На самом деле, Службы сетки Istio применяют стандартные политики SPIFFE через механизмы безопасности Istio, используя тот же документ удостоверения личности SVID . Istio Citadel является ключевым компонентом для безопасного предоставления различных удостоверений и обеспечивает управление учетными данными.
В ближайшем будущем возможно использовать Узловой агент в сетке Istio для обнаружения соответствующих служб с помощью API службы секретного обнаружения (SDS) Envoy, и этот подход очень похож на дизайн SPIRE.
Основные понятия дизайна SPIRE, описанные в официальной документации, вы можете найти ниже:
SPIRE состоит из двух компонентов: агента и сервера.
Сервер предоставляет центральный реестр идентификаторов SPIFFE, а
политики аттестации, которые описывают, какие рабочие нагрузки имеют право
принять эти личности. Политики аттестации описывают свойства
что рабочая нагрузка должна проявляться для того, чтобы быть назначенным личность,
и обычно описываются как сочетание атрибутов процесса (таких как
Linux UID) и атрибуты инфраструктуры (например, запуск на виртуальной машине, которая
имеет особую метку EC2).
Агент работает на любой машине (или, более формально, на любом ядре) и
предоставляет локальный API рабочей нагрузки любому процессу, который должен получить
SPIFFE ID, ключ или пакет доверия. В системах * nix API рабочей нагрузки
выставлен локально через Unix Domain Socket. Проверяя
атрибуты вызывающей рабочей нагрузки, API рабочей нагрузки исключает необходимость
рабочая нагрузка для предоставления секрета для аутентификации.
SPIRE обещает стать основным участником механизмов проверки подлинности рабочей нагрузки, однако пока он находится на стадии разработки с желаемой будущей реализацией в рабочих развертываниях.