En esta página, se proporciona una descripción general de las cargas de trabajo de socios de la lista de entidades permitidas que puedes implementar en tus clústeres de Autopilot de Google Kubernetes Engine (GKE).
¿Qué son las cargas de trabajo de socios de Autopilot?
Los clústeres de Autopilot de Google Kubernetes Engine (GKE) no suelen permitir cargas de trabajo que requieran privilegios elevados, como acceso a /var/run, privileged: true o capacidades de archivos de Linux con muchos privilegios, como NET_RAW y SYS_ADMIN.
Las excepciones a esta restricción son las cargas de trabajo de socios de Autopilot. Un subconjunto de Google Cloud Partners proporciona cargas de trabajo con privilegios especiales para los clústeres Autopilot. Puedes implementar estas cargas de trabajo de socios para cumplir con requisitos como recopilar métricas a nivel de nodo sin necesidad de ejecutar un contenedor de sidecar en cada pod.
Descripción general del proceso de inclusión en la lista de entidades permitidas
Cada carga de trabajo de socio pasa por un proceso de revisión a fin de garantizar que cumpla con los requisitos de referencia para GKE, como tener la menor cantidad de permisos necesarios para ejecutarse de forma correcta y un control detallado sobre los recursos a los que pueden acceder las cargas de trabajo.
Tomamos medidas como las siguientes para restringir las capacidades de estas cargas de trabajo implementadas:
- Verifica que los contenedores se extraigan de la ubicación aprobada.
- Rechaza las especificaciones del Pod que no coinciden con la especificación aprobada.
- Quita funciones como
kubectl execpara cargas de trabajo con privilegios elevados.
Si eres socio de Google Cloud con una carga de trabajo de Autopilot que requiere privilegios elevados y debe incluirse en la lista de entidades permitidas, comunícate con tu administrador de socios para obtener información sobre el programa de socios de Autopilot.
Precios
Todos los recursos que las cargas de trabajo de socios crean en tus clústeres de Autopilot se facturan según el modelo de precios de Autopilot. Si deseas obtener información sobre los precios adicionales para soluciones de socios, consulta la documentación del socio relevante.
Cargas de trabajo de socios de Autopilot de la lista de entidades permitidas
En la siguiente tabla, se describen las cargas de trabajo de socios de la lista de entidades permitidas para Autopilot. Las cargas de trabajo de socios disponibles para cada uno de tus clústeres dependen de la versión de GKE del clúster.
| Socio | Descripción |
|---|---|
| Aqua |
Aqua es compatible con la seguridad y la garantía de cumplimiento del ciclo de vida completo de las cargas de trabajo en GKE Autopilot, y específicamente los pods de Kubernetes, que ejecutan varios contenedores con conjuntos compartidos de recursos de almacenamiento y de herramientas de redes. Para obtener más información, consulta Protege cargas de trabajo nativas de la nube en GKE Autopilot. |
| Checkmk |
Checkmk ayuda a las organizaciones a supervisar la confiabilidad y la disponibilidad de sus aplicaciones, optimizar el uso de recursos y abordar de forma proactiva los problemas que puedan surgir. Checkmk puede descubrir y recopilar automáticamente datos de todo el clúster que proporcionan visibilidad en el rendimiento y el estado de GKE Autopilot, y visualiza la información con paneles listos para usar. Si deseas obtener más información, consulta las instrucciones de instalación de Checkmk para GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard proporciona seguridad unificada y nativa de la nube para tus aplicaciones, cargas de trabajo y redes. Puedes usarla para administrar tu posición de seguridad en los entornos de Google Cloud. Para obtener más información, consulta Integra clústeres de Kubernetes. |
| CrowdStrike Falcon |
CrowdStrike Falcon protege la infraestructura de nube, detiene las violaciones y reduce el error humano aprovechando el aprendizaje automático, y la inteligencia humana contra amenazas para reducir implacablemente la superficie de ataque y proporcionar visibilidad total de los eventos que se producen en el entorno. El sensor de espacio del usuario de CrowdStrike Falcon proporciona visibilidad y protección para GKE Autopilot con un solo agente, lo que protege el nodo y los contenedores que se ejecutan en él. Para obtener más información, consulta la guía de implementación de CrowdStrike Falcon para GKE (se requiere acceso). |
| Datadog |
Datadog proporciona visibilidad integral de todas tus apps alojadas en contenedores que se ejecutan en GKE Autopilot mediante la recopilación de métricas, registros y seguimientos, que ayudan a detectar problemas de rendimiento y a proporcionar contexto para solucionarlos. Para obtener más información, consulta Supervisa GKE Autopilot con Datadog. |
| Dynatrace |
Dynatrace unifica la observabilidad empresarial y acelera la modernización de la plataforma de seguridad y la adopción de la nube por medio del descubrimiento en tiempo real y el contexto causal impulsado por IA. Dynatrace OneAgent se implementa con rapidez y de forma automática en tu entorno de Google Cloud para obtener estadísticas inmediatas y automáticas, incluso sobre el uso y el rendimiento de tus clústeres de GKE. Si deseas obtener más información, consulta las instrucciones de instalación de Dynatrace para GKE Autopilot. |
| Elastic Cloud en Kubernetes (ECK) |
Elastic Cloud on Kubernetes (ECK) se basa en el patrón de operador de Kubernetes y extiende las capacidades básicas de organización de Kubernetes para admitir la configuración y la administración de Elastic Stack en Kubernetes. Con Elastic Cloud en Kubernetes, puedes optimizar las operaciones críticas, como administrar y supervisar varios clústeres, escalar la capacidad y el almacenamiento del clúster, realizar cambios de configuración seguros a través de actualizaciones progresivas y mucho más. Para obtener más información, consulta la Guía de inicio rápido de ECK. |
| HashiCorp Consul |
HashiCorp Consul es una solución de herramientas de redes de servicio para automatizar la configuración de la red, descubrir servicios y habilitar la conectividad segura en varios entornos, incluido GKE Autopilot. Si deseas obtener más información, consulta las instrucciones de instalación de Consul para GKE Autopilot. |
| KubeCost |
Kubecost proporciona visibilidad y estadísticas de costos en tiempo real para los equipos que usan GKE, incluido Autopilot, lo que te ayuda a supervisar tus costos de Kubernetes de manera continua. Para obtener más información, consulta las instrucciones de instalación de Kubecost para GKE Autopilot. |
| Lacework |
Lacework proporciona visibilidad y contexto para defender entornos de nube con aprendizaje automático autónomo. La plataforma de seguridad Lacework aprende cuál es el comportamiento normal en tu entorno de nube para que puedas detectar amenazas rápidamente. Si deseas obtener más información, consulta las instrucciones de instalación de Lacework para GKE Autopilot. |
| New Relic |
La integración de Kubernetes en New Relic te brinda observabilidad del estado y el rendimiento de tu entorno mediante el uso del agente de infraestructura de New Relic, que recopila datos de telemetría de tu clúster mediante varias integraciones de New Relic, como la integración de eventos de Kubernetes, el agente de Prometheus y el complemento de Kubernetes de los registros de New Relic. Si deseas obtener más información, consulta las instrucciones de instalación de New Relic para GKE Autopilot. |
| Prisma Cloud de Palo Alto Networks |
Los defensas de DaemonSet de Prisma aplican las políticas que deseas para tu entorno. Prisma Cloud Radar muestra una visualización integral de tus nodos y clústeres para que puedas identificar riesgos y, también, investigar incidentes. Para obtener más información, consulta la guía de instalación de Prisma Cloud Kubernetes. |
| Splunk Observability Cloud |
Splunk Observability Cloud proporciona visibilidad detallada de la composición, el estado y los problemas continuos dentro de un clúster. Para obtener más información, consulta la guía de instalación de Splunk Kubernetes. |
| Plataforma de DevOps de Sysdig Secure |
La plataforma de DevOps de Sysdig Secure te permite implementar las prácticas recomendadas de seguridad de contenedores en tus clústeres de GKE Autopilot, incluida la supervisión y la seguridad de tus cargas de trabajo con el agente Sysdig. El agente Sysdig es un componente de host que procesa la llamada del sistema, crea archivos de captura y realiza la auditoría y el cumplimiento. Si deseas obtener más información, consulta Visibilidad y seguridad para GKE Autopilot. |
| Sensor de entorno de ejecución de Wiz |
El sensor de entorno de ejecución de Wiz ofrece funciones de detección y respuesta nativas para las cargas de trabajo en la nube. Es un agente ligero basado en eBPF que se puede implementar en clústeres de GKE para proporcionar visibilidad y supervisión en tiempo real de los procesos en ejecución, las conexiones de red, la actividad de los archivos y las llamadas al sistema para detectar, investigar y responder a comportamientos maliciosos que afecten la carga de trabajo. Para obtener más información, consulta la descripción general del sensor del entorno de ejecución de Wiz. |
En esta tabla, solo se describen los socios de Google Cloud que tienen cargas de trabajo de Autopilot que necesitan privilegios elevados. Otros socios de Google Cloud tienen productos que funcionan con Autopilot sin necesidad de privilegios elevados. Para obtener una lista completa de los socios de Google Cloud, consulta el Directorio de socios.