Cette page explique comment exécuter des charges de travail Open Source privilégiées sur Autopilot Google Kubernetes Engine (GKE). Cette page s'adresse aux ingénieurs de plate-forme qui souhaitent exécuter des applications Open Source spécifiques dans des nœuds Autopilot.
À propos des listes d'autorisation pour les charges de travail Autopilot privilégiées
Par défaut, GKE Autopilot applique des contraintes de sécurité qui rejettent les charges de travail nécessitant des privilèges élevés dans le cluster. Par exemple, vous ne pouvez pas exécuter par défaut un pod qui active le mode privilégié ou ajoute la fonctionnalité Linux NET_RAW.
Vous pouvez éventuellement exécuter un ensemble spécifique de charges de travail privilégiées à partir de partenaires Autopilot et de certains projets Open Source en mode Autopilot.
Pour déployer des charges de travail Open Source privilégiées en mode Autopilot, procédez comme suit:
- Installez une liste d'autorisation pour la charge de travail en déployant un objet
AllowlistSynchronizer. AllowlistSynchronizer installe la liste d'autorisation en tant qu'objetWorkloadAllowlistet gère son cycle de vie. Pour obtenir des instructions, consultez la page Exécuter des charges de travail privilégiées à partir de partenaires GKE Autopilot. - Déployez la charge de travail Open Source privilégiée dans votre cluster en suivant la procédure d'installation décrite dans la documentation du projet.
Charges de travail Open Source privilégiées compatibles avec Autopilot
Le tableau suivant décrit les charges de travail Open Source privilégiées que vous pouvez exécuter sur Autopilot. Pour activer une charge de travail, créez une ressource AllowlistSynchronizer avec le chemin d'accès au fichier d'autorisation de cette charge de travail dans le champ allowlistPaths.
| Charges de travail Open Source privilégiées pour Autopilot | |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
|
Ce tableau ne décrit que les charges de travail Open Source nécessitant des privilèges élevés et compatibles avec Autopilot. Les logiciels Open Source qui nécessitent des droits élevés et qui ne figurent pas dans ce tableau risquent de ne pas fonctionner avec Autopilot. Si une application Open Source ne s'oppose pas aux contraintes de sécurité par défaut d'Autopilot, vous pouvez l'exécuter sans liste d'autorisation.