Questo documento descrive l'autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Per iniziare a installare e utilizzare il prodotto, vedi Configura Autorizzazione binaria per i cluster on-premise. L'autorizzazione binaria supporta i seguenti ambienti:
- Google Distributed Cloud (solo software) on bare metal 1.14 o versioni successive.
- Google Distributed Cloud (solo software) su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster on-premise è un prodotto Google Cloud che estende l'applicazione ospitata in fase di deployment di Autorizzazione binaria a Google Distributed Cloud.
Architettura
Autorizzazione binaria per i cluster on-premise connette i cluster all'applicazione di Autorizzazione binaria, in esecuzione su Google Cloud. Funziona inoltrando le richieste di esecuzione di immagini container dai cluster on-premise all'API di applicazione dell'Autorizzazione binaria.
Autorizzazione binaria installa Modulo di Autorizzazione binaria, che viene eseguito come un cluster Kubernetes convalida del webhook di ammissione nel tuo cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione un pod, invia una richiesta di ammissione, tramite il piano di controllo, Modulo di Autorizzazione binaria.
Il modulo quindi inoltra la richiesta di ammissione all'Autorizzazione binaria ospitata tramite Google Cloud CLI o tramite l'API Compute Engine.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'applicadore dell'autorizzazione di codice. L'applicazione dei criteri verifica quindi che la richiesta sia conforme al criterio di Autorizzazione binaria. In questo caso, l'API Binary Authorization restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject".
On-premise, il Modulo di autorizzazione binaria riceve la risposta. Se il Modulo di Autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è consentito il deployment dell'immagine container.
Per saperne di più sulla convalida dei webhook di ammissione, consulta Utilizzo di Controller di ammissione.
Criterio di errore del webhook
Quando un errore impedisce la comunicazione con l'Autorizzazione binaria, un criterio di errore specifico per webhook determina se è consentito il deployment del contenitore. Configurazione del criterio di errore per consentire l'immagine container di cui eseguire il deployment è noto come fail open. La configurazione del criterio di errore per impedire il deployment dell'immagine del container è nota come chiusura per errore.
Per configurare il modulo di Autorizzazione binaria per la chiusura non riuscita, modifica il
manifest.yaml
e cambia il valore failurePolicy
da
Ignore
a Fail
, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel Modulo di autorizzazione binaria.
Passaggi successivi
- Per scoprire come configurare Autorizzazione binaria per i cluster on-premise, consulta Configurare Autorizzazione binaria per i cluster on-premise.
- Per saperne di più su Google Distributed Cloud, consulta Panoramica di Google Distributed Cloud.
- Per scoprire di più su Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.