Questa pagina fornisce informazioni sulle organizzazioni partner di Google Kubernetes Engine (GKE) Autopilot e sui carichi di lavoro specializzati che rendono disponibili nei cluster Autopilot.
Che cosa sono i workload dei partner di Autopilot?
In genere, i cluster Autopilot di Google Kubernetes Engine (GKE) non consentono workload che richiedono privilegi elevati, ad esempio l'accesso a /var/run, privileged: true o funzionalità di file Linux con privilegi elevati comeNET_RAW e SYS_ADMIN.
Le eccezioni a questa limitazione sono i carichi di lavoro dei partner di Autopilot. Un sottoinsieme di Google Cloud partner fornisce workload con privilegi speciali per i cluster Autopilot. Puoi implementare questi carichi di lavoro dei partner per soddisfare requisiti come la raccolta di metriche a livello di nodo senza dover eseguire un contenitore sidecar in ogni pod.
Panoramica della procedura di inserimento nella lista consentita
Ogni carico di lavoro del partner viene sottoposto a una procedura di revisione per verificare che soddisfi i requisiti di base per GKE, ad esempio che disponga del minor numero di autorizzazioni necessarie per funzionare correttamente e che abbia un controllo granulare sulle risorse a cui possono accedere i carichi di lavoro.
Adottiamo misure come quelle riportate di seguito per limitare le funzionalità di questi carichi di lavoro di cui è stato eseguito il deployment:
- Verifica che i contenitori vengano estratti dalla posizione approvata.
- Rifiutare le specifiche del pod che non corrispondono a quelle approvate.
Se sei un Google Cloud partner con un carico di lavoro Autopilot che richiede privilegi elevati e deve essere aggiunto a una lista consentita, contatta il tuo Google Cloud partner manager per informazioni sul programma partner Autopilot.
Esegui carichi di lavoro con privilegi dei partner in Autopilot
In GKE 1.32.1-gke.1729000 e versioni successive, alcuni partner forniscono elenchi consentiti corrispondenti ai loro carichi di lavoro con privilegi. Questi carichi di lavoro non possono essere eseguiti nei cluster a meno che non installi la lista consentita corrispondente. Questo metodo presenta i seguenti vantaggi:
- Hai il controllo esplicito sulla possibilità di eseguire un carico di lavoro del partner nel tuo cluster.
- GKE sincronizza automaticamente le liste consentite nel cluster con la versione più recente di un repository gestito da Google che memorizza i file delle liste consentite per i workload dei partner.
- I carichi di lavoro dei partner che non soddisfano i criteri rigorosi di una lista consentita installata vengono rifiutati durante il deployment.
Per maggiori informazioni, consulta Eseguire workload con privilegi dei partner GKE Autopilot.
Se il carico di lavoro di un partner non utilizza il metodo della lista consentita, gli operatori del cluster che dispongono delle autorizzazioni pertinenti possono eseguire il deployment del carico di lavoro nel tuo cluster in qualsiasi momento.
Prezzi
Tutte le risorse create dai carichi di lavoro dei partner nei tuoi cluster Autopilot vengono fatturate in base al modello di prezzi di Autopilot. Per informazioni su eventuali prezzi aggiuntivi per le soluzioni dei partner, consulta la documentazione del partner pertinente.
Carichi di lavoro dei partner Autopilot
La tabella seguente descrive i carichi di lavoro dei partner per Autopilot. I carichi di lavoro dei partner disponibili per ciascuno dei tuoi cluster dipendono dalla versione GKE del cluster.
| Partner | Descrizione |
|---|---|
| Aqua |
Aqua supporta la protezione e la garanzia della conformità per l'intero ciclo di vita dei carichi di lavoro su GKE Autopilot e, in particolare, dei pod Kubernetes, che eseguono più container con set condivisi di risorse di archiviazione e di rete. Per ulteriori informazioni, consulta Proteggere i workload cloud native su GKE Autopilot. |
| Checkmk |
Checkmk aiuta le organizzazioni a monitorare l'affidabilità e la disponibilità delle loro applicazioni, a ottimizzare l'utilizzo delle risorse e a risolvere in modo proattivo i problemi che potrebbero verificarsi. Checkmk può rilevare e raccogliere automaticamente i dati su tutto il cluster, fornendo visibilità sul rendimento e sull'integrità di GKE Autopilot e visualizzare le informazioni con dashboard pronte all'uso. Per ulteriori informazioni, consulta Istruzioni di installazione di Checkmk per GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard fornisce sicurezza cloud-native unificata per le tue applicazioni, i tuoi carichi di lavoro e la tua rete. Puoi utilizzarlo per gestire la tua security posture in tutti gli ambienti Google Cloud. Per ulteriori informazioni, consulta Eseguire l'onboarding dei cluster Kubernetes. |
| CrowdStrike Falcon |
CrowdStrike Falcon protegge l'infrastruttura cloud, ferma le violazioni e riduce gli errori umani sfruttando il machine learning e la threat intelligence basata su persone per ridurre costantemente la superficie di attacco e fornire una visibilità totale degli eventi che si verificano nell'ambiente. Il sensore dello spazio utente di CrowdStrike Falcon offre visibilità e protezione per GKE Autopilot utilizzando un unico agente, proteggendo sia il nodo sia i container in esecuzione. Per ulteriori informazioni, consulta Guida all'implementazione di CrowdStrike Falcon per GKE (è richiesto l'accesso). |
| Datadog |
Datadog offre visibilità completa su tutte le tue app containerizzate in esecuzione su GKE Autopilot raccogliendo metriche, log e tracce, che aiutano a rilevare i problemi di prestazioni e a fornire il contesto per risolverli. Per ulteriori informazioni, consulta Monitorare GKE Autopilot con Datadog. |
| Dynatrace |
Dynatrace unifica l'osservabilità aziendale e accelera la modernizzazione della piattaforma di sicurezza e l'adozione del cloud fornendo rilevamento in tempo reale e contesto causale basato sull'AI. Il deployment di Dynatrace OneAgent nel tuo Google Cloud ambiente è rapido e automatico e ti consente di ottenere approfondimenti immediati e automatici, tra cui informazioni sull'utilizzo e sulle prestazioni dei tuoi cluster GKE. Per ulteriori informazioni, consulta le istruzioni di installazione di Dynatrace per GKE Autopilot. |
| Elastic Cloud on Kubernetes (ECK) |
Basato sul pattern Kubernetes Operator, Elastic Cloud on Kubernetes (ECK) estende le funzionalità di orchestrazione di Kubernetes di base per supportare la configurazione e la gestione dell'Elastic Stack su Kubernetes. Con Elastic Cloud on Kubernetes puoi semplificare le operazioni critiche, come la gestione e il monitoraggio di più cluster, la scalabilità della capacità e dello spazio di archiviazione del cluster, l'esecuzione di modifiche di configurazione sicure tramite gli upgrade incrementali e molto altro ancora. Per ulteriori informazioni, consulta la guida rapida di ECK. |
| HashiCorp Consul |
HashiCorp Consul è una soluzione di networking dei servizi per automatizzare le configurazioni di rete, scoprire i servizi e abilitare la connettività sicura tra gli ambienti, tra cui GKE Autopilot. Per saperne di più, consulta le istruzioni di installazione di Consul per GKE Autopilot. |
| Kubecost |
Kubecost fornisce visibilità e approfondimenti sui costi in tempo reale per i team che utilizzano GKE, incluso Autopilot, aiutandoti a monitorare continuamente i costi di Kubernetes. Per ulteriori informazioni, consulta le istruzioni di installazione di Kubecost per GKE Autopilot. |
| Lacework |
Lacework fornisce visibilità e contesto per difendere gli ambienti cloud con l'apprendimento automatico autonomo. La piattaforma di sicurezza Lacework apprende il comportamento normale nel tuo ambiente cloud in modo da poter rilevare rapidamente le minacce. Per ulteriori informazioni, consulta le istruzioni di installazione di Lacework per GKE Autopilot. |
| New Relic |
L'integrazione di New Relic Kubernetes ti consente di osservare lo stato e le prestazioni del tuo ambiente sfruttando l'agente di infrastruttura di New Relic, che raccoglie i dati di telemetria dal tuo cluster utilizzando diverse integrazioni di New Relic, come l'integrazione degli eventi Kubernetes, l'agente Prometheus e il plug-in Kubernetes di New Relic Logs. Per ulteriori informazioni, consulta le istruzioni di installazione di New Relic per GKE Autopilot. |
| Sensore Orca |
Orca Sensor è un sensore non invasivo basato su eBPF che può essere implementato nei cluster GKE Autopilot per fornire visibilità e protezione in fase di runtime integrati in modo nativo con la piattaforma di sicurezza Orca Cloud. Per ulteriori informazioni, consulta la guida all'installazione del sensore Orca (accesso richiesto). |
| Prisma Cloud di Palo Alto Networks |
I DaemonSet Defender di Prisma Cloud applicano i criteri che preferisci per il tuo ambiente. Prisma Cloud Radar mostra una visualizzazione completa dei tuoi nodi e cluster in modo da poter identificare i rischi e analizzare gli incidenti. Per ulteriori informazioni, consulta la guida all'installazione di Kubernetes di Prisma Cloud. |
| SentinelOne Cloud Workload Security per i container |
Sfrutta l'IA per fornire una soluzione di protezione dalle minacce per i carichi di lavoro containerizzati, che consente ai clienti di monitorare, rilevare e analizzare processi, file e minacce basate su file binari sia nei nodi che nei container all'interno dei cluster GKE Autopilot. Per ulteriori informazioni, consulta la guida all'installazione di SentinelOne Kubernetes (accesso richiesto). |
| Splunk Observability Cloud |
Splunk Observability Cloud fornisce visibilità approfondita sulla composizione, sullo stato e sui problemi in corso all'interno di un cluster. Per ulteriori informazioni, consulta la guida all'installazione di Splunk Kubernetes. |
| Sysdig Secure DevOps Platform |
La piattaforma Sysdig Secure Devops ti consente di implementare le best practice per la sicurezza dei container nei tuoi cluster GKE Autopilot, incluso il monitoraggio e la protezione dei carichi di lavoro utilizzando l'agente Sysdig. L'agente Sysdig è un componente host che elabora le chiamate di sistema, crea file di acquisizione e svolge attività di controllo e conformità. Per ulteriori informazioni, consulta Visibilità e sicurezza per GKE Autopilot. |
| Sopravvento |
Upwind è una piattaforma di sicurezza cloud incentrata sul contesto di runtime per rilevare rischi, minacce e approfondimenti critici dall'infrastruttura e dai carichi di lavoro cloud. Il suo sensore basato su eBPF leggero per i cluster GKE Autopilot fornisce il contesto di runtime per la gestione della postura, il rilevamento delle minacce in tempo reale e le misure di difesa proattiva, contribuendo a garantire una sicurezza completa. Per ulteriori informazioni, consulta Aggiornamento sulla compatibilità di Upwind con GKE Autopilot. |
| Uptycs |
Uptycs Container Security Platform consente di applicare le best practice di sicurezza per i cluster GKE Autopilot tramite la sua soluzione di monitoraggio basata su sensori e runtime eBPF. La piattaforma offre una visibilità approfondita su procedimenti, connessioni e controlli di sicurezza RBAC di Kubernetes, fornendo monitoraggio della sicurezza, funzionalità di conformità e rilevamento delle minacce su nodi e carichi di lavoro containerizzati. Per ulteriori informazioni, consulta Aggiornamento sulla compatibilità di Uptycs con GKE Autopilot. |
| Sensore di runtime Wiz |
Il sensore di runtime Wiz fornisce funzionalità di rilevamento e risposta native per i carichi di lavoro cloud. Si tratta di un agente leggero basato su eBPF che può essere impiegato nei cluster GKE per fornire visibilità e monitoraggio in tempo reale di processi in esecuzione, connessioni di rete, attività dei file e chiamate di sistema al fine di rilevare, esaminare e rispondere a comportamenti dannosi che interessano il carico di lavoro. Per ulteriori informazioni, consulta la panoramica del sensore di runtime di Wiz. |
Questa tabella descrive solo i Google Cloud partner che hanno workload Autopilot che richiedono privilegi elevati. Altri Google Cloud partner hanno prodotti che funzionano con Autopilot senza richiedere privilegi elevati. Per un elenco completo dei Google Cloud partner, consulta la Directory dei partner.