# 核心概念

## SPIFFE 标准

SPIFFE（Secure Production Identity Framework For Everyone）是一套开源标准，定义了：

- 如何标识和命名工作负载
- 如何为工作负载颁发身份凭证
- 如何验证工作负载身份

## 关键术语

### SPIFFE ID

SPIFFE ID 是工作负载的唯一标识符，格式如下：

```
spiffe://<信任域>/<路径>
```

例如：
```
spiffe://example.org/web-server
spiffe://example.org/ns/production/sa/api
```

### 信任域（Trust Domain）

信任域是 SPIFFE ID 的命名空间，代表管理和信任边界。信任域通常对应一个组织或环境。

### SVID（SPIFFE Verifiable Identity Document）

SVID 是包含 SPIFFE ID 的加密文档，用于证明工作负载的身份。SPIRE 支持两种类型的 SVID：

- **X.509-SVID**: X.509 证书
- **JWT-SVID**: JWT 令牌

### 工作负载（Workload）

工作负载是指任何需要身份标识的软件实体，例如：

- 容器
- 虚拟机
- 进程
- 服务

### 注册条目（Registration Entry）

注册条目定义了：

- 工作负载的 SPIFFE ID
- 工作负载的选择器（用于识别工作负载）
- SVID 的有效期
- 其他属性

## 架构概览

```{mermaid}
graph TB
    subgraph "SPIRE Server"
        CA[证书颁发机构]
        DS[数据存储]
        NA[节点证明器]
    end
    
    subgraph "SPIRE Agent"
        WA[工作负载证明器]
        WL[Workload API]
    end
    
    subgraph "工作负载"
        APP[应用程序]
    end
    
    CA --> DS
    NA --> CA
    Agent --> Server
    WA --> WL
    APP --> WL
```

## 下一步

了解 {doc}`/1.overview/trust-model` 以深入理解 SPIRE 的信任机制。