Esta página fornece informações sobre as organizações parceiras do Google Kubernetes Engine (GKE) Autopilot e as cargas de trabalho especializadas que disponibilizam em clusters do Autopilot.
O que são cargas de trabalho de parceiros do Autopilot?
Normalmente, os clusters do Google Kubernetes Engine (GKE) Autopilot não permitem cargas de trabalho que exijam privilégios elevados, como acesso a /var/run, privileged: true ou capacidades de ficheiros Linux altamente privilegiadas, como NET_RAW e SYS_ADMIN.
As exceções a esta restrição são as cargas de trabalho de parceiros do Autopilot. Um subconjunto de Cloud de Confiance by S3NS parceiros fornece cargas de trabalho especialmente privilegiadas para clusters do Autopilot. Pode implementar estas cargas de trabalho de parceiros para cumprir requisitos como a recolha de métricas ao nível do nó sem ter de executar um contentor sidecar em cada pod.
Vista geral do processo de inclusão na lista de autorizações
Cada carga de trabalho de parceiros passa por um processo de revisão para garantir que cumpre os requisitos base do GKE, como ter a menor quantidade de autorizações necessárias para ser executada corretamente e um controlo detalhado sobre os recursos aos quais as cargas de trabalho podem aceder.
Tomamos medidas como as seguintes para restringir as capacidades destas cargas de trabalho implementadas:
- Verifique se os contentores são extraídos da localização aprovada.
- Rejeitar especificações de pods que não correspondam à especificação aprovada.
Se for um Cloud de Confiance by S3NS parceiro com uma carga de trabalho do Autopilot que requer privilégios elevados e tem de ser adicionado a uma lista de autorizações, contacte o seu gestor de parceiros para obter informações sobre o programa de parceiros do Autopilot.
Execute cargas de trabalho de parceiros privilegiados no Autopilot
Na versão 1.32.2-gke.1652000 e posteriores do GKE, alguns parceiros fornecem listas de autorizações que correspondem às respetivas cargas de trabalho privilegiadas. Estas cargas de trabalho não podem ser executadas nos seus clusters, a menos que instale a lista de autorizações correspondente. Este método tem as seguintes vantagens:
- Tem controlo explícito sobre se uma carga de trabalho de parceiro pode ser executada no seu cluster.
- O GKE sincroniza automaticamente as listas de autorizações no seu cluster com a versão mais recente de um repositório gerido pela Google que armazena ficheiros de listas de autorizações para cargas de trabalho de parceiros.
- As cargas de trabalho de parceiros que não cumprem os critérios rigorosos de uma lista de autorizações instalada são rejeitadas durante a implementação.
Para mais informações, consulte o artigo Execute cargas de trabalho privilegiadas a partir de parceiros do GKE Autopilot.
As cargas de trabalho de parceiros privilegiados que foram adicionadas entre 2021 e 2024 podem ser executadas no modo de piloto automático sem uma lista de autorizações. Os operadores de clusters que tenham as autorizações correspondentes podem implementar estas cargas de trabalho no seu cluster em qualquer altura.
Preços
Todos os recursos que as cargas de trabalho de parceiros criam nos seus clusters do Autopilot são faturados de acordo com o modelo de preços do Autopilot. Para ver informações sobre preços adicionais de soluções de parceiros, consulte a documentação do parceiro relevante.
Automatize cargas de trabalho de parceiros
As secções seguintes descrevem as cargas de trabalho dos parceiros para o Autopilot. As cargas de trabalho de parceiros disponíveis para cada um dos seus clusters dependem da versão do GKE do cluster.
Esta tabela descreve apenas os Cloud de Confiance parceiros que têm cargas de trabalho do Autopilot que precisam de privilégios elevados. Outros Cloud de Confiance parceiros têm produtos que funcionam com o Autopilot sem necessitarem de privilégios elevados. Para ver uma lista completa de Cloud de Confiance parceiros, consulte o diretório de parceiros.
Parceiros que suportam listas de autorizações
A tabela seguinte descreve os parceiros cujas cargas de trabalho estão disponíveis para instalação com listas de autorizações. Cada entrada nesta tabela inclui o caminho para as listas de autorizações de cargas de trabalho de um parceiro, que pode usar para configurar a instalação e a sincronização de listas de autorizações para o seu cluster.
| Parceiro | Descrição |
|---|---|
| Atributo |
A Attribute oferece tecnologia de etiquetagem zero que analisa dados de tempo de execução com eBPF para revelar automaticamente os custos associados a clientes, funcionalidades e apps, inclusive em configurações partilhadas e multi-inquilinos. O atributo fornece estatísticas em tempo real para a otimização da margem, a estratégia de preços e a responsabilidade pelos custos.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação de atributos para o GKE Autopilot (início de sessão obrigatório). |
| Checkmk |
O Checkmk ajuda as organizações a monitorizar a fiabilidade e a disponibilidade das respetivas aplicações, a otimizar a utilização de recursos e a resolver problemas que possam surgir. O Checkmk pode descobrir e recolher automaticamente dados ao nível do cluster, fornecendo visibilidade do desempenho e do estado do GKE Autopilot, e visualizar as informações com painéis de controlo.
Caminho da lista de autorizações: Para mais informações, consulte as instruções de instalação do Checkmk para o GKE Autopilot. |
| CrowdStrike Falcon |
O CrowdStrike Falcon ajuda a proteger a infraestrutura na nuvem e a evitar violações através da aprendizagem automática e da inteligência de ameaças orientada por humanos para reduzir a superfície de ataque e fornecer visibilidade dos eventos no ambiente. O sensor de espaço do utilizador do CrowdStrike Falcon oferece visibilidade e proteção para o GKE Autopilot através de um único agente, protegendo o nó e os contentores em execução no mesmo.
Caminho da lista de autorizações: Para mais informações, consulte o Guia de implementação do CrowdStrike Falcon para o GKE (início de sessão necessário). |
| Datadog |
O Datadog oferece visibilidade das apps em contentores em execução no GKE Autopilot através da recolha de métricas, registos e rastreios, o que ajuda a identificar problemas de desempenho e fornece contexto para a resolução de problemas.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Monitorize o GKE Autopilot com o Datadog. |
| Dynatrace |
A Dynatrace oferece observabilidade empresarial para a modernização da plataforma de segurança e a adoção da nuvem com deteção em tempo real e contexto causal com tecnologia de IA. Pode implementar o Dynatrace OneAgent no seu Cloud de Confiance ambiente para receber estatísticas automáticas sobre a utilização e o desempenho dos seus clusters do GKE. Caminhos da lista de autorizações:
Para mais informações, consulte as Instruções de instalação do Dynatrace para o GKE Autopilot. |
| Gremlin |
O Gremlin ajuda as empresas a criar sistemas mais fiáveis através da identificação e resolução de potenciais pontos de falha. A respetiva plataforma nativa da nuvem integra-se com Cloud de Confiance by S3NS, o que permite às equipas de DevOps testar a fiabilidade e detetar riscos na infraestrutura e nas aplicações na nuvem.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Instalar o Gremlin no GKE Autopilot. |
| Arnês |
Aproveite a engenharia do caos para introduzir falhas em aplicações e infraestruturas para testar a resiliência dos serviços empresariais. A plataforma oferece ferramentas para criar uma prática de testes de resiliência escalável, com funcionalidades como experiências, o ChaosGuard para governação e recomendações com tecnologia de IA. Também oferece capacidades empresariais, como RBAC, SSO e auditoria.
Caminho da lista de autorizações: Para mais informações, consulte a documentação de engenharia do caos da Harness para o GKE Autopilot. |
| Sensor Orca |
O sensor Orca é um sensor baseado em eBPF que pode ser implementado em clusters do GKE Autopilot para oferecer visibilidade e proteção em tempo de execução integradas com a plataforma de segurança na nuvem Orca.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do sensor Orca (início de sessão necessário). |
| Prisma Cloud da Palo Alto Networks |
Os Prisma Cloud DaemonSet Defenders aplicam políticas para o seu ambiente. O Prisma Cloud Radar apresenta uma visualização dos seus nós e clusters para que possa identificar riscos e investigar incidentes.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do Prisma Cloud Kubernetes. |
| SentinelOne Cloud Workload Security for Containers |
A SentinelOne oferece uma solução de proteção contra ameaças com tecnologia de IA para cargas de trabalho em contentores. Esta solução permite-lhe monitorizar, detetar e analisar ameaças baseadas em processos, ficheiros e binários em nós e contentores em clusters do GKE Autopilot.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do Kubernetes do SentinelOne (início de sessão necessário). |
| Steadybit |
A Steadybit é uma plataforma de engenharia do caos que ajuda as equipas a melhorar a fiabilidade e a resiliência dos respetivos sistemas através da injeção de falhas e do teste da forma como as aplicações respondem. Oferece ferramentas de automatização para simular interrupções em ambientes nativos da nuvem.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Steadybit no GKE Autopilot. |
| Sysdig Secure DevOps Platform |
A plataforma Sysdig Secure Devops ajuda a implementar práticas de segurança de contentores nos seus clusters do GKE Autopilot, incluindo a monitorização e a proteção de cargas de trabalho através do agente Sysdig. O agente Sysdig é um componente do anfitrião que processa syscall, cria ficheiros de captura e realiza auditorias e conformidade.
Caminho da lista de autorizações: Para mais informações, consulte o artigo Visibilidade e segurança para o GKE Autopilot. |
| Trend Micro |
A Trend Vision One Container Security oferece proteção para contentores desde o desenvolvimento à implementação e na produção. Ajuda a evitar vulnerabilidades, ataques e configurações incorretas de pré-execução e execução em aplicações contentorizadas.
Caminho da lista de autorizações: Para mais informações, consulte o guia de instalação do Trend Vision One para segurança de contentores no GKE. |
| Contra o vento |
A Upwind é uma plataforma de segurança na nuvem que usa o contexto de tempo de execução para identificar riscos, ameaças e estatísticas da infraestrutura na nuvem e cargas de trabalho. O respetivo sensor baseado em eBPF para clusters do GKE Autopilot fornece contexto de tempo de execução para a gestão da postura, a deteção de ameaças em tempo real e as medidas de defesa, para ajudar a garantir a segurança.
Caminho da lista de autorizações: Para mais informações, consulte a Atualização de compatibilidade do Upwind GKE Autopilot. |
| Uptycs |
A plataforma de segurança de contentores da Uptycs ajuda a implementar práticas recomendadas de segurança para clusters do GKE Autopilot através da respetiva solução de monitorização baseada em sensores de tempo de execução do eBPF. A plataforma oferece visibilidade dos processos, das ligações e dos controlos de segurança RBAC do Kubernetes, fornecendo monitorização de segurança, capacidades de conformidade e deteção de ameaças em cargas de trabalho e nós contentorizados.
Caminho da lista de autorizações: Para mais informações, consulte a atualização de compatibilidade do Uptycs GKE Autopilot. |
| Virtana |
A Virtana Container Observability oferece visibilidade sobre o Kubernetes, o OpenShift e os ambientes em contentores. Baseada na telemetria de código aberto, ajuda as equipas a detetar e resolver problemas, otimizar a utilização de recursos e manter o desempenho. Caminhos da lista de autorizações:
Para mais informações, consulte o artigo Implemente o Virtana em clusters do GKE Autopilot. |
| Wiz Runtime Sensor |
O sensor de tempo de execução da Wiz oferece capacidades de deteção e resposta para cargas de trabalho na nuvem. É um agente baseado em eBPF que pode ser implementado em clusters do GKE para oferecer visibilidade e monitorização em tempo real de processos em execução, ligações de rede, atividade de ficheiros e chamadas do sistema para detetar, investigar e responder a comportamentos maliciosos que afetam a carga de trabalho.
Caminho da lista de autorizações: Para mais informações, consulte a vista geral do sensor de tempo de execução do Wiz. |
Parceiros que não suportam listas de autorizações
A tabela seguinte descreve os parceiros cujas cargas de trabalho não suportam listas de autorizações. Estas cargas de trabalho podem ter menos funcionalidades, como a falta de suporte para registos de imagens privadas.
| Parceiro | Descrição |
|---|---|
| Aqua |
A Aqua suporta a proteção e a garantia da conformidade para o ciclo de vida completo das cargas de trabalho no GKE Autopilot e, especificamente, os pods do Kubernetes, que executam vários contentores com conjuntos partilhados de recursos de armazenamento e rede. Para mais informações, consulte o artigo Proteger cargas de trabalho nativas da nuvem no GKE Autopilot. |
| Check Point CloudGuard |
O Check Point CloudGuard oferece segurança unificada e nativa da nuvem nas suas aplicações, cargas de trabalho e rede. Pode usá-lo para gerir a sua postura de segurança em todos os Cloud de Confiance ambientes. Para mais informações, consulte o artigo Integração de clusters do Kubernetes. |
| Elastic Cloud on Kubernetes (ECK) |
Criado com base no padrão do operador do Kubernetes, o Elastic Cloud on Kubernetes (ECK) expande as capacidades básicas de orquestração do Kubernetes para suportar a configuração e a gestão do Elastic Stack no Kubernetes. Com o Elastic Cloud on Kubernetes, pode gerir e monitorizar vários clusters, dimensionar a capacidade e o armazenamento do cluster, e fazer alterações seguras à configuração através de atualizações contínuas. Para mais informações, consulte o Início rápido do ECK. |
| HashiCorp Consul |
O HashiCorp Consul é uma solução de rede de serviços para automatizar as configurações de rede, descobrir serviços e ativar a conetividade segura em ambientes, incluindo o GKE Autopilot. Para mais informações, consulte as instruções de instalação do Consul para o GKE Autopilot. |
| Kubecost |
O Kubecost oferece visibilidade e estatísticas de custos em tempo real para equipas que usam o GKE, incluindo o Autopilot, ajudando a monitorizar os seus custos do Kubernetes. Para mais informações, consulte as instruções de instalação do Kubecost para o GKE Autopilot. |
| Rendas |
A Lacework oferece visibilidade e contexto para defender ambientes na nuvem através da aprendizagem automática. A plataforma de segurança da Lacework aprende o comportamento normal no seu ambiente de nuvem para ajudar a detetar ameaças. Para mais informações, consulte as instruções de instalação do Lacework para o GKE Autopilot. |
| New Relic |
A integração do New Relic Kubernetes oferece-lhe observabilidade sobre o estado e o desempenho do seu ambiente através do agente de infraestrutura do New Relic, que recolhe dados de telemetria do seu cluster através de várias integrações do New Relic, como a integração de eventos do Kubernetes, o agente Prometheus e o plug-in do Kubernetes do New Relic Logs. Para mais informações, consulte as instruções de instalação do New Relic para o GKE Autopilot. |
| Splunk Observability Cloud |
O Splunk Observability Cloud oferece visibilidade sobre a composição, o estado e os problemas em curso num cluster. Para mais informações, consulte o guia de instalação do Splunk Kubernetes. |