Cargas de trabalho de parceiros do Autopilot


Nesta página, apresentamos uma visão geral das cargas de trabalho de parceiros autorizados que você pode implantar nos clusters do Autopilot do Google Kubernetes Engine (GKE).

O que são as cargas de trabalho de parceiros do Autopilot?

Os clusters do Autopilot do Google Kubernetes Engine (GKE) geralmente não permitem cargas de trabalho que exijam privilégios elevados, como acesso a /var/run, privileged: true ou recursos de arquivos do Linux altamente privilegiados, como NET_RAW e SYS_ADMIN.

As exceções a essa restrição são as cargas de trabalho de parceiros do Autopilot. Um subconjunto de Google Cloud Partners fornece cargas de trabalho com privilégios especiais para clusters do Autopilot. É possível implantar essas cargas de trabalho de parceiros para atender a requisitos como coleta de métricas no nível do nó sem precisar executar um contêiner secundário em cada pod.

Visão geral do processo de autorização

Cada carga de trabalho do parceiro passa por um processo de revisão para garantir que atenda aos requisitos de referência do GKE, como ter a menor quantidade de permissões necessárias para executar corretamente e controle refinado sobre os recursos que a cargas de trabalho poderão acessar.

Tomamos medidas como as seguintes para restringir os recursos dessas cargas de trabalho implantadas:

  • verificar se os contêineres são extraídos do local aprovado.
  • recusar as especificações do pod que não correspondem à especificação aprovada.
  • remover funcionalidades como kubectl exec para cargas de trabalho com privilégios elevados.

Se você for um parceiro do Google Partner com uma carga de trabalho do Autopilot que exige privilégios elevados e precisa ser incluída na lista de permissões, entre em contato com seu gerente de parceiros para informações sobre o programa de parceiros do Autopilot.

Preços

Todos os recursos que as cargas de trabalho dos parceiros criam nos clusters do Autopilot são faturados de acordo com o modelo de preços do Autopilot. Para mais informações sobre preços adicionais de soluções de parceiros, consulte a documentação relevante do parceiro.

Cargas de trabalho de parceiros do Autopilot na lista de permissões

A tabela a seguir descreve as cargas de trabalho de parceiros autorizados para o Autopilot. As cargas de trabalho do parceiro disponíveis para cada um dos clusters dependem da versão do GKE do cluster.

Parceiro Descrição
Aqua

A Aqua dá suporte para assegurar e garantir a conformidade para o ciclo de vida completo das cargas de trabalho no Autopilot do GKE, e especificamente os pods do Kubernetes, que executam vários contêineres com conjuntos compartilhados de recursos de armazenamento e rede.

Para mais informações, consulte Como proteger cargas de trabalho nativas da nuvem no Autopilot do GKE.

Checkmk

O Checkmk ajuda as organizações a monitorar a confiabilidade e a disponibilidade dos aplicativos, otimizar o uso de recursos e resolver proativamente os problemas que possam surgir. O Checkmk pode descobrir e coletar automaticamente dados em todo o cluster, fornecendo visibilidade sobre o desempenho e a integridade do Autopilot do GKE, e visualizar as informações com painéis prontos para uso.

Para mais informações, consulte as instruções de instalação do Checkmk para o Autopilot do GKE.

Check Point CloudGuard

O Check Point CloudGuard fornece segurança unificada e nativa da nuvem para seus aplicativos, cargas de trabalho e rede. Use-o para gerenciar sua postura de segurança nos ambientes do Google Cloud.

Para mais informações, consulte Como integrar clusters do Kubernetes.

CrowdStrike Falcon

O CrowdStrike Falcon protege a infraestrutura de nuvem, interrompe violações e reduz erros humanos usando o machine learning e a inteligência contra ameaças orientada por humanos para reduzir incessantemente a superfície de ataque e fornecer visibilidade total dos eventos que ocorrem no ambiente. O sensor de espaço do usuário do CrowdStrike Falcon oferece visibilidade e proteção para o Autopilot do GKE com um único agente, protegendo tanto o nó quanto os contêineres em execução nele.

Para mais informações, consulte Guia de implantação do CrowdStrike Falcon para GKE (o login é obrigatório).

Datadog

O Datadog oferece visibilidade abrangente de todos os apps conteinerizados em execução no GKE Autopilot ao coletar métricas, registros e traces, o que ajuda a identificar problemas de desempenho e fornecer contexto para resolvê-los.

Para mais informações, consulte Monitorar o Autopilot do GKE com o Datadog.

Dynatrace

A Dynatrace unifica a observabilidade da empresa e acelera a modernização da plataforma de segurança e a adoção da nuvem fornecendo descoberta em tempo real e contexto causal com tecnologia de IA. A implantação do Dynatrace OneAgent no ambiente do Google Cloud é rápida e automática para receber insights imediatos e automatizados, inclusive sobre o uso e o desempenho dos clusters do GKE.

Para mais informações, consulte as instruções de instalação do Dynatrace para o Autopilot do GKE.

Elastic Cloud no Kubernetes (ECK)

Criado com base no padrão de operadores do Kubernetes, o Elastic Cloud no Kubernetes (ECK) estende os recursos básicos de orquestração do Kubernetes para oferecer suporte à configuração e ao gerenciamento do Elastic Stack no Kubernetes. Com o Elastic Cloud no Kubernetes, você simplifica as operações críticas, como o gerenciamento e monitoramento de vários clusters, o escalonamento da capacidade e o armazenamento do cluster, a execução de alterações de configuração seguras por meio de upgrades contínuos e muito mais.

Para mais informações, consulte o Guia de início rápido do ECK.

HashiCorp Consul

O HashiCorp Consul é uma solução de rede de serviços para automatizar configurações de rede, descobrir serviços e permitir conectividade segura entre ambientes, incluindo o GKE Autopilot.

Para mais informações, consulte as instruções de instalação do Consul para o GKE Autopilot.

Kubecost

O Kubecost oferece insights e visibilidade de custos em tempo real para equipes que usam o GKE, incluindo o Autopilot, ajudando a monitorar continuamente seus custos do Kubernetes.

Para mais informações, consulte as instruções de instalação do Kubecost para o Autopilot do GKE.

Lacework

O Lacework oferece visibilidade e contexto para proteger ambientes de nuvem com machine learning autônomo. A plataforma de segurança Lacework aprende o comportamento normal no seu ambiente de nuvem para que você possa identificar ameaças rapidamente.

Para mais informações, consulte as instruções de instalação do AutoML para o Autopilot do GKE.

New Relic

A integração do Kubernetes New Relic oferece observabilidade na integridade e no desempenho do seu ambiente, aproveitando o agente de infraestrutura New Relic, que coleta dados de telemetria do seu cluster usando várias integrações do New Relic, como os eventos do Kubernetes o agente do Prometheus e o plug-in do Kubernetes New Relic Logs.

Para mais informações, consulte as instruções de instalação do New Relic para o Autopilot do GKE.

Prisma Cloud de Palo Alto Networks

Os Defenders do Prisma Cloud do DaemonSet aplicam as políticas que você quer para seu ambiente. O Prisma Cloud Radar exibe uma visualização abrangente dos nós e clusters para que você possa identificar riscos e investigar incidentes.

Para mais informações, consulte o Guia de instalação do Prisma Cloud Kubernetes.

SentinelOne Cloud Workload Security for Containers

Solução de proteção contra ameaças com tecnologia de IA para cargas de trabalho conteinerizadas que oferecem aos clientes a capacidade de monitorar, detectar e analisar ameaças baseadas em processos, arquivos e binários nos nós e contêineres nos clusters do Autopilot do GKE.

Para mais informações, consulte o Guia de instalação do Kubernetes da SentinelOne (login necessário).

Splunk Observability Cloud

O Splunk Observability Cloud oferece visibilidade detalhada da composição, do estado e de problemas contínuos em um cluster.

Para mais informações, consulte o Guia de instalação do Splunk Kubernetes.

Plataforma de DevOps Sysdig Secure

A plataforma de DevOps Sysdig Secure permite implementar práticas recomendadas de segurança de contêineres nos clusters do Autopilot do GKE, incluindo monitorar e proteger suas cargas de trabalho usando o agente do Sysdig. O agente do Sysdig é um componente do host que processa o syscall, cria arquivos de captura e executa auditoria e conformidade.

Para mais informações, consulte Visibilidade e segurança do Autopilot do GKE.

Sensor de tempo de execução do Wiz

O sensor de tempo de execução do Wiz oferece recursos nativos de detecção e resposta para cargas de trabalho na nuvem. É um agente leve baseado em eBPF que pode ser implantado em clusters do GKE para fornecer visibilidade e monitoramento em tempo real de processos em execução, conexões de rede, atividade de arquivos e chamadas do sistema, para detectar, investigar e responder a comportamentos maliciosos que afetem a carga de trabalho.

Para ver mais informações, consulte a Visão geral do sensor de tempo de execução do Wiz.

Esta tabela descreve apenas os parceiros do Google Cloud que têm cargas de trabalho do Autopilot que precisem de privilégios elevados. Outros parceiros do Google Cloud têm produtos que funcionam com o Autopilot sem precisar de privilégios elevados. Para ver uma lista completa de parceiros do Google Cloud, consulte o Diretório de parceiros.