Binärautorisierung für Anthos-Cluster auf VMware

In diesem Dokument wird die Binärautorisierung für Anthos-Cluster auf VMware beschrieben. Informationen zur Installation und Verwendung des Produkts finden Sie unter Binärautorisierung für Anthos-Cluster auf VMware einrichten.

Die Binärautorisierung für Anthos-Cluster auf VMware ist ein Google Cloud-Produkt, das die gehostete Erzwingung der Binärautorisierung auf Anthos-Cluster auf VMware erweitert.

Architektur

Die Binärautorisierung für Anthos-Cluster in VMware verbindet lokale Nutzercluster mit dem Binärautorisierungserzwinger, der in Google Cloud ausgeführt wird. Die Binärautorisierung für Anthos-Cluster in VMware funktioniert, indem Anfragen zum Ausführen von Container-Images von Anthos-Clustern in VMware-Clustern an die Binärautorisierungserzwingungs-API weitergeleitet werden.

Binärautorisierung für Anthos-Cluster in VMware, die die bereitgestellte Konfiguration einer Nutzersteuerungsebene zeigt.
Binärautorisierung für Anthos-Cluster in einer VMware-Architektur mit einer Nutzersteuerungsebene. Zum Vergrößern klicken

Die Binärautorisierung für Anthos-Cluster in VMware installiert das Binärautorisierungsmodul, das als Kubernetes-Validierungs-Webhook in Ihrem Nutzercluster ausgeführt wird.

Wenn der Kubernetes API-Server für den Nutzercluster eine Anfrage zum Ausführen eines Pods verarbeitet, sendet er eine Zulassungsanfrage über die Nutzersteuerungsebene an das Binärautorisierungsmodul.

Das Modul leitet dann die Zulassungsanfrage an die gehostete API für die Binärautorisierung weiter.

In Google Cloud empfängt die API die Anfrage und leitet sie an den Binärautorisierungserzwinger weiter. Der Erzwinger prüft dann, ob die Anfrage die Binärautorisierungsrichtlinie erfüllt. Ist dies der Fall, gibt die Binärautorisierungs-API eine "allow"-Antwort zurück. Andernfalls gibt die API eine "reject"-Antwort zurück.

Das Binärautorisierungsmodul empfängt die Antwort lokal. Wenn das Binärautorisierungsmodul und alle anderen Zulassungs-Webhooks die Bereitstellungsanfrage zulassen, kann das Container-Image bereitgestellt werden.

Weitere Informationen zum Überprüfen von Zulassungs-Webhooks finden Sie unter Admission-Controller verwenden.

Webhook-Fehlerrichtlinie

Wenn ein Fehler die Kommunikation mit der Binärautorisierung verhindert, legt eine Webhook-spezifische Fehlerrichtlinie fest, ob der Container bereitgestellt werden darf. Das Konfigurieren der Fehlerrichtlinie, die die Bereitstellung des Container-Images zulässt, wird als fail-open bezeichnet. Das Konfigurieren der Fehlerrichtlinie, um die Bereitstellung des Container-Images zu verweigern, wird als Fail-Close bezeichnet.

Wenn Sie das Binärautorisierungsmodul für ein Fehlschlagen konfigurieren möchten, ändern Sie die Datei manifest.yaml und ändern Sie den failurePolicy von Ignore in Fail. Stellen Sie dann die Manifestdatei bereit.

Sie können die Fehlerrichtlinie im Binärautorisierungsmodul aktualisieren.

Nächste Schritte