Informazioni sulle liste consentite per i workload Autopilot con privilegi
Per impostazione predefinita, GKE Autopilot applica vincoli di sicurezza che rifiutano i workload che richiedono privilegi elevati nel cluster. Ad esempio, per impostazione predefinita non puoi eseguire un pod che attiva la modalità con privilegi o aggiunge la funzionalità Linux NET_RAW.
Facoltativamente, puoi eseguire un insieme specifico di workload con privilegi di partner Autopilot e di determinati progetti open source in modalità Autopilot.
Per eseguire il deployment di workload open source con privilegi in modalità Autopilot:
- Installa una lista consentita per il workload eseguendo il deployment di un oggetto
AllowlistSynchronizer. AllowlistSynchronizer installa la lista consentita come oggettoWorkloadAllowliste ne gestisce il ciclo di vita. Per istruzioni, consulta Eseguire workload con privilegi di partner GKE Autopilot. - Esegui il deployment del workload open source con privilegi nel cluster seguendo i passaggi di installazione nella documentazione del progetto.
Workload open source con privilegi con supporto Autopilot
La tabella seguente descrive i workload open source con privilegi che puoi eseguire su Autopilot. Per abilitare un workload, crea una risorsa
AllowlistSynchronizer con il percorso delle liste consentite per quel
workload nel campo allowlistPaths.
| Workload open source con privilegi per Autopilot | Percorso della lista consentita |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
Questa tabella descrive solo i workload open source che richiedono privilegi elevati e sono supportati su Autopilot. Il software open source che richiede privilegi elevati e non è elencato in questa tabella potrebbe non funzionare su Autopilot. Se un'applicazione open source non viola i vincoli di sicurezza predefiniti in Autopilot, puoi eseguirla senza una lista consentita.