Ce document décrit l'autorisation binaire pour les clusters GKE. Pour commencer à installer et à utiliser le produit, consultez la page Configurer l'autorisation binaire pour les clusters GKE. L'autorisation binaire est compatible avec les environnements suivants:
- GKE sur solution Bare Metal 1.14 ou version ultérieure.
- GKE sur VMware 1.4 ou version ultérieure.
L'autorisation binaire pour les clusters GKE est un produit Google Cloud qui étend l'application hébergée sur le temps de déploiement de l'autorisation binaire aux clusters GKE.
Architecture
L'autorisation binaire pour les clusters GKE connecte les clusters à l'outil d'application de l'autorisation binaire, s'exécutant sur Google Cloud. L'autorisation binaire pour les clusters GKE fonctionne en relayant les requêtes d'exécution d'images de conteneurs des clusters de clusters GKE à l'API d'application de l'autorisation binaire.
L'autorisation binaire pour les clusters GKE installe le module d'autorisation binaire, qui s'exécute en tant que webhook d'admission de validation Kubernetes dans votre cluster.
Lorsque le serveur d'API Kubernetes du cluster traite une requête pour exécuter un pod, il envoie une requête d'admission au module d'autorisation binaire, via le plan de contrôle.
Le module transmet ensuite la requête d'admission à l'API d'autorisation binaire hébergée.
Sur Google Cloud, l'API reçoit la requête et la transmet à l'outil d'application de l'autorisation binaire. L'outil d'application vérifie ensuite que la requête satisfait la stratégie d'autorisation binaire. Si c'est le cas, l'API d'autorisation binaire renvoie une réponse "allow" (autoriser). Sinon, l'API renvoie une réponse "reject" (rejeter).
Sur site, le module d'autorisation binaire reçoit la réponse. Si le module d'autorisation binaire et tous les autres webhooks d'admission autorisent la requête de déploiement, l'image de conteneur est autorisée à se déployer.
Pour en savoir plus sur la validation des webhooks d'admission, consultez la page Utiliser des contrôleurs d'admission.
Stratégie d'échec du webhook
Lorsqu'un échec empêche la communication avec l'autorisation binaire, une stratégie d'échec spécifique au webhook détermine si le conteneur est autorisé à effectuer le déploiement. La configuration de stratégie d'échec qui permet le déploiement de l'image de conteneur est appelée fail open. La configuration de stratégie d'échec qui refuse le déploiement de l'image de conteneur est appelée fail close.
Pour configurer le module d'autorisation binaire pour la fermeture après échec, modifiez le fichier manifest.yaml et modifiez le failurePolicy de Ignore à Fail, puis déployez le fichier manifeste.
Vous pouvez mettre à jour la stratégie d'échec dans le module d'autorisation binaire.
Étapes suivantes
- Pour en savoir plus sur la configuration de l'autorisation binaire pour GKE sur VMware, consultez la page Configurer l'autorisation binaire pour GKE sur VMware.
- Pour en savoir plus sur GKE sur VMware, consultez la présentation de GKE sur VMware.
- Pour en savoir plus sur l'autorisation binaire, consultez la page Présentation de l'autorisation binaire.