Panoramica di Autorizzazione binaria per i cluster on-premise

Questo documento descrive l'autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Per iniziare a installare e utilizzare il prodotto, vedi Configura Autorizzazione binaria per i cluster on-premise. L'autorizzazione binaria supporta i seguenti ambienti:

Autorizzazione binaria per i cluster on-premise è un prodotto Google Cloud che estende l'applicazione ospitata in fase di deployment di Autorizzazione binaria a Google Distributed Cloud.

Architettura

Autorizzazione binaria per i cluster on-premise connette i cluster all'applicazione di Autorizzazione binaria, in esecuzione su Google Cloud. Funziona inoltrando le richieste di esecuzione di immagini container dai cluster on-premise all'API di applicazione dell'Autorizzazione binaria.

Autorizzazione binaria per Distributed Cloud visualizzato
              della configurazione con un piano di controllo utente
di cui è stato eseguito il deployment.
Autorizzazione binaria per l'architettura Distributed Cloud con un piano di controllo utente. (Fai clic per ingrandire)

Autorizzazione binaria installa Modulo di Autorizzazione binaria, che viene eseguito come un cluster Kubernetes convalida del webhook di ammissione nel tuo cluster.

Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione un pod, invia una richiesta di ammissione, tramite il piano di controllo, Modulo di Autorizzazione binaria.

Il modulo quindi inoltra la richiesta di ammissione all'Autorizzazione binaria ospitata tramite Google Cloud CLI o tramite l'API Compute Engine.

Su Google Cloud, l'API riceve la richiesta e la inoltra all'applicadore dell'autorizzazione di codice. L'applicazione dei criteri verifica quindi che la richiesta sia conforme al criterio di Autorizzazione binaria. In questo caso, l'API Binary Authorization restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject".

On-premise, il Modulo di autorizzazione binaria riceve la risposta. Se il Modulo di Autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è consentito il deployment dell'immagine container.

Per saperne di più sulla convalida dei webhook di ammissione, consulta Utilizzo di Controller di ammissione.

Criterio di errore del webhook

Quando un errore impedisce la comunicazione con l'Autorizzazione binaria, un criterio di errore specifico per webhook determina se è consentito il deployment del contenitore. Configurazione del criterio di errore per consentire l'immagine container di cui eseguire il deployment è noto come fail open. La configurazione del criterio di errore per impedire il deployment dell'immagine del container è nota come chiusura per errore.

Per configurare il modulo di Autorizzazione binaria per la chiusura non riuscita, modifica il manifest.yaml e cambia il valore failurePolicy da Ignore a Fail, quindi esegui il deployment del file manifest.

Puoi aggiornare il criterio di errore nel Modulo di autorizzazione binaria.

Passaggi successivi