Thanos项目中使用Workload Identity连接Azure存储的注意事项

背景

Thanos作为Prometheus的长期存储解决方案，支持多种对象存储后端，包括Azure Blob Storage。在Azure Kubernetes服务(AKS)中，Workload Identity是一种推荐的认证方式，它允许Kubernetes中的Pod使用Azure Active Directory(AAD)进行身份验证，而无需管理显式的凭据。

问题现象

用户报告在将Thanos从v0.33.0升级到v0.34.0后，Compactor和Store Gateway组件无法通过Workload Identity连接到Azure Storage。错误日志显示AAD认证失败，提示应用程序标识符未在目录中找到。

根本原因分析

经过调查发现，问题并非由Thanos版本升级本身引起，而是与部署方式相关。用户使用的是Bitnami Helm Chart进行部署，在Chart版本从v12.20.2升级到v12.20.4时，Chart的默认配置发生了变化：

• automountServiceAccountToken参数默认值从true改为false
• 这个参数控制是否自动挂载Service Account令牌到Pod
• 当设置为false时，Workload Identity所需的客户端ID环境变量不会被注入到Pod中

技术细节

Workload Identity的工作机制依赖于：

1. Kubernetes Service Account被注解了Azure AD的客户端ID
2. Pod规范中引用了该Service Account
3. Service Account令牌被自动挂载到Pod中
4. Azure身份验证库(如azure-sdk-for-go)会检查这些环境变量

当automountServiceAccountToken为false时，关键的AZURE_CLIENT_ID环境变量不会出现在Pod中，导致认证流程失败。

解决方案

对于使用Bitnami Helm Chart部署Thanos并依赖Workload Identity的用户，需要显式设置：

serviceAccount:
  automountServiceAccountToken: true

或者在部署时通过--set参数覆盖默认值。

最佳实践建议

1. 在升级任何组件(应用或Chart)前，仔细审查变更日志和默认值变化
2. 对于生产环境，建议通过values.yaml显式设置所有关键参数，而不是依赖默认值
3. 使用Kubernetes的RBAC机制限制Service Account权限，即使启用了令牌自动挂载
4. 考虑使用工具如helm-diff在升级前预览配置变化

总结

这个问题展示了基础设施即代码(IaC)环境中一个常见挑战：依赖项的默认行为变化可能影响系统功能。通过理解Workload Identity的工作原理和Helm Chart的配置选项，运维团队可以更好地管理这类变更。对于Thanos用户，特别是在Azure环境中，确保Service Account令牌正确挂载是使用Workload Identity的关键前提。