Panoramica di Autorizzazione binaria per Cluster Anthos su VMware

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento descrive Autorizzazione binaria per Cluster Anthos su VMware. Per iniziare a installare e utilizzare il prodotto, consulta Configurare Autorizzazione binaria per Cluster Anthos su VMware.

Autorizzazione binaria per Cluster Anthos su VMware è un prodotto Google Cloud che estende l'applicazione forzata dell'autorizzazione di deployment Binary in fase di deployment ai cluster Anthos su VMware.

Architettura

Autorizzazione binaria per Cluster Anthos su VMware connette i cluster utente on-premise all'applicazione di Autorizzazione binaria, in esecuzione su Google Cloud. Autorizzazione binaria per Cluster Anthos su VMware funziona mediante l'inoltro di richieste di esecuzione di immagini container da cluster Anthos su cluster VMware all'API Autorizzazione binaria.

Autorizzazione binaria per Cluster Anthos su VMware che mostra la configurazione di un piano di controllo dell'utente di cui è stato eseguito il deployment.
Autorizzazione binaria per i cluster Anthos sull'architettura VMware con un piano di controllo utente. (Fai clic per ingrandire)

On-premise, Autorizzazione binaria per i cluster Anthos su VMware installa il modulo di autorizzazione binaria, che viene eseguito come Kubernetes convalida del webhook di ammissione nel tuo cluster utente.

Quando il server API Kubernetes per il cluster utente elabora una richiesta per eseguire un pod, invia una richiesta di ammissione, tramite il piano di controllo dell'utente, al modulo Autorizzazione binaria.

Il modulo quindi inoltra la richiesta di ammissione all'API Binary Authorization.

Su Google Cloud, l'API riceve la richiesta e la inoltra all'esecutore dell'autorizzazione binaria. L'autore dell'applicazione verifica quindi che la richiesta soddisfi il criterio di Autorizzazione binaria. In caso affermativo, l'API Autorizzazione binaria restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject" (rifiuta).

On-premise, il modulo di autorizzazione binaria riceve la risposta. Se il modulo di autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, è possibile eseguire il deployment dell'immagine container.

Per ulteriori informazioni sulla convalida dei webhook di ammissione, consulta la sezione Utilizzare i controller di ammissione.

Criterio di errore webhook

Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico di webhook determina se è consentito il deployment del container. La configurazione del criterio di errore per consentire il deployment dell'immagine container è nota come errore di apertura. La configurazione del criterio di errore per rifiutare il deployment dell'immagine container è nota come errore di chiusura.

Per configurare il modulo di autorizzazione binaria per la chiusura non riuscita, modifica il file manifest.yaml e cambia failurePolicy da Ignore a Fail, quindi esegui il deployment del file manifest.

Puoi aggiornare il criterio di errore nel modulo di autorizzazione binaria.

Passaggi successivi