Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Otorisasi Biner untuk cluster lokal

Dokumen ini menjelaskan Otorisasi Biner untuk cluster lokal yang dibuat sebagai bagian dari Google Distributed Cloud. Untuk mulai menginstal dan menggunakan produk, lihat Menyiapkan Otorisasi Biner untuk cluster on-premise. Otorisasi Biner mendukung lingkungan berikut:

Google Distributed Cloud (khusus software) di bare metal 1.14 atau yang lebih baru.
Google Distributed Cloud (khusus software) di VMware 1.4 atau yang lebih baru.

Otorisasi Biner untuk cluster lokal adalah produk Google Cloud yang memperluas penerapan waktu deployment Otorisasi Biner yang dihosting ke Google Distributed Cloud.

Arsitektur

Otorisasi Biner untuk cluster lokal menghubungkan cluster ke penegak Otorisasi Biner, yang berjalan di Google Cloud. Fungsi ini berfungsi dengan meneruskan permintaan untuk menjalankan image container dari cluster on-premise ke API penerapan Otorisasi Biner.

Otorisasi Biner untuk Distributed Cloud yang menampilkan konfigurasi satu bidang kontrol pengguna yang di-deploy. — Otorisasi Biner untuk arsitektur Distributed Cloud dengan satu platform kontrol pengguna. (Klik untuk memperbesar)

Otorisasi Biner menginstal Modul Otorisasi Biner, yang berjalan sebagai webhook validasi izin Kubernetes di cluster Anda.

Saat server Kubernetes API untuk cluster memproses permintaan untuk menjalankan Pod, server akan mengirimkan permintaan penerimaan, melalui bidang kontrol, ke Modul Otorisasi Biner.

Modul kemudian meneruskan permintaan izin ke Binary Authorization API yang dihosting.

Di Google Cloud, API menerima permintaan dan meneruskannya ke penegak Otorisasi Biner. Kemudian, penegak memeriksa apakah permintaan tersebut memenuhi kebijakan Otorisasi Biner. Jika demikian, Binary Authorization API akan menampilkan respons "izinkan". Jika tidak, API akan menampilkan respons "tolak".

Di lokal, Modul Otorisasi Biner menerima respons. Jika Modul Otorisasi Biner dan semua webhook akses lainnya mengizinkan permintaan deployment, image penampung akan diizinkan untuk di-deploy.

Untuk informasi selengkapnya tentang memvalidasi webhook akses, lihat Menggunakan Pengontrol Akses.

Kebijakan kegagalan webhook

Jika kegagalan mencegah komunikasi dengan Binary Authorization, kebijakan kegagalan khusus webhook akan menentukan apakah penampung diizinkan untuk di-deploy. Mengonfigurasi kebijakan kegagalan untuk mengizinkan deployment image penampung disebut fail open. Mengonfigurasi kebijakan kegagalan untuk menolak deployment image container dikenal sebagai fail close.

Untuk mengonfigurasi Modul Otorisasi Biner untuk penutupan karena kegagalan, ubah file manifest.yaml dan ubah failurePolicy dari Ignore menjadi Fail, lalu deploy file manifes.

Anda dapat memperbarui kebijakan kegagalan di Modul Otorisasi Biner.

Langkah selanjutnya

Untuk mempelajari cara menyiapkan Otorisasi Biner untuk cluster on-premise, lihat Menyiapkan Otorisasi Biner untuk cluster on-premise.
Untuk mempelajari Google Distributed Cloud lebih lanjut, lihat ringkasan Google Distributed Cloud.
Untuk mempelajari Otorisasi Biner lebih lanjut, lihat Ringkasan Otorisasi Biner.