插件参考

• 节点证明器
  • 概述
  • AWS IID
  • GCP IIT
  • Azure MSI
  • Kubernetes PSAT
  • Kubernetes SAT
  • Join Token
  • X509 POP
  • SSH POP
  • 选择建议
• 工作负载证明器
  • 概述
  • Unix
  • Kubernetes
  • Docker
  • Systemd
  • 组合使用
  • 选择器匹配规则
  • 最佳实践
• 密钥管理器
  • 概述
  • Disk
  • Memory
  • AWS KMS
  • GCP Cloud KMS
  • Azure Key Vault
  • 密钥轮换
  • 备份和恢复
  • 选择建议
• 上游授权
  • 概述
  • Disk
  • AWS PCA
  • HashiCorp Vault
  • 嵌套 SPIRE
  • cert-manager
  • EJBCA
  • 选择建议

概述

SPIRE 使用插件架构提供可扩展性。本章节详细介绍各类插件的配置和使用。

插件类型

Server 插件

类型	描述
DataStore	持久化存储（仅 SQL）
KeyManager	签名密钥管理
NodeAttestor	验证 Agent 身份
UpstreamAuthority	上游 CA 集成
BundlePublisher	信任包发布
Notifier	事件通知
CredentialComposer	SVID 自定义

Agent 插件

类型	描述
KeyManager	Agent 密钥管理
NodeAttestor	生成节点证明数据
WorkloadAttestor	识别工作负载
SVIDStore	外部 SVID 存储

配置语法

plugins {
    <类型> "<名称>" {
        # 外部插件路径（可选）
        plugin_cmd = "/path/to/plugin"
        
        # 插件校验和（可选）
        plugin_checksum = "sha256:abc123..."
        
        # 插件配置
        plugin_data {
            key = "value"
        }
    }
}

插件选择指南

云环境

云平台	NodeAttestor	KeyManager	UpstreamAuthority
AWS	aws_iid	aws_kms	aws_pca
GCP	gcp_iit	gcp_kms	-
Azure	azure_msi	azure_keyvault	-

Kubernetes

场景	插件
Agent 证明	k8s_psat (推荐) 或 k8s_sat
工作负载证明	k8s
信任包分发	k8sbundle (Notifier)

裸机/虚拟机

场景	插件
初始引导	join_token
持久证明	x509pop
SSH 证明	sshpop

下一步

• 节点证明器 - 节点证明器详解

• 工作负载证明器 - 工作负载证明器详解

• 密钥管理器 - 密钥管理器详解

• 上游授权 - 上游授权详解