KEDA 2.15.1中Azure Workload Identity集成问题分析与解决方案

2025-05-26 12:22:37作者：鲍丁臣Ursa

背景

KEDA（Kubernetes Event-driven Autoscaling）作为Kubernetes事件驱动自动伸缩的核心组件，其与Azure服务的集成能力尤为重要。在最新发布的KEDA 2.15.1版本中，用户反馈在从2.13.1升级后，使用Azure Workload Identity进行身份验证时遇到了资源创建失败的问题。

问题现象

用户在部署使用Azure Event Hub触发器的应用时，观察到以下关键现象：

使用连接字符串方式时工作正常
迁移到Workload Identity后出现资源创建失败错误："Cannot create resource when custom resource definition is in Terminating State"
KEDA Operator日志显示："unable to get event hub metadata: no storage connection string given"

根本原因分析

经过深入排查，发现该问题由多重因素导致：

CRD终止状态残留：旧版本KEDA卸载时未完全清理自定义资源定义(CRD)的finalizers，导致新版本安装时资源处于异常状态
Workload Identity配置要求：2.15.1版本对Azure身份验证流程进行了优化，需要确保：
- 正确的TriggerAuthentication引用
- 完整的RBAC权限链
- 正确的Azure身份绑定
版本兼容性问题：2.13.1版本存在已知的Workload Identity超时问题，在2.15.1中已修复

解决方案

以下是经过验证的完整解决步骤：

1. 彻底清理旧版本

helm uninstall keda
kubectl delete scaledobject --all
kubectl patch crd/triggerauthentications.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge
kubectl patch crd/scaledobjects.keda.sh -p '{"metadata":{"finalizers":[]}}' --type=merge

2. 重新安装KEDA 2.15.1

helm install keda kedacore/keda --version 2.15.1

3. 确保正确的资源配置

# TriggerAuthentication配置
apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: eventhub-trigger-auth
  namespace: default
spec:
  podIdentity:
    provider: azure-workload

# ScaledObject配置
apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: eventhub-scaledobject
  namespace: default
spec:
  scaleTargetRef:
    name: eventhub-function
  triggers:
  - type: azure-eventhub
    metadata:
      eventHubNamespace: my-eventhub-ns
      eventHubName: my-eventhub
      storageAccountName: mystorageaccount
      checkpointStrategy: blobMetadata
      consumerGroup: $Default
      blobContainer: azure-webjobs-eventhub
    authenticationRef:
      name: eventhub-trigger-auth