Ringkasan Otorisasi Biner untuk cluster GKE

Dokumen ini menjelaskan Otorisasi Biner untuk cluster GKE. Untuk mulai menginstal dan menggunakan produk ini, lihat Menyiapkan Otorisasi Biner untuk cluster GKE. Otorisasi Biner mendukung lingkungan berikut:

Otorisasi Biner untuk cluster GKE adalah produk Google Cloud yang memperluas penerapan waktu deployment yang dihosting Otorisasi Biner ke cluster GKE.

Arsitektur

Otorisasi Biner untuk cluster GKE menghubungkan cluster ke penegakan Otorisasi Biner, yang berjalan di Google Cloud. Otorisasi Biner untuk cluster GKE berfungsi dengan menyampaikan permintaan untuk menjalankan image container dari cluster cluster GKE ke Binary Authorization enforcement API.

Otorisasi Biner untuk GKE di VMware menampilkan konfigurasi satu bidang kontrol pengguna yang di-deploy.
Otorisasi Biner untuk GKE pada arsitektur VMware dengan satu bidang kontrol pengguna. (Klik untuk memperbesar)

Otorisasi Biner untuk cluster GKE menginstal Modul Otorisasi Biner yang berjalan sebagai memvalidasi webhook Kubernetes di cluster Anda.

Saat memproses permintaan untuk menjalankan Pod, server Kubernetes API untuk cluster akan mengirimkan permintaan masuk, melalui bidang kontrol, ke Modul Otorisasi Biner.

Modul ini kemudian meneruskan permintaan masuk ke Binary Authorization API yang dihosting.

Di Google Cloud, API menerima permintaan dan meneruskannya ke pelaksana Otorisasi Biner. Selanjutnya, pelaksana akan memeriksa apakah permintaan tersebut memenuhi kebijakan Otorisasi Biner. Jika ya, Binary Authorization API akan menampilkan respons "allow". Jika tidak, API akan menampilkan respons "reject".

Secara lokal, Modul Otorisasi Biner menerima respons. Jika Modul Otorisasi Biner dan semua webhook penerimaan lainnya mengizinkan permintaan deployment, image container diizinkan untuk di-deploy.

Untuk informasi selengkapnya tentang memvalidasi webhook masuk, lihat Menggunakan Pengontrol Penerimaan.

Kebijakan kegagalan webhook

Jika kegagalan mencegah komunikasi dengan Otorisasi Biner, kebijakan kegagalan khusus webhook akan menentukan apakah penampung diizinkan untuk di-deploy atau tidak. Mengonfigurasi kebijakan kegagalan untuk mengizinkan image container di-deploy dikenal sebagai fail open. Mengonfigurasi kebijakan kegagalan untuk menolak deployment image container disebut fail close.

Untuk mengonfigurasi Modul Otorisasi Biner guna gagal menutup, ubah file manifest.yaml dan ubah failurePolicy dari Ignore menjadi Fail, lalu deploy file manifes.

Anda dapat memperbarui kebijakan kegagalan di Modul Otorisasi Biner.

Langkah selanjutnya