Istio如何实现SPIFFE的这个规范点？

Question

在SPIFFE规范中，有人说

由于早期阶段的工作负载可能事先不知道其身份或应该信任谁，因此很难确保对端点的访问。因此，SPIFFE工作负载端点应该通过本地端点公开，而实现者不应该将同一个端点实例公开给多个主机。

你能解释一下这是什么意思吗? Istio是如何实现这一点的？

Answer 1

实际上，伊斯蒂奥 mesh服务通过使用相同身份文档斯维德的Istio机制采用SPIFFE标准策略。Istio 城堡是安全提供各种身份并提供凭据管理的关键组件。

在Istio中使用节点代理来通过特使秘密发现服务API来发现相关服务是可行的，这种方法与SPIRE设计非常相似。

在正式文档中描述的尖顶设计的关键概念如下：

SPIRE由两个组件组成，一个代理和一个服务器。 服务器提供了SPIFFE ID的中央注册中心，以及描述哪些工作负载有权假定这些身份的认证策略。认证策略描述工作负载必须显示的属性才能分配标识，并且通常被描述为进程属性(例如Linux )和基础结构属性(例如运行在具有特定EC2标签的VM中)的混合。 代理运行在任何机器(或者更正式地说，是任何内核)上，并将本地工作负载API公开给任何需要检索SPIFFE ID、密钥或信任包的进程。在*nix系统上，工作负载API通过Unix域套接字在本地公开。通过验证调用工作负载的属性，workload避免要求工作负载提供一个秘密来进行身份验证。

SPIRE有望成为工作负载认证机制的主要贡献者，但到目前为止，它还处于开发阶段，希望将来在生产部署上实现它。