Questo documento descrive Autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Per iniziare a installare e utilizzare il prodotto, consulta Configurare Autorizzazione binaria per i cluster on-premise. Autorizzazione binaria supporta i seguenti ambienti:
- Google Distributed Cloud (solo software) on bare metal 1.14 o versioni successive.
- Google Distributed Cloud (solo software) su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster on-premise è un prodotto di Google Cloud che estende l'applicazione ospitata da Autorizzazione binaria in fase di deployment a Google Distributed Cloud.
Architettura
Autorizzazione binaria per i cluster on-premise connette i cluster all'applicazione forzata di Autorizzazione binaria in esecuzione su Google Cloud. Funziona inviando le richieste per l'esecuzione di immagini container da cluster on-premise all'API Autorizzazione binaria Enforcement.
Autorizzazione binaria installa il modulo di Autorizzazione binaria, che viene eseguito come convalida del webhook di ammissione Kubernetes nel tuo cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione di un pod, invia una richiesta di ammissione, tramite il piano di controllo, al modulo di Autorizzazione binaria.
Il modulo quindi inoltra la richiesta di ammissione all'API Autorizzazione binaria ospitata.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'applicazione forzata di Autorizzazione binaria. L'autore dell'applicazione verifica quindi che la richiesta soddisfa il criterio di Autorizzazione binaria. In caso affermativo, l'API Binary Authorization restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject".
Il modulo di Autorizzazione binaria riceve la risposta on-premise. Se il modulo di Autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, può eseguire il deployment dell'immagine container.
Per saperne di più sulla convalida dei webhook di ammissione, consulta Utilizzo dei controller di ammissione.
Criterio di errore del webhook
Quando un errore impedisce la comunicazione con Autorizzazione binaria, un criterio di errore specifico del webhook determina se è consentito il deployment del container. La configurazione del criterio di errore per consentire il deployment dell'immagine container è nota come fail open. La configurazione del criterio di errore per negare il deployment dell'immagine container è nota come fail chiusura.
Per configurare il modulo di Autorizzazione binaria per la chiusura non riuscita, modifica il file manifest.yaml e cambia failurePolicy da Ignore a Fail, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel modulo di Autorizzazione binaria.
Passaggi successivi
- Per scoprire come configurare Autorizzazione binaria per i cluster on-premise, consulta Configurare Autorizzazione binaria per i cluster on-premise.
- Per ulteriori informazioni su Google Distributed Cloud, consulta la panoramica di Google Distributed Cloud.
- Per saperne di più su Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.