이 페이지에서는 Google Kubernetes Engine(GKE) Autopilot 클러스터에 배포할 수 있는 허용 목록에 포함된 파트너 워크로드에 대해 간략하게 설명합니다.
Autopilot 파트너 워크로드란 무엇인가요?
일반적으로 Google Kubernetes Engine(GKE) Autopilot 클러스터는 /var/run, privileged: true에 대한 액세스와 같은 승격된 권한이 필요한 작업 부하 또는 NET_RAW 및 SYS_ADMIN 같은 상위 권한의 Linux 파일 기능을 허용하지 않습니다.
이러한 제한사항에 대한 예외는 Autopilot 파트너 워크로드입니다. Google Cloud 파트너의 하위 집합은 Autopilot 클러스터에 특별 권한 워크로드를 제공합니다. 모든 포드에서 이러한 파트너 워크로드를 배포하여 사이드카 컨테이너를 실행하지 않고도 노드 수준 측정항목 수집 등의 요구사항을 충족할 수 있습니다.
허용 목록 추가 프로세스 개요
모든 파트너 워크로드는 올바르게 실행되는 데 필요한 최소한의 권한 수와 같은 GKE 기본 요구사항과 워크로드가 액세스할 수 있는 리소스에 대한 세분화된 제어에 필요한 기본 요구사항을 충족하는지 검토 프로세스를 거칩니다.
이렇게 배포된 워크로드의 기능을 제한하기 위해서는 다음과 같은 조치를 취합니다.
- 컨테이너를 승인된 위치에서 가져왔는지 확인
- 승인된 사양과 일치하지 않는 포드 사양은 거부
- 승격된 권한을 가진 워크로드에 대해
kubectl exec와 같은 기능 삭제
승격된 권한이 필요하며 허용 목록에 추가해야 하는 Autopilot 워크로드가 있는 Google Cloud 파트너인 경우에는 파트너 관리자에게 Autopilot 파트너 프로그램에 대해 문의하세요.
가격 책정
파트너 워크로드가 Autopilot 클러스터에 만드는 모든 리소스는 Autopilot 가격 책정 모델에 따라 청구됩니다. 파트너 솔루션의 추가 가격에 대한 상세 설명은 관련련 파트너의 문서를 참조하세요.
허용 목록에 추가된 Autopilot 파트너 워크로드
다음 표에서는 Autopilot의 허용 목록에 추가된 파트너 워크로드에 대해 설명합니다. 각 클러스터에 사용할 수 있는 파트너 워크로드는 클러스터의 GKE 버전에 따라 다릅니다.
| 파트너 | 설명 |
|---|---|
| Aqua |
Aqua는 공유 스토리지 및 네트워킹 리소스 모음으로 여러 컨테이너를 실행하는 GKE 포드, 특히 Kubernetes 포드의 전체 수명 주기 보안 및 규정 준수를 지원합니다. 자세한 내용은 GKE Autopilot에서 클라우드 기반 워크로드 보호를 참조하세요. |
| Checkmk |
Checkmk는 조직이 애플리케이션의 신뢰성 및 가용성을 모니터링하고, 리소스 사용량을 최적화하고, 발생 가능한 문제를 사전에 해결할 수 있게 도와줍니다. Checkmk는 GKE Autopilot 성능 및 상태에 대해 가시성을 제공하는 클러스터 전체 데이터를 자동으로 검색 및 수집하고 즉시 사용 가능한 대시보드로 정보를 시각화할 수 있습니다. 자세한 내용은 GKE Autopilot의 Checkmk 설치 안내를 참조하세요. |
| Check Point CloudGuard |
Check Point CloudGuard는 애플리케이션, 워크로드, 네트워크 간에 통합된 클라우드 기반 보안을 제공합니다. 이를 통해 Google Cloud 환경 전반의 보안 상황을 관리할 수 있습니다. 자세한 내용은 Kubernetes 클러스터 온보딩을 참조하세요. |
| CrowdStrike Falcon |
CrowdStrike Falcon은 공격 표면을 지속적으로 줄이고 환경에서 발생하는 모든 이벤트에 대한 가시성을 제공할 수 있도록 머신러닝과 인간 주도의 위협 인텔리전스를 활용해서 클라우드 인프라를 보호하고, 침해를 멈추고 인간의 오류를 줄여줍니다. CrowdStrike Falcon의 사용자 공간 센서는 단일 에이전트를 사용해서 GKE Autopilot에 대한 가시성 및 보호 기능을 제공하여 노드와 노드에서 실행되는 컨테이너를 모두 보호합니다. 자세한 내용은 GKE에 대한 CrowdStrike Falcon 배포 가이드(로그인 필요)를 참조하세요. |
| Datadog |
Datadog는 성능 문제를 파악하고 문제 해결을 위한 컨텍스트를 제공하는 데 도움이 되는 측정항목, 로그, trace를 수집하여 GKE Autopilot에서 실행 중인 컨테이너화된 모든 앱에 대해 포괄적인 가시성을 제공합니다. 자세한 내용은 Datadog로 GKE Autopilot 모니터링을 참조하세요. |
| Dynatrace |
Dynatrace는 기업 관찰을 통합하고, 실시간 검색 및 AI 기반의 인과적 컨텍스트를 제공하여 보안 플랫폼 현대화 및 클라우드 채택을 가속화합니다. Dynatrace OneAgent는 Google Cloud 환경에 빠르게 자동으로 배포되어 GKE 클러스터 사용 및 성능을 포함하여 즉각적이고 자동화된 통계를 얻을 수 있습니다. 자세한 내용은 GKE Autopilot의 Dynatrace 설치 안내를 참조하세요. |
| Elastic Cloud on Kubernetes(ECK) |
Kubernetes 연산자 패턴을 기반으로 구축된 Elastic Cloud on Kubernetes(ECK)는 기본 Kubernetes 조정 기능을 확장하여 Kubernetes에서 Elastic Stack의 설정 및 관리를 지원합니다. Elastic Cloud on Kubernetes를 사용하면 여러 클러스터 관리 및 모니터링, 클러스터 용량 및 스토리지 확장, 순차적 업그레이드를 통한 안전한 구성 변경 수행 등의 중요한 작업을 간소화할 수 있습니다. 자세한 내용은 ECK 빠른 시작을 참조하세요. |
| HashiCorp Consul |
HashiCorp Consul은 네트워크 구성을 자동화하고, 서비스를 검색하고, GKE Autopilot을 비롯한 환경 간의 보안 연결을 지원하는 서비스 네트워킹 솔루션입니다. 자세한 내용은 GKE Autopilot의 Consul 설치 안내를 참조하세요. |
| Kubecost |
Kubecost는 Autopilot을 비롯한 GKE를 사용하는 팀에게 실시간 비용 가시성과 통계를 제공하여 Kubernetes 비용을 지속적으로 모니터링할 수 있게 도와줍니다. 자세한 내용은 GKE Autopilot의 Kubecost 설치 안내를 참조하세요. |
| Lacework |
Lacework는 가시성과 상황에 맞는 통찰력을 제공함으로써 클라우드 환경을 보호하는 자율 머신러닝을 제공합니다. Lacework 보안 플랫폼은 클라우드 환경에서 정상 동작을 학습하여 위협을 빠르게 식별할 수 있게 도와줍니다. 자세한 내용은 GKE Autopilot의 Lacework 설치 안내를 참조하세요. |
| New Relic |
New Relic Kubernetes 통합은 New Relic 인프라 에이전트를 활용하여 환경의 상태와 성능에 대한 관측 가능성을 제공합니다. 이 에이전트는 Kubernetes 이벤트 통합, Prometheus 에이전트, New Relic 로그 Kubernetes 플러그인과 같은 여러 New Relic 통합을 사용하여 클러스터에서 원격 분석 데이터를 수집합니다. 자세한 내용은 GKE Autopilot용 New Relic 설치 안내를 참조하세요. |
| Palo Alto Networks의 Prisma Cloud |
Prisma Cloud DaemonSet Defenders는 사용자 환경에 필요한 정책을 적용합니다. Prisma Cloud Radar는 위험을 식별하고 이슈를 조사할 수 있도록 노드 및 클러스터에 대한 포괄적인 시각화 기능을 제공합니다. 자세한 내용은 Prisma Cloud Kubernetes 설치 가이드를 참조하세요. |
| 컨테이너용 SentinelOne Cloud 워크로드 보안 |
컨테이너화된 워크로드를 위한 AI 기반 위협 보호 솔루션으로, GKE Autopilot 클러스터 내 노드와 컨테이너 모두에서 프로세스, 파일, 바이너리 기반 위협을 모니터링, 감지, 분석할 수 있는 기능을 고객에게 제공합니다. 자세한 내용은 SentinelOne Kubernetes 설치 가이드(로그인 필요)를 참조하세요. |
| Splunk Observability Cloud |
Splunk Observability Cloud는 클러스터에서 구성, 상태, 진행 중인 문제에 대해 심도 깊은 가시성을 제공합니다. 자세한 내용은 Splunk Kubernetes 설치 가이드를 참조하세요. |
| Sysdig Secure DevOps 플랫폼 |
Sysdig Secure Devops 플랫폼을 사용하면 Sysdig 에이전트를 사용하여 워크로드를 모니터링하고 보호하는 것을 포함하여 GKE Autopilot 클러스터에서 컨테이너 보안 권장사항을 구현할 수 있습니다. Sysdig 에이전트는 syscall을 처리하고, 캡처 파일을 만들고, 감사 및 규정 준수를 수행하는 호스트 구성요소입니다. 자세한 내용은 GKE Autopilot의 가시성 및 보안을 참조하세요. |
| Wiz Runtime Sensor |
Wiz Runtime Sensor는 클라우드 워크로드에 대한 기본 감지 및 응답 기능을 제공합니다. GKE 클러스터에 배포할 수 있는 경량형 eBPF 기반 에이전트이며, 실행 중인 프로세스에 대한 실시간 가시성과 모니터링, 네트워크 연결, 파일 작업, 시스템 호출을 통해 워크로드에 영향을 주는 악의적인 동작을 감지, 조사, 대응할 수 있습니다. 자세한 내용은 Wiz Runtime Sensor 개요를 참조하세요. |
이 표에서는 승격된 권한이 필요한 Autopilot 워크로드가 포함된 Google Cloud 파트너에 대해서만 설명합니다. 다른 Google Cloud 파트너에는 승격된 권한을 필요로 하지 않고 Autopilot에서 작동하는 제품이 있습니다. 전체 Google Cloud 파트너 목록은 파트너 디렉터리를 참조하세요.