En este documento, se describe Autorización Binaria para los clústeres de GKE. Si deseas comenzar a instalar y usar el producto, consulta Configura Autorización Binaria para clústeres de GKE. Autorización Binaria es compatible con los siguientes entornos:
- GKE en Bare Metal 1.14 o posterior.
- GKE en VMware 1.4 o posterior.
Autorización Binaria para clústeres de GKE es un producto de Google Cloud que extiende la aplicación alojada en el tiempo de implementación de la autorización binaria a los clústeres de GKE.
Arquitectura
Autorización Binaria para clústeres de GKE conecta los clústeres al ejecutor de Autorización Binaria, que se ejecuta en Google Cloud. Autorización Binaria para clústeres de GKE funciona mediante la retransmisión de solicitudes para ejecutar imágenes de contenedor de clústeres de GKE a la API de aplicación de autorización binaria.
La autorización binaria para clústeres de GKE instala el módulo de autorización binaria, que se ejecuta como un webhook de admisión de Kubernetes en tu clúster.
Cuando el servidor de la API de Kubernetes para el clúster de usuario procesa una solicitud de ejecutar un Pod, envía una solicitud de admisión, a través del plano de control del usuario, al Módulo de Autorización Binaria.
Luego, el módulo reenvía la solicitud de admisión a la API de autorización binaria alojada.
En Google Cloud, la API recibe la solicitud y la reenvía al aplicador de la autorización binaria. Luego, el aplicador verifica que la solicitud cumpla con la política de autorización binaria. Si es así, la API de autorización binaria muestra una respuesta "allow". De lo contrario, la API muestra una respuesta “reject”.
En las instalaciones locales, el módulo de autorización binaria recibe la respuesta. Si el módulo de autorización binaria y todos los demás webhooks de admisión permiten la solicitud de implementación, se permite la implementación de la imagen de contenedor.
Si deseas obtener más información sobre la validación de webhooks de admisión, consulta Usa controladores de admisión.
Política de fallas de webhook
Cuando una falla impide la comunicación con la autorización binaria, una política de fallas específica del webhook determina si el contenedor tiene permitido implementarse. La configuración de la política de fallas para permitir la implementación de la imagen de contenedor se conoce como fail open. La configuración de la política de fallas para denegar la implementación de la imagen de contenedor se conoce como fail close.
Si deseas configurar el módulo de autorización binaria como fail close, modifica el archivo manifest.yaml
y cambia failurePolicy
de Ignore
a Fail
, luego implementa el archivo de manifiesto.
Puedes actualizar la política de fallas en el módulo de autorización binaria.
¿Qué sigue?
- Si deseas obtener información sobre cómo configurar Autorización Binaria para GKE en VMware, consulta Configura la autorización binaria para GKE en VMware.
- Para obtener más información sobre GKE en VMware, consulta la descripción general de GKE en VMware.
- Para obtener más información sobre la autorización binaria, consulta Descripción general de la autorización binaria.