Neste documento, descrevemos a autorização binária para clusters do GKE. Para começar a instalar e usar o produto, consulte Configurar a autorização binária para clusters do GKE. A autorização binária é compatível com os seguintes ambientes:
- GKE em Bare Metal 1.14 ou mais recente.
- GKE no VMware 1.4 ou posterior.
A autorização binária para clusters do GKE é um produto do Google Cloud que estende a aplicação hospedada da autorização binária aos clusters do Anthos.
Arquitetura
A autorização binária para clusters do GKE conecta clusters ao aplicador de autorização binária, em execução no Google Cloud. A autorização binária para clusters do GKE funciona por meio do redirecionamento de solicitações para executar imagens de contêiner de clusters do GKE para a API de aplicação da autorização binária.
A autorização binária para clusters do GKE instala o módulo de autorização binária, que é executado como um webhook de admissão de validação no cluster.
Quando o servidor da API Kubernetes do cluster de usuário processa uma solicitação para executar um pod, ele envia uma solicitação de admissão via plano de controle ao módulo de autorização binária.
Na sequência, o módulo encaminha a solicitação de admissão à API Binary Authorization hospedada.
No Google Cloud, a API recebe a solicitação e a encaminha para o aplicador de autorização binária. Em seguida, o implementador verifica se a solicitação atende à política de autorização binária. Se atender, a API Binary Authorization retornará uma resposta "permitir". Caso contrário, a API retornará uma resposta "rejeitar".
No local, o módulo de autorização binária recebe a resposta. Se o módulo de autorização binária e todos os outros webhooks de admissão permitirem a solicitação de implantação, a imagem do contêiner poderá ser implantada.
Para mais informações sobre como validar webhooks de admissão, consulte Como usar controladores de admissão.
Política de falha do webhook
Quando uma falha impede a comunicação com a autorização binária, uma política de falha específica do webhook determina se o contêiner tem permissão para implantar. A configuração da política de falhas para permitir que a imagem do contêiner seja implantada é conhecida como falha ao abrir. A configuração da política de falhas para negar a implantação da imagem do contêiner é conhecida como falha ao fechar.
Para configurar o módulo de autorização binária para falhar ao fechar, modifique o
arquivo manifest.yaml e altere a failurePolicy de
Ignore para Fail e depois implante o arquivo de manifesto.
É possível atualizar a política de falha no módulo de autorização binária.
A seguir
- Para saber como configurar a autorização binária para o GKE no VMware, consulte Configurar a autorização binária para o GKE no VMware.
- Para saber mais sobre o GKE no VMware, consulte a Visão geral do GKE no VMware.
- Para saber mais sobre a autorização binária, consulte a Visão geral da autorização binária.