KEDA中使用Workload Identity实现PostgreSQL自动扩缩容的最佳实践

背景介绍

KEDA(Kubernetes Event-driven Autoscaling)是一个开源的Kubernetes事件驱动自动扩缩容组件，它可以根据各种指标(如消息队列长度、数据库查询结果等)自动调整工作负载的副本数。在Azure Kubernetes Service(AKS)环境中，使用Workload Identity与托管身份(Managed Identity)结合可以实现安全的服务间认证。

问题现象

在使用KEDA 2.14.1版本时，尝试通过Workload Identity方式连接Azure PostgreSQL数据库时遇到了认证失败的问题。错误信息显示客户端返回了空密码，这表明Workload Identity认证流程未能正确完成。

解决方案

1. 版本升级

经过验证，KEDA从2.15.0版本开始才完整支持PostgreSQL的Workload Identity认证方式。因此，首先需要将KEDA升级到2.15.0或更高版本。在AKS环境中，如果通过插件方式安装的KEDA无法自动升级到新版本，可以考虑改用Helm方式进行安装。

2. 配置TriggerAuthentication

正确配置TriggerAuthentication资源是解决问题的关键。以下是一个完整的配置示例：

apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: postgres-trigger-auth-wlid
  namespace: movie-api
spec:
  podIdentity:
    provider: azure-workload
    identityId: abcdef-abcdef-azbdev # 替换为UAI的clientId

3. 配置ScaledJob

ScaledJob需要正确引用TriggerAuthentication，并配置PostgreSQL连接参数：

apiVersion: keda.sh/v1alpha1
kind: ScaledJob
metadata:
  name: postgres-scaledjob
  namespace: movie-api
spec:
  jobTargetRef:
    template:
      spec:
        serviceAccount: keda-service-account
        containers:
        - name: movie-job
          image: acr123.azurecr.io/kedaconsoleapp:1.6
  pollingInterval: 30
  successfulJobsHistoryLimit: 5
  failedJobsHistoryLimit: 5
  triggers:
  - type: postgresql
    authenticationRef:
      name: postgres-trigger-auth-wlid
    metadata:
      host: "postgres.postgres.database.azure.com"
      port: "5432"
      userName: "movies-mi"
      dbName: "movies"
      sslmode: "require"
      query: "SELECT COUNT(*) FROM movies"
      targetQueryValue: '1'

实现原理

1. Workload Identity认证流程：

   • KEDA通过配置的TriggerAuthentication获取Azure Workload Identity凭证
   • 使用该凭证向Azure AD请求访问令牌
   • 将获取的令牌作为密码传递给PostgreSQL服务器
   • PostgreSQL服务器验证令牌的有效性并建立连接

2. 多租户隔离：

   • 通过在TriggerAuthentication中指定不同的identityId，可以为每个工作负载配置独立的托管身份
   • 这种设计实现了最小权限原则，确保每个应用只能访问其被授权的资源

最佳实践

1. 版本管理：

   • 始终使用KEDA的最新稳定版本(目前推荐2.16.1+)
   • 定期检查版本更新以获取新功能和安全性改进

2. 身份管理：

   • 为每个应用创建专用的用户分配托管身份(User Assigned Managed Identity)
   • 在PostgreSQL中为每个身份创建单独的用户并授予最小必要权限

3. 安全配置：

   • 始终启用SSL/TLS连接(sslmode: require)
   • 限制数据库防火墙规则，仅允许来自AKS集群的访问

4. 监控与日志：

   • 配置KEDA的详细日志级别以排查认证问题
   • 监控ScaledJob的执行状态和扩缩容事件

总结

通过正确配置KEDA和Azure Workload Identity，可以实现安全、灵活的PostgreSQL自动扩缩容方案。关键点包括使用足够新的KEDA版本、正确配置TriggerAuthentication身份引用，以及确保PostgreSQL服务器已配置为接受Azure AD令牌认证。这种方案不仅提高了安全性，还简化了凭证管理，是云原生应用架构的理想选择。