Ce document décrit l'autorisation binaire pour Anthos Clusters on VMware. Pour commencer à installer et à utiliser le produit, consultez la page Configurer l'autorisation binaire pour Anthos Clusters on VMware.
L'autorisation binaire pour Anthos Clusters on VMware est un produit Google Cloud qui étend l'application hébergée sur le temps de déploiement de l'autorisation binaire à Anthos Clusters on VMware.
Architecture
L'autorisation binaire pour Anthos Clusters on VMware connecte les clusters d'utilisateurs sur site à l'outil d'application de l'autorisation binaire, s'exécutant sur Google Cloud. L'autorisation binaire pour Anthos Clusters on VMware fonctionne en relayant les requêtes d'exécution d'images de conteneurs d'Anthos Clusters on VMware à l'API d'application de l'autorisation binaire.
Sur site, l'autorisation binaire pour Anthos Clusters on VMware installe le module d'autorisation binaire, qui s'exécute en tant que webhook d'admission de validation Kubernetes dans votre cluster d'utilisateur.
Lorsque le serveur d'API Kubernetes du cluster d'utilisateur traite une requête pour exécuter un pod, il envoie une requête d'admission au module d'autorisation binaire, via le plan de contrôle d'utilisateur.
Le module transmet ensuite la requête d'admission à l'API d'autorisation binaire hébergée.
Sur Google Cloud, l'API reçoit la requête et la transmet à l'outil d'application de l'autorisation binaire. L'outil d'application vérifie ensuite que la requête satisfait la stratégie d'autorisation binaire. Si c'est le cas, l'API d'autorisation binaire renvoie une réponse "allow" (autoriser). Sinon, l'API renvoie une réponse "reject" (rejeter).
Sur site, le module d'autorisation binaire reçoit la réponse. Si le module d'autorisation binaire et tous les autres webhooks d'admission autorisent la requête de déploiement, l'image de conteneur est autorisée à se déployer.
Pour en savoir plus sur la validation des webhooks d'admission, consultez la page Utiliser des contrôleurs d'admission.
Stratégie d'échec du webhook
Lorsqu'un échec empêche la communication avec l'autorisation binaire, une stratégie d'échec spécifique au webhook détermine si le conteneur est autorisé à effectuer le déploiement. La configuration de stratégie d'échec qui permet le déploiement de l'image de conteneur est appelée fail open. La configuration de stratégie d'échec qui refuse le déploiement de l'image de conteneur est appelée fail close.
Pour configurer le module d'autorisation binaire pour la fermeture après échec, modifiez le fichier manifest.yaml et modifiez le failurePolicy de Ignore à Fail, puis déployez le fichier manifeste.
Vous pouvez mettre à jour la stratégie d'échec dans le module d'autorisation binaire.
Étapes suivantes
- Pour en savoir plus sur la configuration de l'autorisation binaire pour Anthos Clusters on VMware, consultez la page Configurer l'autorisation binaire pour Anthos Clusters on VMware.
- Pour en savoir plus sur Anthos Clusters on VMware, consultez la présentation de Anthos Clusters on VMware.
- Pour en savoir plus sur l'autorisation binaire, consultez la page Présentation de l'autorisation binaire.