이 문서에서는 GKE 클러스터의 Binary Authorization에 대해 설명합니다. 제품 설치 및 사용을 시작하려면 GKE 클러스터의 Binary Authorization 설정을 참조하세요. Binary Authorization은 다음 환경을 지원합니다.
- 베어메탈용 GKE 1.14 이상
- VMware용 GKE 1.4 이상
GKE 클러스터의 Binary Authorization은 배포 중 호스팅된 Binary Authorization 규칙의 시행을 GKE 클러스터로 확장하는 Google Cloud 제품입니다.
아키텍처
GKE 클러스터의 Binary Authorization은 Google Cloud에서 실행되는 Binary Authorization 시행자에 클러스터를 연결합니다. GKE 클러스터의 Binary Authorization은 컨테이너 이미지를 실행 요청을 GKE 클러스터에서 Binary Authorization 시행 API로 중계하는 방식으로 작동합니다.
GKE 클러스터의 Binary Authorization은 클러스터에서 Kubernetes 검증 허용 웹훅으로 실행되는 Binary Authorization 모듈을 설치합니다.
클러스터에 대해 Kubernetes API 서버가 포드 실행 요청을 처리할 때, 제어 영역을 통해 허용 요청을 Binary Authorization 모듈로 전송합니다.
그런 후 허용 요청을 호스팅된 Binary Authorization API로 전달합니다.
Google Cloud에서 API는 요청을 수신하고 이를 Binary Authorization 시행자로 전달합니다. 그런 후 시행자는 요청이 Binary Authorization 정책을 충족하는지 확인합니다. 충족하면 Binary Authorization API가 '허용' 응답을 반환합니다. 그렇지 않으면 API가 '거부' 응답을 반환합니다.
온프레미스에서 Binary Authorization 모듈이 응답을 수신합니다. Binary Authorization 모듈 및 다른 모든 허용 웹훅이 배포 요청을 허용하는 경우 컨테이너 이미지 배포가 허용됩니다.
검증 허용 웹훅에 대한 자세한 내용은 허용 컨트롤러 사용을 참조하세요.
웹훅 실패 정책
실패로 인해 Binary Authorization과의 통신이 방해될 경우, 웹훅 특정 실패 정책은 컨테이너 배포가 허용되는지 확인합니다. 컨테이너 이미지 배포를 허용하도록 실패 정책을 구성하는 것을 Fail Open이라고 부릅니다. 컨테이너 이미지 배포를 거부하도록 실패 정책을 구성하는 것을 Fail Close라고 부릅니다.
실패 시 거부로 Binary Authorization 모듈을 구성하려면 manifest.yaml 파일을 수정하고 failurePolicy를 Ignore에서 Fail로 변경한 후 매니페스트 파일을 배포합니다.
Binary Authorization 모듈에서 실패 정책을 업데이트할 수 있습니다.
다음 단계
- VMware용 GKE의 Binary Authorization을 설정하는 방법은 VMware용 GKE의 Binary Authorization 설정을 참조하세요.
- VMware용 GKE에 대해 자세히 알아보려면 VMware용 GKE 개요를 참조하세요.
- Binary Authorization에 대한 자세한 내용은 Binary Authorization 개요를 참조하세요.