SPIFFE/SPIRE服务身份：mTLS与工作负载证书治理

SPIFFE/SPIRE服务身份：mTLS与工作负载证书治理概览SPIFFE 定义工作负载身份（`spiffe://trust-domain/...`）；SPIRE 作为实现为工作负载下发短期 SVID（X.509/JWT）。基于身份的 mTLS 与证书轮换降低密钥暴露与过期风险。技术参数（已验证）SVID 类型：X.509 SVID（mTLS）与 JWT SVID（边缘与代理）；短期有效、自动轮换。组件：SPIRE Server/Agent；工作负载通过 Workload API 获取证书链与信任包（bundle）。信任域与联邦：支持跨域信任（federation）与 bundle 分发；明确边界与授权。认证与授权：基于 SPIFFE ID 在入口/代理实施策略；结合 Envoy 与 OPA/Kyverno。观测与轮换：监控证书获取与轮换事件；失败时降级并告警。实战清单为核心服务启用 SPIRE 与 mTLS；定义身份到服务映射与策略。设置证书短期有效与自动轮换；建立联邦与跨域信任的审计。在代理/网关层基于身份实施访问控制；维护证书台账与回滚流程。