Nesta página, você encontra informações sobre organizações parceiras do Autopilot do Google Kubernetes Engine (GKE) e as cargas de trabalho especializadas que elas disponibilizam em clusters do Autopilot.
O que são as cargas de trabalho de parceiros do Autopilot?
Os clusters do Autopilot do Google Kubernetes Engine (GKE) geralmente não permitem
cargas de trabalho que exijam privilégios elevados, como acesso a /var/run,
privileged: true ou recursos de arquivos do Linux altamente privilegiados, como NET_RAW e SYS_ADMIN.
As exceções a essa restrição são as cargas de trabalho de parceiros do Autopilot. Um subconjunto de Google Cloud Partners fornece cargas de trabalho com privilégios especiais para clusters do Autopilot. É possível implantar essas cargas de trabalho de parceiros para atender a requisitos como coleta de métricas no nível do nó sem precisar executar um contêiner secundário em cada pod.
Visão geral do processo de autorização
Cada carga de trabalho do parceiro passa por um processo de revisão para garantir que atenda aos requisitos de referência do GKE, como ter a menor quantidade de permissões necessárias para executar corretamente e controle refinado sobre os recursos que a cargas de trabalho poderão acessar.
Tomamos medidas como as seguintes para restringir os recursos dessas cargas de trabalho implantadas:
- verificar se os contêineres são extraídos do local aprovado.
- recusar as especificações do pod que não correspondem à especificação aprovada.
Se você for um Google Cloud parceiro com uma carga de trabalho do Autopilot que exige privilégios elevados e precisa ser adicionada a uma lista de permissões, entre em contato com seu gerente de parceiros para informações sobre o programa de parceiros do Autopilot.
Executar cargas de trabalho de parceiros privilegiados no Autopilot
Na versão 1.32.2-gke.1652000 e mais recentes do GKE, alguns parceiros fornecem listas de permissão que correspondem às cargas de trabalho privilegiadas. Essas cargas de trabalho não podem ser executadas nos seus clusters, a menos que você instale a lista de permissões correspondente. Esse método tem os seguintes benefícios:
- Você tem controle explícito sobre se uma carga de trabalho de parceiro pode ser executada no seu cluster.
- O GKE sincroniza automaticamente as listas de permissões no cluster com a versão mais recente de um repositório gerenciado pelo Google que armazena arquivos de lista de permissões para cargas de trabalho de parceiros.
- As cargas de trabalho de parceiros que não atendem aos critérios rigorosos de uma lista de permissões instalada são rejeitadas durante a implantação.
Para mais informações, consulte Executar cargas de trabalho privilegiadas de parceiros do Autopilot do GKE.
As cargas de trabalho de parceiros privilegiados adicionadas entre 2021 e 2024 podem ser executadas no modo Autopilot sem uma lista de permissões. Os operadores de cluster com as permissões correspondentes podem implantar essas cargas de trabalho no cluster a qualquer momento.
Preços
Todos os recursos que as cargas de trabalho dos parceiros criam nos clusters do Autopilot são faturados de acordo com o modelo de preços do Autopilot. Para mais informações sobre preços adicionais de soluções de parceiros, consulte a documentação relevante do parceiro.
Cargas de trabalho de parceiros do Autopilot
A tabela a seguir descreve as cargas de trabalho de parceiros para o Autopilot. As cargas de trabalho do parceiro disponíveis para cada um dos clusters dependem da versão do GKE do cluster. Algumas das entradas nesta tabela incluem o caminho para as listas de permissões de carga de trabalho de um parceiro, que você pode usar para configurar a instalação e a sincronização da lista de permissões do seu cluster.
| Parceiro | Descrição |
|---|---|
| Aqua |
A Aqua dá suporte para assegurar e garantir a conformidade para o ciclo de vida completo das cargas de trabalho no Autopilot do GKE, e especificamente os pods do Kubernetes, que executam vários contêineres com conjuntos compartilhados de recursos de armazenamento e rede. Para mais informações, consulte Como proteger cargas de trabalho nativas da nuvem no Autopilot do GKE. |
| Atributo |
O Attribute oferece tecnologia de codificação zero que analisa dados de tempo de execução com eBPF para revelar automaticamente os custos associados a clientes, recursos e apps, inclusive em configurações compartilhadas e multitenant. O atributo oferece insights em tempo real para otimização de margem, estratégia de preços e responsabilidade de custos.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação de atributos para o Autopilot do GKE (login obrigatório). |
| Checkmk |
O Checkmk ajuda as organizações a monitorar a confiabilidade e a disponibilidade dos aplicativos, otimizar o uso de recursos e resolver proativamente os problemas que possam surgir. O Checkmk pode descobrir e coletar automaticamente dados em todo o cluster, fornecendo visibilidade sobre o desempenho e a integridade do Autopilot do GKE, e visualizar as informações com painéis prontos para uso.
Caminho da lista de permissões: Para mais informações, consulte as instruções de instalação do Checkmk para o Autopilot do GKE. |
| Check Point CloudGuard |
O Check Point CloudGuard fornece segurança unificada e nativa da nuvem para seus aplicativos, cargas de trabalho e rede. Use-o para gerenciar sua postura de segurança nos ambientes do Google Cloud. Para mais informações, consulte Como integrar clusters do Kubernetes. |
| CrowdStrike Falcon |
O CrowdStrike Falcon protege a infraestrutura de nuvem, interrompe violações e reduz erros humanos usando o machine learning e a inteligência contra ameaças orientada por humanos para reduzir incessantemente a superfície de ataque e fornecer visibilidade total dos eventos que ocorrem no ambiente. O sensor de espaço do usuário do CrowdStrike Falcon oferece visibilidade e proteção para o Autopilot do GKE com um único agente, protegendo tanto o nó quanto os contêineres em execução nele.
Caminho da lista de permissões: Para mais informações, consulte Guia de implantação do CrowdStrike Falcon para GKE (o login é obrigatório). |
| Datadog |
O Datadog oferece visibilidade abrangente de todos os apps conteinerizados em execução no GKE Autopilot ao coletar métricas, registros e traces, o que ajuda a identificar problemas de desempenho e fornecer contexto para resolvê-los.
Caminho da lista de permissões: Para mais informações, consulte Monitorar o Autopilot do GKE com o Datadog. |
| Dynatrace |
A Dynatrace unifica a observabilidade da empresa e acelera a modernização da plataforma de segurança e a adoção da nuvem fornecendo descoberta em tempo real e contexto causal com tecnologia de IA. A implantação do Dynatrace OneAgent no ambiente do Google Cloud é rápida e automática para receber insights imediatos e automatizados, inclusive sobre o uso e o desempenho dos clusters do GKE. Caminhos da lista de permissões:
Para mais informações, consulte as instruções de instalação do Dynatrace para o Autopilot do GKE. |
| Elastic Cloud no Kubernetes (ECK) |
Criado com base no padrão de operadores do Kubernetes, o Elastic Cloud no Kubernetes (ECK) estende os recursos básicos de orquestração do Kubernetes para oferecer suporte à configuração e ao gerenciamento do Elastic Stack no Kubernetes. Com o Elastic Cloud no Kubernetes, você simplifica as operações críticas, como o gerenciamento e monitoramento de vários clusters, o escalonamento da capacidade e o armazenamento do cluster, a execução de alterações de configuração seguras por meio de upgrades contínuos e muito mais. Para mais informações, consulte o Guia de início rápido do ECK. |
| Gremlin |
O Gremlin permite que as empresas criem sistemas mais confiáveis ao identificar e resolver proativamente possíveis pontos de falha. A plataforma nativa da nuvem se integra ao Google Cloud, permitindo que o DevOps teste a confiabilidade geral e detecte riscos na infraestrutura e nos aplicativos de nuvem, incluindo IA.
Caminho da lista de permissões: Para mais informações, consulte Como instalar o Gremlin no Autopilot do GKE. |
| HashiCorp Consul |
O HashiCorp Consul é uma solução de rede de serviços para automatizar configurações de rede, descobrir serviços e permitir conectividade segura entre ambientes, incluindo o GKE Autopilot. Para mais informações, consulte as instruções de instalação do Consul para o GKE Autopilot. |
| Kubecost |
O Kubecost oferece insights e visibilidade de custos em tempo real para equipes que usam o GKE, incluindo o Autopilot, ajudando a monitorar continuamente seus custos do Kubernetes. Para mais informações, consulte as instruções de instalação do Kubecost para o Autopilot do GKE. |
| Lacework |
O Lacework oferece visibilidade e contexto para proteger ambientes de nuvem com machine learning autônomo. A plataforma de segurança Lacework aprende o comportamento normal no seu ambiente de nuvem para que você possa identificar ameaças rapidamente. Para mais informações, consulte as instruções de instalação do AutoML para o Autopilot do GKE. |
| New Relic |
A integração do Kubernetes New Relic oferece observabilidade na integridade e no desempenho do seu ambiente, aproveitando o agente de infraestrutura New Relic, que coleta dados de telemetria do seu cluster usando várias integrações do New Relic, como os eventos do Kubernetes o agente do Prometheus e o plug-in do Kubernetes New Relic Logs. Para mais informações, consulte as instruções de instalação do New Relic para o Autopilot do GKE. |
| Sensor do Orca |
O sensor da Orca é um sensor não intrusivo baseado em eBPF que pode ser implantado em clusters do GKE Autopilot para oferecer visibilidade e proteção de tempo de execução integradas nativamente à plataforma de segurança na nuvem da Orca.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do sensor da Orca (login necessário). |
| Prisma Cloud de Palo Alto Networks |
Os Defenders do Prisma Cloud do DaemonSet aplicam as políticas que você quer para seu ambiente. O Prisma Cloud Radar exibe uma visualização abrangente dos nós e clusters para que você possa identificar riscos e investigar incidentes.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
Solução de proteção contra ameaças com tecnologia de IA para cargas de trabalho conteinerizadas que oferecem aos clientes a capacidade de monitorar, detectar e analisar ameaças baseadas em processos, arquivos e binários nos nós e contêineres nos clusters do Autopilot do GKE.
Caminho da lista de permissões: Para mais informações, consulte o Guia de instalação do Kubernetes da SentinelOne (login necessário). |
| Splunk Observability Cloud |
O Splunk Observability Cloud oferece visibilidade detalhada da composição, do estado e de problemas contínuos em um cluster. Para mais informações, consulte o Guia de instalação do Splunk Kubernetes. |
| Steadybit |
O Steadybit é uma plataforma de engenharia do caos que ajuda as equipes a melhorar a confiabilidade e a resiliência dos sistemas injetando falhas com segurança e testando como os aplicativos respondem. Ele oferece ferramentas de automação para simular interrupções do mundo real em ambientes nativos da nuvem.
Caminho da lista de permissões: Para mais informações, consulte Steadybit no Autopilot do GKE. |
| Plataforma de DevOps Sysdig Secure |
A plataforma de DevOps Sysdig Secure permite implementar práticas recomendadas de segurança de contêineres nos clusters do Autopilot do GKE, incluindo monitorar e proteger suas cargas de trabalho usando o agente do Sysdig. O agente do Sysdig é um componente do host que processa o syscall, cria arquivos de captura e executa auditoria e conformidade.
Caminho da lista de permissões: Para mais informações, consulte Visibilidade e segurança do Autopilot do GKE. |
| Upwind |
O Upwind é uma plataforma de segurança na nuvem que se concentra no contexto de execução para revelar riscos, ameaças e insights críticos da infraestrutura e das cargas de trabalho na nuvem. O sensor leve baseado em eBPF para clusters do GKE Autopilot fornece contexto de ambiente de execução para gerenciamento de postura, detecção de ameaças em tempo real e medidas de defesa proativas, o que ajuda a garantir uma segurança abrangente.
Caminho da lista de permissões: Para mais informações, consulte a Atualização de compatibilidade do Upwind GKE Autopilot. |
| Uptycs |
A plataforma de segurança de contêineres da Uptycs permite práticas recomendadas de segurança para clusters do Autopilot do GKE com a solução de monitoramento baseada em sensores de tempo de execução eBPF. A plataforma oferece visibilidade detalhada dos processos, conexões e controles de segurança RBAC do Kubernetes, fornecendo monitoramento de segurança, recursos de compliance e detecção de ameaças em cargas de trabalho e nós em contêineres.
Caminho da lista de permissões: Para mais informações, consulte a atualização de compatibilidade do Uptycs com o Autopilot do GKE. |
| Virtana |
O Virtana Container Observability oferece visibilidade em ambientes do Kubernetes, OpenShift e em contêineres. Criada com telemetria de código aberto, ela ajuda as equipes a detectar e resolver problemas, otimizar o uso de recursos e manter o desempenho. Caminhos da lista de permissões:
Para mais informações, consulte Implantar o Virtana em clusters do Autopilot do GKE. |
| Sensor de tempo de execução do Wiz |
O sensor de tempo de execução do Wiz oferece recursos nativos de detecção e resposta para cargas de trabalho na nuvem. É um agente leve baseado em eBPF que pode ser implantado em clusters do GKE para fornecer visibilidade e monitoramento em tempo real de processos em execução, conexões de rede, atividade de arquivos e chamadas do sistema, para detectar, investigar e responder a comportamentos maliciosos que afetem a carga de trabalho.
Caminho da lista de permissões: Para ver mais informações, consulte a Visão geral do sensor de tempo de execução do Wiz. |
Esta tabela descreve apenas os parceiros Google Cloud que têm cargas de trabalho do Autopilot que precisam de privilégios elevados. Outros parceiros doGoogle Cloud têm produtos que funcionam com o Autopilot sem precisar de privilégios elevados. Para ver uma lista completa de parceiros do Google Cloud, consulte o Diretório de parceiros.