca (login obrigatório). |
| Prisma Cloud de Palo Alto Networks |
Os Defenders do Prisma Cloud do DaemonSet aplicam políticas para seu ambiente. O Prisma Cloud Radar exibe uma visualização de seus nós e clusters para que você possa identificar riscos e investigar incidentes.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
O SentinelOne oferece uma solução de proteção contra ameaças com tecnologia de IA para cargas de trabalho conteinerizadas. Essa solução permite monitorar, detectar e analisar ameaças baseadas em processos, arquivos e binários em nós e contêineres nos clusters do Autopilot do GKE.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do Kubernetes da SentinelOne (login necessário). |
| Steadybit |
O Steadybit é uma plataforma de engenharia de caos que ajuda as equipes a melhorar a confiabilidade e a resiliência dos sistemas, injetando falhas e testando como os aplicativos respondem. Ele oferece ferramentas de automação para simular interrupções em ambientes nativos da nuvem.
Caminho da lista de permissões: Para mais informações, consulte Steadybit no Autopilot do GKE. |
| Plataforma de DevOps Sysdig Secure |
A plataforma de DevOps Sysdig Secure ajuda a implementar práticas de segurança de contêineres nos clusters do Autopilot do GKE, incluindo monitorar e proteger cargas de trabalho usando o agente do Sysdig. O agente do Sysdig é um componente do host que processa o syscall, cria arquivos de captura, e executa auditoria e conformidade.
Caminho da lista de permissões: Para mais informações, consulte Visibilidade e segurança do Autopilot do GKE. |
| Trend Micro |
O Trend Vision One Container Security oferece proteção para contêineres desde o desenvolvimento até a implantação e na produção. Ele ajuda a evitar vulnerabilidades, ataques e configurações incorretas de pré-execução e de tempo de execução em aplicativos conteinerizados.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do Trend Vision One para Container Security no GKE. |
| Upwind |
O Upwind é uma plataforma de segurança na nuvem que usa o contexto de tempo de execução para identificar riscos, ameaças e insights da infraestrutura em nuvem e cargas de trabalho. O sensor baseado em eBPF para clusters do Autopilot do GKE fornece contexto de tempo de execução para gerenciamento de postura, detecção de ameaças em tempo real e medidas de defesa, para ajudar a garantir a segurança.
Caminho da lista de permissões: Para mais informações, consulte a atualização de compatibilidade do Upwind GKE Autopilot. |
| Uptycs |
A plataforma de segurança de contêineres Uptycs ajuda a implementar práticas recomendadas de segurança para clusters do Autopilot do GKE usando a solução de monitoramento baseada em sensor de tempo de execução eBPF. A plataforma oferece visibilidade de processos, conexões e controles de segurança RBAC do Kubernetes, fornecendo monitoramento de segurança, recursos de conformidade e detecção de ameaças em cargas de trabalho e nós conteinerizados.
Caminho da lista de permissões: Para mais informações, consulte a atualização de compatibilidade do Uptycs GKE Autopilot. |
| Virtana |
A observabilidade de contêineres da Virtana oferece visibilidade em ambientes conteinerizados, do Kubernetes, OpenShift. Criado com base em telemetria de código aberto, ele ajuda as equipes a detectar e resolver problemas, otimizar o uso de recursos e manter o desempenho. Caminhos da lista de permissões:
Para mais informações, consulte Implantar o Virtana em clusters do Autopilot do GKE. |
| Sensor de tempo de execução do Wiz |
O sensor de tempo de execução do Wiz oferece recursos de detecção e resposta para cargas de trabalho na nuvem. É um agente leve baseado em eBPF que pode ser implantado em clusters do GKE para fornecer visibilidade e monitoramento em tempo real de processos em execução, conexões de rede, atividade de arquivos e chamadas do sistema, para detectar, investigar e responder a comportamentos maliciosos que afetem a carga de trabalho.
Caminho da lista de permissões: Para ver mais informações, consulte a Visão geral do sensor de tempo de execução do Wiz. |
Parceiros que não oferecem suporte a listas de permissões
A tabela a seguir descreve os parceiros cujas cargas de trabalho não oferecem suporte a listas de permissões. Essas cargas de trabalho podem ter menos recursos, como falta de suporte para registros de imagens particulares.
| Parceiro | Descrição |
|---|---|
| Aqua |
A Aqua dá suporte para assegurar e garantir a conformidade para o ciclo de vida completo das cargas de trabalho no Autopilot do GKE, e especificamente os pods do Kubernetes, que executam vários contêineres com conjuntos compartilhados de recursos de armazenamento e rede. Para mais informações, consulte Como proteger cargas de trabalho nativas da nuvem no Autopilot do GKE. |
| Check Point CloudGuard |
O Check Point CloudGuard fornece segurança unificada e nativa da nuvem para seus aplicativos, cargas de trabalho e rede. Use-o para gerenciar sua postura de segurança em Google Cloud ambientes. Para mais informações, consulte Como integrar clusters do Kubernetes. |
| Elastic Cloud no Kubernetes (ECK) |
Criado com base no padrão de operadores do Kubernetes, o Elastic Cloud no Kubernetes (ECK) estende os recursos básicos de orquestração do Kubernetes para oferecer suporte à configuração e ao gerenciamento do Elastic Stack no Kubernetes. Com o Elastic Cloud no Kubernetes, você pode gerenciar e monitorar vários clusters, escalonar a capacidade e o armazenamento do cluster e executar mudanças de configuração seguras por meio de upgrades contínuos. Para mais informações, consulte o Guia de início rápido do ECK. |
| HashiCorp Consul |
O HashiCorp Consul é uma solução de rede de serviços para automatizar configurações de rede, descobrir serviços e permitir conectividade segura entre ambientes, incluindo o GKE Autopilot. Para mais informações, consulte as instruções de instalação do Consul para o GKE Autopilot. |
| Kubecost |
O Kubecost oferece insights e visibilidade de custos em tempo real para equipes que usam o GKE, incluindo o Autopilot, ajudando você a monitorar seus custos do Kubernetes. Para mais informações, consulte as instruções de instalação do Kubecost para o Autopilot do GKE. |
| Lacework |
O Lacework oferece visibilidade e contexto para proteger ambientes de nuvem usando o machine learning. A plataforma de segurança Lacework aprende o comportamento normal no seu ambiente de nuvem para ajudar a identificar ameaças. Para mais informações, consulte as instruções de instalação do Lacework para o Autopilot do GKE. |
| New Relic |
A integração do Kubernetes New Relic oferece observabilidade na integridade e no desempenho do seu ambiente, usando o agente de infraestrutura New Relic, que coleta dados de telemetria do seu cluster usando várias integrações do New Relic, como os eventos do Kubernetes, o agente do Prometheus e o plug-in do Kubernetes New Relic Logs. Para mais informações, consulte as New Relic instruções de instalação para o Autopilot do GKE. |
| Splunk Observability Cloud |
O Splunk Observability Cloud oferece visibilidade da composição, do estado e de problemas contínuos em um cluster. Para mais informações, consulte o Guia de instalação do Splunk Kubernetes. |