Binärautorisierung für lokale Cluster im Überblick

In diesem Dokument wird die Binärautorisierung für lokale Cluster beschrieben, die im Rahmen von Google Distributed Cloud erstellt wurden. Informationen zur Installation und Verwendung des Produkts finden Sie unter Binärautorisierung für lokale Cluster einrichten. Die Binärautorisierung unterstützt die folgenden Umgebungen:

Die Binärautorisierung für lokale Cluster ist ein Google Cloud-Produkt, das die gehostete Erzwingung der Binärautorisierung auf Google Distributed Cloud erweitert.

Architektur

Die Binärautorisierung für lokale Cluster verbindet Cluster mit dem Binärautorisierungserzwinger, der in Google Cloud ausgeführt wird. Dabei werden Anfragen zum Ausführen von Container-Images von lokalen Clustern an die Binary Authorization Enforcement API weitergeleitet.

Binärautorisierung für Distributed Cloud, die die bereitgestellte Konfiguration einer Nutzersteuerungsebene zeigt.
Binärautorisierung für die Distributed Cloud-Architektur mit einer Nutzersteuerungsebene. Zum Vergrößern klicken

Die Binärautorisierung installiert das Binärautorisierungsmodul, das als validierendes Zulassungs-Webhook von Kubernetes in Ihrem Cluster ausgeführt wird.

Wenn der Kubernetes API-Server für den Cluster eine Anfrage zum Ausführen eines Pods verarbeitet, sendet er eine Zulassungsanfrage über die Steuerungsebene an das Binärautorisierungsmodul.

Das Modul leitet dann die Zulassungsanfrage an die gehostete API für die Binärautorisierung weiter.

In Google Cloud empfängt die API die Anfrage und leitet sie an den Binärautorisierungserzwinger weiter. Der Erzwinger prüft dann, ob die Anfrage die Binärautorisierungsrichtlinie erfüllt. Ist dies der Fall, gibt die Binärautorisierungs-API eine "allow"-Antwort zurück. Andernfalls gibt die API eine "reject"-Antwort zurück.

Das Binärautorisierungsmodul empfängt die Antwort lokal. Wenn das Binärautorisierungsmodul und alle anderen Zulassungs-Webhooks die Bereitstellungsanfrage zulassen, kann das Container-Image bereitgestellt werden.

Weitere Informationen zum Überprüfen von Zulassungs-Webhooks finden Sie unter Admission-Controller verwenden.

Webhook-Fehlerrichtlinie

Wenn ein Fehler die Kommunikation mit der Binärautorisierung verhindert, legt eine Webhook-spezifische Fehlerrichtlinie fest, ob der Container bereitgestellt werden darf. Das Konfigurieren der Fehlerrichtlinie, die die Bereitstellung des Container-Images zulässt, wird als fail-open bezeichnet. Das Konfigurieren der Fehlerrichtlinie, um die Bereitstellung des Container-Images zu verweigern, wird als Fail-Close bezeichnet.

Wenn Sie das Binärautorisierungsmodul für ein Fehlschlagen konfigurieren möchten, ändern Sie die Datei manifest.yaml und ändern Sie den failurePolicy von Ignore in Fail. Stellen Sie dann die Manifestdatei bereit.

Sie können die Fehlerrichtlinie im Binärautorisierungsmodul aktualisieren.

Nächste Schritte