En este documento se describe la autorización binaria para los clústeres locales que se crean como parte de Google Distributed Cloud. Para empezar a instalar y usar el producto, consulta Configurar la autorización binaria en clústeres locales. Autorización binaria admite los siguientes entornos:
- Google Distributed Cloud (solo software) en Bare Metal 1.14 o versiones posteriores.
- Google Distributed Cloud (solo software) en VMware 1.4 o versiones posteriores.
La autorización binaria para clústeres locales es un producto de Google Cloud que amplía la implementación obligatoria en tiempo de implementación y alojada de autorización binaria a Google Distributed Cloud.
Arquitectura
La autorización binaria para clústeres locales conecta los clústeres con el verificador de la autorización binaria, que se ejecuta en Google Cloud. Para ello, reenvía las solicitudes para ejecutar imágenes de contenedor desde clústeres locales a la API de aplicación de la autorización binaria.
La autorización binaria instala el módulo de autorización binaria, que se ejecuta como un webhook de admisión de validación de Kubernetes en tu clúster.
Cuando el servidor de la API de Kubernetes del clúster procesa una solicitud para ejecutar un pod, envía una solicitud de admisión a través del plano de control al módulo de autorización binaria.
A continuación, el módulo reenvía la solicitud de admisión a la API de autorización binaria alojada.
En Google Cloud, la API recibe la solicitud y la reenvía al verificador de la autorización binaria. A continuación, el verificador comprueba que la solicitud cumpla la política de autorización binaria. Si es así, la API Binary Authorization devuelve una respuesta "allow" (permitir). De lo contrario, la API devuelve una respuesta de rechazo.
En las instalaciones, el módulo de autorización binaria recibe la respuesta. Si el módulo de autorización binaria y todos los demás webhooks de admisión permiten la solicitud de implementación, se podrá implementar la imagen de contenedor.
Para obtener más información sobre la validación de webhooks de admisión, consulta Usar controladores de admisión.
Política de fallos de webhook
Si se produce un error que impide la comunicación con la autorización binaria, una política de errores específica del webhook determina si se permite desplegar el contenedor. Configurar la política de errores para permitir que se implemente la imagen de contenedor se conoce como fail open. Configurar la política de errores para denegar la implementación de la imagen de contenedor se conoce como fail close.
Para configurar el módulo de autorización binaria para que se cierre en caso de fallo, modifica el archivo manifest.yaml y cambia failurePolicy de
Ignore a Fail. A continuación, implementa el archivo de manifiesto.
Puedes actualizar la política de errores en el módulo de autorización binaria.
Siguientes pasos
- Para saber cómo configurar la autorización binaria en clústeres on-premise, consulta el artículo Configurar la autorización binaria en clústeres on-premise.
- Para obtener más información sobre Google Distributed Cloud, consulta la descripción general de Google Distributed Cloud.
- Para obtener más información sobre la autorización binaria, consulta la descripción general de la autorización binaria.