Thanos Compactor组件S3存储清理失败的排查与解决

问题背景

在使用Thanos构建云原生监控系统时，Compactor组件负责对存储在对象存储中的时序数据进行压缩和清理。近期在部署Thanos系统时遇到了一个典型问题：Compactor组件能够正常完成数据压缩等操作，但在清理标记为删除的块(blocks)时失败，报出"Access Denied"错误。

错误现象分析

从日志中可以清晰地看到错误链：

1. Compactor开始清理标记为删除的块
2. 尝试删除特定块(01J1AYPJ079SQG86D2HJ859JDV)的meta.json文件时失败
3. 错误直接表明是权限问题："Access Denied"

值得注意的是，其他组件如receive和store-gateway都能正常工作，只有Compactor的删除操作失败。这表明系统的基础配置是正确的，但Compactor组件缺少某些特定权限。

技术原理深入

Thanos Compactor组件在对象存储上的操作主要包括：

1. 读取块数据(需要List和Get权限)
2. 写入新压缩的块(需要Put权限)
3. 删除标记为删除的旧块(需要Delete权限)

在AWS S3环境下，这些操作对应着不同的IAM权限。虽然问题表现为简单的权限不足，但背后反映了Kubernetes中Service Account与IAM角色绑定的复杂性。

解决方案

根本原因是Compactor Pod没有正确继承所需的IAM角色。在AWS EKS环境中，需要通过Service Account的特定注解来绑定IAM角色。正确的配置应包括：

compactor:
  serviceAccount:
    annotations:
      "eks.amazonaws.com/role-arn": <实际的S3角色ARN>

经验总结

1. 权限隔离原则：虽然给所有组件相同的宽泛权限可以快速解决问题，但最佳实践是为每个组件分配最小必要权限。

2. 组件差异检查：当部分组件工作正常时，应该比较它们与异常组件的配置差异，特别是权限相关部分。

3. 日志分析技巧：Thanos的日志通常会明确指示失败的操作类型和资源路径，这对定位权限问题非常有帮助。

4. 测试验证方法：在配置变更后，可以通过手动创建删除标记来验证Compactor的清理功能是否恢复正常。

扩展思考

这个问题虽然表现为简单的权限配置错误，但反映了云原生环境中权限管理的几个关键点：

1. Kubernetes RBAC与云提供商IAM的交互
2. 不同组件对存储后端操作模式的差异
3. 声明式配置中细微差别可能导致的重大功能影响

对于生产环境部署，建议建立完善的权限审计机制，定期验证各组件的最小必要权限，既确保功能正常又遵循安全最佳实践。