使用 Azure Blob Storage 实现数据面高可用
在本指南中,你将学习如何在 API7 企业版中使用 Azure Blob Storage 作为外部配置存储,来配置数据面(DP)的高可用性。API7 支持两种验证网关节点以访问 Blob Storage 的方法:
- Workload Identity – 使用用户分配的托管身份(user-assigned managed identity),为网关 Pod 授予安全的访问权限,无需使用静态凭证。
- Storage Account Access Key – 使用存储账户(storage account)名称和密钥进行身份验证。
这两种方法都允许网关节点在控制面(CP)不可用时,从外部存储中获取配置并继续处理流量。
使用 Workload Identity
此方法利用用户分配的 Azure 托管身份,允许 API7 网关 Pod 安全地访问 Blob Storage,而无需在配置中嵌入静态凭证。
准备 Azure 资源
你需要在 Azure 上准备以下资源:
- 一个包含所有相关资源的资源组(resource group)。
- 一个用于部署 API7 网关实例的 AKS 集群。
- 一个 Azure 存储账户(storage account)。
- 在该存储账户中创建的两个 Blob 容器:
- 一个容器用于存储网关组的动态配置,例如 keyring(密钥环)和发现数据。
- 一个容器用于存储网关资源配置,例如路由(routes)和服务(services)。
- 一个用 户分配的托管身份(user-assigned managed identity),用于 Workload Identity 和 Service Connector 配置。
- 一个通过 Service Connector 创建的服务连接,用于将 AKS 集群安全连接到 Azure Storage。
资源组
资源组是用于管理 Azure 资源的逻辑容器。
创建一个自定义名称的 Azure 资源组,用于存放所有相关资源。关于创建资源组的详细说明,请参考官方 Azure 文档:Azure CLI 或 Azure Portal。
AKS 集群
Azure Kubernetes Service(AKS)提供了一个托管的 Kubernetes 环境,用于部署和运行 API7 企业版网关实例,包括流量网关节点(traffic gateway nodes)和备份网关节点(backup gateway node)。
在前面创建的资源组中创建一个 AKS 集群。

关于创建集群的详细说明,请参考官方 Azure 文档:Azure CLI 或 Azure Portal