Apr 30, 2024 · 3 min read · Need for ZTN Firstly, Zero Trust Network is where no network entity is trusted by default or with respect to its position in the network. Every workload, node, machine needs to continuously identify itself. Shortcomings of traditional network archite...
Join discussion
Dec 17, 2022 · 2 min read · 前面关于 SPIRE 的内容中,介绍了使用 JOIN Token 证实节点身份的方法。这种方法比较简易,但是完全依赖 SPIRE Server/Agent 的“内循环”,并不利于外部管理,同时每次节点更新,都要照本宣科的重来一遍。对于动态集群来说,这种方式并不理想,SPIRE 包含了面向 OpenStack、几大公有云以及 TPM 等的花钱证实节点身份的方案;除了这些之外,还有个经济型的证实方法——使用 SSH。 我们一般使用的免密登录 SSH 方案通常是点对点的,总结来说就是服务器和客户端各自...
Join discussionNov 24, 2022 · 4 min read · 开始之前 SPIFFE 是一个认证框架,能为多种节点和工作负载类型提供证实能力,解决“我是我”的问题,前面文章演示过用 SPIRE 给类 Unix 进程提供身份的方法,今天这篇就试试给 Pod 提供身份。 这次实验会在前面的基础之上,在 Kubernetes 集群之外运行独立的 SPIRE Server,在集群中用 Pod 的形式运行 SPIRE Agent 作为节点,最后在其它 Pod 中访问 SPIRE Agent,获取 SVID。本文所涉及的对象关系如下图所示: 开始之前,需要做一些准备...
Join discussionNov 24, 2022 · 3 min read · 原文:Scaling SPIRE SPIRE 的容量是有限的,随着工作负载强度的不同,需要有不同的规模。一套 SPIRE 中的 Server 部分,可能由一或多个共享数据存储的 SPIRE Server 组成;还可以是同一信任域的多个 SPIRE Server;至少有一个 SPIRE Agent,当然,多数时候是多个 Agent。 部署规模和负载规模相关。单个 SPIRE Server 能够承载一定数量的 Agent 和注册项。SPIRE Server 负责管理和签发注册项的身份,因此它的内存和...
Join discussionOct 22, 2022 · 4 min read · 之前对 SPIFFE 和 SPIRE 进行了一个相对全面/啰嗦的介绍,这一篇就反过来,用一个简单的例子来展示 SPIRE 的基本用法,本文中会以 NGINX 作为服务生产方,使用 Ghostunnel 当做 NGINX 的反向代理,把原有的 HTTP 通信升级为支持定期正顺轮转的双向 TLS 认证协议,并且用 CURL 使用客户端证书来通过 Ghostunnel 安全地访问背后的 NGINX。这里为 CURL 和 NGINX 提供证书以及轮转的,就是 SPIRE 的 Server 和 Agent...
Join discussionSep 27, 2022 · 6 min read · 前言 大概很多人和我一样,是从 Istio 那里听说 SPIFFE(读音 Spiffy [ˈspɪfi]) 的,Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity Framework For Every one,顾名思义,这是一个解决身份问题的框架;而 SPIRE 则是 SPIFFE 的一个实现,全称为 SPIFFE Runtime Environment。 一个“我是谁”的问题,真的需要大动干戈?甚至能养活两个项目:...
Join discussionMay 11, 2017 · 5 min read · 这次介绍的是在 SPIRE Server 和 Vault Server 之间建立 OIDC 联邦的方法。设置联邦之后,SPIRE 认证的工作负载就能使用 JWT-SVID 来通过 Vault Server 的认证。这样依赖,工作负载就无需使用 AppRole 或者用户名密码的方式来进行认证了。 这里解决的就是 0 号海龟问题:如何使用 SPIRE 作为 idP,让应用通过免认证 API 获取自己的身份,以此作为凭据来访问联邦中的 SP 服务 本文的操作将会涉及以下内容: 部署 OIDC Dis...
Join discussion