Questo documento descrive l'Autorizzazione binaria per i cluster GKE. Per iniziare a installare e utilizzare il prodotto, consulta Configurare Autorizzazione binaria per i cluster GKE. Autorizzazione binaria supporta i seguenti ambienti:
- GKE su Bare Metal 1.14 o versioni successive.
- GKE su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster GKE è un prodotto Google Cloud che estende l'applicazione di Autorizzazione binaria ospitata in fase di deployment ai cluster GKE.
Architettura
Autorizzazione binaria per i cluster GKE connette i cluster all'applicatore di Autorizzazione binaria, in esecuzione su Google Cloud. Autorizzazione binaria per i cluster GKE funziona inoltrando le richieste per l'esecuzione di immagini container dai cluster GKE all'API di applicazione di Autorizzazione binaria.
Autorizzazione binaria per i cluster GKE installa il Modulo di Autorizzazione binaria, che viene eseguito come webhook di ammissione di convalida di Kubernetes nel cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione di un pod, invia una richiesta di ammissione, attraverso il piano di controllo, al Modulo di autorizzazione binaria.
Il modulo inoltra quindi la richiesta di ammissione all'API Autorizzazione binaria ospitata.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'autorità di applicazione di Autorizzazione binaria. L'autorità di applicazione verifica quindi che la richiesta soddisfi il criterio di Autorizzazione binaria. In caso affermativo, l'API Binary Authorization restituisce una risposta di tipo "allow". In caso contrario, l'API restituisce una risposta di "rifiuto".
On-premise, il Modulo di Autorizzazione binaria riceve la risposta. Se il Modulo di autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, il deployment dell'immagine container è consentito.
Per ulteriori informazioni sulla convalida dei webhook di ammissione, consulta la pagina sull'utilizzo dei controller di ammissione.
Criterio di errore webhook
Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico del webhook determina se è consentito eseguire il deployment del container. La configurazione del criterio di errore per consentire il deployment dell'immagine container è nota come apertura non riuscita. La configurazione del criterio di errore per negare il deployment dell'immagine container è nota come chiusura non riuscita.
Per configurare il modulo di autorizzazione binaria per la chiusura non riuscita, modifica il file manifest.yaml e cambia failurePolicy da Ignore a Fail, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel modulo di Autorizzazione binaria.
Passaggi successivi
- Per informazioni su come configurare Autorizzazione binaria per GKE on VMware, consulta Configurare Autorizzazione binaria per GKE su VMware.
- Per saperne di più su GKE on VMware, consulta la panoramica di GKE su VMware.
- Per saperne di più su Autorizzazione binaria, vedi Panoramica di Autorizzazione binaria.