首页
/ SPIRE教程:使用SPIFFE Federation实现跨SPIRE服务器的身份认证

SPIRE教程:使用SPIFFE Federation实现跨SPIRE服务器的身份认证

2025-06-05 06:50:20作者:滑思眉Philip

概述

本文介绍如何使用SPIFFE Federation功能,使运行在不同SPIRE服务器下的工作负载能够相互认证。我们将通过一个股票报价应用场景,详细讲解SPIRE服务器的配置方法、信任域间的信任建立过程,以及工作负载的注册方式。

技术背景

SPIFFE(Secure Production Identity Framework For Everyone)是一套为现代生产环境提供安全身份标识的框架。SPIRE(SPIFFE Runtime Environment)则是SPIFFE规范的参考实现。在分布式系统中,工作负载可能分布在不同的信任域(Trust Domain)中,SPIFFE Federation功能允许这些工作负载跨越信任域边界进行安全通信。

应用场景

我们模拟一个股票经纪商系统:

  1. 用户通过浏览器访问经纪商的股票报价页面
  2. 经纪商Web应用向股票市场服务发起HTTPS请求获取报价数据
  3. 股票市场服务返回报价数据
  4. Web应用渲染页面返回给用户
  5. 页面JavaScript每1秒自动刷新数据

在这个场景中:

  • 经纪商Web应用运行在broker.example信任域
  • 股票市场服务运行在stockmarket.example信任域
  • 两个服务需要通过mTLS相互认证

准备工作

实施SPIFFE Federation需要:

  1. 两个SPIRE Server实例(版本1.11.2+)
  2. 两个SPIRE Agent(版本1.11.2+),分别连接到各自的SPIRE Server
  3. 两个需要通过mTLS通信的工作负载

配置SPIRE Federation端点

使用SPIFFE认证

broker.example的SPIRE Server配置中(server.conf)添加:

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 8443
        }
    }
}

stockmarket.example的配置类似,只是信任域名不同。

使用Web PKI认证

如果选择使用Web PKI认证(如Let's Encrypt),配置如下:

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 443
            acme {
                domain_name = "broker.example"
                email = "admin@example.com"
                tos_accepted = true
            }
        }
    }
}

注意:使用Web PKI需要拥有配置的域名并能解析到SPIRE Server。

配置信任包获取

SPIFFE认证配置

broker.example的SPIRE Server中添加:

federates_with "stockmarket.example" {
    bundle_endpoint_url = "https://spire-server-stock:8443"
    bundle_endpoint_profile "https_spiffe" {
        endpoint_spiffe_id = "spiffe://stockmarket.example/spire/server"
    }
}

stockmarket.example需要类似的配置指向broker.example

Web PKI认证配置

如果使用Web PKI,配置简化为:

federates_with "broker.example" {
    bundle_endpoint_url = "https://spire-server-broker:443"
    bundle_endpoint_profile "https_web" {}
}

信任引导

  1. 导出broker.example的信任包:

    spire-server bundle show -format spiffe > broker.example.bundle
    
  2. stockmarket.example的SPIRE Server中导入:

    spire-server bundle set -format spiffe -id spiffe://broker.example -path broker.example.bundle
    
  3. 反向操作导出并导入stockmarket.example的信任包

注意:Web PKI认证不需要手动导入信任包。

创建工作负载注册条目

经纪商Web应用

broker.example的SPIRE Server上执行:

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://broker.example/webapp \
    -selector unix:user:webapp \
    -federatesWith "spiffe://stockmarket.example"

股票市场服务

stockmarket.example的SPIRE Server上执行:

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://stockmarket.example/quotes-service \
    -selector unix:user:quotes-service \
    -federatesWith "spiffe://broker.example"

实践演示

环境准备

  1. 确保已安装Docker和Docker Compose
  2. 准备Go 1.14.4+环境

构建和运行

  1. 构建所需文件:

    ./build.sh
    
  2. 启动SPIRE服务器和应用:

    docker compose up -d
    
  3. 启动SPIRE Agent:

    ./1-start-spire-agents.sh
    
  4. 引导信任:

    ./2-bootstrap-federation.sh
    
  5. 创建工作负载注册:

    ./3-create-registration-entries.sh
    

验证结果

访问http://localhost:8080/quotes,应该能看到每1秒自动刷新的股票报价数据。

配置检查

查看经纪商SPIRE Server配置:

docker compose exec spire-server-broker cat conf/server/server.conf

查看股票市场SPIRE Server配置:

docker compose exec spire-server-stock cat conf/server/server.conf

总结

通过本教程,我们实现了:

  1. 配置SPIRE服务器的Federation端点
  2. 建立跨信任域的信任关系
  3. 注册工作负载并启用Federation功能
  4. 验证跨信任域的mTLS通信

SPIFFE Federation为分布式系统中的服务间安全通信提供了灵活可靠的解决方案,特别适合多云和混合云环境。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
143
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
927
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8