Cette page vous explique comment exécuter des charges de travail Open Source privilégiées sur Google Kubernetes Engine (GKE) Autopilot. Cette page s'adresse aux ingénieurs de plate-forme qui souhaitent exécuter des applications Open Source spécifiques dans des nœuds Autopilot.
À propos des listes d'autorisation pour les charges de travail Autopilot privilégiées
Par défaut, GKE Autopilot applique des contraintes de sécurité qui rejettent les charges de travail nécessitant des privilèges élevés dans le cluster. Par exemple, vous ne pouvez pas, par défaut, exécuter un pod qui active le mode privilégié ou ajoute la capacité Linux NET_RAW.
Vous pouvez éventuellement exécuter un ensemble spécifique de charges de travail privilégiées provenant de partenaires Autopilot et de certains projets Open Source en mode Autopilot.
Pour déployer des charges de travail Open Source privilégiées en mode Autopilot, procédez comme suit :
- Installez une liste d'autorisation pour la charge de travail en déployant un objet
AllowlistSynchronizer. AllowlistSynchronizer installe la liste d'autorisation en tant qu'objetWorkloadAllowlistet gère son cycle de vie. Pour obtenir des instructions, consultez Exécuter des charges de travail privilégiées à partir de partenaires GKE Autopilot. - Déployez la charge de travail Open Source privilégiée dans votre cluster en suivant les étapes d'installation de la documentation du projet.
Charges de travail Open Source privilégiées compatibles avec Autopilot
Le tableau suivant décrit les charges de travail Open Source privilégiées que vous pouvez exécuter sur Autopilot. Pour activer une charge de travail, créez une ressource AllowlistSynchronizer avec le chemin d'accès aux listes d'autorisation pour cette charge de travail dans le champ allowlistPaths.
| Charges de travail Open Source privilégiées pour Autopilot | Chemin de la liste d'autorisation |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
Ce tableau ne décrit que les charges de travail Open Source nécessitant des privilèges élevés et compatibles avec Autopilot. Les logiciels Open Source nécessitant des privilèges élevés et ne figurant pas dans ce tableau peuvent ne pas fonctionner sur Autopilot. Si une application Open Source ne viole pas les contraintes de sécurité par défaut dans Autopilot, vous pouvez l'exécuter sans liste d'autorisation.