SpiceDB

镜像概述和主要用途

SpiceDB 是专为存储和评估访问控制数据构建的图数据库。自2021年起，访问控制失效已成为OWASP列出的Web首要威胁。借助SpiceDB，开发人员终于拥有了与超大规模企业相同的解决方案来应对这一威胁。

核心功能和特性

• 世界级工程：由云原生生态系统的先驱专家精心构建
• 正宗设计：成熟且功能完备的Google Zanzibar论文实现
• 生产验证：可扩展至每秒数百万查询、数十亿关系时，p95延迟仍达5ms
• 全局一致性：按请求配置的一致性确保正确性同时维持性能
• 多范式支持：带限制条件的关系结合了ABAC和ReBAC的最佳概念
• 工具安全性：实时验证设计模式或在CI/CD工作流中进行验证
• 反向索引：支持"主体能做什么？"、"谁能访问资源？"等查询

使用场景和适用范围

适用于需要细粒度权限控制的各类应用，尤其适合：

• 大规模分布式系统的访问控制管理
• 需要复杂权限模型（如RBAC、ABAC、ReBAC）的应用
• 对权限查询性能和一致性有高要求的生产环境
• 需要审计"谁能访问什么"或"主体能做什么"的场景

详细使用方法和配置说明

镜像信息

容器镜像支持AMD64和ARM64架构，可从以下镜像仓库获取：

• Docker Hub
• GHCR
• Quay

基本运行方式

使用Docker运行最新版SpiceDB容器：

command
docker run --rm -p 50051:50051 authzed/spicedb serve --grpc-preshared-key "somerandomkeyhere"

调试镜像

SpiceDB容器基于Chainguard Images构建，最小化用户空间以提升安全性。如需调试，可使用带调试工具的镜像（在标签后添加-debug）：

command
docker run --rm -ti --entrypoint sh authzed/spicedb:latest-debug

开发版本镜像

每个main分支的Git提交都提供对应镜像，格式为${REGISTRY}/authzed/spicedb-git:${COMMIT}，适用于测试最新功能。

Kubernetes部署

生产环境推荐使用稳定版SpiceDB Operator，它能确保最佳实践并实现无停机更新。

测试环境可使用社区维护的示例：

command
kubectl apply -f [***]

核心配置参数

• --grpc-preshared-key：设置gRPC API的预共享密钥，用于认证客户端
• --http-enabled：启用HTTP API（默认禁用）
• --datastore-engine：指定数据存储引擎（如postgres、mysql等）
• --log-level：设置日志级别（debug、info、warn、error）

社区参与

SpiceDB是社区项目，欢迎所有人参与：

学***资源

• 通过GitHub Discussions或社区***提问
• 阅读***博客了解项目动态
• 观看视频学使用方法
• 参考社区示例和Awesome列表

贡献方式

贡献指南见CONTRIBUTING.md，可按优先级选择 issues：紧急、高、中、低，或新手友好 issues。

致谢

SpiceDB的发展得益于社区贡献，特别感谢：

• GitHub授权团队：实现并贡献了MySQL数据存储
• Netflix授权团队：赞助并参与限制条件功能设计
• Equinix Metal团队：赞助基准测试硬件支持