En esta página, se proporciona información sobre las organizaciones asociadas de Google Kubernetes Engine (GKE) Autopilot y las cargas de trabajo especializadas que ponen a disposición en los clústeres de Autopilot.
¿Qué son las cargas de trabajo de socios de Autopilot?
Los clústeres de Autopilot de Google Kubernetes Engine (GKE) no suelen permitir cargas de trabajo que requieran privilegios elevados, como acceso a /var/run, privileged: true o capacidades de archivos de Linux con muchos privilegios, como NET_RAW y SYS_ADMIN.
Las excepciones a esta restricción son las cargas de trabajo de socios de Autopilot. Un subconjunto de Cloud de Confiance by S3NS socios proporciona cargas de trabajo con privilegios especiales para clústeres de Autopilot. Puedes implementar estas cargas de trabajo de socios para cumplir con requisitos como recopilar métricas a nivel de nodo sin necesidad de ejecutar un contenedor de sidecar en cada pod.
Descripción general del proceso de inclusión en la lista de entidades permitidas
Cada carga de trabajo de socio pasa por un proceso de revisión a fin de garantizar que cumpla con los requisitos de referencia para GKE, como tener la menor cantidad de permisos necesarios para ejecutarse de forma correcta y un control detallado sobre los recursos a los que pueden acceder las cargas de trabajo.
Tomamos medidas como las siguientes para restringir las capacidades de estas cargas de trabajo implementadas:
- Verifica que los contenedores se extraigan de la ubicación aprobada.
- Rechaza las especificaciones de Pod que no coinciden con la especificación aprobada.
Si eres socio Cloud de Confiance by S3NS con una carga de trabajo de Autopilot que requiere privilegios elevados y debe agregarse a una lista de entidades permitidas, comunícate con tu administrador de socios para obtener información sobre el programa de socios de Autopilot.
Ejecuta cargas de trabajo de socios privilegiados en Autopilot
En la versión 1.32.2-gke.1652000 y posteriores de GKE, algunos socios proporcionan listas de entidades permitidas que corresponden a sus cargas de trabajo privilegiadas. Estas cargas de trabajo no se pueden ejecutar en tus clústeres, a menos que instales la lista de entidades permitidas correspondiente. Este método tiene los siguientes beneficios:
- Tienes control explícito sobre si una carga de trabajo del socio puede ejecutarse en tu clúster.
- GKE sincroniza automáticamente las listas de entidades permitidas de tu clúster con la versión más reciente de un repositorio administrado por Google que almacena archivos de listas de entidades permitidas para las cargas de trabajo de socios.
- Las cargas de trabajo de los socios que no cumplen con los criterios estrictos de una lista de entidades permitidas instalada se rechazan durante la implementación.
Para obtener más información, consulta Ejecuta cargas de trabajo con privilegios de socios de GKE Autopilot.
Las cargas de trabajo de socios con privilegios que se agregaron entre 2021 y 2024 pueden ejecutarse en el modo Autopilot sin una lista de entidades permitidas. Los operadores del clúster que tienen los permisos correspondientes pueden implementar estas cargas de trabajo en tu clúster en cualquier momento.
Precios
Todos los recursos que las cargas de trabajo de socios crean en tus clústeres de Autopilot se facturan según el modelo de precios de Autopilot. Si deseas obtener información sobre los precios adicionales para las soluciones de socios, consulta la documentación del socio correspondiente.
Cargas de trabajo de socios de Autopilot
En la siguiente tabla, se describen las cargas de trabajo de socios para Autopilot. Las cargas de trabajo de socios disponibles para cada uno de tus clústeres dependen de la versión de GKE del clúster. Algunas de las entradas de esta tabla incluyen la ruta de acceso a las listas de entidades permitidas de cargas de trabajo de un socio, que puedes usar para configurar la instalación y la sincronización de listas de entidades permitidas para tu clúster.
| Socio | Descripción |
|---|---|
| Aqua |
Aqua es compatible con la seguridad y la garantía de cumplimiento del ciclo de vida completo de las cargas de trabajo en GKE Autopilot, y específicamente los pods de Kubernetes, que ejecutan varios contenedores con conjuntos compartidos de recursos de almacenamiento y de herramientas de redes. Para obtener más información, consulta Protege cargas de trabajo nativas de la nube en GKE Autopilot. |
| Atributo |
Attribute ofrece tecnología de etiquetado cero que analiza los datos de tiempo de ejecución con eBPF para revelar automáticamente los costos asociados con los clientes, las funciones y las apps, incluso en configuraciones compartidas y de múltiples inquilinos. El atributo proporciona estadísticas en tiempo real para la optimización del margen, la estrategia de precios y la responsabilidad de los costos.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la guía de instalación de Attribute para GKE Autopilot (se requiere acceso). |
| Checkmk |
Checkmk ayuda a las organizaciones a supervisar la confiabilidad y la disponibilidad de sus aplicaciones, optimizar el uso de recursos y abordar de forma proactiva los problemas que puedan surgir. Checkmk puede descubrir y recopilar automáticamente datos de todo el clúster, lo que proporciona visibilidad del rendimiento y el estado de GKE Autopilot, y visualizar la información con paneles listos para usar.
Ruta de acceso de la lista de entidades permitidas: Si deseas obtener más información, consulta Instrucciones de instalación de Checkmk para GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard proporciona seguridad unificada y nativa de la nube en todas tus aplicaciones, cargas de trabajo y red. Puedes usarlo para administrar tu postura de seguridad en los entornos de Cloud de Confiance. Para obtener más información, consulta Integra clústeres de Kubernetes. |
| CrowdStrike Falcon |
CrowdStrike Falcon protege la infraestructura de nube, detiene los incumplimientos y reduce los errores humanos gracias al aprendizaje automático, al igual que la inteligencia de amenazas impulsadas por las personas para reducir sin descanso la superficie de ataque y proporcionar una visibilidad total de los eventos que ocurren en el entorno. El sensor de espacio del usuario de CrowdStrike Falcon proporciona visibilidad y protección para GKE Autopilot con un solo agente, lo que protege tanto al nodo como a los contenedores que se ejecutan en él.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la guía de implementación de CrowdStrike Falcon para GKE (se requiere acceso). |
| Datadog |
Datadog proporciona visibilidad integral de todas tus apps alojadas en contenedores que se ejecutan en GKE Autopilot mediante la recopilación de métricas, registros y seguimientos, que ayudan a detectar problemas de rendimiento y a proporcionar contexto para solucionarlos.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta Supervisa GKE Autopilot con Datadog. |
| Dynatrace |
Dynatrace unifica la observabilidad empresarial y acelera la modernización de la plataforma de seguridad y la adopción de la nube por medio del descubrimiento en tiempo real y el contexto causal impulsado por IA. Dynatrace OneAgent se implementa con rapidez y de forma automática en tu entorno de Cloud de Confiance para obtener estadísticas inmediatas y automáticas, incluso sobre el uso y el rendimiento de tus clústeres de GKE. Rutas de la lista de entidades permitidas:
Si deseas obtener más información, consulta las instrucciones de instalación de Dynatrace para GKE Autopilot. |
| Elastic Cloud en Kubernetes (ECK) |
Elastic Cloud on Kubernetes (ECK) se basa en el patrón de operador de Kubernetes y extiende las capacidades básicas de organización de Kubernetes para admitir la configuración y la administración de Elastic Stack en Kubernetes. Con Elastic Cloud en Kubernetes, puedes optimizar las operaciones críticas, como administrar y supervisar varios clústeres, escalar la capacidad y el almacenamiento del clúster, realizar cambios de configuración seguros a través de actualizaciones progresivas y mucho más. Para obtener más información, consulta la Guía de inicio rápido de ECK. |
| Gremlin |
Gremlin permite a las empresas crear sistemas más confiables, ya que identifica y aborda de forma proactiva los posibles puntos de falla. Su plataforma nativa de la nube se integra con Google Cloud, lo que permite que DevOps pruebe la confiabilidad general y detecte riesgos en su infraestructura y aplicaciones de la nube, incluida la IA.
Ruta de acceso de la lista de entidades permitidas: Si deseas obtener más información, consulta Cómo instalar Gremlin en GKE Autopilot. |
| HashiCorp Consul |
HashiCorp Consul es una solución de herramientas de redes de servicio para automatizar la configuración de la red, descubrir servicios y habilitar la conectividad segura en varios entornos, incluido GKE Autopilot. Si deseas obtener más información, consulta las instrucciones de instalación de Consul para GKE Autopilot. |
| KubeCost |
Kubecost proporciona visibilidad y estadísticas de costos en tiempo real para los equipos que usan GKE, incluido Autopilot, lo que te ayuda a supervisar tus costos de Kubernetes de manera continua. Si deseas obtener más información, consulta las instrucciones de instalación de Kubecost para GKE Autopilot. |
| Lacework |
Lacework proporciona visibilidad y contexto para defender entornos de nube con aprendizaje automático autónomo. La plataforma de seguridad Lacework aprende cuál es el comportamiento normal en tu entorno de nube para que puedas detectar amenazas rápidamente. Si deseas obtener más información, consulta las instrucciones de instalación de Lacework para GKE Autopilot. |
| New Relic |
La integración de Kubernetes en New Relic te brinda observabilidad del estado y el rendimiento de tu entorno mediante el uso del agente de infraestructura de New Relic, que recopila datos de telemetría de tu clúster mediante varias integraciones de New Relic, como la integración de eventos de Kubernetes, el agente de Prometheus y el complemento de Kubernetes de los registros de New Relic. Si deseas obtener más información, consulta las instrucciones de instalación de New Relic para GKE Autopilot. |
| Sensor de Orca |
El sensor de Orca es un sensor no intrusivo basado en eBPF que se puede implementar en clústeres de GKE Autopilot para proporcionar visibilidad y protección en el tiempo de ejecución que se integran de forma nativa con la plataforma de seguridad en la nube de Orca.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la guía de instalación del sensor de Orca (se requiere acceso). |
| Prisma Cloud de Palo Alto Networks |
Los defensas de Prisma Cloud DaemonSet aplican las políticas que deseas para tu entorno. Prisma Cloud Radar muestra una visualización completa de tus nodos y clústeres para que puedas identificar riesgos y también investigar incidentes.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la guía de instalación de Prisma Cloud Kubernetes. |
| Seguridad de cargas de trabajo en la nube para contenedores de SentinelOne |
Solución de protección impulsada por IA contra amenazas para cargas de trabajo alojadas en contenedores que proporciona a los clientes la capacidad de supervisar, detectar y analizar amenazas basadas en procesos, archivos y objetos binarios en tus nodos y contenedores dentro de tus clústeres de GKE Autopilot.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la guía de instalación de Kubernetes de SentinelOne (se requiere acceso). |
| Splunk Observability Cloud |
Splunk Observability Cloud proporciona visibilidad detallada de la composición, el estado y los problemas continuos de un clúster. Para obtener más información, consulta la guía de instalación de Splunk Kubernetes. |
| Steadybit |
Steadybit es una plataforma de ingeniería del caos que ayuda a los equipos a mejorar la confiabilidad y la resistencia de sus sistemas, ya que inyecta fallas de forma segura y prueba cómo responden las aplicaciones. Ofrece herramientas de automatización para simular interrupciones del mundo real en entornos nativos de la nube.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta Steadybit en GKE Autopilot. |
| Plataforma de DevOps de Sysdig Secure |
La plataforma de DevOps de Sysdig Secure te permite implementar las prácticas recomendadas de seguridad de contenedores en tus clústeres de GKE Autopilot, incluida la supervisión y la seguridad de tus cargas de trabajo con el agente Sysdig. El agente Sysdig es un componente de host que procesa llamadas al sistema, crea archivos de captura y realiza auditorías y cumplimiento.
Ruta de acceso de la lista de entidades permitidas: Si deseas obtener más información, consulta Visibilidad y seguridad para GKE Autopilot. |
| Viento en contra |
Upwind es una plataforma de seguridad en la nube que se enfoca en el contexto del tiempo de ejecución para revelar riesgos, amenazas y estadísticas críticos de la infraestructura y las cargas de trabajo en la nube. Su sensor ligero basado en eBPF para clústeres de GKE Autopilot proporciona contexto del tiempo de ejecución para la administración de la posición, la detección de amenazas en tiempo real y las medidas de defensa proactivas, lo que ayuda a garantizar una seguridad integral.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la actualización de compatibilidad de Upwind GKE Autopilot. |
| Uptycs |
La plataforma de seguridad de contenedores de Uptycs habilita las prácticas recomendadas de seguridad para los clústeres de GKE Autopilot a través de su solución de supervisión basada en sensores de tiempo de ejecución de eBPF. La plataforma ofrece visibilidad detallada de los procesos, las conexiones y los controles de seguridad del RBAC de Kubernetes, ya que proporciona supervisión de la seguridad, capacidades de cumplimiento y detección de amenazas en las cargas de trabajo y los nodos en contenedores.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la actualización de compatibilidad de Uptycs con GKE Autopilot. |
| Virtana |
Virtana Container Observability proporciona visibilidad en Kubernetes, OpenShift y entornos alojados en contenedores. Basada en telemetría de código abierto, ayuda a los equipos a detectar y resolver problemas, optimizar el uso de recursos y mantener el rendimiento. Rutas de la lista de entidades permitidas:
Para obtener más información, consulta Implementa Virtana en clústeres de GKE Autopilot. |
| Wiz Runtime Sensor |
Wiz Runtime Sensor proporciona capacidades de detección y respuesta nativas para las cargas de trabajo en la nube. Es un agente ligero basado en eBPF que se puede implementar en clústeres de GKE para proporcionar visibilidad y supervisión en tiempo real de los procesos en ejecución, las conexiones de red, la actividad de los archivos y las llamadas al sistema para detectar, investigar y responder a comportamientos maliciosos que afecten la carga de trabajo.
Ruta de acceso de la lista de entidades permitidas: Para obtener más información, consulta la descripción general del Wiz Runtime Sensor. |
En esta tabla, solo se describen los socios Cloud de Confiance que tienen cargas de trabajo de Autopilot que necesitan privilegios elevados. Otros socios deCloud de Confiance tienen productos que funcionan con Autopilot sin necesidad de privilegios elevados. Para obtener una lista completa de los socios de Cloud de Confiance, consulta el Directorio de socios.