SPIFFE/SPIRE 工作负载身份（SVID、mTLS 与轮换）

SPIFFE/SPIRE 工作负载身份（SVID、mTLS 与轮换）概述SPIFFE 规范统一工作负载身份表示，SPIRE 作为实现负责签发与验证 SVID。结合服务网格可实现全链路 mTLS 与自动轮换。关键实践与参数SVID 类型：X.509（常用）与 JWT（跨域传递）；选择场景与有效期。轮换与续订：短期证书（如 24h），SPIRE Agent 自动续订与轮换。信任域：`spiffe://example.org`；跨域需要联合与信任锚分发。配置示例（注册条目片段）spiffe_id = "spiffe://example.org/ns/app/sa/web" selector = k8s:ns:app, k8s:sa:web 验证方法检查 Agent/Server 日志与 SVID 状态；演练证书过期与轮换。在服务间启用 mTLS 并抓包验证证书链与身份。故障演练：信任锚更新、Agent 掉线的影响与恢复。注意事项信任域与命名需规范；避免混乱与越权。与网格/网关对接时保持身份语义一致；权限最小化。监控签发与验证错误，设置告警与审计。