通过托管式工作负载身份,您可以将经过严格证明的身份绑定到 Google Kubernetes Engine (GKE) 和 Compute Engine 工作负载。
Google Cloud 预配由 Certificate Authority Service 颁发的 X.509 凭证和信任锚。这些凭证和信任锚可用于通过双向 TLS (mTLS) 身份验证向其他工作负载可靠地验证您的工作负载的身份。
GKE 的托管式工作负载身份作为预览版功能提供。Compute Engine 的托管式工作负载身份作为预览版功能提供,需要申请才能使用。申请使用 Compute Engine 的托管式工作负载身份预览版功能。
SPIFFE 互操作性
为实现动态异构环境中的互操作性,托管式工作负载身份基于 Secure Production Identity Framework For Everyone (SPIFFE) 构建。SPIFFE 定义了一个框架和一组标准,用于标识和保护工作负载之间的通信并向其进行身份验证。SPIFFE 工作负载通过唯一的 SPIFFE ID 进行标识。在 Google Cloud中,SPIFFE ID 采用以下格式:
Compute Engine 工作负载:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE 工作负载:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
资源层次结构
本部分介绍了托管式工作负载身份资源。
工作负载身份池
托管式工作负载身份在工作负载身份池中定义,该池充当池中所有身份的信任边界。工作负载身份池构成了托管式工作负载身份的 SPIFFE 标识符的信任网域组件。我们建议为组织中的每个逻辑环境(例如开发环境、预演环境或生产环境)创建一个新池。
命名空间
在工作负载身份池中,托管式工作负载身份被整理到称为“命名空间”的管理边界中。命名空间可帮助您整理和授予对相关 Workload Identity 的访问权限。
证明政策
Compute Engine 的托管式工作负载身份要求您配置证明政策。
GKE 的托管式工作负载身份会代您管理证明政策。
通过工作负载证明政策,您可以根据工作负载的可验证属性(例如项目 ID 或资源名称)来定义可以向哪些工作负载颁发托管式工作负载身份的凭证。工作负载证明政策可确保只有可信工作负载才能使用托管式身份。