Anthos clusters on VMware の Binary Authorization の概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このドキュメントでは、Anthos clusters on VMware の Binary Authorization について説明します。このプロダクトのインストールと使用を開始するには、Anthos clusters on VMware 用の Binary Authorization の設定をご覧ください。

Anthos clusters on VMware の Binary Authorization は、Binary Authorization のホストされたデプロイ時適用を Anthos clusters on VMware に拡張する Google Cloud プロダクトです。

アーキテクチャ

Anthos clusters on VMware の Binary Authorization は、オンプレミスのユーザー クラスタを Google Cloud で実行されている Binary Authorization 適用者に接続します。Anthos clusters on VMware の Binary Authorization は、Anthos clusters on VMware クラスタからコンテナ イメージを実行するリクエストを Binary Authorization enforcement API にリレーすることで機能します。

Anthos clusters on VMware の Binary Authorization。1 つのユーザー コントロール プレーンがデプロイされた構成を示している。
1 つのユーザー コントロール プレーンからなる Anthos clusters on VMware の Binary Authorization アーキテクチャ。(クリックして拡大)

オンプレミスで、Anthos clusters on VMware の Binary Authorization が Binary Authorization モジュールをインストールします。これは、ユーザー クラスタ内の Kubernetes 検証アドミッション Webhook として実行されます。

ユーザー クラスタの Kubernetes API サーバーが Pod の実行リクエストを処理するとき、ユーザー コントロール プレーンを介して Binary Authorization モジュールにアドミッション リクエストを送信します。

このモジュールが、ホストされている Binary Authorization API にアドミッション リクエストを転送します。

Google Cloud で、この API がリクエストを受信し、Binary Authorization の適用者に転送します。適用者は、リクエストが Binary Authorization ポリシーを遵守していることを確認します。遵守している場合、Binary Authorization API は「許可」レスポンスを返します。遵守していない場合、API は「拒否」レスポンスを返します。

オンプレミスで、Binary Authorization モジュールがレスポンスを受信します。Binary Authorization モジュールと他のすべてのアドミッション Webhook がデプロイ リクエストを許可する場合、コンテナ イメージのデプロイが許可されます。

検証アドミッション Webhook の詳細については、アドミッション コントローラの使用をご覧ください。

Webhook 障害ポリシー

障害により Binary Authorization との通信が妨げられる場合、Webhook 固有の障害ポリシーによりコンテナのデプロイが許可されるかが決定されます。コンテナ イメージをデプロイできるように障害ポリシーを構成することをフェイル オープンといいます。コンテナ イメージをデプロイできないように障害ポリシーを構成することをフェイル クローズといいます。

Binary Authorization モジュールをフェイル クローズ用に構成するには、manifest.yaml ファイルで failurePolicyIgnore から Fail に変更し、マニフェスト ファイルをデプロイします。

Binary Authorization モジュールで障害ポリシーを更新できます。

次のステップ