Questo documento descrive l'autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Per iniziare a installare e utilizzare il prodotto, consulta Configurare l'autorizzazione binaria per i cluster on-premise. L'autorizzazione binaria supporta i seguenti ambienti:
- Google Distributed Cloud (solo software) su bare metal 1.14 o versioni successive.
- Google Distributed Cloud (solo software) su VMware 1.4 o versioni successive.
Autorizzazione binaria per i cluster on-premise è un prodotto Google Cloud che estende l'applicazione ospitata in fase di deployment di Autorizzazione binaria a Google Distributed Cloud.
Architettura
Autorizzazione binaria per i cluster on-premise connette i cluster all'applicazione di Autorizzazione binaria, in esecuzione su Google Cloud. Funziona inoltrando le richieste di esecuzione di immagini container dai cluster on-premise all'API di applicazione dell'Autorizzazione binaria.
Autorizzazione binaria installa il modulo di autorizzazione binaria, che viene eseguito come webhook di ammissione con convalida Kubernetes nel cluster.
Quando il server API Kubernetes per il cluster elabora una richiesta di esecuzione di un pod, invia una richiesta di ammissione, tramite il piano di controllo, al Modulo di autorizzazione binaria.
Il modulo inoltra quindi la richiesta di ammissione all'API Autorizzazione binaria ospitata.
Su Google Cloud, l'API riceve la richiesta e la inoltra all'applicadore di Autorizzazione binaria. L'applicazione dei criteri verifica quindi che la richiesta sia conforme al criterio di Autorizzazione binaria. In questo caso, l'API Binary Authorization restituisce una risposta "allow". In caso contrario, l'API restituisce una risposta "reject".
On-premise, il Modulo di autorizzazione binaria riceve la risposta. Se il Modulo di autorizzazione binaria e tutti gli altri webhook di ammissione consentono la richiesta di deployment, il deployment dell'immagine container è consentito.
Per ulteriori informazioni sulla convalida dei webhook di ammissione, consulta Utilizzare i controller di ammissione.
Criterio di errore del webhook
Quando un errore impedisce la comunicazione con l'Autorizzazione binaria, un criterio di errore specifico per webhook determina se è consentito il deployment del contenitore. La configurazione del criterio di errore per consentire il deployment dell'immagine del container è nota come fail open. La configurazione del criterio di errore per impedire il deployment dell'immagine del container è nota come chiusura per errore.
Per configurare il Modulo di autorizzazione dei binari per la chiusura in caso di errore, modifica il file manifest.yaml e imposta failurePolicy su Fail anziché su Ignore, quindi esegui il deployment del file manifest.
Puoi aggiornare il criterio di errore nel Modulo di autorizzazione binaria.
Passaggi successivi
- Per scoprire come configurare l'autorizzazione binaria per i cluster on-premise, consulta Configurare l'autorizzazione binaria per i cluster on-premise.
- Per scoprire di più su Google Distributed Cloud, consulta la panoramica di Google Distributed Cloud.
- Per scoprire di più su Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.