本文档介绍了作为 Google Distributed Cloud 的一部分创建的 Binary Authorization for on-premises clusters。如需开始安装和使用该产品,请参阅设置 Binary Authorization for on-premises clusters。Binary Authorization 支持以下环境:
- Google Distributed Cloud on Bare Metal(纯软件)1.14 或更高版本。
- Google Distributed Cloud on VMware(纯软件)1.4 或更高版本。
Binary Authorization for on-premises clusters 是一款 Google Cloud 产品,可将 Binary Authorization 的托管式部署时强制执行功能扩展到 Google Distributed Cloud。
架构
Binary Authorization for on-premises clusters 会将集群连接到在 Google Cloud 上运行的 Binary Authorization Enforcer。它会将从本地集群运行容器映像的请求中继到 Binary Authorization Enforcement API。
Binary Authorization 会安装 Binary Authorization 模块,该模块在集群中以验证准入网络钩子的形式运行。
集群的 Kubernetes API 服务器处理运行 Pod 的请求后,会通过控制平面向 Binary Authorization 模块发送准入请求。
之后,该模块会将准入请求转发到代管式 Binary Authorization API。
在 Google Cloud 上,该 API 会接收请求并将其转发到 Binary Authorization Enforcer。 然后,该强制执行程序会检查请求是否符合 Binary Authorization 政策。如果符合,Binary Authorization API 将返回一个“允许”响应。否则,该 API 会返回一个“拒绝”响应。
在本地,Binary Authorization 模块会接收响应。如果 Binary Authorization 模块和所有其他准入网络钩子均允许部署请求,则系统会允许部署该容器映像。
如需详细了解如何验证准入网络钩子,请参阅使用准入控制器。
网络钩子失败政策
如果某个失败事件导致无法与 Binary Authorization 通信,则特定于网络钩子的失败政策将用于确定是否允许部署容器。配置失败政策以允许部署容器映像的这一过程称为应急开启。配置失败政策以拒绝部署容器映像的这一过程称为应急关闭。
如需将 Binary Authorization 模块配置为应急关闭,请修改 manifest.yaml 文件并将 failurePolicy 从 Ignore 更改为 Fail,然后部署清单文件。
您可以在 Binary Authorization 模块中更新失败政策。
后续步骤
- 如需了解如何设置 Binary Authorization for on-premises clusters,请参阅设置 Binary Authorization for on-premises clusters。
- 如需详细了解 Google Distributed Cloud,请参阅 Google Distributed Cloud 概览。
- 如需详细了解 Binary Authorization,请参阅 Binary Authorization 概览。