Workload Identity(AKS)
适用于 AKS 生产环境。它允许 Pod 使用 Azure Entra ID 身份访问 Azure OpenAI,而无需把凭据存进集群。
前提
- OPL 数据空间
0.6.30+ - AKS 已启用:
- OIDC Issuer
- Workload Identity
Terraform 思路
- 创建 Kubernetes namespace
- 创建 Azure User Assigned Identity
- 创建 Federated Identity Credential
- 给该身份授予
Cognitive Services OpenAI User - 用 Helm 部署 OPL 数据空间,并把 service account 与 identity 绑定
关键点
ServiceAccount annotation:
azure.workload.identity/client-id: <USER_ASSIGNED_IDENTITY_CLIENT_ID>Pod label:
azure.workload.identity/use: "true"最后一步
部署完成后,在 OPL 数据空间的 Connections 中新增 Azure OpenAI,并选择 Entra ID 即可。