Esta página fornece informações sobre as organizações parceiras do Google Kubernetes Engine (GKE) Autopilot e as cargas de trabalho especializadas que disponibilizam em clusters do Autopilot.
O que são cargas de trabalho de parceiros do Autopilot?
Normalmente, os clusters do Google Kubernetes Engine (GKE) Autopilot não permitem cargas de trabalho que exijam privilégios elevados, como acesso a /var/run, privileged: true ou capacidades de ficheiros Linux altamente privilegiadas, como NET_RAW e SYS_ADMIN.
As exceções a esta restrição são as cargas de trabalho de parceiros do Autopilot. Um subconjunto de Cloud de Confiance by S3NS parceiros fornece cargas de trabalho especialmente privilegiadas para clusters do Autopilot. Pode implementar estas cargas de trabalho de parceiros para cumprir requisitos como a recolha de métricas ao nível do nó sem ter de executar um contentor sidecar em cada pod.
Vista geral do processo de inclusão na lista de autorizações
Cada carga de trabalho de parceiros passa por um processo de revisão para garantir que cumpre os requisitos básicos do GKE, como ter a menor quantidade de autorizações necessárias para ser executada corretamente e um controlo detalhado sobre os recursos aos quais as cargas de trabalho podem aceder.
Tomamos medidas como as seguintes para restringir as capacidades destas cargas de trabalho implementadas:
- Verifique se os contentores são extraídos da localização aprovada.
- Rejeitar especificações de pods que não correspondam à especificação aprovada.
Se for um Cloud de Confiance by S3NS parceiro com uma carga de trabalho do Autopilot que requer privilégios elevados e tem de ser adicionado a uma lista de autorizações, contacte o seu gestor de parceiros para obter informações sobre o programa de parceiros do Autopilot.
Execute cargas de trabalho de parceiros privilegiados no Autopilot
Na versão 1.32.2-gke.1652000 e posteriores do GKE, alguns parceiros fornecem listas de autorizações que correspondem às respetivas cargas de trabalho privilegiadas. Estas cargas de trabalho não podem ser executadas nos seus clusters, a menos que instale a lista de autorizações correspondente. Este método tem as seguintes vantagens:
- Tem controlo explícito sobre se uma carga de trabalho de parceiros pode ser executada no seu cluster.
- O GKE sincroniza automaticamente as listas de autorizações no seu cluster com a versão mais recente de um repositório gerido pela Google que armazena ficheiros de listas de autorizações para cargas de trabalho de parceiros.
- As cargas de trabalho de parceiros que não cumprem os critérios rigorosos de uma lista de autorizações instalada são rejeitadas durante a implementação.
Para mais informações, consulte o artigo Execute cargas de trabalho privilegiadas a partir de parceiros do GKE Autopilot.
As cargas de trabalho de parceiros privilegiados adicionadas entre 2021 e 2024 podem ser executadas no modo de piloto automático sem uma lista de autorizações. Os operadores de clusters que tenham as autorizações correspondentes podem implementar estas cargas de trabalho no seu cluster em qualquer altura.
Preços
Todos os recursos que as cargas de trabalho de parceiros criam nos seus clusters do Autopilot são faturados de acordo com o modelo de preços do Autopilot. Para ver informações sobre preços adicionais de soluções de parceiros, consulte a documentação do parceiro relevante.
Automatize cargas de trabalho de parceiros
A tabela seguinte descreve as cargas de trabalho dos parceiros para o Autopilot. As cargas de trabalho de parceiros disponíveis para cada um dos seus clusters dependem da versão do GKE do cluster. Algumas das entradas nesta tabela incluem o caminho para as listas de autorizações de cargas de trabalho de um parceiro, que pode usar para configurar a instalação e a sincronização da lista de autorizações para o seu cluster.
| Parceiro | Descrição |
|---|---|
| Aqua |
A Aqua suporta a proteção e a garantia da conformidade para o ciclo de vida completo das cargas de trabalho no GKE Autopilot e, especificamente, os pods do Kubernetes, que executam vários contentores com conjuntos partilhados de recursos de armazenamento e rede. Para mais informações, consulte o artigo Proteger cargas de trabalho nativas da nuvem no GKE Autopilot. |
| Atributo |
A Attribute oferece tecnologia de etiquetagem zero que analisa dados de tempo de execução com eBPF para revelar automaticamente os custos associados a clientes, funcionalidades e apps, inclusive em configurações partilhadas e multi-inquilinos. O atributo fornece estatísticas em tempo real para a otimização da margem, a estratégia de preços e a responsabilidade pelos custos.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação de atributos para o GKE Autopilot (início de sessão obrigatório). |
| Checkmk |
O Checkmk ajuda as organizações a monitorizar a fiabilidade e a disponibilidade das respetivas aplicações, a otimizar a utilização de recursos e a resolver proativamente os problemas que possam surgir. O Checkmk pode descobrir e recolher automaticamente dados ao nível do cluster, fornecendo visibilidade do desempenho e do estado do GKE Autopilot, e visualizar as informações com painéis de controlo prontos a usar.
Caminho da lista de autorizações: Para mais informações, consulte as instruções de instalação do Checkmk para o GKE Autopilot. |
| Check Point CloudGuard |
O Check Point CloudGuard oferece segurança unificada e nativa da nuvem nas suas aplicações, cargas de trabalho e rede. Pode usá-lo para gerir a sua postura de segurança em Cloud de Confiance ambientes. Para mais informações, consulte o artigo Integração de clusters do Kubernetes. |
| CrowdStrike Falcon |
O CrowdStrike Falcon protege a infraestrutura na nuvem, impede violações e reduz os erros humanos através da aprendizagem automática e da inteligência de ameaças orientada por humanos para reduzir implacavelmente a superfície de ataque e oferecer visibilidade total dos eventos que ocorrem no ambiente. O sensor de espaço do utilizador do CrowdStrike Falcon oferece visibilidade e proteção para o GKE Autopilot através de um único agente, protegendo o nó e os contentores em execução no mesmo.
Caminho da lista de autorizações: Para mais informações, consulte o Guia de implementação do CrowdStrike Falcon para o GKE (início de sessão necessário). |
| Datadog |
O Datadog oferece visibilidade abrangente de todas as suas apps contentorizadas em execução no GKE Autopilot através da recolha de métricas, registos e rastreios, que ajudam a apresentar problemas de desempenho e fornecem contexto para resolver os problemas.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Monitorize o GKE Autopilot com o Datadog. |
| Dynatrace |
A Dynatrace unifica a observabilidade empresarial e acelera a modernização da plataforma de segurança e a adoção da nuvem, fornecendo deteção em tempo real e contexto causal com tecnologia de IA. O Dynatrace OneAgent é rápido e automático de implementar no seu ambiente para receber estatísticas imediatas e automáticas, incluindo sobre a utilização e o desempenho dos seus clusters do GKE. Cloud de Confiance Caminhos da lista de autorizações:
Para mais informações, consulte as Instruções de instalação do Dynatrace para o GKE Autopilot. |
| Elastic Cloud on Kubernetes (ECK) |
Criado com base no padrão do operador do Kubernetes, o Elastic Cloud on Kubernetes (ECK) expande as capacidades básicas de orquestração do Kubernetes para suportar a configuração e a gestão do Elastic Stack no Kubernetes. Com o Elastic Cloud on Kubernetes, pode simplificar as operações críticas, como gerir e monitorizar vários clusters, dimensionar a capacidade e o armazenamento do cluster, fazer alterações de configuração seguras através de atualizações contínuas e muito mais. Para mais informações, consulte o Início rápido do ECK. |
| Gremlin |
O Gremlin permite que as empresas criem sistemas mais fiáveis através da identificação e resolução proativa de potenciais pontos de falha. A respetiva plataforma nativa da nuvem integra-se com o Google Cloud, o que permite aos DevOps testar a fiabilidade geral e detetar riscos na respetiva infraestrutura e aplicações na nuvem, incluindo a IA.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Instalar o Gremlin no GKE Autopilot. |
| HashiCorp Consul |
O HashiCorp Consul é uma solução de rede de serviços para automatizar as configurações de rede, descobrir serviços e permitir a conetividade segura em ambientes, incluindo o GKE Autopilot. Para mais informações, consulte as instruções de instalação do Consul para o GKE Autopilot. |
| Kubecost |
O Kubecost oferece visibilidade e estatísticas de custos em tempo real para equipas que usam o GKE, incluindo o Autopilot, ajudando a monitorizar continuamente os seus custos do Kubernetes. Para mais informações, consulte as instruções de instalação do Kubecost para o GKE Autopilot. |
| Rendas |
A Lacework oferece visibilidade e contexto para defender ambientes de nuvem com aprendizagem automática autónoma. A plataforma de segurança da Lacework aprende o que é um comportamento normal no seu ambiente de nuvem para que possa detetar rapidamente ameaças. Para mais informações, consulte as instruções de instalação do Lacework para o GKE Autopilot. |
| New Relic |
A integração do New Relic Kubernetes oferece-lhe observabilidade sobre o estado e o desempenho do seu ambiente através do agente de infraestrutura do New Relic, que recolhe dados de telemetria do seu cluster através de várias integrações do New Relic, como a integração de eventos do Kubernetes, o agente Prometheus e o plug-in do Kubernetes do New Relic Logs. Para mais informações, consulte as instruções de instalação do New Relic para o GKE Autopilot. |
| Sensor Orca |
O sensor Orca é um sensor não intrusivo baseado em eBPF que pode ser implementado em clusters do GKE Autopilot para oferecer visibilidade e proteção em tempo de execução que estão integradas nativamente com a plataforma de segurança na nuvem Orca.
Caminho da lista de autorizações: Para mais informações, consulte o Guia de instalação do sensor Orca (início de sessão necessário). |
| Prisma Cloud da Palo Alto Networks |
Os Prisma Cloud DaemonSet Defenders aplicam as políticas que quer para o seu ambiente. O Prisma Cloud Radar apresenta uma visualização abrangente dos seus nós e clusters para que possa identificar riscos e investigar incidentes.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
Solução de proteção contra ameaças baseada em IA para cargas de trabalho em contentores que oferece aos clientes a capacidade de monitorizar, detetar e analisar ameaças baseadas em processos, ficheiros e binários nos seus nós e contentores nos clusters do GKE Autopilot.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do Kubernetes do SentinelOne (início de sessão necessário). |
| Splunk Observability Cloud |
O Splunk Observability Cloud oferece visibilidade detalhada sobre a composição, o estado e os problemas em curso num cluster. Para mais informações, consulte o guia de instalação do Splunk Kubernetes. |
| Steadybit |
A Steadybit é uma plataforma de engenharia do caos que ajuda as equipas a melhorar a fiabilidade e a resiliência dos respetivos sistemas através da injeção segura de falhas e do teste da forma como as aplicações respondem. Oferece ferramentas de automatização para simular interrupções do mundo real em ambientes nativos da nuvem.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Steadybit no GKE Autopilot. |
| Sysdig Secure DevOps Platform |
A Sysdig Secure Devops Platform permite-lhe implementar práticas recomendadas de segurança de contentores nos seus clusters do GKE Autopilot, incluindo a monitorização e a proteção das suas cargas de trabalho através do agente Sysdig. O agente Sysdig é um componente do anfitrião que processa syscall, cria ficheiros de captura e realiza auditorias e conformidade.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Visibilidade e segurança para o GKE Autopilot. |
| Contra o vento |
O Upwind é uma plataforma de segurança na nuvem que se foca no contexto de tempo de execução para revelar riscos, ameaças e estatísticas críticas da infraestrutura e das cargas de trabalho na nuvem. O respetivo sensor leve baseado em eBPF para clusters do GKE Autopilot fornece contexto de tempo de execução para a gestão da postura, a deteção de ameaças em tempo real e as medidas de defesa proativas, o que ajuda a garantir uma segurança abrangente.
Caminho da lista de autorizações: Para mais informações, consulte a Atualização de compatibilidade do Upwind GKE Autopilot. |
| Uptycs |
A plataforma de segurança de contentores da Uptycs permite as práticas recomendadas de segurança para clusters do GKE Autopilot através da respetiva solução de monitorização baseada em sensores de tempo de execução do eBPF. A plataforma oferece visibilidade detalhada dos processos, das ligações e dos controlos de segurança RBAC do Kubernetes, fornecendo monitorização de segurança, capacidades de conformidade e deteção de ameaças em cargas de trabalho e nós contentorizados.
Caminho da lista de autorizações: Para mais informações, consulte a atualização de compatibilidade do Uptycs GKE Autopilot. |
| Virtana |
A Virtana Container Observability oferece visibilidade sobre o Kubernetes, o OpenShift e os ambientes em contentores. Baseada na telemetria de código aberto, ajuda as equipas a detetar e resolver problemas, otimizar a utilização de recursos e manter o desempenho. Caminhos da lista de autorizações:
Para mais informações, consulte o artigo Implemente o Virtana em clusters do GKE Autopilot. |
| Wiz Runtime Sensor |
O sensor de tempo de execução da Wiz oferece capacidades de deteção e resposta nativas para cargas de trabalho na nuvem. É um agente leve baseado em eBPF que pode ser implementado em clusters do GKE para oferecer visibilidade e monitorização em tempo real de processos em execução, ligações de rede, atividade de ficheiros e chamadas de sistema para detetar, investigar e responder a comportamentos maliciosos que afetam a carga de trabalho.
Caminho da lista de autorizações: Para mais informações, consulte a vista geral do sensor de tempo de execução do Wiz. |
Esta tabela descreve apenas os Cloud de Confiance parceiros que têm cargas de trabalho do Autopilot que precisam de privilégios elevados. Outros Cloud de Confiance parceiros têm produtos que funcionam com o Autopilot sem necessitarem de privilégios elevados. Para ver uma lista completa de Cloud de Confiance parceiros, consulte o diretório de parceiros.