このページでは、Google Kubernetes Engine(GKE)Autopilot で特権オープンソース ワークロードを実行する方法について説明します。このページは、Autopilot ノードで特定のオープンソース アプリケーションを実行するプラットフォーム エンジニアを対象としています。
特権 Autopilot ワークロードの許可リストについて
デフォルトでは、GKE Autopilot は、クラスタで昇格した権限が必要なワークロードを拒否するセキュリティ制約を適用します。たとえば、デフォルトでは、特権モードを有効にする Pod や NET_RAW Linux 機能を追加する Pod を実行できません。
必要に応じて、Autopilot パートナーと特定のオープンソース プロジェクトから、Autopilot モードで特定の特権ワークロード セットを実行できます。
Autopilot モードで特権オープンソース ワークロードをデプロイするには、次の操作を行います。
AllowlistSynchronizerオブジェクトをデプロイして、ワークロードの許可リストをインストールします。AllowlistSynchronizer は、許可リストをWorkloadAllowlistオブジェクトとしてインストールし、そのライフサイクルを管理します。手順については、GKE Autopilot パートナーから特権ワークロードを実行するをご覧ください。- プロジェクトのドキュメントに記載されているインストール手順に沿って、クラスタに特権オープンソース ワークロードをデプロイします。
Autopilot をサポートする特権オープンソース ワークロード
次の表に、Autopilot で実行できる特権オープンソース ワークロードを示します。ワークロードを有効にするには、allowlistPaths フィールドにそのワークロードの許可リストのパスを指定して、AllowlistSynchronizer リソースを作成します。
| Autopilot 用特権オープンソース ワークロード | 許可リストのパス |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
この表には、昇格した権限が必要なオープンソース ワークロードのみを記載しています。これらのワークロードは Autopilot でサポートされています。昇格した権限を必要とし、この表に記載されていないオープンソース ソフトウェアは、Autopilot で動作しない可能性があります。オープンソース アプリケーションが Autopilot のデフォルトのセキュリティ制約に違反していない場合は、許可リストなしでアプリケーションを実行できます。