SPIRE教程：使用SPIFFE Federation实现跨SPIRE服务器的身份认证

概述

本文介绍如何使用SPIFFE Federation功能，使运行在不同SPIRE服务器下的工作负载能够相互认证。我们将通过一个股票报价应用场景，详细讲解SPIRE服务器的配置方法、信任域间的信任建立过程，以及工作负载的注册方式。

技术背景

SPIFFE（Secure Production Identity Framework For Everyone）是一套为现代生产环境提供安全身份标识的框架。SPIRE（SPIFFE Runtime Environment）则是SPIFFE规范的参考实现。在分布式系统中，工作负载可能分布在不同的信任域（Trust Domain）中，SPIFFE Federation功能允许这些工作负载跨越信任域边界进行安全通信。

应用场景

我们模拟一个股票经纪商系统：

1. 用户通过浏览器访问经纪商的股票报价页面
2. 经纪商Web应用向股票市场服务发起HTTPS请求获取报价数据
3. 股票市场服务返回报价数据
4. Web应用渲染页面返回给用户
5. 页面JavaScript每1秒自动刷新数据

在这个场景中：

• 经纪商Web应用运行在broker.example信任域
• 股票市场服务运行在stockmarket.example信任域
• 两个服务需要通过mTLS相互认证

准备工作

实施SPIFFE Federation需要：

1. 两个SPIRE Server实例（版本1.11.2+）
2. 两个SPIRE Agent（版本1.11.2+），分别连接到各自的SPIRE Server
3. 两个需要通过mTLS通信的工作负载

配置SPIRE Federation端点

使用SPIFFE认证

在broker.example的SPIRE Server配置中(server.conf)添加：

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 8443
        }
    }
}

stockmarket.example的配置类似，只是信任域名不同。

使用Web PKI认证

如果选择使用Web PKI认证（如Let's Encrypt），配置如下：

server {
    trust_domain = "broker.example"
    federation {
        bundle_endpoint {
            address = "0.0.0.0"
            port = 443
            acme {
                domain_name = "broker.example"
                email = "admin@example.com"
                tos_accepted = true
            }
        }
    }
}

注意：使用Web PKI需要拥有配置的域名并能解析到SPIRE Server。

配置信任包获取

SPIFFE认证配置

在broker.example的SPIRE Server中添加：

federates_with "stockmarket.example" {
    bundle_endpoint_url = "https://spire-server-stock:8443"
    bundle_endpoint_profile "https_spiffe" {
        endpoint_spiffe_id = "spiffe://stockmarket.example/spire/server"
    }
}

stockmarket.example需要类似的配置指向broker.example。

Web PKI认证配置

如果使用Web PKI，配置简化为：

federates_with "broker.example" {
    bundle_endpoint_url = "https://spire-server-broker:443"
    bundle_endpoint_profile "https_web" {}
}

信任引导

1. 导出broker.example的信任包：

   spire-server bundle show -format spiffe > broker.example.bundle
   

2. 在stockmarket.example的SPIRE Server中导入：

   spire-server bundle set -format spiffe -id spiffe://broker.example -path broker.example.bundle
   

3. 反向操作导出并导入stockmarket.example的信任包

注意：Web PKI认证不需要手动导入信任包。

创建工作负载注册条目

经纪商Web应用

在broker.example的SPIRE Server上执行：

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://broker.example/webapp \
    -selector unix:user:webapp \
    -federatesWith "spiffe://stockmarket.example"

股票市场服务

在stockmarket.example的SPIRE Server上执行：

spire-server entry create \
    -parentID <agent_spiffe_id> \
    -spiffeID spiffe://stockmarket.example/quotes-service \
    -selector unix:user:quotes-service \
    -federatesWith "spiffe://broker.example"

实践演示

环境准备

1. 确保已安装Docker和Docker Compose
2. 准备Go 1.14.4+环境

构建和运行

1. 构建所需文件：

   ./build.sh
   

2. 启动SPIRE服务器和应用：

   docker compose up -d
   

3. 启动SPIRE Agent：

   ./1-start-spire-agents.sh
   

4. 引导信任：

   ./2-bootstrap-federation.sh
   

5. 创建工作负载注册：

   ./3-create-registration-entries.sh
   

验证结果

访问http://localhost:8080/quotes，应该能看到每1秒自动刷新的股票报价数据。

配置检查

查看经纪商SPIRE Server配置：

docker compose exec spire-server-broker cat conf/server/server.conf

查看股票市场SPIRE Server配置：

docker compose exec spire-server-stock cat conf/server/server.conf

总结

通过本教程，我们实现了：

1. 配置SPIRE服务器的Federation端点
2. 建立跨信任域的信任关系
3. 注册工作负载并启用Federation功能
4. 验证跨信任域的mTLS通信

SPIFFE Federation为分布式系统中的服务间安全通信提供了灵活可靠的解决方案，特别适合多云和混合云环境。