VMware용 Anthos 클러스터의 Binary Authorization 개요

이 문서에서는 VMware용 Anthos 클러스터의 Binary Authorization을 설명합니다. 제품 설치 및 사용을 시작하려면 VMware용 Anthos 클러스터의 Binary Authorization 설정을 참조하세요.

VMware용 Anthos 클러스터의 Binary Authorization은 Binary Authorization의 호스팅된 배포 시 시행을 VMware용 Anthos 클러스터로 확장하는 Google Cloud 제품입니다.

아키텍처

VMware용 Anthos 클러스터의 Binary Authorization은 온프레미스 사용자 클러스터를 Google Cloud에서 실행되는 Binary Authorization 시행자에 연결합니다. VMware용 Anthos 클러스터의 Binary Authorization은 VMware용 Anthos 클러스터에서 Binary Authorization 시행 API로 컨테이너 이미지 실행 요청을 중계하여 작동합니다.

하나의 사용자 제어 영역이 배포한 구성을 보여주는 VMware용 Anthos 클러스터의 Binary Authorization입니다.
하나의 사용자 제어 영역이 포함된 VMware용 Anthos 클러스터의 Binary Authorization 아키텍처입니다. (확대하려면 클릭)

온프레미스에서 VMware용 Anthos 클러스터의 Binary Authorization은 사용자 클러스터에서 Kubernetes 검증 허용 웹훅으로 실행되는 Binary Authorization 모듈을 설치합니다.

사용자 클러스터에 대해 Kubernetes API 서버는 Pod 실행 요청을 처리할 때, 사용자 제어 영역을 통해 허용 요청을 Binary Authorization 모듈로 전송합니다.

그런 후 허용 요청을 호스팅된 Binary Authorization API로 전달합니다.

Google Cloud에서 API는 요청을 수신하고 이를 Binary Authorization 시행자로 전달합니다. 그런 후 시행자는 요청이 Binary Authorization 정책을 충족하는지 확인합니다. 충족하면 Binary Authorization API가 '허용' 응답을 반환합니다. 그렇지 않으면 API가 '거부' 응답을 반환합니다.

온프레미스에서 Binary Authorization 모듈이 응답을 수신합니다. Binary Authorization 모듈 및 다른 모든 허용 웹훅이 배포 요청을 허용하는 경우 컨테이너 이미지 배포가 허용됩니다.

검증 허용 웹훅에 대한 자세한 내용은 허용 컨트롤러 사용을 참조하세요.

웹훅 실패 정책

실패로 인해 Binary Authorization과의 통신이 방해될 경우, 웹훅 특정 실패 정책은 컨테이너 배포가 허용되는지 확인합니다. 컨테이너 이미지 배포를 허용하도록 실패 정책을 구성하는 것을 Fail Open이라고 부릅니다. 컨테이너 이미지 배포를 거부하도록 실패 정책을 구성하는 것을 Fail Close라고 부릅니다.

실패 시 거부로 Binary Authorization 모듈을 구성하려면 manifest.yaml 파일을 수정하고 failurePolicyIgnore에서 Fail로 변경한 후 매니페스트 파일을 배포합니다.

Binary Authorization 모듈에서 실패 정책을 업데이트할 수 있습니다.

다음 단계