首页
/ KEDA中使用Workload Identity实现PostgreSQL自动扩缩容的最佳实践

KEDA中使用Workload Identity实现PostgreSQL自动扩缩容的最佳实践

2025-05-26 08:31:15作者:胡唯隽

背景介绍

KEDA(Kubernetes Event-driven Autoscaling)是一个开源的Kubernetes事件驱动自动扩缩容组件,它可以根据各种指标(如消息队列长度、数据库查询结果等)自动调整工作负载的副本数。在Azure Kubernetes Service(AKS)环境中,使用Workload Identity与托管身份(Managed Identity)结合可以实现安全的服务间认证。

问题现象

在使用KEDA 2.14.1版本时,尝试通过Workload Identity方式连接Azure PostgreSQL数据库时遇到了认证失败的问题。错误信息显示客户端返回了空密码,这表明Workload Identity认证流程未能正确完成。

解决方案

1. 版本升级

经过验证,KEDA从2.15.0版本开始才完整支持PostgreSQL的Workload Identity认证方式。因此,首先需要将KEDA升级到2.15.0或更高版本。在AKS环境中,如果通过插件方式安装的KEDA无法自动升级到新版本,可以考虑改用Helm方式进行安装。

2. 配置TriggerAuthentication

正确配置TriggerAuthentication资源是解决问题的关键。以下是一个完整的配置示例:

apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: postgres-trigger-auth-wlid
  namespace: movie-api
spec:
  podIdentity:
    provider: azure-workload
    identityId: abcdef-abcdef-azbdev # 替换为UAI的clientId

3. 配置ScaledJob

ScaledJob需要正确引用TriggerAuthentication,并配置PostgreSQL连接参数:

apiVersion: keda.sh/v1alpha1
kind: ScaledJob
metadata:
  name: postgres-scaledjob
  namespace: movie-api
spec:
  jobTargetRef:
    template:
      spec:
        serviceAccount: keda-service-account
        containers:
        - name: movie-job
          image: acr123.azurecr.io/kedaconsoleapp:1.6
  pollingInterval: 30
  successfulJobsHistoryLimit: 5
  failedJobsHistoryLimit: 5
  triggers:
  - type: postgresql
    authenticationRef:
      name: postgres-trigger-auth-wlid
    metadata:
      host: "postgres.postgres.database.azure.com"
      port: "5432"
      userName: "movies-mi"
      dbName: "movies"
      sslmode: "require"
      query: "SELECT COUNT(*) FROM movies"
      targetQueryValue: '1'

实现原理

  1. Workload Identity认证流程

    • KEDA通过配置的TriggerAuthentication获取Azure Workload Identity凭证
    • 使用该凭证向Azure AD请求访问令牌
    • 将获取的令牌作为密码传递给PostgreSQL服务器
    • PostgreSQL服务器验证令牌的有效性并建立连接
  2. 多租户隔离

    • 通过在TriggerAuthentication中指定不同的identityId,可以为每个工作负载配置独立的托管身份
    • 这种设计实现了最小权限原则,确保每个应用只能访问其被授权的资源

最佳实践

  1. 版本管理

    • 始终使用KEDA的最新稳定版本(目前推荐2.16.1+)
    • 定期检查版本更新以获取新功能和安全性改进
  2. 身份管理

    • 为每个应用创建专用的用户分配托管身份(User Assigned Managed Identity)
    • 在PostgreSQL中为每个身份创建单独的用户并授予最小必要权限
  3. 安全配置

    • 始终启用SSL/TLS连接(sslmode: require)
    • 限制数据库防火墙规则,仅允许来自AKS集群的访问
  4. 监控与日志

    • 配置KEDA的详细日志级别以排查认证问题
    • 监控ScaledJob的执行状态和扩缩容事件

总结

通过正确配置KEDA和Azure Workload Identity,可以实现安全、灵活的PostgreSQL自动扩缩容方案。关键点包括使用足够新的KEDA版本、正确配置TriggerAuthentication身份引用,以及确保PostgreSQL服务器已配置为接受Azure AD令牌认证。这种方案不仅提高了安全性,还简化了凭证管理,是云原生应用架构的理想选择。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
860
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K