我对 GKE 上的 SPIFFE SPIRE 有 2 个查询:
设置:
我们使用示例应用程序设置了一个 GKE 集群,并在其上安装了 SPIRE 服务器和代理。示例应用程序充当代理的工作负载并获得 SVID。在同一个 GCP 子网中,我们安装了 GCP VM 并安装了 SPIRE 代理。我们配置了 GCP 节点证明者,它能够与 SPIRE 服务器通信并获得代理的 SPIFFE id。
问题:
在 SPIRE 服务器端,除了提供 GCP 项目列表外,我们无需进行任何配置。我们如何确保 SPIRE 服务器和 SPIRE 代理之间的某种安全性,以便并非同一子网中的所有 VM 都可以与 SPIRE 服务器连接(加入令牌是我们可以想到的一种方法,但我希望我们可以利用 GCP 节点证明者)。
在 GKE 集群中,我们安装了 SPIRE 服务器和代理,并且我们有一个示例工作负载。我们使用了 k8sat attester,但我们不需要配置任何初始信任包来建立代理和服务器之间的安全通信。工作负载有一个 SPIFFE id,这意味着代理和服务器能够相互通信。SPIRE 安装是否默认提供信任包,用于安全通信(代理和服务器之间的第一次通信)?
任何帮助/输入将不胜感激!
谢谢!