Questo documento descrive Autorizzazione binaria per i cluster GKE. Per iniziare a installare e utilizzare il prodotto, consulta Configurare Autorizzazione binaria per i cluster GKE. Autorizzazione binaria supporta i seguenti ambienti:
- GKE su Bare Metal 1.14 o versioni successive.
- GKE su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster GKE è un prodotto Google Cloud che estende l'applicazione ospitata in fase di deployment di Autorizzazione binaria ai cluster GKE.
Architettura
Autorizzazione binaria per i cluster GKE connette i cluster all'applicatore di Autorizzazione binaria, in esecuzione su Google Cloud. Autorizzazione binaria per i cluster GKE funziona inoltrando richieste per l'esecuzione di immagini container dai cluster GKE all'API di applicazione di Autorizzazione binaria.
Autorizzazione binaria per i cluster GKE installa il modulo di autorizzazione binaria, che viene eseguito come web webhook di convalida di Kubernetes nel cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione di un pod, invia una richiesta di ammissione, tramite il piano di controllo, al modulo di autorizzazione binaria.
Il modulo quindi inoltra la richiesta di ammissione all'API Autorizzazione binaria ospitata.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'applicatore di Autorizzazione binaria. Il responsabile dell'applicazione verifica quindi che la richiesta soddisfi il criterio di Autorizzazione binaria. In caso affermativo, l'API Binary Authorization restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject".
On-premise, il modulo di Autorizzazione binaria riceve la risposta. Se il modulo di autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è consentito il deployment dell'immagine container.
Per ulteriori informazioni sulla convalida dei webhook di ammissione, consulta la pagina relativa all'utilizzo dei controller di ammissione.
Criterio di errore del webhook
Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico del webhook determina se è consentito il deployment del container. La configurazione del criterio di errore per consentire il deployment dell'immagine container è nota come fail open. La configurazione del criterio di errore per negare il deployment dell'immagine container è nota come operazione di chiusura non riuscita.
Per configurare il modulo di autorizzazione binaria per la chiusura non riuscita, modifica il file manifest.yaml e cambia failurePolicy da Ignore a Fail, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel modulo di Autorizzazione binaria.
Passaggi successivi
- Per scoprire come configurare Autorizzazione binaria per GKE su VMware, consulta Configurare Autorizzazione binaria per GKE su VMware.
- Per saperne di più su GKE su VMware, consulta la panoramica di GKE su VMware.
- Per saperne di più su Autorizzazione binaria, vedi Panoramica di Autorizzazione binaria.