Search for a command to run...
Articles tagged with #spiffe
前面关于 SPIRE 的内容中,介绍了使用 JOIN Token 证实节点身份的方法。这种方法比较简易,但是完全依赖 SPIRE Server/Agent 的“内循环”,并不利于外部管理,同时每次节点更新,都要照本宣科的重来一遍。对于动态集群来说,这种方式并不理想,SPIRE 包含了面向 OpenStack、几大公有云以及 TPM 等的花钱证实节点身份的方案;除了这些之外,还有个经济型的证实方法——使用 SSH。 我们一般使用的免密登录 SSH 方案通常是点对点的,总结来说就是服务器和客户端各自...
开始之前 SPIFFE 是一个认证框架,能为多种节点和工作负载类型提供证实能力,解决“我是我”的问题,前面文章演示过用 SPIRE 给类 Unix 进程提供身份的方法,今天这篇就试试给 Pod 提供身份。 这次实验会在前面的基础之上,在 Kubernetes 集群之外运行独立的 SPIRE Server,在集群中用 Pod 的形式运行 SPIRE Agent 作为节点,最后在其它 Pod 中访问 SPIRE Agent,获取 SVID。本文所涉及的对象关系如下图所示: 开始之前,需要做一些准备...
原文:Scaling SPIRE SPIRE 的容量是有限的,随着工作负载强度的不同,需要有不同的规模。一套 SPIRE 中的 Server 部分,可能由一或多个共享数据存储的 SPIRE Server 组成;还可以是同一信任域的多个 SPIRE Server;至少有一个 SPIRE Agent,当然,多数时候是多个 Agent。 部署规模和负载规模相关。单个 SPIRE Server 能够承载一定数量的 Agent 和注册项。SPIRE Server 负责管理和签发注册项的身份,因此它的内存和...
之前对 SPIFFE 和 SPIRE 进行了一个相对全面/啰嗦的介绍,这一篇就反过来,用一个简单的例子来展示 SPIRE 的基本用法,本文中会以 NGINX 作为服务生产方,使用 Ghostunnel 当做 NGINX 的反向代理,把原有的 HTTP 通信升级为支持定期正顺轮转的双向 TLS 认证协议,并且用 CURL 使用客户端证书来通过 Ghostunnel 安全地访问背后的 NGINX。这里为 CURL 和 NGINX 提供证书以及轮转的,就是 SPIRE 的 Server 和 Agent...
前言 大概很多人和我一样,是从 Istio 那里听说 SPIFFE(读音 Spiffy [ˈspɪfi]) 的,Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity Framework For Every one,顾名思义,这是一个解决身份问题的框架;而 SPIRE 则是 SPIFFE 的一个实现,全称为 SPIFFE Runtime Environment。 一个“我是谁”的问题,真的需要大动干戈?甚至能养活两个项目:...
这次介绍的是在 SPIRE Server 和 Vault Server 之间建立 OIDC 联邦的方法。设置联邦之后,SPIRE 认证的工作负载就能使用 JWT-SVID 来通过 Vault Server 的认证。这样依赖,工作负载就无需使用 AppRole 或者用户名密码的方式来进行认证了。 这里解决的就是 0 号海龟问题:如何使用 SPIRE 作为 idP,让应用通过免认证 API 获取自己的身份,以此作为凭据来访问联邦中的 SP 服务 本文的操作将会涉及以下内容: 部署 OIDC Dis...
