Présentation de l'autorisation binaire pour Anthos Clusters on VMware

Ce document décrit l'autorisation binaire pour Anthos Clusters on VMware. Pour commencer à installer et à utiliser le produit, consultez la page Configurer l'autorisation binaire pour Anthos Clusters on VMware.

L'autorisation binaire pour Anthos Clusters on VMware est un produit Google Cloud qui étend l'application hébergée sur le temps de déploiement de l'autorisation binaire à Anthos Clusters on VMware.

Architecture

L'autorisation binaire pour Anthos Clusters on VMware connecte les clusters d'utilisateurs sur site à l'outil d'application de l'autorisation binaire, s'exécutant sur Google Cloud. L'autorisation binaire pour Anthos Clusters on VMware fonctionne en relayant les requêtes d'exécution d'images de conteneurs d'Anthos Clusters on VMware à l'API d'application de l'autorisation binaire.

L'autorisation binaire pour Anthos Clusters on VMware montre la configuration d'un plan de contrôle d'utilisateur déployé.
Autorisation binaire pour Anthos Clusters on VMware avec un plan de contrôle d'utilisateur. (Cliquer sur l'image pour l'agrandir)

Sur site, l'autorisation binaire pour Anthos Clusters on VMware installe le module d'autorisation binaire, qui s'exécute en tant que webhook d'admission de validation Kubernetes dans votre cluster d'utilisateur.

Lorsque le serveur d'API Kubernetes du cluster d'utilisateur traite une requête pour exécuter un pod, il envoie une demande d'admission via le plan de contrôle d'utilisateur au module d'autorisation binaire.

Le module transmet ensuite la requête d'admission à l'API d'autorisation binaire hébergée.

Sur Google Cloud, l'API reçoit la requête et la transmet à l'outil d'application de l'autorisation binaire. L'outil d'application vérifie ensuite que la requête répond aux règles de l'autorisation binaire. Si c'est le cas, l'API d'autorisation binaire renvoie une réponse "autoriser". Sinon, l'API renvoie une réponse "rejeter".

Sur site, le module d'autorisation binaire reçoit la réponse. Si le module d'autorisation binaire et tous les autres webhooks d'admission autorisent la requête de déploiement, l'image de conteneur est autorisée à se déployer.

Pour en savoir plus sur la validation des webhooks d'admission, consultez la page Utiliser des contrôleurs d'admission.

Règle d'échec du webhook

Lorsqu'un échec empêche la communication avec l'autorisation binaire, une règle d'échec spécifique au webhook détermine si le conteneur est autorisé à effectuer le déploiement. La configuration de la stratégie d'échec pour permettre le déploiement de l'image de conteneur est appelée configuration ouverte. La configuration de la règle d'échec pour refuser le déploiement de l'image de conteneur est appelée fermeture après échec.

Pour configurer le module d'autorisation binaire pour la fermeture après échec, modifiez le fichier manifest.yaml et modifiez le failurePolicy de Ignore à Fail, puis déployez le fichier manifeste.

Vous pouvez mettre à jour la stratégie d'échec dans le module d'autorisation binaire.

Étape suivante