Binärautorisierung für GKE-Cluster

In diesem Dokument wird die Binärautorisierung für GKE-Cluster beschrieben. Informationen zur Installation und Verwendung des Produkts finden Sie unter Binärautorisierung für GKE-Cluster einrichten. Die Binärautorisierung unterstützt die folgenden Umgebungen:

GKE on Bare Metal 1.14 oder höher
GKE on VMware 1.4 oder höher.

Die Binärautorisierung für GKE-Cluster ist ein Google Cloud-Produkt, das die gehostete Erzwingung der Binärautorisierung auf GKE-Cluster erweitert.

Architektur

Die Binärautorisierung für GKE-Cluster verbindet Cluster mit dem in Google Cloud ausgeführten Binärautorisierungserzwinger. Bei der Binärautorisierung für GKE-Cluster werden Anfragen zum Ausführen von Container-Images von GKE-Clustern an die Binary Authorization Enforcement API weitergeleitet.

Binärautorisierung für GKE on VMware, die die bereitgestellte Konfiguration einer Nutzersteuerungsebene zeigt. — Binärautorisierung für GKE in einer VMware-Architektur mit einer Nutzersteuerungsebene. Zum Vergrößern klicken

Die Binärautorisierung für GKE-Cluster installiert das Binärautorisierungsmodul, das als validierendes Zulassungs-Webhook von Kubernetes in Ihrem Cluster ausgeführt wird.

Wenn der Kubernetes API-Server für den Cluster eine Anfrage zum Ausführen eines Pods verarbeitet, sendet er eine Zulassungsanfrage über die Steuerungsebene an das Binärautorisierungsmodul.

Das Modul leitet dann die Zulassungsanfrage an die gehostete API für die Binärautorisierung weiter.

In Google Cloud empfängt die API die Anfrage und leitet sie an den Binärautorisierungserzwinger weiter. Der Erzwinger prüft dann, ob die Anfrage die Binärautorisierungsrichtlinie erfüllt. Ist dies der Fall, gibt die Binärautorisierungs-API eine "allow"-Antwort zurück. Andernfalls gibt die API eine "reject"-Antwort zurück.

Das Binärautorisierungsmodul empfängt die Antwort lokal. Wenn das Binärautorisierungsmodul und alle anderen Zulassungs-Webhooks die Bereitstellungsanfrage zulassen, kann das Container-Image bereitgestellt werden.

Weitere Informationen zum Überprüfen von Zulassungs-Webhooks finden Sie unter Admission-Controller verwenden.

Webhook-Fehlerrichtlinie

Wenn ein Fehler die Kommunikation mit der Binärautorisierung verhindert, legt eine Webhook-spezifische Fehlerrichtlinie fest, ob der Container bereitgestellt werden darf. Das Konfigurieren der Fehlerrichtlinie, die die Bereitstellung des Container-Images zulässt, wird als fail-open bezeichnet. Das Konfigurieren der Fehlerrichtlinie, um die Bereitstellung des Container-Images zu verweigern, wird als Fail-Close bezeichnet.

Wenn Sie das Binärautorisierungsmodul für ein Fehlschlagen konfigurieren möchten, ändern Sie die Datei manifest.yaml und ändern Sie den failurePolicy von Ignore in Fail. Stellen Sie dann die Manifestdatei bereit.

Sie können die Fehlerrichtlinie im Binärautorisierungsmodul aktualisieren.

Nächste Schritte

Informationen zum Einrichten der Binärautorisierung für GKE on VMware finden Sie unter Binärautorisierung für GKE on VMware einrichten.
Weitere Informationen zu GKE on VMware finden Sie unter GKE on VMware – Übersicht.
Weitere Informationen zur Binärautorisierung finden Sie unter Überblick über die Binärautorisierung.