Kiali服务账户令牌自动续期问题分析与解决方案

问题背景

在Kubernetes 1.30版本的AKS集群中，用户将Kiali升级至1.87版本后，发现配置的服务账户令牌(Service Account Token)自动续期功能未能正常工作。虽然Kubernetes成功创建并定期更新了令牌文件，但Kiali服务未能正确使用新令牌，导致认证失败。

技术细节分析

服务账户令牌投影机制

Kubernetes 1.30引入了服务账户令牌投影功能，允许自动轮换服务账户令牌。该功能通过以下配置实现：

volumes:
  - name: kiali-token
    projected:
      sources:
      - serviceAccountToken:
          audience: https://kubernetes.default.svc
          expirationSeconds: 3600  # 1小时有效期
          path: token

此配置会在/var/run/secrets/tokens/token路径下生成并维护一个有效期为1小时的令牌，Kubernetes会自动在令牌过期前更新它。

问题现象

尽管令牌文件被正确更新，但Kiali 1.87版本存在以下问题：

1. 令牌过期后，Kiali仍尝试使用旧令牌访问Kubernetes API
2. 导致出现"Unauthorized"错误
3. 服务无法正常获取集群资源信息

根本原因

经过排查，发现这是Kiali 1.87版本的一个已知问题。该版本的Kiali客户端缓存未能正确处理自动更新的服务账户令牌，导致：

1. 启动时加载的初始令牌被缓存
2. 文件系统上的令牌更新后，缓存未同步刷新
3. 继续使用已过期的令牌进行API调用

解决方案

临时解决方案

升级至Kiali 1.89版本可解决此问题。1.89版本包含了对令牌自动更新的完整支持，能够：

1. 监控令牌文件变化
2. 自动刷新客户端认证信息
3. 无需重启即可使用新令牌

长期建议

对于生产环境，建议：

1. 使用Helm chart部署Kiali而非修改addon yaml
2. 定期更新Kiali版本以获取最新修复
3. 配置适当的监控以检测认证问题

实施注意事项

1. 版本兼容性：确保Kiali版本与Istio版本兼容
2. 安全配置：替换默认的签名密钥
3. 监控配置：设置适当的告警机制监控Kiali健康状态

总结

Kiali 1.87版本存在服务账户令牌自动续期支持不足的问题，升级至1.89或更高版本可解决。生产环境建议采用Helm方式部署并进行适当配置，而非直接使用演示用途的addon yaml。对于关键业务系统，应建立完善的监控机制以确保服务连续性。