云原生项目SPIFFE 和 SPIRE之间的关系

最新推荐文章于 2024-03-24 09:53:24 发布
最新推荐文章于 2024-03-24 09:53:24 发布
阅读量1.1k 收藏
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25650463/article/details/109048081
版权

SPIFFE 和 SPIRE 是一对的,SPIFFE 定义了服务的认证标准和认证信息的标准,SPIRE 是它的一个实现,但是目前还没有达到生产可用。
参考地址:https://blog.csdn.net/M2l0ZgSsVc7r69eFdTj/article/details/78955606

近日,SPIFFE 和 SPIRE 通过 CNCF 技术监督委员会(Technical Oversight Committee,TOC)投票,成为孵化级托管项目。SPIFFE 规范定义了一种标准,通过使用平台无感的加密标识,在云原生环境中对软件服务进行身份验证。SPIRE 是在各种平台上实现 SPIFFE 规范的代码,并对发布身份实施多因素认证。

随着越来越多组织拥抱混合云、多云、容器及边缘运算,零信任的价值愈趋明显。在云端分散式微服务架构中,组件之间的通信需要一个机制来验证各种信息的真实性,而 SPIFFE 与 SPIRE 正是为云端及基于容器的微服务打造服务身份认证能力的两个项目。

SPIFFE 和 SPIRE 还被多种云原生技术使用并与之集成,包括 Istio、CNCF 项目 Envoy、gRPC 和 Open Policy Agent(OPA),其还为托管在 Kubernetes 与其他平台上工作负载之间的交叉身份验证提供了基础。

项目地址:spiffe.io

夏天的风~
关注
SPIRE 架构、基本概念及原理介绍
ServiceMesher
06-14 885
这篇文章将向你介绍 SPIRE 的架构、基本概念及原理。SPIRE 是SPIFFE API[1]的一个生产就绪的实现,它执行节点和工作负载认证,以便根据一组预先定义的条件,安全地向工作负载发出 SVID,并验证其他工作负载的 SVID。SPIFFE,即 Secure Production Identity Framework for Everyone,是一套开源标准,...
云原生容器部署
m0_74079109的博客
10-13 390
综合分析后提供实时的容器网 络连接图,强大的容器可化可以用于安全监控、拓扑分析、即时调整、事件响应、容器网络抓包甚至应用容器 调试等。同时也完全支持各种公有云、私有云容器。Notary 架构主要由 Server 和 Client 组成,Server 端主要运行并维护一个容器的受信集合,Client 端与 Server 交互,通过一种简单的方式,实现更安全的内容发布以及内容验证。Spiffe[81]是 Google 积极推动的、开放的、社区驱动的服务安全框架,主要用于识别和保护基于 Web 的服务 间通信。
研发中:联邦SPIFFE信任域
weixin_34352005的博客
12-18 137
作者:Daniel Feldman 介绍 联邦信任域是SPIFFESPIRE最高需求和活跃开发的功能之一。在这篇博文中,我将概述我们当前的计划以及实施它的挑战。 什么是联邦? SPIFFE信任域中的证书共享一个信任根。 这是一个根信任捆绑包,由使用非标准化格式和协议在控制平面之间和内部共享的多个证书组成。 然而,这还不够好。许多组织都...
spire-lab:简单的K8S实验室,用于Spiffespire AWS集成架构
03-21
尖塔实验室 适用于Spiffe / spire AWS集成架构的简单k8s实验室。 该实验室的目的是提供由spiffe / spire支持的微服务安全层。 申请启动spire-lab的先决条件 安装aws cli 链接: : 配置aws_security文件: vi ~/.aws/credentials 像这样的东西: [aws-security] aws_access_key_id = <AWS> aws_secret_access_key = <AWS> 安装terraform 链接: : 安装terragrunt 链接: : 安装后,运行: terragrunt state rm " kubernetes_config_map.aws_auth[0] " 安装jq 链接: : 安装helm3 链接
spiffe-spring-boot-example:通过SpiffeSpire管理Java证书的示例
05-19
Spiffe / Spire Spring Boot Tomcat示例 这是一个有关如何将Spiffe / Spire发行的动态X509证书集成到Java Web Server中的示例。 服务器启动时,它将从spire-agent中检索所有已颁发的SVID和X509证书。 检索到的证书,密钥和ca证书将存储在Java密钥库中。 之后,服务器将每5分钟更新一次他的SVID和证书。 此示例中的问题不是与Spire交互,而是让Tomcat和Java KeyStore处理动态证书,这些证书在启动期间不可用,但必须在服务器启动后进行检索和配置。 运行这个例子 必需的: 无论是Linux还是BSD系统,因为该应用程序与spire之间的通信都需要一个Unix域套接字 Gradle构建应用程序 正在运行的Spire服务器。 与该应用程序匹配的Spire条目。 cmd/spire-server/sp
一文带你理解云原生 | 云原生全景图详解
easylife206的专栏
07-01 658
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !1带你了解云原生技术图谱如果你研究过云原生应用程序和相关技术,大概率你遇到过 CNCF 的云原生全景图。这...
SPIFFESPIRE:云安全身份验证的标准和实现
DaoCloud_daoke的博客
08-29 930
在容器化、微服务、公有云和私有云流行起来之前,基于边界的网络模型已经在传统企业内使用了 20 多年。这种安全模型将网络划分为不同的隔离区,不同区域之间又通过防火墙进行隔离,它假设同一隔离区内的任何人都是可信的,隔离区外的任何人都是不可信的。这一模型在近 10 年间暴露出了很多缺陷...
尖塔:SPIFFE运行时环境
02-24
( 运行时环境)是API的工具链,用于在各种托管平台上的软件系统之间建立信任。 公开了 ,该可以证明正在运行的软件系统,并向它们发布和 。 这进而允许两个工作负载在彼此之间建立信任,例如通过建立mTLS连接或通过签名和验证JWT令牌。 SPIRE还可以使工作负载安全地对秘密存储,数据库或云提供商服务进行身份验证。 SPIRE由 (CNCF) 托管。 如果您是一个希望帮助塑造容器包装,动态调度和面向微服务的技术发展的组织,请考虑加入CNCF。 获得SPIRE 可以在找到SPIRE的预构建版本。 这些版本包含SPIRE Server和SPIRE Agent二进制文件。 或者,您可以 。 了解SPIRE 在尝试SPIRE之前,最好先了解其和设计目标。 准备好开始使用后,请参阅Kubernetes,Linux和MacOS的。 在和存储库中,有几个示例说明了SPIRE的用法。 在查看生产
云原生计算基础策略存储库
01-05
9. **安全性**:云原生环境的安全性非常重要,包括容器安全、网络策略、身份和访问管理,以及使用CNCF项目SPIFFESPIRE进行服务认证。 10. **最佳实践**:学习并实施云原生的最佳实践,如12因素应用原则、金丝雀...
灵雀云首席架构师解析:云原生DevOps工具链与实践
- **Frameworks**:如SPIFFESPIRE,用于身份管理和安全。 - **Thanos**:用于Kubernetes监控数据的可扩展性。 此外,文章还介绍了**sandbox沙盒**类别,这些是用于测试和隔离的轻量级环境,如ArtifactHub、...
Envoy外部授权API与SPIFFE Workload API的桥梁-Golang开发
05-26
此服务与spire-agent通信,以获取和验证通过HTTP发送给它的JWT-SVID,通常是使用ext_authz从特使那里获取的。 Emissary此服务与spire-agent进行通信,以获取和验证通过HTTP发送给它的JWT-SVID,通常通过ext_authz从特使那里获取该服务。 注意::construction:Emissary功能齐全且经过良好测试,但应视为Alpha /实验软件。 如果您发现任何错误,请通过发布问题或请求请求让我们知道。 Emissary的工作方式Emissary使用Envoy的ext_authz过滤器(或任何代理中的另一种方法来执行子请求并根据结果,lua等采取行动)以允许或
spire-docker-compose:基于docker-compose的示例示例,与HOS网关联合实现了spire和envoy的部署
04-08
指示 替换信任域 运行scripts/replace-trust-domain.sh以自动将example.com所有引用替换为您自己的信任域。 启动SPIRE服务器 $ docker-compose -f docker-compose.spire-server.yml up -d 设置AnthemAI信任域 运行scripts/trust-anthem-trust-bundle.sh提取AnthemAI证书颁发机构,并将其添加到您的spire服务器中。 创建加入令牌并编辑docker-compose.services.yml 运行scripts/create-envoy-spire-entry.sh ,这将为spire代理创建一个连接令牌,该令牌用于修改以下文件。 示例: docker-compose.services.yml - - REPLACE_WITH_JOIN_TOKEN
CNCF 云原生容器生态系统概要
Docker的专栏
12-31 6575
CNCF(Cloud Native Compute Foundation) 是 Linux 基金会旗下的一个组织,旨在推动以容器为中心的云原生系统。从 2016 年 11 月,CNCF 开始维护了一个名为 Cloud Native Landscape [1]的 repo,汇总目前比较流行的云原生技术,并加以分类,希望能为企业构建云原生体系提供参考。2017 年 12 月 06 日,Landscap
简而言之SPIFFE
最佳 Java 编程
06-12 1989
我一直在研究SPIFEE(每个人的安全生产身份框架)[1],在这里,我正在按照我现在的理解起草流程,以使任何试图理解流程的人受益。 身份注册表 – SPIRE服务器具有自己的身份注册表,该注册表保留两个粗粒度属性,这些属性决定如何将SPIFFE ID发布给工作负载。 它保留了下表中的详细信息。 特殊ID 节点选择器 Craft.io选择器 spiffe://abc...
零信任安全:SPIFFESPIRE 通用身份验证的标准和实现
hanfengzxh的博客
09-16 809
最近正在读 《Solving the Bottom Turtle》 这本书,这篇是对部分内容的总结和思考,由于内容较多,会分几篇来发。 这本书的副标题是: a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity. 通过通用身份以 SPIFFE 的方式在基础设施中建立信任。 大家记住其中的有几个关键词:通用身份、SPIFFE 的方式、基础设施、建立信任。 背景 零信任是一种异常火热的安全模型,在之前翻译
探索Spire:一个强大的Scala数学库
最新发布
gitblog_00064的博客
03-24 459
探索Spire:一个强大的Scala数学库 spirePowerful new number types and numeric abstractions for Scala.项目地址:https://gitcode.com/gh_mirrors/spi/spire 是一个在Scala中广泛使用的数学和数值计算库。它提供了丰富的数学类型,包括整数、浮点数、复数、有理数、向量、矩阵等,并且支持高精...
云原生爱好者周刊:为 DevOps 流水线准备的 macOS 虚拟化工具
KubeSphere
05-24 666
开源项目推荐 Tart Tart 是一个虚拟化工具集,用于构建、运行和管理 Apple Silicon 芯片 macOS 上的虚拟机,主要目的是为 CI 流水线的特殊任务提供运行环境。主要亮点: 使用 macOS 最新的虚拟化框架 Virtualization.Framework 来创建虚拟机。 可以从 OCI 镜像仓库中拉取/推送虚拟机镜像。 可以使用 Tart 的 Packer 插件来自动化虚拟机创建流程。 内置 CI 集成。 Kcli Kcli 是一个虚拟化平台管理工具,支持几乎所有的虚拟化平台
迁移学习 简而言之_简而言之SPIFFE
最佳 Java 编程
07-05 241
迁移学习 简而言之 我一直在研究SPIFEE(每个人的安全生产身份框架)[1],在这里,我正在按照我现在的理解起草流程,以使任何其他试图了解流程的人受益。 身份注册表 – SPIRE服务器具有自己的身份注册表,该注册表保留两个粗粒度属性,这些属性决定如何将SPIFFE ID发布给工作负载。 它保留了下表中的详细信息。 特殊ID 节点选择器 Craft.io选择器 s...
《零信任的基石:使用 SPIFFE 为基础设施创建通用身份》翻译电子书分享
ServiceMesher
10-08 149
国庆假期除了去浙江和安徽玩了一圈欣赏江南山水和徽派建筑之外,还抽空翻译了一本电子书。本书译自 Solving the Bottom Turtle — a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity。你可以选择在线阅读(推荐):https://lib.jimmysong.io/spiffe/,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值