Descripción general de la Autorización Binaria para clústeres locales

En este documento, se describe la Autorización Binaria para clústeres locales que se crean como parte de Google Distributed Cloud. Para comenzar a instalar y usar el producto, consulta Configura la Autorización Binaria para clústeres locales. La Autorización Binaria es compatible con los siguientes entornos:

La Autorización Binaria para clústeres locales es un producto de Google Cloud que extiende la aplicación durante el tiempo de implementación alojada de la Autorización Binaria a Google Distributed Cloud.

Arquitectura

La Autorización Binaria para clústeres locales conecta clústeres al ejecutor de la Autorización Binaria, que se ejecuta en Google Cloud. Funciona retransmitiendo las solicitudes para ejecutar imágenes de contenedor desde clústeres locales a la API de aplicación de la Autorización Binaria.

Autorización binaria para Distributed Cloud que muestra la configuración de un plano de control de usuario implementado.
Autorización Binaria para la arquitectura de Distributed Cloud con un plano de control de usuario. (haz clic para agrandar)

La Autorización Binaria instala el módulo correspondiente, que se ejecuta como un webhook de admisión de Kubernetes en el clúster.

Cuando el servidor de la API de Kubernetes para el clúster de usuario procesa una solicitud de ejecutar un Pod, envía una solicitud de admisión, a través del plano de control del usuario, al Módulo de Autorización Binaria.

Luego, el módulo reenvía la solicitud de admisión a la API de autorización binaria alojada.

En Google Cloud, la API recibe la solicitud y la reenvía al aplicador de la autorización binaria. Luego, el aplicador verifica que la solicitud cumpla con la política de autorización binaria. Si es así, la API de autorización binaria muestra una respuesta "allow". De lo contrario, la API muestra una respuesta “reject”.

En las instalaciones locales, el módulo de autorización binaria recibe la respuesta. Si el módulo de autorización binaria y todos los demás webhooks de admisión permiten la solicitud de implementación, se permite la implementación de la imagen de contenedor.

Si deseas obtener más información sobre la validación de webhooks de admisión, consulta Usa controladores de admisión.

Política de fallas de webhook

Cuando una falla impide la comunicación con la autorización binaria, una política de fallas específica del webhook determina si el contenedor tiene permitido implementarse. La configuración de la política de fallas para permitir la implementación de la imagen de contenedor se conoce como fail open. La configuración de la política de fallas para denegar la implementación de la imagen de contenedor se conoce como fail close.

Si deseas configurar el módulo de autorización binaria como fail close, modifica el archivo manifest.yaml y cambia failurePolicy de Ignore a Fail, luego implementa el archivo de manifiesto.

Puedes actualizar la política de fallas en el módulo de autorización binaria.

¿Qué sigue?