本頁說明 Google Kubernetes Engine (GKE) Autopilot 合作夥伴機構,以及這些機構在 Autopilot 叢集中提供的專門工作負載。
什麼是 Autopilot 合作夥伴工作負載?
Google Kubernetes Engine (GKE) Autopilot 叢集通常不允許需要進階權限的工作負載,例如存取 /var/run、privileged: true 或高權限 Linux 檔案功能 (如 NET_RAW 和 SYS_ADMIN)。
這項限制的例外情況是 Autopilot 合作夥伴工作負載。部分Google Cloud 合作夥伴會為 Autopilot 叢集提供具有特殊權限的工作負載。您可以部署這些合作夥伴工作負載,以滿足收集節點層級指標等需求,不必在每個 Pod 中執行邊車容器。
許可清單程序總覽
每個合作夥伴工作負載都會經過審查程序,確保符合 GKE 的基本要求,例如具備正確執行所需的最低權限,以及對工作負載可存取的資源進行精細控管。
我們會採取下列措施,限制這些已部署工作負載的功能:
- 確認容器是從核准位置提取。
- 拒絕不符合核准規格的 Pod 規格。
如果您是 Google Cloud 合作夥伴,且 Autopilot 工作負載需要進階權限,並加入許可清單,請洽詢合作夥伴經理,瞭解 Autopilot 合作夥伴計畫。
在 Autopilot 中執行具備特殊權限的合作夥伴工作負載
在 GKE 1.32.2-gke.1652000 以上版本中,部分合作夥伴會提供與其具備權限的工作負載相應的允許清單。如要讓這些工作負載在叢集中執行,您必須安裝對應的許可清單。這個方法有以下優點:
- 您可以明確控管合作夥伴工作負載是否能在叢集中執行。
- GKE 會自動將叢集中的允許清單,與 Google 管理存放區的最新版本同步,該存放區會儲存合作夥伴工作負載的允許清單檔案。
- 如果合作夥伴工作負載不符合已安裝允許清單的嚴格條件,系統會在部署期間拒絕。
詳情請參閱「從 GKE Autopilot 合作夥伴執行具備權限的工作負載」。
2021 年至 2024 年間新增的特許合作夥伴工作負載,可在 Autopilot 模式下執行,不必加入許可清單。只要具備相應權限,叢集運算子隨時都能在叢集部署這些工作負載。
定價
合作夥伴工作負載在 Autopilot 叢集中建立的任何資源,都會按照 Autopilot 定價模式計費。 如要瞭解合作夥伴解決方案的額外定價資訊,請參閱相關合作夥伴的說明文件。
Autopilot 合作夥伴工作負載
以下各節說明 Autopilot 的合作夥伴工作負載。每個叢集可用的合作夥伴工作負載,取決於叢集的 GKE 版本。
下表僅說明需要進階權限的 Autopilot 工作負載合作夥伴。 Google Cloud 其他Google Cloud 合作夥伴的產品也適用於 Autopilot,且不需要進階權限。如需合作夥伴完整清單,請參閱 Google Cloud合作夥伴目錄。
支援允許清單的合作夥伴
下表列出可透過許可清單安裝工作負載的合作夥伴。這個表格中的每個項目都包含合作夥伴工作負載許可清單的路徑,可用於為叢集設定許可清單安裝和同步。
| 合作夥伴 | 說明 |
|---|---|
| 屬性 |
Attribute 提供零標記技術,可使用 eBPF 分析執行階段資料,自動顯示與客戶、功能和應用程式相關聯的費用,包括共用和多租戶設定。這項屬性提供即時洞察資料,有助於提高利潤、制定定價策略,以及追蹤成本。
許可清單路徑: 詳情請參閱 GKE Autopilot 的屬性安裝指南 (需要登入)。 |
| Checkmk |
Checkmk 可協助機構監控應用程式的可靠性和可用性、盡可能提高資源使用效率,並解決可能發生的問題。Checkmk 可自動探索及收集叢集資料,讓您掌握 GKE Autopilot 的效能和健康狀態,並透過資訊主頁將資訊視覺化。
許可清單路徑: |
| CrowdStrike Falcon |
CrowdStrike Falcon 運用機器學習和人為驅動的威脅情報,減少攻擊面並提供環境中的事件顯示設定,協助保護雲端基礎架構並防止資料外洩。CrowdStrike Falcon 的使用者空間感應器可透過單一代理程式,為 GKE Autopilot 提供顯示設定和保護功能,同時保護節點和在節點上執行的容器。
許可清單路徑: |
| Dash0 |
Dash0 是以 OpenTelemetry 為基礎建構的代理功能觀測平台,可協助您監控 GKE Autopilot 工作負載,並提供相關記錄、指標和追蹤記錄。Dash0 結合了統一遙測和自動分析功能,可協助您更快偵測、瞭解及解決問題。
許可清單路徑: 詳情請參閱「在 GKE Autopilot 上安裝 Dash0 運算子」。 |
| Datadog |
Datadog 會收集指標、記錄和追蹤記錄,提供在 GKE Autopilot 上執行的容器化應用程式相關資訊,協助您找出效能問題,並提供疑難排解的背景資訊。
許可清單路徑: 詳情請參閱「使用 Datadog 監控 GKE Autopilot」。 |
| Dynatrace |
Dynatrace 提供企業級可觀測性,可透過即時探索和 AI 輔助的因果脈絡,協助您完成安全平台現代化和雲端採用作業。您可以在 Google Cloud 環境中部署 Dynatrace OneAgent,自動取得 GKE 叢集使用情況和效能的自動洞察資料。 許可清單路徑:
|
| Gremlin |
Gremlin 可協助企業找出並解決潛在的故障點,進而建構更可靠的系統。這個雲端原生平台可與 Google Cloud整合,讓開發運作團隊測試可靠性,並偵測雲端基礎架構和應用程式的風險。
許可清單路徑: 詳情請參閱「 在 GKE Autopilot 上安裝 Gremlin」一文。 |
| Harness |
您可以運用 Chaos Engineering,在應用程式和基礎架構中導入錯誤,測試商務服務的韌性。這個平台提供各種工具,可協助您建立可擴充的韌性測試實務,包括實驗、用於治理的 ChaosGuard,以及 AI 輔助建議等功能。此外,這項服務也提供 RBAC、SSO 和稽核等企業功能。
許可清單路徑: |
| Kodem |
Kodem 整合程式碼和執行階段分析,為安全團隊提供情境深入分析。Kodem 可提供原始碼、容器、OS 和記憶體的可見度,協助找出可遭利用的安全漏洞。資安團隊可根據這些資訊判斷優先順序、找出根本原因,並採取補救或降低風險的措施。 許可清單路徑:
詳情請參閱「 Kodem Security Runtime sensors for GKE Autopilot (login required)」。 |
| Orca 感應器 |
Orca Sensor 是以 eBPF 為基礎的感應器,可部署至 GKE Autopilot 叢集,提供與 Orca Cloud Security Platform 整合的執行階段可視性和保護功能。
許可清單路徑: 詳情請參閱 Orca Sensor 安裝指南 (需要登入)。 |
| Palo Alto Networks 的 Prisma Cloud |
Prisma Cloud DaemonSet Defender 會強制執行環境政策。Prisma Cloud Radar 會顯示節點和叢集的視覺化資料,方便您找出風險並調查事件。
許可清單路徑: 詳情請參閱 Prisma Cloud Kubernetes 安裝指南。 |
| SentinelOne Cloud Workload Security for Containers |
SentinelOne 提供以 AI 技術為基礎的威脅防護解決方案,適用於已容器化的工作負載。這項解決方案可讓您監控、偵測及分析 GKE Autopilot 叢集內節點和容器的程序、檔案和二進位檔威脅。
許可清單路徑: |
| Steadybit |
Steadybit 是混亂工程平台,可協助團隊注入失敗並測試應用程式的回應方式,進而提升系統的穩定性和韌性。這項服務提供自動化工具,可模擬雲端原生環境中的中斷情形。
許可清單路徑: 詳情請參閱「GKE Autopilot 上的 Steadybit」。 |
| Sysdig Secure DevOps Platform |
Sysdig Secure Devops Platform 可協助您在 GKE Autopilot 叢集中導入容器安全做法,包括使用 Sysdig 代理程式監控及保護工作負載。Sysdig 代理程式是主機元件,可處理系統呼叫、建立擷取檔案,以及執行稽核和法規遵循作業。
許可清單路徑: 詳情請參閱「GKE Autopilot 的可見度和安全性」。 |
| 趨勢科技 |
Trend Vision One Container Security 可在容器從開發到部署的整個過程,以及實際工作環境中提供保護。有助於防止容器化應用程式在執行前和執行期間發生安全漏洞、遭到攻擊及設定錯誤。
許可清單路徑: 詳情請參閱「Trend Vision One installation guide for Container Security on GKE」。 |
| Upwind |
Upwind 是一種雲端安全防護平台,可運用執行階段情境,從雲端基礎架構和工作負載中找出風險、威脅和洞察資訊。這項服務的 eBPF 感應器適用於 GKE Autopilot 叢集,可提供執行階段環境資訊,有助於進行安全狀態管理、即時威脅偵測和防禦措施,確保安全性。
許可清單路徑: 詳情請參閱「Upwind GKE Autopilot 相容性更新」。 |
| Uptycs |
Uptycs 容器安全平台提供以 eBPF 執行階段感應器為基礎的監控解決方案,可協助您為 GKE Autopilot 叢集導入安全防護最佳做法。這個平台提供安全監控、法規遵循功能,以及容器化工作負載和節點的威脅偵測功能,可讓您掌握程序、連線和 Kubernetes RBAC 安全控管措施。
許可清單路徑: 詳情請參閱「Uptycs GKE Autopilot 相容性更新」。 |
| Virtana |
Virtana Container Observability 可讓您掌握 Kubernetes、OpenShift 和容器化環境的狀況。這項功能以開放原始碼遙測技術為基礎,可協助團隊偵測及解決問題、盡可能減少資源用量,並維持效能。 許可清單路徑:
詳情請參閱「在 GKE Autopilot 叢集上部署 Virtana」。 |
| Wiz 執行階段感應器 |
Wiz 執行階段感應器可為雲端工作負載提供偵測和回應功能。這項代理程式以 eBPF 為基礎,可部署至 GKE 叢集,即時監控執行中的程序、網路連線、檔案活動和系統呼叫,偵測、調查及回應影響工作負載的惡意行為。
許可清單路徑: 詳情請參閱「Wiz 執行階段感應器總覽」。 |
不支援允許清單的合作夥伴
下表說明工作負載不支援許可清單的合作夥伴。這些工作負載的功能可能較少,例如不支援私有映像檔登錄。
| 合作夥伴 | 說明 |
|---|---|
| Aqua |
Aqua 支援在 GKE Autopilot 上保護工作負載的完整生命週期,並確保其符合規範,特別是 Kubernetes Pod,這些 Pod 會執行多個容器,並共用一組儲存空間和網路資源。 詳情請參閱「Protecting Cloud Native Workloads on GKE Autopilot」(保護 GKE Autopilot 上的雲端原生工作負載)。 |
| Check Point CloudGuard |
Check Point CloudGuard 可為應用程式、工作負載和網路提供統一的雲端原生安全防護。您可以使用這項服務,管理 Google Cloud環境的安全性狀態。 詳情請參閱「加入 Kubernetes 叢集」。 |
| Kubernetes 上的 Elastic Cloud (ECK) |
Elastic Cloud on Kubernetes (ECK) 以 Kubernetes Operator 模式為基礎建構而成,可擴充 Kubernetes 的基本自動化調度管理功能,支援在 Kubernetes 上設定及管理 Elastic Stack。透過 Kubernetes 上的 Elastic Cloud,您可以管理及監控多個叢集、擴充叢集容量和儲存空間,以及透過滾動升級執行安全設定變更。 詳情請參閱 ECK 快速入門導覽課程。 |
| HashiCorp Consul |
HashiCorp Consul 是一項服務網路解決方案,可自動執行網路設定、探索服務,並在各個環境 (包括 GKE Autopilot) 中啟用安全連線。 |
| Kubecost |
Kubecost 可為使用 GKE (包括 Autopilot) 的團隊提供即時費用資訊和洞察資料,協助您監控 Kubernetes 費用。 |
| Lacework |
Lacework 運用機器學習技術,提供雲端環境的相關資訊和背景資料,協助防禦。Lacework 安全平台會學習雲端環境中的正常行為,協助您找出威脅。 |
| New Relic |
New Relic Kubernetes 整合服務會使用 New Relic 基礎架構代理程式,從叢集收集遙測資料,並透過 Kubernetes 事件整合、Prometheus 代理程式和 New Relic Logs Kubernetes 外掛程式等多項 New Relic 整合服務,提供環境健康狀態和效能的觀測能力。 |
| Splunk Observability Cloud |
Splunk Observability Cloud 可讓您掌握叢集內的組成、狀態和持續發生的問題。 詳情請參閱 Splunk Kubernetes 安裝指南。 |