SPIRE(SPIFFE运行时环境。)是一个API工具链,用于在各种托管平台上的软件系统之间建立信任。SPIRE公开了SPIFFEWorkloadAPI,该API可以证明正在运行的软件系统并向其发布SPIFFEID和SVID。这进而允许两个工作负载在彼此之间建立信任,例如通过建立mTLS连接或通过签名和验证JWT令牌。SPIRE还可以使工作负载安全地对秘密存储、数据库或云提供商服务进行身份验证。
SPIFFE(SecureProductionIdentityFrameworkForEveryone)以特制的X.509证书形式为现代生产环境中的每个工作负载提供安全标识。SPIFFE消除了对应用程序级身份验证和复杂网络级ACL配置的需求。SPIFFE标准是许多CNCF参与者和其他相关方,聚集在一起提出的共同方法,以便服务彼此呈现和授权他们的身份。
一个SPIRE部署由一个SPIRE服务器和一个或多个SPIRE代理组成。服务器充当通过代理发布给一组工作负载的身份的签名授权机构。它还维护一个工作负载标识注册表,并且必须核实这些标识才能发布这些标识。代理将SPIFFEWorkloadAPI本地公开给工作负载,并且必须将其安装在运行工作负载的每个节点上。
SPIREServer负责管理和发布其配置的SPIFFE信任域中的所有身份。它存储注册条目(用于指定确定特定SPIFFEID发出条件的选择器)和签名密钥,使用节点证明自动认证代理的身份,并在经过认证的代理请求时为工作负载创建SVID。
SPIREAgent在已确定工作负载的每个节点上运行:从服务器请求SVID并缓存它们,直到工作负载请求其SVID将SPIFFEWorkloadAPI暴露给节点上的工作负载,并证明调用它的工作负载的身份提供已识别的工作负载及其SVID
评论