Charges de travail partenaires Autopilot


Cette page présente les charges de travail partenaires autorisées que vous pouvez déployer dans vos clusters Google Kubernetes Engine (GKE) en mode Autopilot.

Que sont les charges de travail partenaires Autopilot ?

Les clusters Autopilot de Google Kubernetes Engine (GKE) n'autorisent généralement pas les charges de travail qui nécessitent des privilèges élevés, telles que l'accès à /var/run et privileged: true ou à des fonctionnalités de fichiers Linux à privilèges élevés comme NET_RAW et SYS_ADMIN.

Les seules exceptions à cette restriction sont les charges de travail partenaires Autopilot. Un sous-ensemble de partenaires Google Cloud fournit des charges de travail spécialisées pour les clusters Autopilot. Vous pouvez déployer ces charges de travail partenaires pour répondre à des exigences telles que la collecte de métriques au niveau du nœud sans avoir à exécuter un conteneur side-car dans chaque pod.

Présentation du processus d'ajout à la liste d'autorisation

Chaque charge de travail partenaire passe par un processus de vérification qui garantit qu'elle répond aux exigences de base pour GKE (par exemple, disposer du minimum d'autorisations nécessaire pour fonctionner correctement et contrôler avec précision les ressources auxquelles les charges de travail peuvent accéder).

Nous prenons des mesures telles que les suivantes pour limiter les capacités de ces charges de travail déployées :

  • Vérifier que les conteneurs sont extraits depuis l'emplacement approuvé.
  • Refuser les spécifications de pods qui ne correspondent pas aux spécifications approuvées.
  • Supprimez des fonctionnalités telles que kubectl exec pour les charges de travail avec privilèges élevés.

Si vous êtes un partenaire Google Cloud et que votre charge de travail Autopilot nécessite des privilèges élevés et doit être ajoutée à la liste d'autorisation, contactez votre responsable partenaire pour obtenir des informations sur le programme partenaire Autopilot.

Tarifs

Toutes les ressources que les charges de travail partenaires créent dans vos clusters Autopilot sont facturées selon le modèle de tarification Autopilot. Pour en savoir plus sur les tarifs supplémentaires des solutions partenaires, consultez la documentation du partenaire en question.

Charges de travail partenaires Autopilot ajoutées à la liste d'autorisation

Le tableau suivant décrit les charges de travail partenaires autorisées pour Autopilot. Les charges de travail partenaires disponibles pour chacun de vos clusters dépendent de la version GKE du cluster.

Partenaire Description
Aqua

Aqua assure la sécurisation et la conformité sur l'intégralité du cycle de vie des charges de travail sur GKE Autopilot, et plus particulièrement sur les pods Kubernetes, qui exécutent plusieurs conteneurs avec des ensembles partagés de ressources de stockage et de réseau.

Pour en savoir plus, consultez la page Protéger les charges de travail cloud natives sur GKE Autopilot.

Checkmk

Checkmk aide les entreprises à surveiller la fiabilité et la disponibilité de leurs applications, à optimiser l'utilisation des ressources et à résoudre les problèmes qui peuvent survenir de manière proactive. Checkmk peut détecter et collecter automatiquement les données à l'échelle du cluster. Il permet ainsi de gagner en visibilité sur les performances et l'état de GKE Autopilot et de visualiser les informations à l'aide de tableaux de bord prêts à l'emploi.

Pour en savoir plus, consultez les instructions d'installation de Checkmk pour GKE Autopilot.

Check Point CloudGuard

Check Point CloudGuard fournit une sécurité cloud native et unifiée pour l'ensemble de vos applications, charges de travail et réseaux. Vous pouvez l'utiliser pour gérer votre stratégie de sécurité dans les environnements Google Cloud.

Pour en savoir plus, consultez la section Intégrer des clusters Kubernetes.

CrowdStrike Falcon

CrowdStrike Falcon sécurise l'infrastructure cloud, arrête les violations et réduit les erreurs humaines en exploitant le machine learning, ainsi que les renseignements humains sur les menaces afin de réduire activement la surface d'attaque et d'offrir une visibilité totale sur les événements qui se produisent dans l'environnement. Le capteur d'espace utilisateur de CrowdStrike Falcon offre une visibilité et une protection pour GKE Autopilot à l'aide d'un seul agent, protégeant ainsi le nœud et les conteneurs qui y sont exécutés.

Pour en savoir plus, consultez le guide de déploiement CrowdStrike Falcon pour GKE (connexion requise).

Datadog

Datadog offre une visibilité complète sur toutes vos applications conteneurisées s'exécutant sur GKE Autopilot en collectant des métriques, des journaux et des traces, ce qui permet de mettre en évidence les problèmes de performances et de fournir du contexte pour les résoudre.

Pour en savoir plus, consultez la page Surveiller GKE Autopilot avec Datadog.

Dynatrace

Dynatrace unifie l'observabilité des entreprises et accélère la modernisation des plates-formes de sécurité ainsi que l'adoption du cloud en offrant des fonctionnalités de découverte en temps réel et de contexte causal basé sur l'IA. Dynatrace OneAgent peut être déployé rapidement et automatiquement dans votre environnement Google Cloud pour obtenir des insights automatiques et immédiats, y compris concernant l'utilisation et les performances de vos clusters GKE.

Pour en savoir plus, consultez les instructions d'installation de Dynatrace pour GKE Autopilot.

Elastic Cloud sur Kubernetes (ECK)

Elastic Cloud sur Kubernetes (ECK) s'appuie sur le modèle d'opérateur Kubernetes pour étendre les fonctionnalités d'orchestration de base de Kubernetes afin de permettre la configuration et la gestion de Elastic Stack sur Kubernetes. Avec Elastic Cloud sur Kubernetes, vous pouvez simplifier les opérations critiques, telles que la gestion et la surveillance de plusieurs clusters, le scaling de la capacité et du stockage des clusters, les modifications de configuration sécurisées via des mises à niveau progressives, et bien plus encore.

Pour plus d'informations, reportez-vous au guide de démarrage rapide d'ECK.

HashiCorp Consul

HashiCorp Consul est une solution de mise en réseau de services qui permet d'automatiser les configurations réseau, de découvrir des services et de garantir une connectivité sécurisée entre les environnements, dont GKE Autopilot.

Pour en savoir plus, consultez les instructions d'installation pour GKE Autopilot.

Kubecost

Kubecost offre aux équipes qui utilisent GKE une visibilité et des insights sur les coûts en temps réel, y compris Autopilot, et vous aide à surveiller vos coûts Kubernetes en continu.

Pour en savoir plus, consultez les instructions d'installation de Kubecost pour GKE Autopilot.

Lacework

Lacework offre de la visibilité et du contexte pour protéger les environnements cloud grâce au machine learning autonome. La plateforme de sécurité Lacework apprend ce qui constitue un comportement normal dans votre environnement cloud afin que vous puissiez rapidement repérer les menaces.

Pour en savoir plus, consultez les instructions d'installation de Lacework pour GKE Autopilot.

New Relic

L'intégration de New Relic à Kubernetes vous offre une visibilité sur l'état et les performances de votre environnement grâce à l'agent d'infrastructure New Relic, qui collecte les données de télémétrie de votre cluster à l'aide de plusieurs intégrations New Relic, telles que l'intégration des événements Kubernetes, l'agent Prometheus et le plug-in New Relic Logs Kubernetes.

Pour en savoir plus, consultez les instructions d'installation de New Relic pour GKE Autopilot.

Prisma Cloud by Palo Alto Networks

Prisma Cloud DaemonSet Defenders applique les stratégies souhaitées pour votre environnement. Prisma Cloud Radar affiche une visualisation complète de vos nœuds et clusters afin que vous puissiez identifier les risques et examiner les incidents.

Pour plus d'informations, reportez-vous au guide d'installation Kubernetes de Prisma Cloud.

Sécurité des charges de travail SentinelOne Cloud pour les conteneurs

Solution de protection contre les menaces basée sur l'IA pour les charges de travail conteneurisées, qui permet aux clients de surveiller, de détecter et d'analyser les menaces basées sur les processus, les fichiers et les binaires sur les nœuds et les conteneurs de vos clusters GKE Autopilot.

Pour en savoir plus, consultez le guide d'installation Kubernetes de SentinelOne (connexion requise).

Splunk Observability Cloud

Splunk Observability Cloud offre une visibilité détaillée sur la composition, l'état et les problèmes actuels d'un cluster.

Pour en savoir plus, consultez le guide d'installation Kubernetes de Splunk.

Plate-forme DevOps sécurisée Sysdig

La plate-forme de DevOps sécurisée Sysdig vous permet de mettre en œuvre les bonnes pratiques de sécurité des conteneurs dans vos clusters GKE Autopilot, y compris la surveillance et la sécurisation de vos charges de travail à l'aide de l'agent Sysdig. L'agent Sysdig est un composant hôte qui traite les appels système, crée des fichiers de capture, et met en œuvre des fonctions d'audit et de conformité.

Pour en savoir plus, consultez la page Visibilité et sécurité pour GKE Autopilot.

Capteur d'exécution Wiz

Le capteur d'exécution Wiz fournit des fonctionnalités de détection et de réponse natives pour les charges de travail dans le cloud. Il s'agit d'un agent eBPF léger qui peut être déployé sur des clusters GKE pour fournir une visibilité et une surveillance en temps réel des processus, des connexions réseau, des activités liées aux fichiers et des appels système en cours afin de détecter, d'examiner et de réagir aux comportements malveillants affectant la charge de travail.

Pour en savoir plus, consultez la présentation du capteur d'exécution Wiz.

Ce tableau ne décrit que les partenaires Google Cloud qui disposent de charges de travail Autopilot nécessitant des privilèges élevés. D'autres partenaires Google Cloud proposent des produits qui fonctionnent avec Autopilot sans nécessiter de privilèges élevés. Pour obtenir la liste complète des partenaires Google Cloud, consultez l'annuaire des partenaires.