Este documento descreve a autorização binária para clusters no local criados como parte do Google Distributed Cloud. Para começar a instalar e usar o produto, consulte o artigo Configure a autorização binária para clusters no local. A autorização binária suporta os seguintes ambientes:
- Google Distributed Cloud (apenas software) em bare metal 1.14 ou posterior.
- Google Distributed Cloud (apenas software) no VMware 1.4 ou posterior.
A autorização binária para clusters no local é um Google Cloud produto que estende a aplicação alojada no momento da implementação da autorização binária ao Google Distributed Cloud.
Arquitetura
A Autorização binária para clusters no local liga os clusters ao aplicador da Autorização binária, em execução no Google Cloud. Funciona retransmitindo pedidos para executar imagens de contentores de clusters no local para a API de aplicação da autorização binária.
A Autorização binária instala o módulo de Autorização binária, que é executado como um webhook de admissão de validação no seu cluster.
Quando o servidor da API Kubernetes para o cluster processa um pedido para executar um pod, envia um pedido de admissão, através do plano de controlo, para o módulo de autorização binária.
Em seguida, o módulo encaminha o pedido de admissão para a API Binary Authorization alojada.
A Google Cloud, a API recebe o pedido e encaminha-o para o aplicador da autorização binária. Em seguida, o aplicador verifica se o pedido cumpre a política de autorização binária. Se o fizer, a API Binary Authorization devolve uma resposta "allow" (permitir). Caso contrário, a API devolve uma resposta "rejeitar".
No local, o módulo de autorização binária recebe a resposta. Se o módulo de autorização binária e todos os outros webhooks de admissão permitirem o pedido de implementação, a imagem do contentor pode ser implementada.
Para mais informações sobre a validação de webhooks de admissão, consulte o artigo Usar controladores de admissão.
Política de falhas do webhook
Quando uma falha impede a comunicação com a autorização binária, uma política de falha específica do webhook determina se o contentor tem autorização para implementação. A configuração da política de falha para permitir a implementação da imagem do contentor é conhecida como fail open. A configuração da política de falha para recusar a implementação da imagem do contentor é conhecida como fail close.
Para configurar o módulo de autorização binária para falha de fecho, modifique o ficheiro manifest.yaml e altere failurePolicy de Ignore para Fail. Em seguida, implemente o ficheiro de manifesto.
Pode atualizar a política de falhas no módulo de autorização binária.
O que se segue?
- Para saber como configurar a autorização binária para clusters no local, consulte o artigo Configure a autorização binária para clusters no local.
- Para saber mais sobre o Google Distributed Cloud, consulte a vista geral do Google Distributed Cloud.
- Para saber mais sobre a autorização binária, consulte a vista geral da autorização binária.