Posted on 五 24 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Architecture, Kubernetes
SPIRE 系列第二篇:在理解 Workload Identity 与 Zero Trust 目标之后,拆开 SPIRE Server、Agent、Registration Entry、Workload API、部署模式与插件体系。
Posted on 四 23 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Workload Identity, Zero Trust, Kubernetes
SPIRE 系列第一篇:从为什么需要 Workload Identity 开始,解释 SPIFFE/SPIRE 的核心概念、落地路径、部署模式和资源成本,为后续架构、安全与实战 Lab 打基础。
Posted on 三 15 4月 2026 in Journal • Tagged with Kubernetes, cert-manager, Venafi, TLS, certificate, security, DevOps
很多团队把 TLS 证书当成一次性配置,直到某个周五晚上证书快过期了,才想起这件事不能靠日历提醒。本文以 Kubernetes 服务为例,讲清楚怎么把 cert-manager 当执行层,把 Venafi 当策略和 CA 门卫,做到声明式签发、自动续期、私钥轮转,以及应用侧平滑 reload。
Posted on 四 19 3月 2026 in Journal • Tagged with journal, blog, security, cloud, kubernetes, iam, workload identity
Posted on 二 27 1月 2026 in Tech • Tagged with programming, DevOps, Declarative, Kubernetes, Terraform, GitOps, Infrastructure as Code
Posted on 日 25 1月 2026 in Tech • Tagged with Kubernetes, EKS, AWS, IAM, IRSA, OIDC, security, STS
Node Role 像一把“万能钥匙”。IRSA 让你把权限精确绑定到 Pod:用 Kubernetes 的 ServiceAccount token 走 OIDC 联邦,去 STS 换临时凭证。
Posted on 六 24 1月 2026 in Tech • Tagged with Kubernetes, raspberry-pi, homelab, edge-computing, IoT