Auf dieser Seite erfahren Sie, wie Sie Open-Source-Arbeitslasten mit Berechtigungen in der Google Kubernetes Engine (GKE) im Autopilot-Modus ausführen. Diese Seite richtet sich an Plattformingenieure, die bestimmte Open-Source-Anwendungen auf Autopilot-Knoten ausführen möchten.
Zulassungslisten für privilegierte Autopilot-Arbeitslasten
Standardmäßig erzwingt GKE Autopilot Sicherheitseinschränkungen, die Arbeitslasten ablehnen, die erhöhte Berechtigungen im Cluster benötigen. So können Sie beispielsweise standardmäßig keinen Pod ausführen, der den privilegierten Modus aktiviert oder die Linux-Funktion NET_RAW hinzufügt.
Optional können Sie eine bestimmte Gruppe von privilegierten Arbeitslasten von Autopilot-Partnern und von bestimmten Open-Source-Projekten im Autopilot-Modus ausführen.
So stellen Sie Open-Source-Arbeitslasten mit erhöhten Berechtigungen im Autopilot-Modus bereit:
- Installieren Sie eine Zulassungsliste für die Arbeitslast, indem Sie ein
AllowlistSynchronizer-Objekt bereitstellen. Der AllowlistSynchronizer installiert die Zulassungsliste alsWorkloadAllowlist-Objekt und verwaltet ihren Lebenszyklus. Eine Anleitung finden Sie unter Berechtigte Arbeitslasten von GKE Autopilot-Partnern ausführen. - Stellen Sie die Open-Source-Arbeitslast mit Berechtigungen in Ihrem Cluster bereit. Folgen Sie dazu der Installationsanleitung in der Projektdokumentation.
Berechtigte Open-Source-Arbeitslasten mit Autopilot-Unterstützung
In der folgenden Tabelle werden die Open-Source-Arbeitslasten mit Berechtigungen beschrieben, die Sie in Autopilot ausführen können. Wenn Sie eine Arbeitslast aktivieren möchten, erstellen Sie eine AllowlistSynchronizer-Ressource mit dem Pfad zur Zulassungsliste für diese Arbeitslast im Feld allowlistPaths.
| Berechtigte Open-Source-Arbeitslasten für Autopilot | |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
|
In dieser Tabelle werden nur die Open-Source-Arbeitslasten beschrieben, für die erhöhte Berechtigungen erforderlich sind und die in Autopilot unterstützt werden. Open-Source-Software, für die erhöhte Berechtigungen erforderlich sind und die nicht in dieser Tabelle aufgeführt ist, funktioniert möglicherweise nicht mit Autopilot. Wenn eine Open-Source-Anwendung nicht gegen die Standardsicherheitsbeschränkungen in Autopilot verstößt, können Sie sie ohne Zulassungsliste ausführen.