第10章 Zero Trust Workload Identity Manager

SPIFFE Container Storage Interface (CSI) は、Workload API ソケットを Pod に提供することで、Pod が SPIFFE Verifiable Identity Document (SVID) をセキュアに取得できるようにするプラグインです。SPIFFE CSI ドライバーは、各ノードでドライバーのインスタンスが実行されるように、クラスター上にデーモンセットとしてデプロイされます。このドライバーは、Kubernetes のエフェメラルインラインボリューム機能を使用して、SPIFFE CSI ドライバーによって直接提供されるボリュームを Pod が要求できるようにします。これにより、一時的なストレージを必要とするアプリケーションによるボリュームの使用が簡素化されます。

Pod が起動すると、Kubelet が SPIFFE CSI ドライバーを呼び出して、Pod のコンテナーにボリュームをプロビジョニングしてマウントします。SPIFFE CSI ドライバーは、SPIFFE Workload API を含むディレクトリーを Pod にマウントします。Pod 内のアプリケーションは、Workload API と通信してアプリケーションの SVID を取得します。このドライバーにより、各 SVID が確実に一意になります。

SPIRE OpenID Connect ディスカバリープロバイダーは、Open ID 設定エンドポイントとトークン検証用の JWKS URI を公開することで、SPIRE が発行した JWT-SVID と標準の OpenID Connect (OIDC) ユーザーとの互換性を確保するスタンドアロンコンポーネントです。これは、SPIRE ベースのワークロードのアイデンティティーを、OIDC 準拠のトークン、特に外部 API を必要とするシステムと統合するために不可欠です。SPIRE は主にワークロードのアイデンティティーを発行しますが、SPIRE の設定を通じて、追加のワークロード関連のクレームを JWT-SVID に埋め込むことができます。これにより、このクレームをトークンに含め、OIDC 準拠のクライアントに検証させることが可能になります。

SPIRE Controller Manager は、カスタムリソース定義 (CRD) を使用してワークロードの登録を容易にします。ワークロードの登録を容易にするために、SPIRE Controller Manager は Pod と CRD に対してコントローラーを登録します。これらのリソースに変更が検出されると、ワークロード調整プロセスがトリガーされます。このプロセスは、既存の Pod と CRD に基づいて、どの SPIRE エントリーが存在すべきかを決定します。調整プロセスでは、必要に応じて SPIRE Server 上のエントリーが作成、更新、削除されます。

SPIRE Controller Manager は、SPIRE Server と同じ Pod にデプロイされるように設計されています。Manager は、共有ボリューム内のプライベート UNIX ドメインソケットを使用して SPIRE Server API と通信します。

SPIRE Server およびエージェントのテレメトリーは、SPIRE デプロイメントの健全性に関する詳細情報を提供します。メトリクスの形式は、Prometheus Operator が指定する形式です。公開されるメトリクスは、サーバーの健全性とライフサイクル、SPIRE コンポーネントのパフォーマンス、アテステーション、SVID の発行、プラグインの統計情報を理解するのに役立ちます。