Questo documento descrive Autorizzazione binaria per Cluster Anthos su VMware. Per iniziare a installare e utilizzare il prodotto, consulta Configurare Autorizzazione binaria per Cluster Anthos su VMware.
Autorizzazione binaria per Cluster Anthos su VMware è un prodotto Google Cloud che estende l'applicazione forzata dell'autorizzazione di deployment Binary in fase di deployment ai cluster Anthos su VMware.
Architettura
Autorizzazione binaria per Cluster Anthos su VMware connette i cluster utente on-premise all'applicazione di Autorizzazione binaria, in esecuzione su Google Cloud. Autorizzazione binaria per Cluster Anthos su VMware funziona mediante l'inoltro di richieste di esecuzione di immagini container da cluster Anthos su cluster VMware all'API Autorizzazione binaria.
On-premise, Autorizzazione binaria per i cluster Anthos su VMware installa il modulo di autorizzazione binaria, che viene eseguito come Kubernetes convalida del webhook di ammissione nel tuo cluster utente.
Quando il server API Kubernetes per il cluster utente elabora una richiesta per eseguire un pod, invia una richiesta di ammissione, tramite il piano di controllo dell'utente, al modulo Autorizzazione binaria.
Il modulo quindi inoltra la richiesta di ammissione all'API Binary Authorization.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'esecutore dell'autorizzazione binaria. L'autore dell'applicazione verifica quindi che la richiesta soddisfi il criterio di Autorizzazione binaria. In caso affermativo, l'API Autorizzazione binaria restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject" (rifiuta).
On-premise, il modulo di autorizzazione binaria riceve la risposta. Se il modulo di autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è possibile eseguire il deployment dell'immagine container.
Per ulteriori informazioni sulla convalida dei webhook di ammissione, consulta la sezione Utilizzare i controller di ammissione.
Criterio di errore webhook
Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico di webhook determina se è consentito il deployment del container. La configurazione del criterio di errore per consentire il deployment dell'immagine container è nota come errore di apertura. La configurazione del criterio di errore per rifiutare il deployment dell'immagine container è nota come errore di chiusura.
Per configurare il modulo di autorizzazione binaria per la chiusura non riuscita, modifica il file
manifest.yaml
e cambia failurePolicy
da
Ignore
a Fail
, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel modulo di autorizzazione binaria.
Passaggi successivi
- Per informazioni su come configurare Autorizzazione binaria per i cluster Anthos su VMware, consulta Configurare Autorizzazione binaria per Cluster Anthos su VMware.
- Per saperne di più sui cluster Anthos su VMware, consulta la panoramica di Anthos su VMware.
- Per ulteriori informazioni su Autorizzazione binaria, consulta la panoramica su Autorizzazione binaria.