온프레미스 클러스터의 Binary Authorization 개요

이 문서에서는 Google Distributed Cloud의 일부로 생성된 온프레미스 클러스터의 Binary Authorization을 설명합니다. 제품을 설치하고 사용하려면 온프레미스 클러스터의 Binary Authorization 설정을 참조하세요. Binary Authorization은 다음 환경을 지원합니다.

온프레미스 클러스터의 Binary Authorization은 배포 중 호스팅된 Binary Authorization 규칙의 시행을 Google Distributed Cloud로 확장하는 Google Cloud 제품입니다.

아키텍처

온프레미스 클러스터의 Binary Authorization은 Google Cloud에서 실행되는 Binary Authorization 시행자에 클러스터를 연결합니다. 컨테이너 이미지를 실행하는 요청을 온프레미스 클러스터에서 Binary Authorization 시행 API로 릴레이하는 방식으로 작동합니다.

하나의 사용자 컨트롤 플레인에서 배포한 구성을 보여주는 Distributed Cloud의 Binary Authorization입니다.
하나의 사용자 컨트롤 플레인이 포함된 Distributed Cloud 아키텍처의 Binary Authorization입니다. (확대하려면 클릭)

Binary Authorization은 클러스터에서 Kubernetes 검증 허용 웹훅으로 실행되는 Binary Authorization 모듈을 설치합니다.

클러스터에 대해 Kubernetes API 서버가 포드 실행 요청을 처리할 때, 제어 영역을 통해 허용 요청을 Binary Authorization 모듈로 전송합니다.

그런 후 허용 요청을 호스팅된 Binary Authorization API로 전달합니다.

Google Cloud에서 API는 요청을 수신하고 이를 Binary Authorization 시행자로 전달합니다. 그런 후 시행자는 요청이 Binary Authorization 정책을 충족하는지 확인합니다. 충족하면 Binary Authorization API가 '허용' 응답을 반환합니다. 그렇지 않으면 API가 '거부' 응답을 반환합니다.

온프레미스에서 Binary Authorization 모듈이 응답을 수신합니다. Binary Authorization 모듈 및 다른 모든 허용 웹훅이 배포 요청을 허용하는 경우 컨테이너 이미지 배포가 허용됩니다.

검증 허용 웹훅에 대한 자세한 내용은 허용 컨트롤러 사용을 참조하세요.

웹훅 실패 정책

실패로 인해 Binary Authorization과의 통신이 방해될 경우, 웹훅 특정 실패 정책은 컨테이너 배포가 허용되는지 확인합니다. 컨테이너 이미지 배포를 허용하도록 실패 정책을 구성하는 것을 Fail Open이라고 부릅니다. 컨테이너 이미지 배포를 거부하도록 실패 정책을 구성하는 것을 Fail Close라고 부릅니다.

실패 시 거부로 Binary Authorization 모듈을 구성하려면 manifest.yaml 파일을 수정하고 failurePolicyIgnore에서 Fail로 변경한 후 매니페스트 파일을 배포합니다.

Binary Authorization 모듈에서 실패 정책을 업데이트할 수 있습니다.

다음 단계