SPIFFE/SPIRE服务器可以安装在GKE的任何节点上吗？

Question

SPIFFE/SPIRE服务器可以安装在GKE的任何节点上吗？如果是，集群中其他节点中的一个节点将同时安装服务器和代理。是否需要在该节点上运行代理，以及运行SPIRE Server的代理？

请解释一下。

Answer 1

根据在SPIRE Slack上收到的评论，

在GKE (和其他托管的k8s)上，您只获得工作节点，因此无论如何都无法部署到主节点。但是，最后，在主服务器上运行SPIRE服务器有一些优点(潜在的安全性)和一些缺点(可伸缩性)。在实践中，这可能不太可能，但这是一个公平的辩论。通常，您会将SPIRE服务器作为StatefulSet部署到一些符合可伸缩性和可用性目标的节点，并将SPIRE代理部署为DaemonSet，在集群中的每个节点上运行它。除非您正在通过k8s调度程序执行一些非常特定的目标部署，例如通过标签选择器为非常特定的使用(在这种情况下您不会运行任何SPIFFE工作负载)调度的单独的节点池或节点子集，这就是我处理它的方式--在所有节点上放置SPIRE代理，这样它就可以用于所有工作负载。