Anthos clusters on VMware 用の Binary Authorization の概要

このドキュメントでは、Anthos clusters on VMware の Binary Authorizationについて説明します。このプロダクトのインストールと使用を開始するには、Anthos clusters on VMware 用の Binary Authorization の設定をご覧ください。

Anthos clusters on VMware の Binary Authorization は、Binary Authorization のホストされたデプロイ時の適用を Anthos clusters on VMware に拡張する Google Cloud プロダクトです。

アーキテクチャ

Anthos clusters on VMware の Binary Authorization は、オンプレミス ユーザー クラスタを Google Cloud で実行されている Binary Authorization 適用者に接続します。Anthos clusters on VMware の Binary Authorization は、Anthos clusters on VMware クラスタからコンテナ イメージを実行するリクエストを Binary Authorization enforcement API にリレーすることで機能します。

Anthos clusters on VMware の Binary Authorization。1 つのユーザー コントロール プレーンがデプロイされた構成を示している。
1 つのユーザー コントロール プレーンからなる、Anthos clusters on VMware の Binary Authorization のアーキテクチャ。(クリックして拡大)

オンプレミスで、Anthos clusters on VMware の Binary Authorization が Binary Authorization モジュールをインストールします。これは、ユーザー クラスタ内の Kubernetes 承諾検証 Webhook として実行されます。

ユーザー クラスタの Kubernetes API サーバーが Pod を実行するリクエストを処理するとき、ユーザー コントロール プレーンを介して Binary Authorization モジュールに承諾リクエストを送信します。

このモジュールが、ホストされている Binary Authorization API に承諾リクエストを転送します。

Google Cloud で、この API がリクエストを受信して Binary Authorization の適用者に転送します。適用者は、リクエストが Binary Authorization ポリシーに準拠していることを確認します。準拠している場合、Binary Authorization API は「許可」レスポンスを返します。準拠していない場合、API は「拒否」レスポンスを返します。

オンプレミスで、Binary Authorization モジュールがレスポンスを受信します。Binary Authorization モジュールと他のすべての承諾 Webhook がデプロイ リクエストを許可する場合、コンテナ イメージのデプロイが許可されます。

承諾検証 Webhook の詳細については、アドミッション コントローラの使用をご覧ください。

Webhook 障害ポリシー

障害により Binary Authorization との通信が妨げられる場合、Webhook 固有の障害ポリシーによりコンテナのデプロイが許可されるかが決定されます。コンテナ イメージをデプロイできるように障害ポリシーを構成することをフェイル オープンといいます。コンテナ イメージをデプロイできないように障害ポリシーを構成することをフェイル クローズといいます。

フェイル クローズ用の Binary Authorization モジュールを構成するには、manifest.yaml ファイルを変更し、failurePolicyIgnore から Fail に変更してからマニフェスト ファイルをデプロイします。

Binary Authorization モジュールで障害ポリシーを更新できます。

次のステップ