本頁說明如何在 Google Kubernetes Engine (GKE) Autopilot 上執行具備權限的開放原始碼工作負載。本頁面適用於想在 Autopilot 節點中執行特定開放原始碼應用程式的平台工程師。
關於具有特殊權限的 Autopilot 工作負載許可清單
根據預設,GKE Autopilot 會強制執行安全限制,拒絕叢集中需要提升權限的工作負載。舉例來說,您預設無法執行啟用特殊權限模式或新增 NET_RAW Linux 功能的 Pod。
您也可以選擇在 Autopilot 模式下,從Autopilot 合作夥伴和特定開放原始碼專案執行一組特定的具備權限工作負載。
如要在 Autopilot 模式中部署具備特殊權限的開放原始碼工作負載,請執行下列操作:
- 部署
AllowlistSynchronizer物件,為工作負載安裝允許清單。AllowlistSynchronizer 會將允許清單安裝為WorkloadAllowlist物件,並管理其生命週期。如需操作說明,請參閱「從 GKE Autopilot 合作夥伴執行具備權限的工作負載」。 - 按照專案說明文件中的安裝步驟,在叢集中部署具備權限的開放原始碼工作負載。
支援 Autopilot 的具備權限開放原始碼工作負載
下表說明您可以在 Autopilot 上執行的開放原始碼工作負載。如要啟用工作負載,請建立 AllowlistSynchronizer 資源,並在 allowlistPaths 欄位中提供該工作負載的允許清單路徑。
| Autopilot 的具備特殊權限開放原始碼工作負載 | 許可清單路徑 |
|---|---|
Grafana/alloy/*
|
|
Grafana/beyla/*
|
下表僅說明需要提升權限,且 Autopilot 支援的開放原始碼工作負載。如果開放原始碼軟體需要提升權限,且未列於下表,可能無法在 Autopilot 上運作。如果開放原始碼應用程式未違反 Autopilot 的預設安全限制,您就可以在沒有許可清單的情況下執行該應用程式。