Cette page fournit des informations sur les organisations partenaires Google Kubernetes Engine (GKE) Autopilot et les charges de travail spécialisées qu'elles mettent à disposition dans les clusters Autopilot.
Que sont les charges de travail partenaires Autopilot ?
Les clusters Autopilot de Google Kubernetes Engine (GKE) n'autorisent généralement pas les charges de travail qui nécessitent des privilèges élevés, telles que l'accès à /var/run et privileged: true ou à des fonctionnalités de fichiers Linux à privilèges élevés comme NET_RAW et SYS_ADMIN.
Les seules exceptions à cette restriction sont les charges de travail partenaires Autopilot. Un sous-ensemble de partenairesCloud de Confiance by S3NS fournit des charges de travail spécialisées pour les clusters Autopilot. Vous pouvez déployer ces charges de travail partenaires pour répondre à des exigences telles que la collecte de métriques au niveau du nœud sans avoir à exécuter un conteneur side-car dans chaque pod.
Présentation du processus d'ajout à la liste d'autorisation
Chaque charge de travail partenaire passe par un processus de vérification qui garantit qu'elle répond aux exigences de base pour GKE (par exemple, disposer du minimum d'autorisations nécessaire pour fonctionner correctement et contrôler avec précision les ressources auxquelles les charges de travail peuvent accéder).
Nous prenons des mesures telles que les suivantes pour limiter les capacités de ces charges de travail déployées :
- Vérifier que les conteneurs sont extraits depuis l'emplacement approuvé.
- Refuser les spécifications de pods qui ne correspondent pas aux spécifications approuvées.
Si vous êtes un partenaire Cloud de Confiance by S3NS et que votre charge de travail Autopilot nécessite des privilèges élevés et doit être ajoutée à une liste d'autorisation, contactez votre responsable partenaire pour obtenir des informations sur le programme partenaire Autopilot.
Exécuter des charges de travail partenaires privilégiées dans Autopilot
Dans GKE en version 1.32.2-gke.1652000 et ultérieures, certains partenaires fournissent des listes d'autorisation qui correspondent à leurs charges de travail privilégiées. Ces charges de travail ne peuvent pas s'exécuter dans vos clusters, sauf si vous installez la liste d'autorisation correspondante. Cette méthode présente les avantages suivants :
- Vous pouvez contrôler explicitement si une charge de travail partenaire peut s'exécuter dans votre cluster.
- GKE synchronise automatiquement les listes d'autorisation de votre cluster avec la dernière version d'un dépôt géré par Google qui stocke les fichiers de listes d'autorisation pour les charges de travail partenaires.
- Les charges de travail partenaires qui ne répondent pas aux critères stricts d'une liste d'autorisation installée sont refusées lors du déploiement.
Pour en savoir plus, consultez Exécuter des charges de travail privilégiées à partir de partenaires GKE Autopilot.
Les charges de travail partenaires privilégiées ajoutées entre 2021 et 2024 peuvent s'exécuter en mode Autopilot sans liste d'autorisation. Les opérateurs de cluster disposant des autorisations correspondantes peuvent déployer ces charges de travail dans votre cluster à tout moment.
Tarifs
Toutes les ressources que les charges de travail partenaires créent dans vos clusters Autopilot sont facturées selon le modèle de tarification Autopilot. Pour en savoir plus sur les tarifs supplémentaires des solutions partenaires, consultez la documentation du partenaire en question.
Charges de travail partenaires Autopilot
Le tableau suivant décrit les charges de travail partenaires pour Autopilot. Les charges de travail partenaires disponibles pour chacun de vos clusters dépendent de la version GKE du cluster. Certaines entrées de ce tableau incluent le chemin d'accès aux listes d'autorisation des charges de travail d'un partenaire, que vous pouvez utiliser pour configurer l'installation et la synchronisation des listes d'autorisation pour votre cluster.
| Partenaire | Description |
|---|---|
| Aqua |
Aqua assure la sécurisation et la conformité sur l'intégralité du cycle de vie des charges de travail sur GKE Autopilot, et plus particulièrement sur les pods Kubernetes, qui exécutent plusieurs conteneurs avec des ensembles partagés de ressources de stockage et de réseau. Pour en savoir plus, consultez la page Protéger les charges de travail cloud natives sur GKE Autopilot. |
| Attribut |
Attribute propose une technologie de taggage zéro qui analyse les données d'exécution avec eBPF pour révéler automatiquement les coûts associés aux clients, aux fonctionnalités et aux applications, y compris dans les configurations partagées et multitenants. Attribute fournit des insights en temps réel pour optimiser les marges, définir une stratégie de tarification et rendre compte des coûts.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez le guide d'installation des attributs pour GKE Autopilot (connexion requise). |
| Checkmk |
Checkmk aide les entreprises à surveiller la fiabilité et la disponibilité de leurs applications, à optimiser l'utilisation des ressources et à résoudre les problèmes qui peuvent survenir de manière proactive. Checkmk peut détecter et collecter automatiquement les données à l'échelle du cluster. Il permet ainsi de gagner en visibilité sur les performances et l'état de GKE Autopilot et de visualiser les informations à l'aide de tableaux de bord prêts à l'emploi.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez les instructions d'installation de Checkmk pour GKE Autopilot. |
| Check Point CloudGuard |
Check Point CloudGuard fournit une sécurité cloud native et unifiée pour l'ensemble de vos applications, charges de travail et réseaux. Vous pouvez l'utiliser pour gérer votre stratégie de sécurité dans les environnements Cloud de Confiance. Pour en savoir plus, consultez la section Intégrer des clusters Kubernetes. |
| CrowdStrike Falcon |
CrowdStrike Falcon sécurise l'infrastructure cloud, arrête les violations et réduit les erreurs humaines en exploitant le machine learning, ainsi que les renseignements humains sur les menaces afin de réduire activement la surface d'attaque et d'offrir une visibilité totale sur les événements qui se produisent dans l'environnement. Le capteur d'espace utilisateur de CrowdStrike Falcon offre une visibilité et une protection pour GKE Autopilot à l'aide d'un seul agent, protégeant ainsi le nœud et les conteneurs qui y sont exécutés.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez le guide de déploiement CrowdStrike Falcon pour GKE (connexion requise). |
| Datadog |
Datadog offre une visibilité complète sur toutes vos applications conteneurisées s'exécutant sur GKE Autopilot en collectant des métriques, des journaux et des traces, ce qui permet de mettre en évidence les problèmes de performances et de fournir du contexte pour les résoudre.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez la page Surveiller GKE Autopilot avec Datadog. |
| Dynatrace |
Dynatrace unifie l'observabilité des entreprises et accélère la modernisation des plates-formes de sécurité ainsi que l'adoption du cloud en offrant des fonctionnalités de découverte en temps réel et de contexte causal basé sur l'IA. Dynatrace OneAgent peut être déployé rapidement et automatiquement dans votre environnement Cloud de Confiance pour obtenir des insights automatiques et immédiats, y compris concernant l'utilisation et les performances de vos clusters GKE. Chemins d'accès à la liste d'autorisation :
Pour en savoir plus, consultez les instructions d'installation de Dynatrace pour GKE Autopilot. |
| Elastic Cloud sur Kubernetes (ECK) |
Elastic Cloud sur Kubernetes (ECK) s'appuie sur le modèle d'opérateur Kubernetes pour étendre les fonctionnalités d'orchestration de base de Kubernetes afin de permettre la configuration et la gestion de Elastic Stack sur Kubernetes. Avec Elastic Cloud sur Kubernetes, vous pouvez simplifier les opérations critiques, telles que la gestion et la surveillance de plusieurs clusters, le scaling de la capacité et du stockage des clusters, les modifications de configuration sécurisées via des mises à niveau progressives, et bien plus encore. Pour plus d'informations, reportez-vous au guide de démarrage rapide d'ECK. |
| Gremlin |
Gremlin permet aux entreprises de créer des systèmes plus fiables en identifiant et en corrigeant de manière proactive les points de défaillance potentiels. Sa plate-forme cloud native s'intègre à Google Cloud, ce qui permet aux équipes DevOps de tester la fiabilité globale et de détecter les risques dans leur infrastructure et leurs applications cloud, y compris l'IA.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez Installer Gremlin sur GKE Autopilot. |
| HashiCorp Consul |
HashiCorp Consul est une solution de mise en réseau de services qui permet d'automatiser les configurations réseau, de découvrir des services et de garantir une connectivité sécurisée entre les environnements, dont GKE Autopilot. Pour en savoir plus, consultez les instructions d'installation pour GKE Autopilot. |
| Kubecost |
Kubecost offre aux équipes qui utilisent GKE une visibilité et des insights sur les coûts en temps réel, y compris Autopilot, et vous aide à surveiller vos coûts Kubernetes en continu. Pour en savoir plus, consultez les instructions d'installation de Kubecost pour GKE Autopilot. |
| Lacework |
Lacework offre de la visibilité et du contexte pour protéger les environnements cloud grâce au machine learning autonome. La plateforme de sécurité Lacework apprend ce qui constitue un comportement normal dans votre environnement cloud afin que vous puissiez rapidement repérer les menaces. Pour en savoir plus, consultez les instructions d'installation de Lacework pour GKE Autopilot. |
| New Relic |
L'intégration de New Relic à Kubernetes vous offre une visibilité sur l'état et les performances de votre environnement grâce à l'agent d'infrastructure New Relic, qui collecte les données de télémétrie de votre cluster à l'aide de plusieurs intégrations New Relic, telles que l'intégration des événements Kubernetes, l'agent Prometheus et le plug-in New Relic Logs Kubernetes. Pour en savoir plus, consultez les instructions d'installation de New Relic pour GKE Autopilot. |
| Capteur Orca |
Orca Sensor est un capteur non intrusif basé sur eBPF qui peut être déployé sur des clusters GKE Autopilot pour offrir une visibilité et une protection de l'exécution qui sont intégrées de manière native à la plate-forme Orca Cloud Security.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez le guide d'installation du capteur Orca (connexion requise). |
| Prisma Cloud by Palo Alto Networks |
Prisma Cloud DaemonSet Defenders applique les stratégies souhaitées pour votre environnement. Prisma Cloud Radar affiche une visualisation complète de vos nœuds et clusters afin que vous puissiez identifier les risques et examiner les incidents.
Chemin de la liste d'autorisations : Pour plus d'informations, reportez-vous au guide d'installation Kubernetes de Prisma Cloud. |
| SentinelOne Cloud Workload Security pour les conteneurs |
Solution de protection contre les menaces basée sur l'IA pour les charges de travail conteneurisées. Elle permet aux clients de surveiller, de détecter et d'analyser les menaces basées sur les processus, les fichiers et les binaires dans leurs nœuds et leurs conteneurs au sein de leurs clusters GKE Autopilot.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez le guide d'installation Kubernetes de SentinelOne (connexion requise). |
| Splunk Observability Cloud |
Splunk Observability Cloud offre une visibilité détaillée sur la composition, l'état et les problèmes actuels d'un cluster. Pour en savoir plus, consultez le guide d'installation Kubernetes de Splunk. |
| Steadybit |
Steadybit est une plate-forme d'ingénierie du chaos qui aide les équipes à améliorer la fiabilité et la résilience de leurs systèmes en injectant des défaillances de manière sécurisée et en testant la façon dont les applications réagissent. Il propose des outils d'automatisation pour simuler des perturbations réelles dans les environnements cloud natifs.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez Steadybit sur GKE Autopilot. |
| Plate-forme DevOps sécurisée Sysdig |
La plate-forme de DevOps sécurisée Sysdig vous permet de mettre en œuvre les bonnes pratiques de sécurité des conteneurs dans vos clusters GKE Autopilot, y compris la surveillance et la sécurisation de vos charges de travail à l'aide de l'agent Sysdig. L'agent Sysdig est un composant hôte qui traite les appels système, crée des fichiers de capture, et met en œuvre des fonctions d'audit et de conformité.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez la page Visibilité et sécurité pour GKE Autopilot. |
| Upwind |
Upwind est une plate-forme de sécurité cloud qui se concentre sur le contexte d'exécution pour révéler les risques, les menaces et les insights critiques provenant de l'infrastructure et des charges de travail cloud. Son capteur léger basé sur eBPF pour les clusters GKE Autopilot fournit un contexte d'exécution pour la gestion de la posture, la détection des menaces en temps réel et les mesures de défense proactives, ce qui permet d'assurer une sécurité complète.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez la page Mise à jour de la compatibilité d'Upwind avec GKE Autopilot. |
| Uptycs |
La plate-forme de sécurité des conteneurs Uptycs permet d'appliquer les bonnes pratiques de sécurité pour les clusters GKE Autopilot grâce à sa solution de surveillance basée sur un capteur d'exécution eBPF. La plate-forme offre une visibilité approfondie sur les processus, les connexions et les contrôles de sécurité RBAC Kubernetes en fournissant une surveillance de la sécurité, des fonctionnalités de conformité et une détection des menaces pour les charges de travail et les nœuds conteneurisés.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez la page Mise à jour de la compatibilité d'Uptycs avec GKE Autopilot. |
| Virtana |
Virtana Container Observability offre une visibilité sur les environnements Kubernetes, OpenShift et conteneurisés. Basée sur la télémétrie Open Source, elle aide les équipes à détecter et à résoudre les problèmes, à optimiser l'utilisation des ressources et à maintenir les performances. Chemins d'accès à la liste d'autorisation :
Pour en savoir plus, consultez Déployer Virtana sur des clusters GKE Autopilot. |
| Capteur d'exécution Wiz |
Le capteur d'exécution Wiz fournit des fonctionnalités de détection et de réponse natives pour les charges de travail dans le cloud. Il s'agit d'un agent eBPF léger qui peut être déployé sur des clusters GKE pour fournir une visibilité et une surveillance en temps réel des processus, des connexions réseau, des activités liées aux fichiers et des appels système en cours afin de détecter, d'examiner et de réagir aux comportements malveillants affectant la charge de travail.
Chemin de la liste d'autorisations : Pour en savoir plus, consultez la présentation du capteur d'exécution Wiz. |
Ce tableau ne décrit que les partenaires Cloud de Confiance qui disposent de charges de travail Autopilot nécessitant des privilèges élevés. D'autres partenairesCloud de Confiance proposent des produits qui fonctionnent avec Autopilot sans nécessiter de privilèges élevés. Pour obtenir la liste complète des partenaires Cloud de Confiance, consultez l'annuaire des partenaires.