概述

• 核心概念
  • SPIFFE 标准
  • 关键术语
  • 架构概览
  • 下一步
• 信任模型
  • 信任域
  • 信任包（Trust Bundle）
  • 证明机制
  • 联邦
  • 安全考虑
  • 下一步
• SVID 类型
  • 概述
  • X.509-SVID
  • JWT-SVID
  • 比较
  • SVID 轮换
  • 最佳实践

简介

SPIRE（SPIFFE Runtime Environment）是 SPIFFE 规范的生产就绪实现，为分布式系统中的工作负载提供安全的身份标识。

核心功能

工作负载身份

SPIRE 通过以下方式为工作负载提供身份：

• X.509-SVID: 短期 X.509 证书，包含 SPIFFE ID

• JWT-SVID: JSON Web Token，用于服务间认证

自动证明

SPIRE 可以自动证明工作负载的身份，支持多种平台：

• Kubernetes

• AWS

• GCP

• Azure

• 裸机服务器

信任联邦

SPIRE 支持跨信任域的联邦，允许不同组织的工作负载相互认证。

使用场景

1. 服务间 mTLS 通信

2. API 身份验证

3. 密钥管理系统集成

4. 服务网格身份

下一步

• 了解 核心概念

• 理解 信任模型

• 学习 SVID 类型