本文档介绍 Binary Authorization for GKE 集群。如需开始安装和使用该产品,请参阅设置 Binary Authorization for GKE 集群。Binary Authorization 支持以下环境:
- GKE on Bare Metal 1.14 或更高版本。
- GKE on VMware 1.4 或更高版本。
Binary Authorization for GKE 集群是一款 Google Cloud 产品,可将 Binary Authorization 的代管式部署时强制执行扩展到 GKE 集群。
架构
Binary Authorization for GKE 集群会将集群连接到在 Google Cloud 上运行的 Binary Authorization Enforcer。Binary Authorization for GKE 集群会将 GKE 集群发出的运行容器映像的请求中继到 Binary Authorization 强制执行 API。
Binary Authorization for GKE 集群会安装 Binary Authorization 模块,该模块在集群中以验证准入网络钩子的形式运行。
集群的 Kubernetes API 服务器处理运行 Pod 的请求后,会通过控制平面向 Binary Authorization 模块发送准入请求。
之后,该模块会将准入请求转发到代管式 Binary Authorization API。
在 Google Cloud 上,该 API 会接收请求并将其转发到 Binary Authorization Enforcer。然后,该强制执行程序会检查请求是否符合 Binary Authorization 政策。如果符合,Binary Authorization API 将返回一个“允许”响应。否则,该 API 会返回一个“拒绝”响应。
在本地,Binary Authorization 模块会接收响应。如果 Binary Authorization 模块和所有其他准入网络钩子均允许部署请求,则系统会允许部署该容器映像。
如需详细了解如何验证准入网络钩子,请参阅使用准入控制器。
网络钩子失败政策
如果某个失败事件导致无法与 Binary Authorization 通信,则特定于网络钩子的失败政策将用于确定是否允许部署容器。配置失败政策以允许部署容器映像的这一过程称为应急开启。配置失败政策以拒绝部署容器映像的这一过程称为应急关闭。
如需将 Binary Authorization 模块配置为应急关闭,请修改 manifest.yaml 文件并将 failurePolicy 从 Ignore 更改为 Fail,然后部署清单文件。
您可以在 Binary Authorization 模块中更新失败政策。
后续步骤
- 如需了解如何设置 Binary Authorization for GKE on VMware,请参阅设置 Binary Authorization for GKE on VMware。
- 如需详细了解 GKE on VMware,请参阅 GKE on VMware 概览。
- 如需详细了解 Binary Authorization,请参阅 Binary Authorization 概览。