External-Secrets项目Azure Workload Identity认证异常问题分析

问题背景

External-Secrets项目是一个用于Kubernetes环境管理外部密钥的开源工具。在0.10.6版本中，用户报告了一个与Azure Workload Identity认证相关的重要问题。当使用Workload Identity方式连接Azure Key Vault时，系统会返回404错误，导致认证失败。

问题现象

用户在Kubernetes 1.30.0环境中部署External-Secrets 0.10.6版本后，发现SecretStore无法正常工作。错误日志显示系统尝试访问的OIDC终结点返回404状态码。具体错误信息为：

unable to resolve an endpoint: http call(https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/token/v2.0/.well-known/openid-configuration?)(GET) error: reply status code was 404

技术分析

根本原因

经过分析，这个问题是由于0.10.6版本中Azure认证终结点URL构造不正确导致的。系统错误地在终结点路径中包含了多余的"/oauth2/token"部分，而Azure Entra ID（原Azure AD）的实际终结点路径结构应为：

https://login.microsoftonline.com/[TenantID]/v2.0/.well-known/openid-configuration

版本对比

• 0.10.5版本：工作正常
• 0.10.6版本：出现404错误
• main分支：已修复该问题

解决方案

临时解决方案

对于急需解决问题的用户，可以采用以下临时方案：

1. 回退到0.10.5版本
2. 使用main分支构建的镜像：ghcr.io/external-secrets/external-secrets:main

官方修复

项目维护团队已经确认该问题，并在main分支中修复。修复后的版本将包含在下一个补丁发布中（预计为0.10.7）。

配置示例

以下是正确的SecretStore配置示例，供用户参考：

apiVersion: external-secrets.io/v1beta1
kind: SecretStore
metadata:
  name: secret-store-kv
  namespace: myns
spec:
  provider:
    azurekv:
      tenantId: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
      authType: WorkloadIdentity
      vaultUrl: "https://xxxx.vault.azure.net/"
      serviceAccountRef:
        name: sa-ess

对应的ServiceAccount配置：

apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    azure.workload.identity/client-id: aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaa
  labels:
    azure.workload.identity/use: "true"
  name: sa-ess
  namespace: myns

最佳实践建议

1. 在生产环境中部署前，建议先在测试环境验证新版本
2. 关注项目发布说明，了解版本变更和已知问题
3. 对于关键系统，考虑使用稳定的发布版本而非开发分支
4. 配置监控告警，及时发现认证相关问题

总结

External-Secrets项目0.10.6版本中出现的Azure Workload Identity认证问题是一个典型的URL终结点构造错误。项目团队已经快速响应并修复了该问题。用户可以选择回退版本或使用修复后的镜像作为临时解决方案，等待官方发布包含修复的稳定版本。