10장. Zero Trust Workload Identity Manager

SPIFFE CSI(Container Storage Interface)는 Pod에서 Workload API 소켓을 Pod에 전달하여 SPIFFE 확인 가능한 ID 문서(SVID)를 안전하게 얻을 수 있도록 지원하는 플러그인입니다. SPIFFE CSI 드라이버는 클러스터에 데몬 세트로 배포되어 각 노드에서 드라이버 인스턴스가 실행됩니다. 드라이버는 Kubernetes의 임시 인라인 볼륨 기능을 사용하여 Pod가 SPIFFE CSI 드라이버에서 직접 제공하는 볼륨을 요청할 수 있습니다. 이렇게 하면 임시 스토리지가 필요한 애플리케이션에서 사용이 간소화됩니다.

Pod가 시작되면 Kubelet은 SPIFFE CSI 드라이버를 호출하여 볼륨을 Pod의 컨테이너에 프로비저닝하고 마운트합니다. SPIFFE CSI 드라이버는 SPIFFE Workload API를 포함하는 디렉터리를 Pod에 마운트합니다. 그런 다음 Pod의 애플리케이션은 Workload API와 통신하여 SVID를 가져옵니다. 드라이버는 각 SVID가 고유한 것을 보장합니다.

SPIRE OpenID Connect Discovery Provider는 공개 ID 구성 끝점 및 토큰 확인을 위한 JWKS URI를 노출하여 표준 OpenID Connect(OIDC) 사용자와 호환되는 SPIRE-issued JWT-SVID를 만드는 독립형 구성 요소입니다. 특히 외부 API를 OIDC 호환 토큰이 필요한 시스템과 SPIRE 기반 워크로드 ID를 통합하는 것이 중요합니다. SPIRE는 주로 워크로드에 대한 ID를 발행하지만, 추가 워크로드 관련 클레임은 SPIRE 구성을 통해 JWT-SVID에 포함될 수 있습니다. 이 클레임은 토큰에 포함되어 OIDC 호환 클라이언트가 확인합니다.

SPIRE 컨트롤러 관리자는 CRD(사용자 정의 리소스 정의)를 사용하여 워크로드를 쉽게 등록할 수 있습니다. 워크로드 등록을 용이하게 하기 위해 SPIRE 컨트롤러 관리자는 Pod 및 CRD에 대한 컨트롤러를 등록합니다. 이러한 리소스에서 변경 사항이 감지되면 워크로드 조정 프로세스가 트리거됩니다. 이 프로세스에서는 기존 Pod 및 CRD를 기반으로 해야 하는 SPIRE 항목이 결정됩니다. 조정 프로세스는 필요에 따라 SPIRE 서버에서 항목을 생성, 업데이트 및 삭제합니다.

SPIRE 컨트롤러 관리자는 SPIRE 서버와 동일한 Pod에 배포되도록 설계되었습니다. 관리자는 공유 볼륨 내의 프라이빗 UNIX 도메인 소켓을 사용하여 SPIRE 서버 API와 통신합니다.

SPIRE Server 및 Agent Telemetry에서는 SPIRE 배포 상태에 대한 통찰력을 제공합니다. 지표는 Prometheus Operator에서 제공하는 형식으로 되어 있습니다. 서버 상태 및 라이프사이클, SPIRE 구성 요소 성능, 테스트 및 SVID 발급 및 플러그인 통계를 이해하는 데 도움이 되는 메트릭입니다.