KEDA 2.15.1中Azure Workload Identity集成问题分析与解决方案

背景

KEDA（Kubernetes Event-driven Autoscaling）作为Kubernetes事件驱动自动伸缩的核心组件，其与Azure服务的集成能力尤为重要。在最新发布的KEDA 2.15.1版本中，用户反馈在从2.13.1升级后，使用Azure Workload Identity进行身份验证时遇到了资源创建失败的问题。

问题现象

用户在部署使用Azure Event Hub触发器的应用时，观察到以下关键现象：

1. 使用连接字符串方式时工作正常
2. 迁移到Workload Identity后出现资源创建失败错误："Cannot create resource when custom resource definition is in Terminating State"
3. KEDA Operator日志显示："unable to get event hub metadata: no storage connection string given"

根本原因分析

经过深入排查，发现该问题由多重因素导致：

1. CRD终止状态残留：旧版本KEDA卸载时未完全清理自定义资源定义(CRD)的finalizers，导致新版本安装时资源处于异常状态

2. Workload Identity配置要求：2.15.1版本对Azure身份验证流程进行了优化，需要确保：

   • 正确的TriggerAuthentication引用
   • 完整的RBAC权限链
   • 正确的Azure身份绑定

3. 版本兼容性问题：2.13.1版本存在已知的Workload Identity超时问题，在2.15.1中已修复

解决方案

以下是经过验证的完整解决步骤：

1. 彻底清理旧版本

helm uninstall keda
kubectl delete scaledobject --all
kubectl patch crd/triggerauthentications.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge
kubectl patch crd/scaledobjects.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge

2. 重新安装KEDA 2.15.1

helm install keda kedacore/keda --version 2.15.1

3. 确保正确的资源配置

# TriggerAuthentication配置
apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: eventhub-trigger-auth
  namespace: default
spec:
  podIdentity:
    provider: azure-workload

# ScaledObject配置
apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: eventhub-scaledobject
  namespace: default
spec:
  scaleTargetRef:
    name: eventhub-function
  triggers:
  - type: azure-eventhub
    metadata:
      eventHubNamespace: my-eventhub-ns
      eventHubName: my-eventhub
      storageAccountName: mystorageaccount
      checkpointStrategy: blobMetadata
      consumerGroup: $Default
      blobContainer: azure-webjobs-eventhub
    authenticationRef:
      name: eventhub-trigger-auth

最佳实践建议

1. 升级前清理：在升级KEDA版本前，务必执行完整的清理流程
2. 权限验证：确保Workload Identity具有以下权限：
   • Event Hub数据读取权限
   • 存储账户Blob容器访问权限
3. 配置检查：使用kubectl describe检查ScaledObject事件日志
4. 渐进式迁移：建议先在测试环境验证Workload Identity配置

总结

KEDA 2.15.1对Azure Workload Identity的支持已显著改进，通过正确的清理和配置流程，可以充分发挥其无密码认证的优势。该解决方案不仅适用于Event Hub触发器，也可应用于其他Azure服务的Workload Identity集成场景。