由于工作负载处于早期阶段,可能不具备以下知识 它的身份或应该信任的人,很难保护 访问端点。结果,SPIFFE工作负载端点 应该通过本地端点公开,实现者应该 请勿将同一终结点实例公开给多个主机。
您能解释一下这是什么意思,以及Istio如何实现吗?
答案 0 :(得分:1)
实际上,Istio网状服务通过Istio Security机制使用相同的身份证明文件SVID采用SPIFFE标准策略。 Istio Citadel是安全配置各种身份的关键组件,并提供凭据管理。
在不久的将来在Istio网格中使用Node agent以便通过Envoy秘密发现服务(SDS)API发现相关服务是可行的,这种方法与SPIRE设计非常相似。
官方文档中介绍了SPIRE设计的关键概念,您可以在下面找到:
SPIRE由两个组件组成,一个代理和一个服务器。
服务器提供SPIFFE ID的中央注册表,并且 描述哪些工作负载有权使用的证明策略 假设这些身份。证明政策描述了属性 必须显示工作负载才能获得身份, 通常描述为流程属性的混合(例如 Linux UID)和基础架构属性(例如,在 具有特定的EC2标签。
该代理可以在任何计算机(或更正式地说,是任何内核)上运行,并且 将本地工作负载API公开给需要检索 SPIFFE ID,密钥或信任捆绑。在* nix系统上,Workload API为 通过Unix域套接字在本地公开。通过验证 调用工作负载的属性,工作负载API避免了要求 提供身份验证密钥的工作量。
SPIRE有望成为工作负载身份验证机制的主要贡献者,但是到目前为止,它正处于开发阶段,希望在生产部署中实现未来的实现。