SPIFFE 协议中文版
本专区收录 SPIFFE 官方标准规范的中文译本,面向中文工程师与架构师。规范原文托管于 spiffe/spiffe 仓库。
⚠️ 译本仅供学习参考。规范性判定请以英文原文为准;每页顶部均附原文链接。
规范地图
SPIFFE 的标准由若干相互衔接的文档组成,建议按下面的顺序阅读:
| 顺序 | 规范 | 一句话说明 |
|---|---|---|
| 1 | SPIFFE 概述 | 整套框架的目标、核心概念与文档导航 |
| 2 | SPIFFE ID(身份标识) | 身份的命名规则:spiffe://<信任域>/<路径> |
| 3 | X.509-SVID | 以 X.509 证书为载体的身份文档及其约束 |
| 4 | JWT-SVID | 以 JWT 为载体的身份文档及其校验 |
| 5 | 信任域与证书包 | 信任根的表达:trust domain 与 trust bundle |
| 6 | 工作负载 API | 工作负载获取 SVID 与信任包的标准接口 |
| 7 | 工作负载端点 | 工作负载 API 的暴露与发现方式 |
| 8 | 联邦(Federation) | 不同信任域之间如何交换信任、互相认证 |
核心概念速览
- 信任域(Trust Domain):一个独立的信任根,对应一套 CA / 密钥。类似"身份的国界"。
- SPIFFE ID:形如
spiffe://example.org/ns/prod/sa/web的 URI,唯一标识一个工作负载。 - SVID(SPIFFE Verifiable Identity Document):身份的物理载体,分 X.509 与 JWT 两种形态,可加密验证。
- 工作负载 API(Workload API):工作负载通过本地端点(通常是 Unix 套接字)获取并自动轮换自己的 SVID,无需硬编码任何密钥。
- 联邦(Federation):两个信任域交换各自的 trust bundle(公钥),从而让一个域的工作负载能验证另一个域的身份。
相关工程实践
读完规范,推荐继续了解这些标准在 SPIRE 里是如何实现的: