В соответствии с комментарием, полученным на SPIRE Slack
В GKE (и других размещенных k8s) вы получаете только рабочие узлы, поэтому в любом случае нет способа развернуться на мастер. Но, в конце концов, есть плюсы (потенциальная безопасность) и минусы (масштабируемость) для запуска сервера SPIRE на главном сервере. На практике это, вероятно, менее вероятно, чем вероятно, но это справедливая дискуссия. Как правило, вы развертываете сервер SPIRE в качестве StatefulSet на некотором количестве узлов, соответствующих целям масштабируемости и доступности, и развертываете агент SPIRE в качестве DaemonSet, где он будет работать на каждом узле в кластере. Если вы не выполняете очень специфические c целевые развертывания с помощью планировщика k8s, такие как отдельные пулы узлов или подмножества узлов, запланированные с помощью селекторов меток для очень специфических c вариантов использования (где вы не будете запускать какие-либо рабочие нагрузки SPIFFE) я бы так и подошел - разместите агент SPIRE на всех узлах, чтобы он был доступен для всех рабочих нагрузок.