In diesem Dokument wird die Binärautorisierung für lokale Cluster beschrieben, die im Rahmen von Google Distributed Cloud erstellt wurden. Informationen zur Installation und Verwendung des Produkts finden Sie unter Binärautorisierung für lokale Cluster einrichten. Die Binärautorisierung unterstützt die folgenden Umgebungen:
- Google Distributed Cloud (nur Software) auf Bare Metal 1.14 oder höher.
- Google Distributed Cloud (nur Software) auf VMware 1.4 oder höher.
Die Binärautorisierung für lokale Cluster ist ein Google Cloud-Produkt, das die gehostete Erzwingung der Binärautorisierung auf Google Distributed Cloud erweitert.
Architektur
Die Binärautorisierung für lokale Cluster verbindet Cluster mit dem Binärautorisierungserzwinger, der in Google Cloud ausgeführt wird. Dabei werden Anfragen zum Ausführen von Container-Images von lokalen Clustern an die Binary Authorization Enforcement API weitergeleitet.
Die Binärautorisierung installiert das Binärautorisierungsmodul, das als validierendes Zulassungs-Webhook von Kubernetes in Ihrem Cluster ausgeführt wird.
Wenn der Kubernetes API-Server für den Cluster eine Anfrage zum Ausführen eines Pods verarbeitet, sendet er eine Zulassungsanfrage über die Steuerungsebene an das Binärautorisierungsmodul.
Das Modul leitet dann die Zulassungsanfrage an die gehostete API für die Binärautorisierung weiter.
In Google Cloud empfängt die API die Anfrage und leitet sie an den Binärautorisierungserzwinger weiter. Der Erzwinger prüft dann, ob die Anfrage die Binärautorisierungsrichtlinie erfüllt. Ist dies der Fall, gibt die Binärautorisierungs-API eine "allow"-Antwort zurück. Andernfalls gibt die API eine "reject"-Antwort zurück.
Das Binärautorisierungsmodul empfängt die Antwort lokal. Wenn das Binärautorisierungsmodul und alle anderen Zulassungs-Webhooks die Bereitstellungsanfrage zulassen, kann das Container-Image bereitgestellt werden.
Weitere Informationen zum Überprüfen von Zulassungs-Webhooks finden Sie unter Admission-Controller verwenden.
Webhook-Fehlerrichtlinie
Wenn ein Fehler die Kommunikation mit der Binärautorisierung verhindert, legt eine Webhook-spezifische Fehlerrichtlinie fest, ob der Container bereitgestellt werden darf. Das Konfigurieren der Fehlerrichtlinie, die die Bereitstellung des Container-Images zulässt, wird als fail-open bezeichnet. Das Konfigurieren der Fehlerrichtlinie, um die Bereitstellung des Container-Images zu verweigern, wird als Fail-Close bezeichnet.
Wenn Sie das Binärautorisierungsmodul für ein Fehlschlagen konfigurieren möchten, ändern Sie die Datei manifest.yaml und ändern Sie den failurePolicy von Ignore in Fail. Stellen Sie dann die Manifestdatei bereit.
Sie können die Fehlerrichtlinie im Binärautorisierungsmodul aktualisieren.
Nächste Schritte
- Informationen zum Einrichten der Binärautorisierung für lokale Cluster finden Sie unter Binärautorisierung für lokale Cluster einrichten.
- Weitere Informationen zu Google Distributed Cloud finden Sie in der Übersicht zu Google Distributed Cloud.
- Weitere Informationen zur Binärautorisierung finden Sie unter Überblick über die Binärautorisierung.