首页
/ KEDA 2.15.1中Azure Workload Identity集成问题分析与解决方案

KEDA 2.15.1中Azure Workload Identity集成问题分析与解决方案

2025-05-26 13:56:43作者:鲍丁臣Ursa
keda
KEDA 是一个开源的 Kubernetes 事件驱动的自动化 Kubernetes 应用程序。 * Kubernetes 事件驱动的自动化 Kubernetes 应用程序 * 有什么特点:易于使用、支持多种云原生应用程序和平台、用于 Kubernetes 应用程序的事件驱动自动化
项目地址:https://gitcode.com/gh_mirrors/ke/keda

背景

KEDA(Kubernetes Event-driven Autoscaling)作为Kubernetes事件驱动自动伸缩的核心组件,其与Azure服务的集成能力尤为重要。在最新发布的KEDA 2.15.1版本中,用户反馈在从2.13.1升级后,使用Azure Workload Identity进行身份验证时遇到了资源创建失败的问题。

问题现象

用户在部署使用Azure Event Hub触发器的应用时,观察到以下关键现象:

  1. 使用连接字符串方式时工作正常
  2. 迁移到Workload Identity后出现资源创建失败错误:"Cannot create resource when custom resource definition is in Terminating State"
  3. KEDA Operator日志显示:"unable to get event hub metadata: no storage connection string given"

根本原因分析

经过深入排查,发现该问题由多重因素导致:

  1. CRD终止状态残留:旧版本KEDA卸载时未完全清理自定义资源定义(CRD)的finalizers,导致新版本安装时资源处于异常状态

  2. Workload Identity配置要求:2.15.1版本对Azure身份验证流程进行了优化,需要确保:

    • 正确的TriggerAuthentication引用
    • 完整的RBAC权限链
    • 正确的Azure身份绑定

  3. 版本兼容性问题:2.13.1版本存在已知的Workload Identity超时问题,在2.15.1中已修复

解决方案

以下是经过验证的完整解决步骤:

1. 彻底清理旧版本

helm uninstall keda
kubectl delete scaledobject --all
kubectl patch crd/triggerauthentications.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge
kubectl patch crd/scaledobjects.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge

2. 重新安装KEDA 2.15.1

helm install keda kedacore/keda --version 2.15.1

3. 确保正确的资源配置

# TriggerAuthentication配置
apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: eventhub-trigger-auth
  namespace: default
spec:
  podIdentity:
    provider: azure-workload

# ScaledObject配置
apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: eventhub-scaledobject
  namespace: default
spec:
  scaleTargetRef:
    name: eventhub-function
  triggers:
  - type: azure-eventhub
    metadata:
      eventHubNamespace: my-eventhub-ns
      eventHubName: my-eventhub
      storageAccountName: mystorageaccount
      checkpointStrategy: blobMetadata
      consumerGroup: $Default
      blobContainer: azure-webjobs-eventhub
    authenticationRef:
      name: eventhub-trigger-auth

最佳实践建议

  1. 升级前清理:在升级KEDA版本前,务必执行完整的清理流程
  2. 权限验证:确保Workload Identity具有以下权限:
    • Event Hub数据读取权限
    • 存储账户Blob容器访问权限
  3. 配置检查:使用kubectl describe检查ScaledObject事件日志
  4. 渐进式迁移:建议先在测试环境验证Workload Identity配置

总结

KEDA 2.15.1对Azure Workload Identity的支持已显著改进,通过正确的清理和配置流程,可以充分发挥其无密码认证的优势。该解决方案不仅适用于Event Hub触发器,也可应用于其他Azure服务的Workload Identity集成场景。

keda
KEDA 是一个开源的 Kubernetes 事件驱动的自动化 Kubernetes 应用程序。 * Kubernetes 事件驱动的自动化 Kubernetes 应用程序 * 有什么特点:易于使用、支持多种云原生应用程序和平台、用于 Kubernetes 应用程序的事件驱动自动化
项目地址:https://gitcode.com/gh_mirrors/ke/keda
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
165
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
85
563
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
17
apintoapinto
基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0
cjoycjoy
一个高性能、可扩展、轻量、省心的仓颉应用开发框架。IoC,Rest,宏路由,Json,中间件,参数绑定与校验,文件上传下载,OAuth2,MCP......
Cangjie
94
15
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
199
279
giteagitea
喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
17
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
954
564