Autopilot パートナー ワークロード


このページでは、許可リストに登録されており、Google Kubernetes Engine(GKE)Autopilot クラスタにデプロイできるパートナー ワークロードの概要について説明します。

Autopilot パートナー ワークロードとは

Google Kubernetes Engine(GKE)Autopilot クラスタでは通常、昇格した権限(/var/runprivileged: true へのアクセス、NET_RAWSYS_ADMIN などの権限の高い Linux ファイル機能へのアクセスなど)を必要とするワークロードは許可されません。

この制限の例外となるのが、Autopilot パートナー ワークロードです。Google Cloud パートナーの一部は、Autopilot クラスタ向けの特別な権限を持つワークロードを提供しています。これらのパートナー ワークロードをデプロイすることで、すべての Pod でサイドカー コンテナを実行することなく、ノードレベルの指標の収集などの要件を満たすことができます。

許可リストへの登録プロセスの概要

すべてのパートナー ワークロードは、レビュー プロセスを経て、GKE のベースライン要件(適切に実行するために必要な最小権限があることや、ワークロードがアクセスできるリソースに対してきめ細かい制御ができることなど)を満たしていることが確認されます。

Google では次のような手段で、デプロイされたワークロードの機能を制限しています。

  • コンテナが承認済みのロケーションから pull されていることを確認する。
  • 承認済みの仕様と一致しない Pod 仕様を拒否する。
  • 昇格した権限を持つワークロードの kubectl exec などの機能を削除する。

昇格した権限を必要とし、許可リストに登録する必要がある Autopilot ワークロードを提供している Google Cloud パートナーの場合は、パートナー マネージャーに Autopilot パートナー プログラムに関する情報を依頼してください。

料金

パートナー ワークロードによって Autopilot クラスタ内に作成されるリソースは、Autopilot 料金モデルに従って課金されます。パートナー ソリューションの追加料金については、関連するパートナーのドキュメントをご覧ください。

許可リストに登録されている Autopilot パートナー ワークロード

次の表に、Autopilot の許可リストに登録されているパートナー ワークロードを示します。各クラスタで使用できるパートナー ワークロードは、クラスタの GKE バージョンによって異なります。

パートナー 説明
Aqua

Aqua は、GKE Autopilot で、ワークロードのライフサイクル全体を通じたコンプライアンスの確保をサポートします。特に、ストレージ セットとネットワーキング リソースを共有し、複数のコンテナを実行する Kubernetes Pod に対応しています。

詳細については、GKE Autopilot でのクラウド ネイティブ ワークロードの保護をご覧ください。

Checkmk

Checkmk は、組織がアプリケーションの信頼性と可用性をモニタリングし、リソース使用量を最適化して、発生する可能性のある問題にプロアクティブに対処するうえで役立ちます。Checkmk は、クラスタ全体のデータを自動的に検出して収集し、GKE Autopilot のパフォーマンスと健全性を可視化します。また、すぐに使えるダッシュボードで情報を可視化できます。

詳細については、GKE Autopilot の Checkmk インストール手順をご覧ください。

Check Point CloudGuard

Check Point CloudGuard は、統合されたクラウドネイティブ セキュリティをアプリケーション、ワークロード、ネットワークに全体的に提供します。Google Cloud 環境全体のセキュリティ ポスチャーの管理に使用できます。

詳細については、Kubernetes クラスタのオンボーディングをご覧ください。

CrowdStrike Falcon

CrowdStrike Falcon は、ML と人間主導の脅威インテリジェンスを活用することで、クラウド インフラストラクチャを保護し、侵害を阻止して人的ミスを減らします。これにより、攻撃対象領域が絶え間なく縮小し、環境内で発生するイベントを包括的に可視化できます。CrowdStrike Falcon のユーザー空間センサーは、単一のエージェントを使用して GKE Autopilot の可視性と保護を提供し、ノードとそこで実行されているコンテナの両方を保護します。

詳細については、GKE 用 CrowdStrike Falcon デプロイガイド(ログインが必要です)をご覧ください。

Datadog

Datadog は、指標、ログ、トレースを収集して、GKE Autopilot で動作しているすべてのコンテナ化されたアプリを包括的に可視化します。これにより、パフォーマンスの問題を表面化させて、トラブルシューティングのコンテキストを提供します。

詳細については、Datadog で GKE Autopilot をモニタリングするをご覧ください。

Dynatrace

Dynatrace は、企業のオブザーバビリティを統合し、リアルタイム検出と AI を活用した因果コンテキストを提供することで、セキュリティ プラットフォームのモダナイゼーションとクラウドの採用を加速します。Dynatrace OneAgent は、Google Cloud 環境に簡単かつ自動的にデプロイでき、GKE クラスタの使用状況やパフォーマンスなどに関する自動インサイトを即時に取得します。

詳細については、GKE Autopilot での Dynatrace のインストール手順をご覧ください。

Elastic Cloud on Kubernetes(ECK)

Kubernetes Operator パターンを基盤として構築された Elastic Cloud on Kubernetes(ECK)は、Kubernetes の基本的なオーケストレーション機能を拡張し、Kubernetes 上の Elastic Stack の設定と管理をサポートします。Elastic Cloud on Kubernetes を使用すると、複数のクラスタの管理とモニタリング、クラスタの容量とストレージのスケーリング、ローリング アップグレードによる安全な構成変更など、重要なオペレーションを合理化できます。

詳細については、ECK のクイックスタートをご覧ください。

HashiCorp Consul

HashiCorp Consul は、ネットワーク構成の自動化やサービスの検出を行い、GKE Autopilot などの環境間で安全な接続を実現するサービス ネットワーキング ソリューションです。

詳細については、GKE Autopilot での Consul のインストール手順をご覧ください。

Kubecost

Kubecost は、Autopilot を含む GKE を使用するチームにリアルタイムの費用の可視化と分析情報を提供します。これにより、Kubernetes の費用を継続的にモニタリングできます。

詳細については、GKE Autopilot の Kubecost インストール手順をご覧ください。

Lacework

Lacework は、自律的な機械学習によってクラウド環境を保護するための可視性とコンテキストを提供します。Lacework セキュリティ プラットフォームはクラウド環境での正常な動作を学習するので、脅威をすばやく特定できるようになります。

詳細については、GKE Autopilot での Lacework インストール手順をご覧ください。

New Relic

New Relic と Kubernetes の統合により、New Relic インフラストラクチャ エージェントを使用して、環境の健全性とパフォーマンスを確認できます。このエージェントは、Kubernetes イベント統合、Prometheus Agent、New Relic Logs Kubernetes プラグインなどの New Relic 統合を使用して、クラスタからテレメトリー データを収集します。

詳細については、GKE Autopilot での New Relic のインストール手順をご覧ください。

Palo Alto Networks の Prisma Cloud

Prisma Cloud DaemonSet Defender は、動作環境に望ましいポリシーを適用します。Prisma Cloud Radar はノードとクラスタを包括的に可視化するため、リスクを特定してインシデントを調査できます。

詳細については、Prisma Cloud Kubernetes インストール ガイドをご覧ください。

SentinelOne Cloud Workload Security for Containers

コンテナ化されたワークロードを対象とする、AI を活用した脅威対策ソリューション。GKE Autopilot クラスタ内のノードとコンテナの両方で、プロセス、ファイル、バイナリベースの脅威をモニタリング、検出、分析できます。

詳細については、SentinelOne Kubernetes インストール ガイド(ログインが必要)をご覧ください。

Splunk Observability Cloud

Splunk Observability Cloud は、クラスタ内の構成、状態、継続的な問題を詳細に可視化します。

詳細については、Splunk Kubernetes インストール ガイドをご覧ください。

Sysdig Secure DevOps Platform

Sysdig Secure DevOps Platform を使用すると、GKE Autopilot クラスタにコンテナ セキュリティのベスト プラクティス(Sysdig エージェントを使用したワークロードのモニタリングと保護など)を実装できます。Sysdig エージェントは、syscall を処理し、キャプチャ ファイルを作成し、監査とコンプライアンスを実行するホスト コンポーネントです。

詳細については、GKE Autopilot の可視性とセキュリティをご覧ください。

Wiz Runtime Sensor

Wiz Runtime Sensor は、クラウドのワークロードに対してネイティブの検出および対応機能を提供します。軽量の eBPF ベースのエージェントであり、GKE クラスタにデプロイできます。実行中のプロセス、ネットワーク接続、ファイル アクティビティ、システムコールをリアルタイムに可視化してモニタリングし、ワークロードに影響を与える悪意のある動作の検出、調査、対応を行います。

詳細については、Wiz Runtime Sensor の概要をご覧ください。

この表には、昇格した権限が必要な Autopilot ワークロードを提供している Google Cloud パートナーのみを記載しています。そのほかの Google Cloud パートナーは、昇格した権限なしで Autopilot と連携するプロダクトを提供しています。すべての Google Cloud パートナーの一覧については、パートナー ディレクトリをご覧ください。