本页面介绍如何在 Google Kubernetes Engine (GKE) Autopilot 上运行特权开源工作负载。本页面适用于希望在 Autopilot 节点中运行特定开源应用的平台工程师。
关于特权 Autopilot 工作负载的许可名单
默认情况下,GKE Autopilot 会强制执行安全限制,拒绝需要在集群中获得提升权限的工作负载。例如,默认情况下,您无法运行启用了特权模式或添加了 NET_RAW Linux 功能的 Pod。
您可以选择在 Autopilot 模式下运行来自 Autopilot 合作伙伴和某些开源项目的部分特定特权工作负载。
如需在 Autopilot 模式下部署特权开源工作负载,请执行以下操作:
- 通过部署
AllowlistSynchronizer对象,为工作负载安装许可名单。AllowlistSynchronizer 会将许可名单安装为WorkloadAllowlist对象并管理其生命周期。如需了解相关说明,请参阅运行来自 GKE Autopilot 合作伙伴的特权工作负载。 - 按照项目文档中的安装步骤,在集群中部署特权开源工作负载。
支持 Autopilot 的特权开源工作负载
下表列出了可在 Autopilot 上运行的特权开源工作负载。如需启用工作负载,请创建 AllowlistSynchronizer 资源,并在 allowlistPaths 字段中添加相应工作负载的许可名单路径。
| 支持 Autopilot 的特权开源工作负载 | 许可名单路径 |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
该表仅列出了需要提升权限且在 Autopilot 上受支持的开源工作负载。需要提升权限但未列入此表的开源软件可能无法在 Autopilot 上运行。如果某个开源应用未违反 Autopilot 中的默认安全限制,则您无需使用许可名单即可运行该应用。