Descripción general de la autorización binaria para clústeres de Anthos alojados en VMware

En este documento, se describe la autorización binaria para los clústeres de Anthos alojados en VMware. A fin de comenzar a instalar y usar el producto, consulta Configura la autorización binaria para clústeres de Anthos alojados en VMware.

La autorización binaria para clústeres de Anthos en VMware es un producto de Google Cloud que extiende la aplicación alojada en el tiempo de implementación alojada en la autorización binaria a los clústeres de Anthos alojados en VMware.

Arquitectura

La autorización binaria para clústeres de Anthos en VMware conecta los clústeres de usuario locales con el ejecutor de la autorización binaria, que se ejecuta en Google Cloud. La autorización binaria para clústeres de Anthos en VMware funciona mediante la retransmisión de solicitudes para ejecutar imágenes de contenedores de los clústeres de Anthos alojados en los clústeres de VMware a la API de aplicación de la autorización binaria.

Autorización binaria para clústeres de Anthos alojados en VMware que muestra la configuración de un plano de control de usuario implementado.
Arquitectura binaria de autorización para clústeres de Anthos alojados en VMware con un plano de control de usuario. (haz clic para agrandar)

En los clústeres locales, la autorización binaria de Anthos alojados en VMware instala el módulo de autorización binaria, que se ejecuta como un webhook de admisión de Kubernetes en tu clúster de usuario.

Cuando el servidor de la API de Kubernetes para el clúster de usuario procesa una solicitud a fin de ejecutar un Pod, envía una solicitud de admisión, a través del plano de control del usuario, al Módulo de autorización binaria.

Luego, el módulo reenvía la solicitud de admisión a la API de autorización binaria alojada.

En Google Cloud, la API recibe la solicitud y la reenvía al ejecutor de la autorización binaria. Luego, el ejecutor verifica que la solicitud cumpla con la política de autorización binaria. Si es así, la API de autorización binaria muestra una respuesta "permitir". De lo contrario, la API muestra una respuesta “rechazar”.

En las instalaciones, el módulo de autorización binaria recibe la respuesta. Si el módulo de autorización binaria y todos los demás webhooks de admisión permiten la solicitud de implementación, se permite la implementación de la imagen de contenedor.

Si deseas obtener más información sobre la validación de webhooks de admisión, consulta Usa controladores de admisión.

Política de fallas de webhook

Cuando una falla impide la comunicación con la autorización binaria, una política de fallas específica del webhook determina si el contenedor puede implementar. La configuración de la política de fallas para permitir la implementación de la imagen de contenedor se conoce como fail open. La configuración de la política de fallas para denegar la implementación de la imagen de contenedor se conoce como fail close.

Si deseas configurar el módulo de autorización binaria como fail close, modifica el archivo manifest.yaml y cambia failurePolicy de Ignore a Fail, luego implementa el archivo de manifiesto.

Puedes actualizar la política de fallas en el módulo de autorización binaria.

¿Qué sigue?