Ejecutar cargas de trabajo de código abierto con privilegios en Autopilot de GKE


En esta página se explica cómo ejecutar cargas de trabajo de código abierto con privilegios en Autopilot de Google Kubernetes Engine (GKE). Esta página está dirigida a ingenieros de plataformas que quieran ejecutar aplicaciones de código abierto específicas en nodos de Autopilot.

Acerca de las listas de permitidos para cargas de trabajo de Autopilot con privilegios

De forma predeterminada, Autopilot de GKE aplica restricciones de seguridad que rechazan las cargas de trabajo que necesitan privilegios elevados en el clúster. Por ejemplo, de forma predeterminada, no puedes ejecutar un pod que habilite el modo con privilegios o que añada la función de Linux NET_RAW.

Opcionalmente, puedes ejecutar un conjunto específico de cargas de trabajo privilegiadas de partners de Autopilot y de determinados proyectos de código abierto en el modo Autopilot.

Para desplegar cargas de trabajo de código abierto con privilegios en el modo Autopilot, haz lo siguiente:

  1. Instala una lista de permitidos para la carga de trabajo implementando un objeto AllowlistSynchronizer. AllowlistSynchronizer instala la lista de permitidos como un objeto WorkloadAllowlist y gestiona su ciclo de vida. Para obtener instrucciones, consulta Ejecutar cargas de trabajo con privilegios de partners de Autopilot de GKE.
  2. Implementa la carga de trabajo de código abierto con privilegios en tu clúster siguiendo los pasos de instalación que se indican en la documentación del proyecto.

Cargas de trabajo de código abierto privilegiadas con compatibilidad con Autopilot

En la siguiente tabla se describen las cargas de trabajo de código abierto con privilegios que puedes ejecutar en Autopilot. Para habilitar una carga de trabajo, crea un recurso AllowlistSynchronizer con la ruta a las listas de permitidos de esa carga de trabajo en el campo allowlistPaths.

Cargas de trabajo de código abierto con privilegios para Autopilot Ruta de la lista de permitidos

Grafana Alloy

Grafana/alloy/*

Grafana Beyla

Grafana/beyla/*

En esta tabla solo se describen las cargas de trabajo de código abierto que necesitan privilegios elevados y que se admiten en Autopilot. Es posible que el software de código abierto que requiera privilegios elevados y no figure en esta tabla no funcione en Autopilot. Si una aplicación de código abierto no infringe las restricciones de seguridad predeterminadas de Autopilot, puedes ejecutarla sin una lista de permitidas.

Siguientes pasos