# 插件参考

```{toctree}
:maxdepth: 2

node-attestors
workload-attestors
key-managers
upstream-authorities
```

## 概述

SPIRE 使用插件架构提供可扩展性。本章节详细介绍各类插件的配置和使用。

## 插件类型

### Server 插件

| 类型 | 描述 |
|------|------|
| DataStore | 持久化存储（仅 SQL） |
| KeyManager | 签名密钥管理 |
| NodeAttestor | 验证 Agent 身份 |
| UpstreamAuthority | 上游 CA 集成 |
| BundlePublisher | 信任包发布 |
| Notifier | 事件通知 |
| CredentialComposer | SVID 自定义 |

### Agent 插件

| 类型 | 描述 |
|------|------|
| KeyManager | Agent 密钥管理 |
| NodeAttestor | 生成节点证明数据 |
| WorkloadAttestor | 识别工作负载 |
| SVIDStore | 外部 SVID 存储 |

## 配置语法

```hcl
plugins {
    <类型> "<名称>" {
        # 外部插件路径（可选）
        plugin_cmd = "/path/to/plugin"
        
        # 插件校验和（可选）
        plugin_checksum = "sha256:abc123..."
        
        # 插件配置
        plugin_data {
            key = "value"
        }
    }
}
```

## 插件选择指南

### 云环境

| 云平台 | NodeAttestor | KeyManager | UpstreamAuthority |
|--------|--------------|------------|-------------------|
| AWS | `aws_iid` | `aws_kms` | `aws_pca` |
| GCP | `gcp_iit` | `gcp_kms` | - |
| Azure | `azure_msi` | `azure_keyvault` | - |

### Kubernetes

| 场景 | 插件 |
|------|------|
| Agent 证明 | `k8s_psat` (推荐) 或 `k8s_sat` |
| 工作负载证明 | `k8s` |
| 信任包分发 | `k8sbundle` (Notifier) |

### 裸机/虚拟机

| 场景 | 插件 |
|------|------|
| 初始引导 | `join_token` |
| 持久证明 | `x509pop` |
| SSH 证明 | `sshpop` |

## 下一步

- {doc}`/6.plugins/node-attestors` - 节点证明器详解
- {doc}`/6.plugins/workload-attestors` - 工作负载证明器详解
- {doc}`/6.plugins/key-managers` - 密钥管理器详解
- {doc}`/6.plugins/upstream-authorities` - 上游授权详解