Ce document décrit l'autorisation binaire pour les clusters sur site créés dans le cadre de Google Distributed Cloud. Pour commencer à installer et à utiliser le produit, consultez la page Configurer l'autorisation binaire pour les clusters sur site. L'autorisation binaire est compatible avec les environnements suivants :
- Google Distributed Cloud (logiciel uniquement) sur Bare Metal 1.14 ou version ultérieure
- Google Distributed Cloud (logiciel uniquement) sur VMware 1.4 ou version ultérieure
L'autorisation binaire pour les clusters sur site est un produit Google Cloud qui étend l'application hébergée sur le temps de déploiement de l'autorisation binaire à Google Distributed Cloud.
Architecture
L'autorisation binaire pour les clusters sur site connecte les clusters à l'outil d'application de l'autorisation binaire, qui s'exécute sur Google Cloud. Il fonctionne en transmettant les requêtes d'exécution d'images de conteneurs à partir de clusters sur site à l'API d'application de l'autorisation binaire.
L'autorisation binaire installe le module d'autorisation binaire, qui s'exécute en tant que webhook d'admission de validation Kubernetes dans votre cluster.
Lorsque le serveur d'API Kubernetes du cluster traite une requête pour exécuter un pod, il envoie une requête d'admission au module d'autorisation binaire, via le plan de contrôle.
Le module transmet ensuite la requête d'admission à l'API d'autorisation binaire hébergée.
Sur Google Cloud, l'API reçoit la requête et la transmet à l'outil d'application de l'autorisation binaire. L'outil d'application vérifie ensuite que la requête satisfait la stratégie d'autorisation binaire. Si c'est le cas, l'API d'autorisation binaire renvoie une réponse "allow" (autoriser). Sinon, l'API renvoie une réponse "reject" (rejeter).
Sur site, le module d'autorisation binaire reçoit la réponse. Si le module d'autorisation binaire et tous les autres webhooks d'admission autorisent la requête de déploiement, l'image de conteneur est autorisée à se déployer.
Pour en savoir plus sur la validation des webhooks d'admission, consultez la page Utiliser des contrôleurs d'admission.
Stratégie d'échec du webhook
Lorsqu'un échec empêche la communication avec l'autorisation binaire, une stratégie d'échec spécifique au webhook détermine si le conteneur est autorisé à effectuer le déploiement. La configuration de stratégie d'échec qui permet le déploiement de l'image de conteneur est appelée fail open. La configuration de stratégie d'échec qui refuse le déploiement de l'image de conteneur est appelée fail close.
Pour configurer le module d'autorisation binaire pour la fermeture après échec, modifiez le fichier manifest.yaml et modifiez le failurePolicy de Ignore à Fail, puis déployez le fichier manifeste.
Vous pouvez mettre à jour la stratégie d'échec dans le module d'autorisation binaire.
Étape suivante
- Pour savoir comment configurer l'autorisation binaire pour les clusters sur site, consultez la page Configurer l'autorisation binaire pour les clusters sur site.
- Pour en savoir plus sur Google Distributed Cloud, consultez la présentation de Google Distributed Cloud.
- Pour en savoir plus sur l'autorisation binaire, consultez la page Présentation de l'autorisation binaire.