Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של Binary Authorization לאשכולות מקומיים

במסמך הזה מוסבר על Binary Authorization לאשכולות מקומיים שנוצרים כחלק מ-Google Distributed Cloud. כדי להתחיל להתקין את המוצר ולהשתמש בו, אפשר לעיין במאמר בנושא הגדרת Binary Authorization לאשכולות מקומיים. Binary Authorization תומך בסביבות הבאות:

‫Google Distributed Cloud (תוכנה בלבד) בשרת פיזי גרסה 1.14 ואילך.
‫Google Distributed Cloud (תוכנה בלבד) ב-VMware מגרסה 1.4 ואילך.

‫Binary Authorization לאשכולות מקומיים הוא Google Cloud מוצר שמרחיב את האכיפה בזמן הפריסה של Binary Authorization המתארח ב-Google Distributed Cloud.

ארכיטקטורה

‫Binary Authorization לאשכולות מקומיים מקשר בין אשכולות לבין Binary Authorization enforcer, שפועל ב- Google Cloud. היא פועלת על ידי העברת בקשות להרצת קובצי אימג' של קונטיינרים מאשכולות מקומיים אל Binary Authorization enforcement API.

Binary Authorization ל-Distributed Cloud מציג תצורת מישור בקרה אחד של משתמש שנפרס. — Binary Authorization for Distributed Cloud architecture with one user control plane. (לחצו להגדלה)

‫Binary Authorization מתקין את מודול Binary Authorization, שפועל כwebhook לאימות כניסה של Kubernetes באשכול.

כששרת Kubernetes API של האשכול מעבד בקשה להפעלת Pod, הוא שולח בקשת אישור דרך מישור הבקרה למודול Binary Authorization.

לאחר מכן, המודול מעביר את בקשת הגישה אל ה-API של Binary Authorization שמתארח ב-Cloud.

בתאריך Google Cloud, ה-API מקבל את הבקשה ומעביר אותה לאוכף של Binary Authorization. לאחר מכן, המאכף בודק שהבקשה עומדת במדיניות של Binary Authorization. אם כן, ה-API של Binary Authorization מחזיר תגובה מסוג allow (אישור). אחרת, ה-API מחזיר תגובת דחייה.

בארגון, Binary Authorization מקבל את התגובה. אם מודול Binary Authorization וכל שאר ה-webhook של בקרת הכניסה מאשרים את בקשת הפריסה, אפשר לפרוס את קובץ אימג' של קונטיינר.

מידע נוסף על אימות של וווב-הוקים של הרשאות כניסה זמין במאמר שימוש בבקרי הרשאות כניסה.

מדיניות בנושא כשלים ב-webhook

אם יש כשל שמונע תקשורת עם Binary Authorization, מדיניות כשל ספציפית ל-webhook קובעת אם אפשר לפרוס את הקונטיינר. הגדרה של מדיניות הכשל כך שתאפשר פריסה של קובץ אימג' של קונטיינר נקראת fail open. הגדרת מדיניות הכשל כך שתמנע את פריסת קובץ אימג' של קונטיינר נקראת סגירה במקרה של כשל.

כדי להגדיר את מודול Binary Authorization למצב של סגירה במקרה של כשל, משנים את הקובץ manifest.yaml ואת הערך של failurePolicy מ-Ignore ל-Fail, ואז פורסים את קובץ המניפסט.

אפשר לעדכן את מדיניות הכשל במודול Binary Authorization.

המאמרים הבאים

כדי ללמוד איך להגדיר Binary Authorization לאשכולות מקומיים, ראו הגדרת Binary Authorization לאשכולות מקומיים.
מידע נוסף על Google Distributed Cloud זמין בסקירה הכללית על Google Distributed Cloud.
מידע נוסף על Binary Authorization זמין במאמר סקירה כללית על Binary Authorization.

סקירה כללית של Binary Authorization לאשכולות מקומיים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

ארכיטקטורה

מדיניות בנושא כשלים ב-webhook

המאמרים הבאים

סקירה כללית של Binary Authorization לאשכולות מקומיים