本页面简要介绍了您可以在 Google Kubernetes Engine (GKE) Autopilot 集群中部署的已列入许可名单的合作伙伴工作负载。
什么是 Autopilot 合作伙伴工作负载?
Google Kubernetes Engine (GKE) Autopilot 集群通常不允许使用需要提升权限的工作负载,例如使用 /var/run、privileged: true 或一些高权限 Linux 文件功能(例如 NET_RAW 和 SYS_ADMIN)。
但对 Autopilot 合作伙伴工作负载则不存在此限制。部分 Google Cloud 合作伙伴会提供可用于 Autopilot 集群的特权工作负载。您可以部署这些合作伙伴工作负载来满足一些特定需求,例如您可以收集节点级指标,而无需在每个 Pod 中运行 Sidecar 容器。
列入许可名单流程概览
每个合作伙伴工作负载都需经过审核流程,以确保它们满足 GKE 的基准要求,例如拥有正常运行所需的最低权限,以及对工作负载可以访问的资源拥有精细访问权限控制。
我们会采取如下措施来限制这些已部署工作负载的功能:
- 验证容器是否从获批准的位置拉取。
- 拒绝与获批准的规范不符的 Pod 规范。
- 为具有提升权限的工作负载移除
kubectl exec等功能。
如果您是 Google Cloud 合作伙伴,并且拥有需要提升权限并且需要列入许可名单的 Autopilot 工作负载,请与您的合作伙伴经理联系,了解 Autopilot 合作伙伴计划。
价格
合作伙伴工作负载在 Autopilot 集群中创建的任何资源都会根据 Autopilot 价格模式计费。如需了解合作伙伴解决方案的任何其他价格,请参阅相关合作伙伴的文档。
已列入许可名单的 Autopilot 合作伙伴工作负载
下表介绍了 Autopilot 中已列入许可名单的合作伙伴工作负载。每个集群可用的合作伙伴工作负载取决于集群的 GKE 版本。
| 合作伙伴 | 说明 |
|---|---|
| Aqua |
Aqua 保护并确保 GKE Autopilot 上工作负载的整个生命周期的合规性,尤其针对运行具有共享存储和网络资源集的多个容器的 Kubernetes Pod。 如需了解详情,请参阅保护 GKE Autopilot 上的云原生工作负载。 |
| Checkmk |
Checkmk 可帮助组织监控其应用的可靠性和可用性、优化资源使用情况并主动解决可能出现的问题。Checkmk 可以自动发现和收集集群范围的数据,从而了解 GKE Autopilot 的性能和运行状况,并使用开箱即用的信息中心直观呈现信息。 如需了解详情,请参阅 GKE Autopilot 的 Checkmk 安装说明。 |
| Check Point CloudGuard |
Check Point CloudGuard 可在应用、工作负载和网络中提供统一的云原生安全性。您可以使用它来管理 Google Cloud 环境中的安全状况。 如需了解详情,请参阅初始配置 Kubernetes 集群。 |
| CrowdStrike Falcon |
CrowdStrike Falcon 通过利用机器学习技术和人力驱动的威胁情报不断地减少云攻击,保护云基础架构,避免人为错误,同时帮助您了解环境中发生的事件。CrowdStrike Falcon 的用户空间传感器可通过单一代理为 GKE Autopilot 提供可见性和保护,同时保护节点及其上运行的容器。 如需了解详情,请参阅 GKE 的 CrowdStrike Falcon 部署指南(需要登录)。 |
| Datadog |
Datadog 通过收集指标、日志和跟踪记录,全面了解在 GKE Autopilot 上运行的所有容器化应用,从而帮助呈现性能问题并提供问题排查流程。 如需了解详情,请参阅使用 Datadog 监控 GKE Autopilot。 |
| Dynatrace |
Dynatrace 通过提供实时发现和依托 AI 技术的因果关系,统一了企业可观测性并加快了安全平台现代化改造和云采用。Dynatrace OneAgent 可以快速自动部署在 Google Cloud 环境中,以获取即时自动分析数据,包括深入了解 GKE 集群的使用情况和性能。 如需了解详情,请参阅 GKE Autopilot 的 Dynatrace 安装说明。 |
| Elastic Cloud on Kubernetes (ECK) |
Elastic Kubernetes on Kubernetes (ECK) 基于 Kubernetes Operator 模式构建,扩展了基本的 Kubernetes 编排功能,以支持设置和管理 Elastic Stack on Kubernetes。借助 Elastic Cloud on Kubernetes,您可以简化关键操作,例如管理和监控多个集群、扩缩集群容量和存储空间、通过滚动升级执行安全的配置更改等等。 如需了解详情,请参阅 ECK 快速入门。 |
| HashiCorp Consul |
HashiCorp Consul 是一种服务网络解决方案,可自动执行网络配置、发现服务以及实现跨环境(包括 GKE Autopilot)的安全连接。 如需了解详情,请参阅 GKE Autopilot 的 Consul 安装说明。 |
| Kubecost |
Kubecost 为使用 GKE(包括 Autopilot)的团队提供了实时的费用可见性和数据分析,可帮助您持续监控 Kubernetes 费用。 如需了解详情,请参阅 GKE Autopilot 的 Kubecost 安装说明。 |
| Lacework |
Lacework 通过自治机器学习提供了可见性和上下文来保护云环境。Lacework 安全平台会了解您的云环境中的正常行为,便于您快速发现威胁。 如需了解详情,请参阅 GKE Autopilot 的 Lacework 安装说明。 |
| New Relic |
借助 New Relic Kubernetes 集成,您可以利用 New Relic 基础架构代理了解环境的运行状况和性能,该代理使用多个 New Relic 集成(例如 Kubernetes 事件集成、Prometheus 代理和 New Relic Logs Kubernetes 插件)从集群收集遥测数据。 如需了解详情,请参阅 GKE Autopilot 的 New Relic 安装说明。 |
| Palo Alto Networks 的 Prisma Cloud |
Prisma Cloud DaemonSet Defenders 可为您的环境强制执行所需的政策。Prisma Cloud Radar 可提供全面的节点和集群信息,让您可以识别风险并调查突发事件。 如需了解详情,请参阅 Prisma Cloud Kubernetes 安装指南。 |
| Splunk Observability Cloud |
Splunk Observability Cloud 可让您深入了解集群内各项资源的构成、状态以及正在发生的问题。 如需了解详情,请参阅 Splunk Kubernetes 安装指南。 |
| Sysdig Secure DevOps Platform |
借助 Sysdig Secure DevOps Platform,您可以在 GKE Autopilot 集群中实现容器安全最佳做法,包括使用 Sysdig 代理监控和保护工作负载。Sysdig 代理是一个主机组件,用于处理系统调用、创建捕获文件以及执行审核并确保合规性。 如需了解详情,请参阅 GKE Autopilot 的可见性和安全性。 |
| Wiz Runtime Sensor |
Wiz Runtime Sensor 可为云工作负载提供原生检测和响应功能。它是一个基于 eBPF 的轻量级代理,可以部署到 GKE 集群,以实时了解和监控正在运行的进程、网络连接、文件活动和系统调用,从而检测、调查、和应对影响工作负载的恶意行为。 如需了解详情,请参阅 Wiz Runtime Sensor 概览。 |
该表仅介绍了拥有需要提升权限的 Autopilot 工作负载的 Google Cloud 合作伙伴。其他 Google Cloud 合作伙伴提供的产品可与 Autopilot 搭配使用,且无需提升权限。如需查看 Google Cloud 合作伙伴的完整列表,请参阅合作伙伴名录。