SPIRE教程：使用SPIFFE Federation实现跨SPIRE服务器的身份认证

2025-06-05 17:06:15作者：滑思眉Philip

概述

本文介绍如何使用SPIFFE Federation功能，使运行在不同SPIRE服务器下的工作负载能够相互认证。我们将通过一个股票报价应用场景，详细讲解SPIRE服务器的配置方法、信任域间的信任建立过程，以及工作负载的注册方式。

技术背景

SPIFFE（Secure Production Identity Framework For Everyone）是一套为现代生产环境提供安全身份标识的框架。SPIRE（SPIFFE Runtime Environment）则是SPIFFE规范的参考实现。在分布式系统中，工作负载可能分布在不同的信任域（Trust Domain）中，SPIFFE Federation功能允许这些工作负载跨越信任域边界进行安全通信。

应用场景

我们模拟一个股票经纪商系统：

用户通过浏览器访问经纪商的股票报价页面
经纪商Web应用向股票市场服务发起HTTPS请求获取报价数据
股票市场服务返回报价数据
Web应用渲染页面返回给用户
页面JavaScript每1秒自动刷新数据

在这个场景中：

经纪商Web应用运行在broker.example信任域
股票市场服务运行在stockmarket.example信任域
两个服务需要通过mTLS相互认证

准备工作

实施SPIFFE Federation需要：

两个SPIRE Server实例（版本1.11.2+）
两个SPIRE Agent（版本1.11.2+），分别连接到各自的SPIRE Server
两个需要通过mTLS通信的工作负载

配置SPIRE Federation端点

使用SPIFFE认证

在broker.example的SPIRE Server配置中(server.conf)添加：

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 8443
        }
    }
}

stockmarket.example的配置类似，只是信任域名不同。

使用Web PKI认证

如果选择使用Web PKI认证（如Let's Encrypt），配置如下：

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 443
            acme {
                domain_name = "broker.example"
                email = "admin@example.com"
                tos_accepted = true
            }
        }
    }
}

注意：使用Web PKI需要拥有配置的域名并能解析到SPIRE Server。

配置信任包获取

SPIFFE认证配置

在broker.example的SPIRE Server中添加：

federates_with "stockmarket.example" {
    bundle_endpoint_url = "https://spire-server-stock:8443"
    bundle_endpoint_profile "https_spiffe" {
        endpoint_spiffe_id = "spiffe://stockmarket.example/spire/server"
    }
}

stockmarket.example需要类似的配置指向broker.example。

Web PKI认证配置

如果使用Web PKI，配置简化为：

federates_with "broker.example" {
    bundle_endpoint_url = "https://spire-server-broker:443"
    bundle_endpoint_profile "https_web" {}
}

信任引导

导出broker.example的信任包：

spire-server bundle show -format spiffe > broker.example.bundle

在stockmarket.example的SPIRE Server中导入：

spire-server bundle set -format spiffe -id spiffe://broker.example -path broker.example.bundle

反向操作导出并导入stockmarket.example的信任包

注意：Web PKI认证不需要手动导入信任包。

创建工作负载注册条目

经纪商Web应用

在broker.example的SPIRE Server上执行：

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://broker.example/webapp \
    -selector unix:user:webapp \
    -federatesWith "spiffe://stockmarket.example"

股票市场服务

在stockmarket.example的SPIRE Server上执行：

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://stockmarket.example/quotes-service \
    -selector unix:user:quotes-service \
    -federatesWith "spiffe://broker.example"

实践演示

环境准备

确保已安装Docker和Docker Compose
准备Go 1.14.4+环境

构建和运行

构建所需文件：
```
./build.sh
```
启动SPIRE服务器和应用：
```
docker compose up -d
```
启动SPIRE Agent：
```
./1-start-spire-agents.sh
```
引导信任：
```
./2-bootstrap-federation.sh
```
创建工作负载注册：
```
./3-create-registration-entries.sh
```

验证结果

访问http://localhost:8080/quotes，应该能看到每1秒自动刷新的股票报价数据。

配置检查

查看经纪商SPIRE Server配置：

docker compose exec spire-server-broker cat conf/server/server.conf

查看股票市场SPIRE Server配置：

docker compose exec spire-server-stock cat conf/server/server.conf

总结

通过本教程，我们实现了：

配置SPIRE服务器的Federation端点
建立跨信任域的信任关系
注册工作负载并启用Federation功能
验证跨信任域的mTLS通信

SPIFFE Federation为分布式系统中的服务间安全通信提供了灵活可靠的解决方案，特别适合多云和混合云环境。

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

docs

OpenHarmony documentation | OpenHarmony开发者文档

Ascend Extension for PyTorch

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

openJiuwen agent-studio提供零码、低码可视化开发和工作流编排，模型、知识库、插件等各资源管理能力

TSX

986

248