做视频链接哪个网站好,影视网站建设教程,小程序开发助手,sqlite wordpress迁移学习 简而言之我一直在研究SPIFEE#xff08;每个人的安全生产身份框架#xff09;[1]#xff0c;在这里#xff0c;我正在按照我现在的理解起草流程#xff0c;以使任何其他试图了解流程的人受益。 身份注册表 – SPIRE服务器具有自己的身份注册表#xff0c;该注册… 迁移学习 简而言之 我一直在研究SPIFEE每个人的安全生产身份框架[1]在这里我正在按照我现在的理解起草流程以使任何其他试图了解流程的人受益。 身份注册表 – SPIRE服务器具有自己的身份注册表该注册表保留两个粗粒度属性这些属性决定如何将SPIFFE ID发布给工作负载。 它保留了下表中的详细信息。 特殊ID 节点选择器 Craft.io选择器 spiffe//abc.com/bill awsec21234 k8s命名空间1234 spiffe//xyz.com/account 令牌7236427472 UNIXUID1002 提供了单独的注册API以管理身份注册表中的这些条目。 节点选择器 –定义可以在其上运行工作负载的计算机物理或虚拟。 根据正在运行工作负载的基础结构提供程序AWSGCP裸机确定要使用的选择器的确切类型。 例如。 AWS EC2实例ID物理机的序列号。 节点证明者根据基础结构提供者采取行动以遵守那里的选择器。 工作负载选择器 –这定义了在识别节点之后如何识别代表工作负载的流程。 这可以用进程本身的属性例如Linux UID或间接属性例如kubernetes命名空间来描述。 节点代理负责验证计算机上的特定进程是否符合其工作负载选择器的条件。 工作负载证明者基于流程属性来执行流程选择器。 SPIRE节点代理 –位于节点上的进程用于验证节点上运行的工作负载的来源并根据选择器通过Workload API为这些工作负载提供证书。 管理员或第三方应用程序调用注册API以使用所需的SPIFFE ID和相关的选择器填充身份注册表。 节点代理使用预先建立的加密密钥对或基于基础结构提供程序通过SPIRE服务器进行身份验证。 例如对于AWS EC2节点代理将提交由AWS发布的节点的实例标识文档IID。 SPIRE服务器中的节点证明者根据使用的机制来验证提供的标识文档。 如果使用AWS IID则相关证明者将使用AWS设置对其进行验证。 验证成功后SPIRE服务器会发送回一组SPIFFE ID这些ID可以连同其进程选择器策略一起发布给节点。 当工作负载开始在节点中运行时它首先致电节点代理询问“我是谁”。 基于上一步中收到的进程选择器节点代理并使用工作量证明者代理决定要赋予工作量的SPIFFE ID。 它基于此生成密钥对并将CSR证书签名请求发送到SPIRE服务器。 SPIRE服务器使用工作负载的签名SVID以及信任包响应节点代理指示该工作负载可以信任哪些其他负载。 收到来自SPIRE服务器的响应后节点代理将接收到的SVID移交给信任将生成的私钥捆绑到工作负载中。 此私钥永远不会离开其工作负载所属的节点。 如果您发现任何问题请随时提出任何更正建议。 [1] – https://spiffe.io [2] – https://docs.google.com/document/d/1RZnBfj8I5xs8Yi_BPEKBRp0K3UnIJYTDg_31rfTt4j8/edit# 翻译自: https://www.javacodegeeks.com/2019/01/spiffe-nutshell.html迁移学习 简而言之
