Diese Seite wurde von der Cloud Translation API übersetzt.

Binärautorisierung für Anthos-Cluster

In diesem Dokument wird die Binärautorisierung für Anthos-Cluster beschrieben. Eine erste Installation und Verwendung des Produkts finden Sie unter Binärautorisierung für Anthos-Cluster einrichten. Die Binärautorisierung unterstützt die folgenden Umgebungen:

Anthos-Cluster auf Bare Metal 1.14 oder höher.
Anthos-Cluster auf VMware 1.4 oder höher.

Die Binärautorisierung für Anthos-Cluster ist ein Google Cloud-Produkt, das die vom Anbieter bereitgestellte Binärautorisierung zum Erzwingen der Bereitstellungszeit auf Anthos-Cluster erweitert.

Architektur

Die Binärautorisierung für Anthos-Cluster verbindet Cluster mit der in Google Cloud ausgeführten Binärautorisierungserzwingung. Bei der Binärautorisierung für Anthos-Cluster werden Anfragen zum Ausführen von Container-Images von Anthos-Clustern an die Binary Authorization Force weitergeleitet.

Binärautorisierung für Anthos-Cluster in VMware, die die bereitgestellte Konfiguration einer Nutzersteuerungsebene zeigt. — Binärautorisierung für Anthos-Cluster in einer VMware-Architektur mit einer Nutzersteuerungsebene. Zum Vergrößern klicken

Die Binärautorisierung für Anthos-Cluster installiert das Binärautorisierungsmodul, das als Kubernetes-gültiger Zugangs-Webhook in Ihrem Cluster ausgeführt wird.

Wenn der Kubernetes API-Server für den Cluster eine Anfrage zum Ausführen eines Pods verarbeitet, sendet er über die Steuerungsebene eine Zugriffsanfrage an das Binärautorisierungsmodul.

Das Modul leitet dann die Zulassungsanfrage an die gehostete API für die Binärautorisierung weiter.

In Google Cloud empfängt die API die Anfrage und leitet sie an den Binärautorisierungserzwinger weiter. Der Erzwinger prüft dann, ob die Anfrage die Binärautorisierungsrichtlinie erfüllt. Ist dies der Fall, gibt die Binärautorisierungs-API eine "allow"-Antwort zurück. Andernfalls gibt die API eine "reject"-Antwort zurück.

Das Binärautorisierungsmodul empfängt die Antwort lokal. Wenn das Binärautorisierungsmodul und alle anderen Zulassungs-Webhooks die Bereitstellungsanfrage zulassen, kann das Container-Image bereitgestellt werden.

Weitere Informationen zum Überprüfen von Zulassungs-Webhooks finden Sie unter Admission-Controller verwenden.

Webhook-Fehlerrichtlinie

Wenn ein Fehler die Kommunikation mit der Binärautorisierung verhindert, legt eine Webhook-spezifische Fehlerrichtlinie fest, ob der Container bereitgestellt werden darf. Das Konfigurieren der Fehlerrichtlinie, die die Bereitstellung des Container-Images zulässt, wird als fail-open bezeichnet. Das Konfigurieren der Fehlerrichtlinie, um die Bereitstellung des Container-Images zu verweigern, wird als Fail-Close bezeichnet.

Wenn Sie das Binärautorisierungsmodul für ein Fehlschlagen konfigurieren möchten, ändern Sie die Datei manifest.yaml und ändern Sie den failurePolicy von Ignore in Fail. Stellen Sie dann die Manifestdatei bereit.

Sie können die Fehlerrichtlinie im Binärautorisierungsmodul aktualisieren.

Nächste Schritte

Informationen zum Einrichten der Binärautorisierung für Anthos-Cluster in VMware finden Sie unter Binärautorisierung für Anthos-Cluster in VMware einrichten.
Weitere Informationen zu Anthos clusters on VMware finden Sie unter Anthos clusters on VMware.
Weitere Informationen zur Binärautorisierung finden Sie unter Überblick über die Binärautorisierung.