安全

本指南译自美国国家安全局（NSA）于 2021 年 8 月发布的的 Kubernetes Hardening Guidance。

文件变更历史 英文版 日期 版本 描述 2021 年 8 月 1.0 首次发布 中文版 日期 版本 描述 2021 年 8 月 8 日 1.0 首次发布 担保和认可的免责声明 本文件中的信息和意见是 “按原样” 提供的，没有任何保证或担保。本文件以

本教程在 Kubernetes 快速入门教程的基础上，演示了如何配置 SPIRE 以提供动态的 X.509 证书形式的服务身份，并由 Envoy 秘密发现服务（SDS）使用。本教程中展示了实现 X.509 SVID 身份验证所需的更改，因此你应该首先运行或至少阅读 Kubernetes 快速入门教程

SPIRE 是 SPIFFE API 的一个生产就绪的实现，它执行节点和工作负载认证，以便根据一组预先定义的条件，安全地向工作负载发出 SVID，并验证其他工作负载的 SVID。 SPIRE 架构和组件 SPIRE 部署由一个 SPIRE 服务器和一个或多个 SPIRE 代理组成。

嵌套 SPIRE 允许将 SPIRE 服务器“链接”在一起，并且所有 SPIRE 服务器都可以在同一信任域中发放身份，这意味着在同一信任域中标识的所有工作负载都可以使用根密钥验证其身份文档。 嵌套拓扑结构通过将一个 SPIRE 代理与每个下游 SPIRE 服务器

SPIFFE 标准提供了一种框架的规范，能够在异构环境和组织边界中引导和发放服务的身份。它定义了一种称为 SPIFFE 可验证身份文档（SVID）的身份文档。 SVID 本身并不代表一种新的文档类型。相反，我们提出了一个规范，定义了如何

本文指导你如何在 Linux 和 Kubernetes 上安装 SPIRE 服务器。 步骤 1：获取 SPIRE 二进制文件 预构建的 SPIRE 发行版可在 SPIRE 下载页面找到。tarball 包含服务器和代理二进制文件。 如果需要，你也可以从源代码构建 SPIRE。 步骤 2：安装服务器

SPIFFE ID 和 SVID X.509 SVID JWT SVID SPIFFE 工作负载 API SPIFFE 工作负载端点 SPIFFE 信任域和 Bundle SPIFFE 联邦

本文将指导你在 SPIRE 服务器中使用 SPIFFE ID 注册工作负载。 如何创建注册条目 注册条目包含以下内容： SPIFFE ID 一个或多个选择器集合 父级 ID 服务器将向代理发送所有有权在该节点上运行的工作负载的注册条目列表。代理缓存这些注册条目

本章介绍了 SPIFFE 的动机和它是如何诞生的。 压倒性的动机和需要 我们到达今天的位置，首先要经历一些成长的痛苦。 当互联网在 1981 年首次广泛使用时，它只有 213 个不同的服务器，而安全问题几乎没有被考虑到。随着互联计算机数量