软件定义安全边界 (SDP) 深度系列
1. 身份证明的三层技术形态
身份证明并不是一个孤立的字符串,而是贯穿协议栈不同层次的元数据。
| 层面 | 身份形式 | 存储位置 | 作用范围 |
|---|---|---|---|
| 内核态 | 0xNN (标记) | skb->mark (内存) | 本地宿主机内部 |
| 网络层 | VNI: 100 | VXLAN Header (外层包) | 跨宿主机的物理网络 |
| 应用层 | SPIFFE ID | X.509 证书 (TLS 扩展) | 全站逻辑链路 |
2. 物理锚定:Port-to-TID 绑定机制
服务商识别租户身份的最可靠手段是物理端口绑定。
- 不可伪造性:由于拦截发生在数据包进入宿主机内核的“第一跳”,租户在包头内伪造源 IP 均无法欺骗物理接口绑定的身份。
3. 核心实现:IP 如何映射到 VNI?
- (VNI + IP) 二元组查表:利用
BPF_MAP_TYPE_HASH实现 快速检索。 - ARP 抑制 (ARP Suppression):宿主机拦截租户发出的所有 ARP 请求并代答。若目标不合法则保持静默,使恶意扫描工具因收不到响应而判定目标“主机下线”。
4. 动态同步:从编排到执行
- Orchestration:云平台创建 VM/容器,Agent 获取网卡
ifindex。 - Injection:Agent 调用
bpf_map_update_elem将ifindex -> TID写入内核。 - Execution:eBPF TC 钩子查表并将 TID 注入
skb->mark。参考:DeepFlow 策略下发机制。
5. 策略放行逻辑
放行指令会触发三层连锁:网络层激活 VNI 转发、身份层同步 信任束 (Trust Bundle)、应用层下发 L7 ACL。