首页
/ KEDA中使用Workload Identity实现PostgreSQL自动扩缩容的最佳实践

KEDA中使用Workload Identity实现PostgreSQL自动扩缩容的最佳实践

2025-05-26 23:17:27作者:胡唯隽

背景介绍

KEDA(Kubernetes Event-driven Autoscaling)是一个开源的Kubernetes事件驱动自动扩缩容组件,它可以根据各种指标(如消息队列长度、数据库查询结果等)自动调整工作负载的副本数。在Azure Kubernetes Service(AKS)环境中,使用Workload Identity与托管身份(Managed Identity)结合可以实现安全的服务间认证。

问题现象

在使用KEDA 2.14.1版本时,尝试通过Workload Identity方式连接Azure PostgreSQL数据库时遇到了认证失败的问题。错误信息显示客户端返回了空密码,这表明Workload Identity认证流程未能正确完成。

解决方案

1. 版本升级

经过验证,KEDA从2.15.0版本开始才完整支持PostgreSQL的Workload Identity认证方式。因此,首先需要将KEDA升级到2.15.0或更高版本。在AKS环境中,如果通过插件方式安装的KEDA无法自动升级到新版本,可以考虑改用Helm方式进行安装。

2. 配置TriggerAuthentication

正确配置TriggerAuthentication资源是解决问题的关键。以下是一个完整的配置示例:

apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: postgres-trigger-auth-wlid
  namespace: movie-api
spec:
  podIdentity:
    provider: azure-workload
    identityId: abcdef-abcdef-azbdev # 替换为UAI的clientId

3. 配置ScaledJob

ScaledJob需要正确引用TriggerAuthentication,并配置PostgreSQL连接参数:

apiVersion: keda.sh/v1alpha1
kind: ScaledJob
metadata:
  name: postgres-scaledjob
  namespace: movie-api
spec:
  jobTargetRef:
    template:
      spec:
        serviceAccount: keda-service-account
        containers:
        - name: movie-job
          image: acr123.azurecr.io/kedaconsoleapp:1.6
  pollingInterval: 30
  successfulJobsHistoryLimit: 5
  failedJobsHistoryLimit: 5
  triggers:
  - type: postgresql
    authenticationRef:
      name: postgres-trigger-auth-wlid
    metadata:
      host: "postgres.postgres.database.azure.com"
      port: "5432"
      userName: "movies-mi"
      dbName: "movies"
      sslmode: "require"
      query: "SELECT COUNT(*) FROM movies"
      targetQueryValue: '1'

实现原理

  1. Workload Identity认证流程

    • KEDA通过配置的TriggerAuthentication获取Azure Workload Identity凭证
    • 使用该凭证向Azure AD请求访问令牌
    • 将获取的令牌作为密码传递给PostgreSQL服务器
    • PostgreSQL服务器验证令牌的有效性并建立连接
  2. 多租户隔离

    • 通过在TriggerAuthentication中指定不同的identityId,可以为每个工作负载配置独立的托管身份
    • 这种设计实现了最小权限原则,确保每个应用只能访问其被授权的资源

最佳实践

  1. 版本管理

    • 始终使用KEDA的最新稳定版本(目前推荐2.16.1+)
    • 定期检查版本更新以获取新功能和安全性改进
  2. 身份管理

    • 为每个应用创建专用的用户分配托管身份(User Assigned Managed Identity)
    • 在PostgreSQL中为每个身份创建单独的用户并授予最小必要权限
  3. 安全配置

    • 始终启用SSL/TLS连接(sslmode: require)
    • 限制数据库防火墙规则,仅允许来自AKS集群的访问
  4. 监控与日志

    • 配置KEDA的详细日志级别以排查认证问题
    • 监控ScaledJob的执行状态和扩缩容事件

总结

通过正确配置KEDA和Azure Workload Identity,可以实现安全、灵活的PostgreSQL自动扩缩容方案。关键点包括使用足够新的KEDA版本、正确配置TriggerAuthentication身份引用,以及确保PostgreSQL服务器已配置为接受Azure AD令牌认证。这种方案不仅提高了安全性,还简化了凭证管理,是云原生应用架构的理想选择。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
143
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
927
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8