Workload identity federation 已正式提供

Source: Tailscale Blog

今天，我们很高兴宣布工作负载身份联合已正式发布。自去年秋季的 beta 版推出以来，我们已在 Tailscale 平台上扩展了支持，包括用于管理联合身份的 API 和 Terraform 支持、自动云令牌交换、tsnet 集成，以及对 Kubernetes 操作符的 beta 支持。这些更新共同使得对基础设施工作负载（包括 CI 系统、云服务和 Kubernetes 集群）的身份验证更加简便，无需依赖长期存在的硬编码密钥。

如果您对工作负载身份联合还不熟悉，它允许 CI/CD 流水线和云工作负载使用其云提供商的联合 OpenID Connect（OIDC）身份来对 Tailscale 进行身份验证，而不是使用静态 API 密钥、auth 密钥或 OAuth 客户端。工作负载无需依赖难以管理和扩展的长期密钥，而是使用云提供商身份系统签发的签名短期令牌进行身份验证。

大规模安全自动化

Tailscale API 现在支持创建、读取、更新和删除联邦身份。这使您能够以编程方式在 Tailscale 与 GitHub、Google Cloud、AWS 等云提供商之间建立信任，而无需在管理控制台中手动设置。您可以通过代码在数十甚至数百个环境中定义和管理信任配置。

使用 API，您可以为新的 GitHub Runner 授予对 tailnet 的访问权限，调整 AWS 服务账户的作用域，或在基础设施变更时更新凭证详情。您还可以在创建后修改作用域和凭证，从而更轻松地调试配置或细化权限，而无需删除并重新创建身份。

Tailscale Terraform 提供程序 也新加入了创建和管理联邦身份的功能，允许您将信任关系定义为 IaC（基础设施即代码）。团队可以将这些配置存储在版本控制中，使更改可审计、可同行评审且易于复现。使用 Terraform，您可以直接在 .tf 文件中定义 OIDC 发行者和声明，指定哪些 GitHub 仓库、云服务账户或工作负载可以对您的 tailnet 进行身份验证，以及它们的作用域和声明匹配规则。

Terraform 提供程序本身也可以使用工作负载身份联邦方式对 Tailscale 进行身份验证。这使得 CI/CD 运行器（例如 GitHub Action）能够使用其自己的 OIDC 令牌来管理您的 tailnet，而无需存储静态 API 密钥或 OAuth 密钥。

自动云令牌发现与交换

Tailscale 现在通过 tailscale up 命令的新 --audience 标志支持自动令牌发现和交换。启用后，Tailscale 客户端可以检测受支持的云和 CI 环境，并从其运行的平台获取本机身份令牌。客户端随后使用该令牌通过工作负载身份联合将节点认证到您的 tailnet——无需您手动配置与 Tailscale 的令牌交换。

tsnet 对身份验证的支持

Go 语言的 tsnet 库 现在支持工作负载身份联合，使您的 Go 应用程序能够加入 tailnet 而无需硬编码凭据。运行在云环境中的应用程序可以从其平台请求本机 OIDC 令牌，并使用该令牌对 tailnet 进行身份验证，整个过程无需处理静态的 ts_authkey 环境变量。

支持 Tailscale Kubernetes 操作员

工作负载身份联邦现已在 beta 版中可用于 Tailscale Kubernetes operator。这使得操作员能够使用集群本机的工作负载身份对您的 tailnet 进行身份验证，而不是使用硬编码的密钥。
因此，您可以在无需管理静态凭证的情况下将 Kubernetes 集群连接到 Tailscale，从而降低运维开销并提升安全性。

入门

工作负载身份联合已准备好在所有 Tailscale 计划中投入生产使用。无论您是连接单个 CI 运行器，还是为一批云工作负载自动化访问，您都可以消除静态凭证，构建更安全的基础设施。

要开始使用，请参阅工作负载身份联合文档，或浏览API 参考和Terraform 提供程序指南以实现自动化设置。