核心概念
SPIFFE 标准
SPIFFE(Secure Production Identity Framework For Everyone)是一套开源标准,定义了:
如何标识和命名工作负载
如何为工作负载颁发身份凭证
如何验证工作负载身份
关键术语
SPIFFE ID
SPIFFE ID 是工作负载的唯一标识符,格式如下:
spiffe://<信任域>/<路径>
例如:
spiffe://example.org/web-server
spiffe://example.org/ns/production/sa/api
信任域(Trust Domain)
信任域是 SPIFFE ID 的命名空间,代表管理和信任边界。信任域通常对应一个组织或环境。
SVID(SPIFFE Verifiable Identity Document)
SVID 是包含 SPIFFE ID 的加密文档,用于证明工作负载的身份。SPIRE 支持两种类型的 SVID:
X.509-SVID: X.509 证书
JWT-SVID: JWT 令牌
工作负载(Workload)
工作负载是指任何需要身份标识的软件实体,例如:
容器
虚拟机
进程
服务
注册条目(Registration Entry)
注册条目定义了:
工作负载的 SPIFFE ID
工作负载的选择器(用于识别工作负载)
SVID 的有效期
其他属性
架构概览
graph TB
subgraph "SPIRE Server"
CA[证书颁发机构]
DS[数据存储]
NA[节点证明器]
end
subgraph "SPIRE Agent"
WA[工作负载证明器]
WL[Workload API]
end
subgraph "工作负载"
APP[应用程序]
end
CA --> DS
NA --> CA
Agent --> Server
WA --> WL
APP --> WL
下一步
了解 信任模型 以深入理解 SPIRE 的信任机制。