地端叢集的二進位授權總覽

本文說明 Google Distributed Cloud 建立的地端叢集適用的二進位授權。如要開始安裝及使用產品,請參閱「為地端叢集設定二進位授權」。Binary Authorization 支援下列環境:

適用於地端叢集的二進位授權是一項 Google Cloud 產品,可將二進位授權的代管部署時間強制執行功能,擴展至 Google Distributed Cloud。

架構

本機叢集的二進位授權會將叢集連線至在 Google Cloud上執行的二進位授權強制執行程式。這項功能會將從地端叢集執行的容器映像檔要求,轉送至 Binary Authorization 強制執行 API。

Distributed Cloud 的二進位授權,顯示部署一個使用者控制層的設定。
適用於 Distributed Cloud 架構的二進位授權,具有一個使用者控制平面。(按一下可放大)

二進位授權會安裝二進位授權模組,該模組會在叢集中以 Kubernetes 驗證許可控制 Webhook 的形式執行。

當叢集的 Kubernetes API 伺服器處理執行 Pod 的要求時,會透過控制層將准入要求傳送至二進位授權模組。

接著,這個模組會將准入要求轉送至代管的二進位授權 API。

Google Cloud會收到要求,並轉送至 Binary Authorization 強制執行器。強制執行者接著會檢查要求是否符合二進位授權政策。如果符合,二進位授權 API 會傳回「允許」回應。否則,API 會傳回「reject」回應。

在內部部署環境中,二進位授權模組會收到回應。 如果二進位授權模組和其他所有許可控制 Webhook 允許部署要求,容器映像檔就能部署。

如要進一步瞭解如何驗證准入 Webhook,請參閱「使用准入控制器」。

Webhook 失敗政策

如果發生故障而無法與二進位授權通訊,系統會根據 Webhook 專屬的故障政策,判斷是否允許部署容器。將失敗政策設為允許部署容器映像檔,稱為「失敗時開放」。將失敗政策設為拒絕部署容器映像檔,稱為「失敗關閉」

如要為失敗關閉設定 Binary Authorization 模組,請修改 manifest.yaml 檔案,並將 failurePolicyIgnore 變更為 Fail,然後部署資訊清單檔案。

您可以在二進位授權模組中更新失敗政策

後續步驟