このページでは、Google Kubernetes Engine(GKE)Autopilot パートナー組織と、Autopilot クラスタで利用可能な特殊なワークロードについて説明します。
Autopilot パートナー ワークロードとは
Google Kubernetes Engine(GKE)Autopilot クラスタでは通常、昇格した権限(/var/run や privileged: true へのアクセス、NET_RAW、SYS_ADMIN などの権限の高い Linux ファイル機能へのアクセスなど)を必要とするワークロードは許可されません。
この制限の例外となるのが、Autopilot パートナー ワークロードです。Google Cloud パートナーのサブセットは、Autopilot クラスタ向けの特別な権限を持つワークロードを提供しています。これらのパートナー ワークロードをデプロイすることで、すべての Pod でサイドカー コンテナを実行することなく、ノードレベルの指標の収集などの要件を満たすことができます。
許可リストへの登録プロセスの概要
すべてのパートナー ワークロードは、レビュー プロセスを経て、GKE のベースライン要件(適切に実行するために必要な最小権限があることや、ワークロードがアクセスできるリソースに対してきめ細かい制御ができることなど)を満たしていることが確認されます。
Google では次のような手段で、デプロイされたワークロードの機能を制限しています。
- コンテナが承認済みのロケーションから pull されていることを確認する。
- 承認済みの仕様と一致しない Pod 仕様を拒否する。
昇格した権限を必要とし、許可リストに追加する必要がある Autopilot ワークロードを提供している Google Cloud パートナーの場合は、パートナー マネージャーに Autopilot パートナー プログラムに関する情報を依頼してください。
Autopilot で特権パートナー ワークロードを実行する
GKE バージョン 1.32.2-gke.1652000 以降では、一部のパートナーが特権ワークロードに対応する許可リストを提供しています。対応する許可リストをインストールしない限り、これらのワークロードはクラスタで実行できません。この方法には次のメリットがあります。
- パートナー ワークロードをクラスタで実行できるかどうかを明示的に制御できます。
- GKE は、クラスタ内の許可リストを、パートナー ワークロードの許可リスト ファイルを保存する Google 管理のリポジトリの最新バージョンと自動的に同期します。
- インストールされた許可リストの厳格な基準を満たしていないパートナー ワークロードは、デプロイ中に拒否されます。
詳細については、GKE Autopilot パートナーの特権ワークロードを実行するをご覧ください。
パートナー ワークロードが許可リスト方式を使用していない場合は、関連する権限を持つクラスタ オーペレーターがいつでもワークロードをクラスタにデプロイできます。
料金
パートナー ワークロードによって Autopilot クラスタ内に作成されるリソースは、Autopilot 料金モデルに従って課金されます。パートナー ソリューションの追加料金については、関連するパートナーのドキュメントをご覧ください。
Autopilot パートナー ワークロード
次の表に、Autopilot のパートナー ワークロードを示します。各クラスタで使用できるパートナー ワークロードは、クラスタの GKE バージョンによって異なります。
| パートナー | 説明 |
|---|---|
| Aqua |
Aqua は、GKE Autopilot で、ワークロードのライフサイクル全体を通じたコンプライアンスの確保をサポートします。特に、ストレージ セットとネットワーキング リソースを共有し、複数のコンテナを実行する Kubernetes Pod に対応しています。 詳細については、GKE Autopilot でのクラウド ネイティブ ワークロードの保護をご覧ください。 |
| Checkmk |
Checkmk は、組織がアプリケーションの信頼性と可用性をモニタリングし、リソース使用量を最適化して、発生する可能性のある問題にプロアクティブに対処するうえで役立ちます。Checkmk は、クラスタ全体のデータを自動的に検出して収集し、GKE Autopilot のパフォーマンスと健全性を可視化します。また、すぐに使えるダッシュボードで情報を可視化できます。 詳細については、GKE Autopilot の Checkmk インストール手順をご覧ください。 |
| Check Point CloudGuard |
Check Point CloudGuard は、統合されたクラウドネイティブ セキュリティをアプリケーション、ワークロード、ネットワークに全体的に提供します。 Google Cloud環境全体のセキュリティ ポスチャーの管理に使用できます。 詳細については、Kubernetes クラスタのオンボーディングをご覧ください。 |
| CrowdStrike Falcon |
CrowdStrike Falcon は、ML と人間主導の脅威インテリジェンスを活用することで、クラウド インフラストラクチャを保護し、侵害を阻止して人的ミスを減らします。これにより、攻撃対象領域が絶え間なく縮小し、環境内で発生するイベントを包括的に可視化できます。CrowdStrike Falcon のユーザー空間センサーは、単一のエージェントを使用して GKE Autopilot の可視性と保護を提供し、ノードとそこで実行されているコンテナの両方を保護します。 詳細については、GKE 用 CrowdStrike Falcon デプロイガイド(ログインが必要です)をご覧ください。 |
| Datadog |
Datadog は、指標、ログ、トレースを収集して、GKE Autopilot で動作しているすべてのコンテナ化されたアプリを包括的に可視化します。これにより、パフォーマンスの問題を表面化させて、トラブルシューティングのコンテキストを提供します。 詳細については、Datadog で GKE Autopilot をモニタリングするをご覧ください。 |
| Dynatrace |
Dynatrace は、企業のオブザーバビリティを統合し、リアルタイム検出と AI を活用した因果コンテキストを提供することで、セキュリティ プラットフォームのモダナイゼーションとクラウドの採用を加速します。Dynatrace OneAgent は、 Google Cloud 環境にすばやくかつ自動的にデプロイでき、GKE クラスタの使用状況やパフォーマンスなどに関する自動インサイトを即時に取得します。 詳細については、GKE Autopilot での Dynatrace のインストール手順をご覧ください。 |
| Elastic Cloud on Kubernetes(ECK) |
Kubernetes Operator パターンを基盤として構築された Elastic Cloud on Kubernetes(ECK)は、Kubernetes の基本的なオーケストレーション機能を拡張し、Kubernetes 上の Elastic Stack の設定と管理をサポートします。Elastic Cloud on Kubernetes を使用すると、複数のクラスタの管理とモニタリング、クラスタの容量とストレージのスケーリング、ローリング アップグレードによる安全な構成変更など、重要なオペレーションを合理化できます。 詳細については、ECK のクイックスタートをご覧ください。 |
| HashiCorp Consul |
HashiCorp Consul は、ネットワーク構成の自動化やサービスの検出を行い、GKE Autopilot などの環境間で安全な接続を実現するサービス ネットワーキング ソリューションです。 詳細については、GKE Autopilot での Consul のインストール手順をご覧ください。 |
| Kubecost |
Kubecost は、Autopilot を含む GKE を使用するチームにリアルタイムの費用の可視化と分析情報を提供します。これにより、Kubernetes の費用を継続的にモニタリングできます。 詳細については、GKE Autopilot の Kubecost インストール手順をご覧ください。 |
| Lacework |
Lacework は、自律的な機械学習によってクラウド環境を保護するための可視性とコンテキストを提供します。Lacework セキュリティ プラットフォームはクラウド環境での正常な動作を学習するので、脅威をすばやく特定できるようになります。 詳細については、GKE Autopilot での Lacework インストール手順をご覧ください。 |
| New Relic |
New Relic と Kubernetes の統合により、New Relic インフラストラクチャ エージェントを使用して、環境の健全性とパフォーマンスを確認できます。このエージェントは、Kubernetes イベント統合、Prometheus Agent、New Relic Logs Kubernetes プラグインなどの New Relic 統合を使用して、クラスタからテレメトリー データを収集します。 詳細については、GKE Autopilot での New Relic のインストール手順をご覧ください。 |
| Orca センサー |
Orca Sensor は、GKE Autopilot クラスタにデプロイできる非侵入型の eBPF ベースのセンサーです。Orca Cloud Security Platform とネイティブに統合されたランタイムの可視性と保護を提供します。 詳細については、Orca Sensor インストール ガイド(ログインが必要)をご覧ください。 |
| Palo Alto Networks の Prisma Cloud |
Prisma Cloud DaemonSet Defender は、動作環境に望ましいポリシーを適用します。Prisma Cloud Radar はノードとクラスタを包括的に可視化するため、リスクを特定してインシデントを調査できます。 詳細については、Prisma Cloud Kubernetes インストール ガイドをご覧ください。 |
| SentinelOne Cloud Workload Security for Containers |
コンテナ化されたワークロードを対象とする、AI を活用した脅威対策ソリューション。GKE Autopilot クラスタ内のノードとコンテナの両方で、プロセス、ファイル、バイナリベースの脅威をモニタリング、検出、分析できます。 詳細については、SentinelOne Kubernetes インストール ガイド(ログインが必要)をご覧ください。 |
| Splunk Observability Cloud |
Splunk Observability Cloud は、クラスタ内の構成、状態、継続的な問題を詳細に可視化します。 詳細については、Splunk Kubernetes インストール ガイドをご覧ください。 |
| Steadybit |
Steadybit は、障害を安全に挿入してアプリケーションの応答方法をテストすることで、システムの信頼性と復元力を向上させる、カオス エンジニアリング用のプラットフォームです。クラウドネイティブ環境で実際の中断をシミュレートするための自動化ツールを提供します。 詳細については、GKE Autopilot での Steadybit をご覧ください。 |
| Sysdig Secure DevOps Platform |
Sysdig Secure DevOps Platform を使用すると、GKE Autopilot クラスタにコンテナ セキュリティのベスト プラクティス(Sysdig エージェントを使用したワークロードのモニタリングと保護など)を実装できます。Sysdig エージェントは、syscall を処理し、キャプチャ ファイルを作成し、監査とコンプライアンスを実行するホスト コンポーネントです。 詳細については、GKE Autopilot の可視性とセキュリティをご覧ください。 |
| Upwind |
Upwind は、ランタイム コンテキストに重点を置いて、クラウド インフラストラクチャとワークロードの重要なリスク、脅威、分析情報を明らかにするクラウド セキュリティ プラットフォームです。GKE Autopilot クラスタ用の軽量な eBPF ベースのセンサーは、ポスチャーの管理、リアルタイムの脅威検出、プロアクティブな防御対策のランタイム コンテキストを提供し、包括的なセキュリティを確保します。 詳細については、Upwind GKE Autopilot の互換性に関する更新をご覧ください。 |
| Uptycs |
Uptycs Container Security Platform は、eBPF ランタイム センサーベースのモニタリング ソリューションを通じて、GKE Autopilot クラスタのセキュリティのベスト プラクティスを実現します。このプラットフォームは、コンテナ化されたワークロードとノード全体でセキュリティ モニタリング、コンプライアンス機能、脅威の検出を提供することで、プロセス、接続、Kubernetes RBAC セキュリティ制御を詳細に可視化します。 詳細については、Uptycs GKE Autopilot の互換性に関する更新をご覧ください。 |
| Wiz Runtime Sensor |
Wiz Runtime Sensor は、クラウドのワークロードに対してネイティブの検出および対応機能を提供します。軽量の eBPF ベースのエージェントであり、GKE クラスタにデプロイできます。実行中のプロセス、ネットワーク接続、ファイル アクティビティ、システムコールをリアルタイムに可視化してモニタリングし、ワークロードに影響を与える悪意のある動作の検出、調査、対応を行います。 詳細については、Wiz Runtime Sensor の概要をご覧ください。 |
この表には、昇格権限が必要な Autopilot ワークロードを提供している Google Cloud パートナーのみを記載しています。他のGoogle Cloud パートナーは、昇格権限なしで Autopilot と連携するプロダクトを提供しています。 Google Cloudパートナーの一覧については、Partners ディレクトリをご覧ください。