Autopilot 合作伙伴工作负载


本页面简要介绍了您可以在 Google Kubernetes Engine (GKE) Autopilot 集群中部署的已列入许可名单的合作伙伴工作负载

什么是 Autopilot 合作伙伴工作负载?

Google Kubernetes Engine (GKE) Autopilot 集群通常不允许使用需要提升权限的工作负载,例如使用 /var/runprivileged: true 或一些高权限 Linux 文件功能(例如 NET_RAWSYS_ADMIN)。

但对 Autopilot 合作伙伴工作负载则不存在此限制。部分 Google Cloud 合作伙伴会提供可用于 Autopilot 集群的特权工作负载。您可以部署这些合作伙伴工作负载来满足一些特定需求,例如您可以收集节点级指标,而无需在每个 Pod 中运行 Sidecar 容器。

列入许可名单流程概览

每个合作伙伴工作负载都需经过审核流程,以确保它们满足 GKE 的基准要求,例如拥有正常运行所需的最低权限,以及对工作负载可以访问的资源拥有精细访问权限控制。

我们会采取如下措施来限制这些已部署工作负载的功能:

  • 验证容器是否从获批准的位置拉取。
  • 拒绝与获批准的规范不符的 Pod 规范。
  • 为具有提升权限的工作负载移除 kubectl exec 等功能。

如果您是 Google Cloud 合作伙伴,并且拥有需要提升权限并且需要列入许可名单的 Autopilot 工作负载,请与您的合作伙伴经理联系,了解 Autopilot 合作伙伴计划。

价格

合作伙伴工作负载在 Autopilot 集群中创建的任何资源都会根据 Autopilot 价格模式计费。如需了解合作伙伴解决方案的任何其他价格,请参阅相关合作伙伴的文档。

已列入许可名单的 Autopilot 合作伙伴工作负载

下表介绍了 Autopilot 中已列入许可名单的合作伙伴工作负载。每个集群可用的合作伙伴工作负载取决于集群的 GKE 版本。

合作伙伴 说明
Aqua

Aqua 保护并确保 GKE Autopilot 上工作负载的整个生命周期的合规性,尤其针对运行具有共享存储和网络资源集的多个容器的 Kubernetes Pod。

如需了解详情,请参阅保护 GKE Autopilot 上的云原生工作负载

Checkmk

Checkmk 可帮助组织监控其应用的可靠性和可用性、优化资源使用情况,并主动解决可能出现的问题。Checkmk 可以自动发现和收集集群范围的数据,从而了解 GKE Autopilot 的性能和运行状况,并使用开箱即用的信息中心直观呈现信息。

如需了解详情,请参阅 GKE Autopilot 的 Checkmk 安装说明

Check Point CloudGuard

Check Point CloudGuard 可在应用、工作负载和网络中提供统一的云原生安全性。您可以使用它来管理整个 Google Cloud 环境的安全态势。

如需了解详情,请参阅初始化 Kubernetes 集群

CrowdStrike Falcon

CrowdStrike Falcon 可保护云基础架构、阻止入侵,并通过机器学习和人为威胁情报来不断缩小攻击面,并提供对环境中发生的事件的全面可视性,从而减少人为错误。CrowdStrike Falcon 的用户空间传感器使用单个代理为 GKE Autopilot 提供可见性和保护,同时保护节点和在其上运行的容器。

如需了解详情,请参阅 CrowdStrike Falcon for GKE 部署指南(需要登录)

Datadog

Datadog 通过收集指标、日志和跟踪记录,全面了解在 GKE Autopilot 上运行的所有容器化应用,从而帮助呈现性能问题并提供问题排查流程。

如需了解详情,请参阅使用 Datadog 监控 GKE Autopilot

Dynatrace

Dynatrace 通过提供实时发现和依托 AI 技术的因果关系,统一了企业可观测性并加快了安全平台现代化改造和云采用。Dynatrace OneAgent 可以快速自动部署在 Google Cloud 环境中,以获取即时自动分析数据,包括深入了解 GKE 集群的使用情况和性能。

如需了解详情,请参阅 GKE Autopilot 的 Dynatrace 安装说明

Elastic Cloud on Kubernetes (ECK)

Elastic Kubernetes on Kubernetes (ECK) 基于 Kubernetes Operator 模式构建,扩展了基本的 Kubernetes 编排功能,以支持设置和管理 Elastic Stack on Kubernetes。借助 Elastic Cloud on Kubernetes,您可以简化关键操作,例如管理和监控多个集群、扩缩集群容量和存储空间、通过滚动升级执行安全的配置更改等等。

如需了解详情,请参阅 ECK 快速入门

HashiCorp Consul

HashiCorp Consul 是一种服务网络解决方案,可自动执行网络配置、发现服务以及实现跨环境(包括 GKE Autopilot)的安全连接。

如需了解详情,请参阅 GKE Autopilot 的 Consul 安装说明

Kubecost

Kubecost 为使用 GKE(包括 Autopilot)的团队提供了实时的费用可见性和数据分析,可帮助您持续监控 Kubernetes 费用。

如需了解详情,请参阅 GKE Autopilot 的 Kubecost 安装说明

Lacework

Lacework 通过自治机器学习提供了可见性和上下文来保护云环境。Lacework 安全平台会了解您的云环境中的正常行为,便于您快速发现威胁。

如需了解详情,请参阅 GKE Autopilot 的 Lacework 安装说明

New Relic

借助 New Relic Kubernetes 集成,您可以利用 New Relic 基础架构代理了解环境的运行状况和性能,该代理使用多个 New Relic 集成(例如 Kubernetes 事件集成、Prometheus 代理和 New Relic Logs Kubernetes 插件)从集群收集遥测数据。

如需了解详情,请参阅 GKE Autopilot 的 New Relic 安装说明

Palo Alto Networks 的 Prisma Cloud

Prisma Cloud DaemonSet Defenders 可为您的环境强制执行所需的政策。Prisma Cloud Radar 可提供全面的节点和集群信息,让您可以识别风险并调查突发事件。

如需了解详情,请参阅 Prisma Cloud Kubernetes 安装指南

SentinelOne Cloud Workload Security for Containers

针对容器化工作负载的 AI 驱动型威胁防护解决方案,可让客户监控、检测和分析 GKE Autopilot 集群中节点和容器中的进程、文件和二进制文件威胁。

如需了解详情,请参阅 SentinelOne Kubernetes 安装指南(需要登录)

Splunk Observability Cloud

Splunk Observability Cloud 可让您深入了解集群内各项资源的构成、状态以及正在发生的问题。

如需了解详情,请参阅 Splunk Kubernetes 安装指南

Sysdig Secure DevOps Platform

借助 Sysdig Secure DevOps Platform,您可以在 GKE Autopilot 集群中实现容器安全最佳做法,包括使用 Sysdig 代理监控和保护工作负载。Sysdig 代理是一个主机组件,用于处理系统调用、创建捕获文件以及执行审核并确保合规性。

如需了解详情,请参阅 GKE Autopilot 的可见性和安全性

Wiz Runtime Sensor

Wiz Runtime Sensor 可为云工作负载提供原生检测和响应功能。它是一个基于 eBPF 的轻量级代理,可以部署到 GKE 集群,以实时了解和监控正在运行的进程、网络连接、文件活动和系统调用,从而检测、调查、和应对影响工作负载的恶意行为。

如需了解详情,请参阅 Wiz Runtime Sensor 概览

该表仅介绍了拥有需要提升权限的 Autopilot 工作负载的 Google Cloud 合作伙伴。其他 Google Cloud 合作伙伴提供的产品可与 Autopilot 搭配使用,且无需提升权限。如需查看 Google Cloud 合作伙伴的完整列表,请参阅合作伙伴名录