Questo documento descrive Autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Per iniziare a installare e utilizzare il prodotto, vedi Configura Autorizzazione binaria per i cluster on-premise. Autorizzazione binaria supporta i seguenti ambienti:
- Google Distributed Cloud (solo software) on bare metal 1.14 o versioni successive.
- Google Distributed Cloud (solo software) su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster on-premise è un prodotto di Google Cloud che estende l'applicazione forzata in fase di deployment di Autorizzazione binaria ad Google Distributed Cloud.
Architettura
Autorizzazione binaria per i cluster on-premise connette i cluster all'applicazione forzata di Autorizzazione binaria, in esecuzione su Google Cloud. Funziona tramite l'inoltro per l'esecuzione di immagini container da cluster on-premise API per l'applicazione di Autorizzazione binaria.
Autorizzazione binaria installa Modulo di Autorizzazione binaria, che viene eseguito come un cluster Kubernetes convalida del webhook di ammissione nel tuo cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione un pod, invia una richiesta di ammissione, tramite il piano di controllo, Modulo di Autorizzazione binaria.
Il modulo quindi inoltra la richiesta di ammissione all'Autorizzazione binaria ospitata API.
Su Google Cloud, l'API riceve la richiesta e la inoltra al Applicazione di Autorizzazione binaria. Il responsabile dell'applicazione verifica quindi che la richiesta Soddisfi il criterio di Autorizzazione binaria. In tal caso, l'API Binary Authorization restituisce "allow" risposta. In caso contrario, l'API restituisce un "rifiuto" risposta.
Il modulo di Autorizzazione binaria riceve la risposta on-premise. Se il Modulo di Autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è consentito il deployment dell'immagine container.
Per saperne di più sulla convalida dei webhook di ammissione, consulta Utilizzo di Controller di ammissione.
Criterio di errore del webhook
Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico per webhook determina se il container autorizzati per il deployment. Configurazione del criterio di errore per consentire l'immagine container di cui eseguire il deployment è noto come fail open. La configurazione del criterio di errore per negare il traffico dell'immagine container dal deployment è nota come fail chiusura.
Per configurare il modulo di Autorizzazione binaria per la chiusura non riuscita, modifica il
manifest.yaml e cambia il valore failurePolicy da
Ignore a Fail, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel modulo Autorizzazione binaria.
Passaggi successivi
- Per scoprire come configurare Autorizzazione binaria per i cluster on-premise, consulta Configura Autorizzazione binaria per i cluster on-premise.
- Per saperne di più su Google Distributed Cloud, consulta Panoramica di Google Distributed Cloud.
- Per saperne di più su Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.