首页
/ Thanos项目中使用Workload Identity连接Azure存储的注意事项

Thanos项目中使用Workload Identity连接Azure存储的注意事项

2025-05-17 14:40:33作者:伍霜盼Ellen

背景

Thanos作为Prometheus的长期存储解决方案,支持多种对象存储后端,包括Azure Blob Storage。在Azure Kubernetes服务(AKS)中,Workload Identity是一种推荐的认证方式,它允许Kubernetes中的Pod使用Azure Active Directory(AAD)进行身份验证,而无需管理显式的凭据。

问题现象

用户报告在将Thanos从v0.33.0升级到v0.34.0后,Compactor和Store Gateway组件无法通过Workload Identity连接到Azure Storage。错误日志显示AAD认证失败,提示应用程序标识符未在目录中找到。

根本原因分析

经过调查发现,问题并非由Thanos版本升级本身引起,而是与部署方式相关。用户使用的是Bitnami Helm Chart进行部署,在Chart版本从v12.20.2升级到v12.20.4时,Chart的默认配置发生了变化:

  • automountServiceAccountToken参数默认值从true改为false
  • 这个参数控制是否自动挂载Service Account令牌到Pod
  • 当设置为false时,Workload Identity所需的客户端ID环境变量不会被注入到Pod中

技术细节

Workload Identity的工作机制依赖于:

  1. Kubernetes Service Account被注解了Azure AD的客户端ID
  2. Pod规范中引用了该Service Account
  3. Service Account令牌被自动挂载到Pod中
  4. Azure身份验证库(如azure-sdk-for-go)会检查这些环境变量

automountServiceAccountToken为false时,关键的AZURE_CLIENT_ID环境变量不会出现在Pod中,导致认证流程失败。

解决方案

对于使用Bitnami Helm Chart部署Thanos并依赖Workload Identity的用户,需要显式设置:

serviceAccount:
  automountServiceAccountToken: true

或者在部署时通过--set参数覆盖默认值。

最佳实践建议

  1. 在升级任何组件(应用或Chart)前,仔细审查变更日志和默认值变化
  2. 对于生产环境,建议通过values.yaml显式设置所有关键参数,而不是依赖默认值
  3. 使用Kubernetes的RBAC机制限制Service Account权限,即使启用了令牌自动挂载
  4. 考虑使用工具如helm-diff在升级前预览配置变化

总结

这个问题展示了基础设施即代码(IaC)环境中一个常见挑战:依赖项的默认行为变化可能影响系统功能。通过理解Workload Identity的工作原理和Helm Chart的配置选项,运维团队可以更好地管理这类变更。对于Thanos用户,特别是在Azure环境中,确保Service Account令牌正确挂载是使用Workload Identity的关键前提。

登录后查看全文
热门项目推荐
相关项目推荐