Neste documento, descrevemos a autorização binária para clusters locais. que são criados como parte do Google Distributed Cloud. Para começar a instalar e usar o produto, consulte Configurar autorização binária para clusters locais. A autorização binária é compatível com os seguintes ambientes:
- Google Distributed Cloud (somente software) em bare metal 1.14 ou posterior.
- Google Distributed Cloud (somente software) no VMware 1.4 ou posterior.
A autorização binária para clusters locais é um produto do Google Cloud que estende a aplicação da autorização binária hospedada e no momento da implantação para o Google Distributed Cloud.
Arquitetura
A autorização binária para clusters locais conecta clusters ao aplicador de autorização binária, em execução no Google Cloud. Ele funciona retransmitindo solicitações para executar imagens de contêiner de clusters locais para a API de aplicação de autorização binária.
A autorização binária instala o módulo de autorização binária, que é executado como um webhook de admissão do Kubernetes no seu cluster.
Quando o servidor da API Kubernetes do cluster de usuário processa uma solicitação para executar um pod, ele envia uma solicitação de admissão via plano de controle ao módulo de autorização binária.
Na sequência, o módulo encaminha a solicitação de admissão à API Binary Authorization hospedada.
No Google Cloud, a API recebe a solicitação e a encaminha para o aplicador de autorização binária. Em seguida, o implementador verifica se a solicitação atende à política de autorização binária. Se atender, a API Binary Authorization retornará uma resposta "permitir". Caso contrário, a API retornará uma resposta "rejeitar".
No local, o módulo de autorização binária recebe a resposta. Se o módulo de autorização binária e todos os outros webhooks de admissão permitirem a solicitação de implantação, a imagem do contêiner poderá ser implantada.
Para mais informações sobre como validar webhooks de admissão, consulte Como usar controladores de admissão.
Política de falha do webhook
Quando uma falha impede a comunicação com a autorização binária, uma política de falha específica do webhook determina se o contêiner tem permissão para implantar. A configuração da política de falhas para permitir que a imagem do contêiner seja implantada é conhecida como falha ao abrir. A configuração da política de falhas para negar a implantação da imagem do contêiner é conhecida como falha ao fechar.
Para configurar o módulo de autorização binária para falhar ao fechar, modifique o
arquivo manifest.yaml
e altere a failurePolicy
de
Ignore
para Fail
e depois implante o arquivo de manifesto.
É possível atualizar a política de falha no módulo de autorização binária.
A seguir
- Para saber como configurar a autorização binária para clusters locais, consulte Configurar autorização binária para clusters locais.
- Para saber mais sobre o Google Distributed Cloud, consulte a visão geral do Google Distributed Cloud.
- Para saber mais sobre a autorização binária, consulte a Visão geral da autorização binária.