主页
产品
OpenShift Container Platform
4.19
安全性与合规性
10.2. Zero Trust Workload Identity Manager 发行注记

10.2. Zero Trust Workload Identity Manager 发行注记

Zero Trust Workload Identity Manager 将安全生产身份框架用于每个人(SPIFFE)和 SPIFFE 运行时环境(SPIRE)来为分布式系统提供全面的身份管理解决方案。Zero Trust Workload Identity Manager 支持 SPIRE 版本 1.12.4 作为操作对象运行。

本发行注记介绍了 Zero Trust Workload Identity Manager 的开发。

重要

Zero Trust Workload Identity Manager 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

10.2.1. Zero Trust Workload Identity Manager 0.2.0 （技术预览）
复制链接

发布日期：2025 年 9 月 8 日

以下公告可用于 Zero Trust Workload Identity Manager。

这个 Zero Trust Workload Identity Manager 发行版本是一个技术预览。

10.2.1.1. 新功能及功能增强
复制链接

10.2.1.1.1. 支持受管 OIDC 发现供应商路由
复制链接

Operator 为所选默认安装通过域 *.apps.<cluster_domain> 中的 OpenShift Routes 公开 SPIREOIDCDiscoveryProvider spec。
managedRoute 和 externalSecretRef 字段已添加到 spireOidcDiscoveryProvider spec 中。
managedRoute 字段是布尔值，默认设置为 true。如果设置为 false，Operator 会停止管理路由，现有路由不会被自动删除。如果设为 true，Operator 会恢复管理路由。如果路由不存在，Operator 会创建一个新路由。如果路由已存在，Operator 会在存在冲突时覆盖用户配置。
externalSecretRef 引用一个外部管理的 Secret，其具有 oidc-discovery-provider Route 主机的 TLS 证书。提供后，这会填充路由的 .Spec.TLS.ExternalCertificate 字段。如需更多信息，请参阅使用外部管理的证书创建路由。

10.2.1.1.2. 为 SPIRE 捆绑包启用自定义 Certificate Authority Time-To-Live
复制链接

以下 Time-To-Live (TTL) 字段已添加到 SPIRE 服务器证书管理的 SpireServer 自定义资源定义(CRD) API 中：
- CAValidity (默认值：24h)
- DefaultX509Validity (默认值: 1h)
- DefaultJWTValidity （默认值：5m）
在服务器配置中可以使用 user-configurable 选项替换默认值，让用户能够灵活地根据其安全要求自定义证书和 SPIFFE Verifiable Identity Document (SVID) 生命周期。

10.2.1.1.3. 启用手动用户配置
复制链接

当 ztwim.openshift.io/create-only=true 注解存在于 Operator 的 API 中，Operator 控制器被切换到 create-only 模式。这允许在跳过更新时创建资源。用户可以手动更新资源来测试其配置。此注解支持 API，如 SpireServer、SpireAgents、SpiffeCSIDriver、SpireOIDCDiscoveryProvider 和 ZeroTrustWorkloadIdentityManager。
应用注解时，所有派生的资源，包括由 Operator 创建和管理的资源。
在删除了注解并重启 pod 后，Operator 会尝试返回所需的状态。该注解仅在启动或重启过程中应用一次。

10.2.1.2. 程序错误修复
复制链接

在此次更新之前，SpireServer 和 SpireOidcDiscoveryProvider 的 JwtIssuer 字段不需要成为配置出现错误的 URL。在这个版本中，用户必须手动在两个自定义资源的 JwtIssuer 字段中输入签发者 URL。(SPIRE-117)

10.2.2. Zero Trust Workload Identity Manager 0.1.0 （技术预览）
复制链接

发布日期：2525 年 6 月 16 日

以下公告可用于 Zero Trust Workload 身份管理器：

Zero Trust Workload Identity Manager 的初始发行版本只是一个技术预览。这个版本有以下已知的限制：

对 SPIRE 联邦的支持没有启用。
密钥管理器仅支持 磁盘 存储类型。
Telemetry 只能通过 Prometheus 支持。
不支持 SPIRE 服务器或 OpenID Connect (OIDC)发现供应商的高可用性(HA)配置。
不支持外部数据存储。此版本使用由 SPIRE 部署的内部 sqlite 数据存储。
此版本使用固定配置运行。不允许用户定义的配置。
操作对象的日志级别不可配置。默认值为 DEBUG。

返回顶部

10.2. Zero Trust Workload Identity Manager 发行注记

10.2.1. Zero Trust Workload Identity Manager 0.2.0 （技术预览）
复制链接

10.2.1.1. 新功能及功能增强
复制链接

10.2.1.1.1. 支持受管 OIDC 发现供应商路由
复制链接

10.2.1.1.2. 为 SPIRE 捆绑包启用自定义 Certificate Authority Time-To-Live
复制链接

10.2.1.1.3. 启用手动用户配置
复制链接

10.2.1.2. 程序错误修复
复制链接

10.2.2. Zero Trust Workload Identity Manager 0.1.0 （技术预览）
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

10.2. Zero Trust Workload Identity Manager 发行注记

10.2.1. Zero Trust Workload Identity Manager 0.2.0 （技术预览）复制链接链接已复制到粘贴板!

10.2.1.1. 新功能及功能增强复制链接链接已复制到粘贴板!

10.2.1.1.1. 支持受管 OIDC 发现供应商路由复制链接链接已复制到粘贴板!

10.2.1.1.2. 为 SPIRE 捆绑包启用自定义 Certificate Authority Time-To-Live复制链接链接已复制到粘贴板!

10.2.1.1.3. 启用手动用户配置复制链接链接已复制到粘贴板!

10.2.1.2. 程序错误修复复制链接链接已复制到粘贴板!

10.2.2. Zero Trust Workload Identity Manager 0.1.0 （技术预览）复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

10.2.1. Zero Trust Workload Identity Manager 0.2.0 （技术预览）
复制链接

10.2.1.1. 新功能及功能增强
复制链接

10.2.1.1.1. 支持受管 OIDC 发现供应商路由
复制链接

10.2.1.1.2. 为 SPIRE 捆绑包启用自定义 Certificate Authority Time-To-Live
复制链接

10.2.1.1.3. 启用手动用户配置
复制链接

10.2.1.2. 程序错误修复
复制链接

10.2.2. Zero Trust Workload Identity Manager 0.1.0 （技术预览）
复制链接