AKS+OpenAI+Terraform：云原生AI应用基础设施一键部署实践

1. 项目概述：当Kubernetes遇见大语言模型

最近在搞一个内部AI应用的原型，需要快速在云上部署一个能跑大语言模型推理的服务。需求很明确：要能弹性伸缩、要能方便地管理模型版本、还要能跟现有的Kubernetes生态无缝集成。在Azure上转了一圈，发现微软官方仓库里的这个aks-openai-terraform项目，简直就是为这种场景量身定做的“开箱即用”方案。

这个项目本质上是一个用Terraform编写的自动化部署脚本集。它的核心目标，是帮你一键在Azure Kubernetes Service (AKS) 集群上，部署一个集成了Azure OpenAI Service的、生产就绪的AI应用运行环境。你不需要从零开始写YAML文件、配置网络策略、或者手动挂载存储卷，它通过代码（Infrastructure as Code, IaC）的方式，把这些繁琐且容易出错的步骤全部打包好了。对于想快速验证AI应用想法，或者为团队搭建统一AI能力平台的开发者来说，它能节省大量前期基础架构搭建的时间。

简单来说，它解决了几个关键痛点：第一，环境一致性。用代码定义基础设施，确保每次部署的环境都一样，避免了“在我机器上是好的”这类问题。第二，快速启动。从零到拥有一个能跑GPT类模型的Kubernetes环境，可能只需要二三十分钟。第三，最佳实践集成。项目里预设了网络隔离、密钥管理、监控等生产级配置，初学者可以直接站在“巨人肩膀”上。

2. 核心架构与设计思路拆解

2.1 为什么是AKS + Azure OpenAI + Terraform这个组合？

这个项目的技术选型非常“Azure原生”，但背后的逻辑具有普适性，理解了它，你也能把类似思路搬到其他云平台。

AKS (Azure Kubernetes Service)是托管K8s服务。选择它而不是自建K8s，核心是为了降低运维复杂度。AKS帮你管理控制平面（Master节点），你只需要关注工作节点和上面跑的应用。对于AI推理这种计算密集型负载，节点的自动扩缩容（Cluster Autoscaler）和GPU节点支持至关重要，AKS都提供了成熟的支持。

Azure OpenAI Service是微软托管的OpenAI模型服务。为什么不直接在K8s里部署开源的LLM模型（如Llama 2）？这里有几个权衡：首先，性能与成本。像GPT-4这样的超大模型，对硬件要求极高，自建推理集群的固定成本很高。而Azure OpenAI提供按Token付费的API，在流量不确定的初期，成本更可控。其次，免运维。模型更新、版本管理、高可用保障都由Azure负责，团队可以更专注于应用开发。最后，合规与安全。对于企业级应用，数据隐私、内容过滤（Content Filter）是刚需，Azure OpenAI提供了企业级的数据处理协议和安全特性。

Terraform是粘合剂，也是灵魂。它用声明式的HCL语言描述整个云资源栈。在这个项目里，Terraform脚本不仅创建AKS集群，还会一并创建Azure Container Registry (ACR) 用于存储自定义镜像、Azure Key Vault用于安全存储OpenAI API密钥、Log Analytics工作区用于收集日志和指标，甚至配置好虚拟网络和子网。这种“一键创建整个应用平台”的能力，是脚本或手动点击无法比拟的。它保证了环境可重现、可版本控制、可协作审查。

项目的设计思路遵循了“关注点分离”原则。Terraform负责创建和管理云基础设施（IaaS/PaaS层），而Kubernetes的Manifest文件（通常通过Helm Chart管理）则负责定义应用本身的部署、服务、配置等。两者通过一些输出变量（如AKS的kubeconfig、ACR的登录服务器地址）进行连接。

2.2 项目模块化结构解析

打开项目仓库，你会发现它的Terraform代码是高度模块化的。这种结构不是为了炫技，而是为了可复用性和可维护性。通常包含以下几个核心模块：

1. 网络模块 (modules/network)：负责创建虚拟网络(VNet)、子网(Subnet)、网络安全组(NSG)。这是所有服务的基础。一个关键设计是，它通常会将AKS节点池、内部负载均衡器、甚至未来的Azure Redis缓存等服务部署在不同的子网，实现初步的网络隔离。
2. AKS集群模块 (modules/aks)：这是核心。它创建AKS集群，并配置关键参数：
   • 节点池配置：你可以定义多个节点池，比如一个用于系统Pod的“系统池”（Standard_D2s_v3），和一个用于运行AI推理工作负载的“用户池”（Standard_NC6s_v3或带GPU的型号）。项目可能会配置节点污点(Taints)和容忍(Tolerations)，确保推理任务只跑在指定的节点上。
   • 集群附加组件：自动启用Cluster Autoscaler、OMS Agent（用于容器监控）、Azure Policy等。
   • 身份与访问管理：配置Azure Active Directory集成、Kubernetes RBAC，确保安全的集群访问。
3. 容器注册表模块 (modules/acr)：创建私有的Azure Container Registry。你的应用Docker镜像、Sidecar镜像等都推送到这里。模块会配置AKS对ACR的拉取权限（通常使用Managed Identity），实现无缝镜像拉取。
4. 密钥保管库模块 (modules/keyvault)：创建Azure Key Vault，用于存储Azure OpenAI的终结点(Endpoint)和API密钥。最佳实践是永远不把密钥硬编码在代码或镜像中。这个模块会配置AKS的Pod如何通过Managed Identity去Key Vault动态读取密钥（例如使用Azure Key Vault Provider for Secrets Store CSI Driver）。
5. 日志与监控模块 (modules/monitoring)：创建Log Analytics工作区，并配置Container Insights。这样你就能在Azure门户看到集群、节点、Pod的性能指标和日志，对于调试推理服务的性能瓶颈（如GPU利用率、内存不足）至关重要。

这些模块通过根目录的main.tf文件组合起来，模块之间通过输入输出变量传递资源ID、名称等关键信息。这种结构让你可以轻松地复用某个模块（比如只想用它的网络设计），或者替换某个模块（比如想用自己写的更复杂的AKS模块）。

3. 核心组件配置与关键细节

3.1 AKS集群的“生产级”调优

直接使用Azure门户创建AKS，很多默认设置并不适合生产负载，尤其是AI推理。这个项目的价值就在于它预先做了调优。

节点池的精细化管理：脚本里通常不会只有一个节点池。系统节点池（跑CoreDNS、Metrics-server等系统Pod）会被设置为mode=System，并设置较低的节点数量（如1-3个）。用户节点池（跑你的AI应用）则根据负载需求配置。对于CPU密集型推理，可以选择Standard_F系列（计算优化型）；对于需要GPU的模型，则必须选择Standard_NC、Standard_ND或Standard_NV系列。关键参数node_count和enable_auto_scaling(min_count, max_count) 需要仔细规划。初期可以设置较小的min_count以节省成本，并设置一个合理的max_count以应对流量高峰。

Pod安全性与资源限制：项目中的Kubernetes部署清单（Deployment）会定义资源请求（requests）和限制（limits）。对于AI推理Pod，CPU和内存的limits必须设置，尤其是内存，OOM（内存溢出）是常见的故障点。例如，一个加载了13B参数量化模型的容器，可能需要申请8Gi以上的内存。此外，会配置安全上下文（securityContext），如runAsNonRoot: true，并可能使用Pod安全标准（Pod Security Standards）来增强安全性。

网络策略与入口控制：默认情况下，K8s集群内所有Pod是互通的。项目可能会通过azure-network-policies插件或Calico来定义网络策略（NetworkPolicy），限制只有特定的前端服务Pod才能访问后端的AI推理Pod。对外暴露服务时，通常使用LoadBalancer类型的Service或Ingress Controller（如NGINX Ingress）。项目可能会配置内部负载均衡器（service.beta.kubernetes.io/azure-load-balancer-internal: "true"），确保AI服务不直接暴露在公网，前端通过API网关或内部服务来调用。

3.2 将Azure OpenAI密钥安全地注入Pod

这是连接K8s应用和云端AI服务的关键一环。硬编码或在环境变量中明文存储API密钥是严重的安全反模式。该项目演示了如何通过Azure Key Vault和CSI驱动安全地管理密钥。

1. 在Key Vault中存储密钥：Terraform脚本会在Azure Key Vault中创建两个Secret：一个存放OPENAI_API_BASE（终结点URL），一个存放OPENAI_API_KEY。
2. 为AKS配置Managed Identity：创建AKS集群时，会启用一个系统分配的或用户分配的Managed Identity。然后，通过Azure RBAC，授予这个Identity读取Key Vault中特定Secret的权限。
3. 部署Secrets Store CSI Driver：在AKS集群中部署这个驱动。它的作用是将Key Vault中的Secret作为存储卷（Volume）挂载到Pod里。
4. 创建SecretProviderClass：这是一个K8s自定义资源，定义了Pod要访问哪个Key Vault、哪个Tenant ID、使用哪个Managed Identity，以及具体要获取哪些Secret对象。
5. 在Pod定义中挂载卷：在Deployment的YAML里，首先引用SecretProviderClass，然后定义一个Volume，其数据源来自这个Provider。最后，在容器规格中，将这个Volume挂载到某个路径，比如/mnt/secrets-store。容器启动后，就能在这个路径下看到以文件形式存在的OPENAI_API_BASE和OPENAI_API_KEY。应用只需要读取这些文件即可。

注意：这里有一个常见陷阱。CSI驱动挂载的是文件，而很多应用库（如OpenAI Python库）默认从环境变量OPENAI_API_KEY读取。因此，你需要在Pod的启动命令或应用初始化代码中，增加一个步骤：读取文件内容并将其设置为环境变量。例如，在容器启动脚本里执行export OPENAI_API_KEY=$(cat /mnt/secrets-store/openai-api-key)。

3.3 示例应用与模型部署模式

项目通常会包含一个示例应用，比如一个简单的ChatGPT风格的Web接口。这个示例的价值在于展示了应用与基础设施的集成模式。

应用架构：示例可能是一个Python Flask或FastAPI应用，提供/chat接口。它内部调用openaiPython库，而库的客户端在初始化时，会从环境变量或挂载卷中读取终结点和密钥。这个应用会被打包成Docker镜像，推送到项目创建的ACR中。

部署清单剖析：查看示例的deployment.yaml，你能学到很多：

• Init Container的使用：可能会用一个Init Container来执行一些预备操作，比如从挂载的Secret卷中读取密钥并写入到主容器能访问的共享内存卷，或者检查模型端点是否就绪。
• 就绪性和存活探针：对于AI推理服务，配置就绪性探针（Readiness Probe）非常重要。可以设置为调用一个简单的/health端点。只有当模型加载完成、服务真正准备好接收请求时，这个探针才返回成功，此时Pod才会被加入Service的负载均衡池。避免流量打到还在加载模型的Pod上。
• Horizontal Pod Autoscaler (HPA)：示例可能会配置HPA，根据CPU利用率或自定义指标（如每秒请求数）来自动扩缩Pod副本数。对于AI推理，QPS（每秒查询数）或平均响应延迟是比CPU更相关的扩缩指标，但这需要安装Prometheus Adapter等组件来提供自定义指标。
• 服务网格或边车模式：在一些更复杂的示例中，可能会引入服务网格（如Istio）的边车（Sidecar）来处理遥测数据收集、重试、熔断等跨领域关注点，让主应用代码更专注于业务逻辑。

4. 完整部署流程与实操演练

假设你已经克隆了项目代码，并安装了Azure CLI、Terraform和kubectl。以下是典型的操作步骤和背后的思考。

4.1 前期准备与环境配置

首先，用Azure CLI登录：az login。然后确保你切换到了正确的订阅：az account set --subscription <你的订阅ID>。

接下来，需要准备一个Terraform的变量定义文件，通常是terraform.tfvars。这是你定制化部署的地方。关键变量包括：

# terraform.tfvars 示例 prefix = "myai" # 所有资源名称的前缀，确保唯一性 location = "eastus2" # 资源部署的区域，考虑GPU资源的可用性 # AKS配置 aks_agent_count = 3 aks_agent_vm_size = "Standard_D4s_v3" # OpenAI配置（这些值需要你先在Azure门户创建OpenAI资源获取） openai_endpoint = "https://your-resource.openai.azure.com/" # openai_key 不在这里设置，将通过Key Vault手动添加 # 网络地址空间 vnet_address_space = ["10.0.0.0/16"] aks_subnet_address_prefix = "10.0.1.0/24"

实操心得：prefix变量非常有用，它能让所有创建的资源都有一个统一且可识别的命名，方便管理和成本追踪。区域选择 (location) 要谨慎，不是所有区域都提供GPU VM系列，需要提前在Azure官网查看产品在区域的可用性。

4.2 执行Terraform部署

1. 初始化：在项目根目录运行terraform init。这会下载项目所需的Terraform提供商（AzureRM、Kubernetes等）和模块。
2. 规划：运行terraform plan -out=tfplan。这一步至关重要，它会显示Terraform将要创建、更改或销毁的所有资源。请花时间仔细阅读输出，确认这符合你的预期，尤其是会创建哪些收费资源（AKS、ACR、Key Vault等）。
3. 应用：确认无误后，运行terraform apply tfplan。接下来就是等待，通常需要10到20分钟。Terraform会按依赖顺序创建资源组、网络、Key Vault、ACR，最后是AKS集群。

部署成功后，Terraform会输出一些关键信息，比如：

• aks_host：AKS集群的API服务器地址。
• acr_login_server：你的容器注册表地址。
• key_vault_name：创建的Key Vault名称。
• kube_config：一段完整的Kubeconfig，用于连接集群。

4.3 手动配置Key Vault密钥与部署示例应用

Terraform创建了Key Vault，但出于安全考虑，它不会自动将你的OpenAI API密钥放进去。你需要手动操作：

1. 在Azure门户找到创建的Key Vault。
2. 在“Secrets”部分，创建两个新的Secret：
   • openai-api-base：值为你的Azure OpenAI终结点URL。
   • openai-api-key：值为你的Azure OpenAI API密钥。

现在，基础设施就绪了。接下来部署示例应用：

1. 配置kubectl：使用Terraform输出的kubeconfig。可以运行az aks get-credentials --resource-group <资源组名> --name <集群名>来合并配置。
2. 构建并推送镜像：进入示例应用目录，使用ACR快速任务构建镜像：az acr build --registry <acr名称> --image chat-app:latest .
3. 部署应用：应用Kubernetes清单文件：kubectl apply -f k8s/deployment.yaml。这个文件会引用之前Terraform创建的SecretProviderClass。
4. 验证部署：使用kubectl get pods,svc查看Pod状态和服务。如果配置了LoadBalancer，会得到一个外部IP。访问这个IP，就能看到示例聊天界面了。

4.4 部署后的关键检查清单

部署完成不是终点，确保一切运行健康才是重点。

• Pod状态：kubectl get pods查看所有Pod是否为Running且READY为1/1。如果有Init:Error或CrashLoopBackOff，需要查看日志：kubectl logs <pod-name> [-c <container-name>]。
• Secret挂载：进入Pod检查Secret是否成功挂载：kubectl exec -it <pod-name> -- ls -la /mnt/secrets-store/。应该能看到包含密钥的文件。
• 服务连通性：从集群内部（可以临时运行一个busyboxPod）或通过外部IP，调用应用的健康检查或简单接口，测试是否能成功连接到Azure OpenAI并返回结果。
• 监控仪表板：在Azure门户进入你的AKS集群，查看“见解(Insights)”部分。检查节点CPU/内存使用率、Pod数量等，确保没有异常。
• 成本分析：在Azure Cost Management中，设置基于资源组或标签的预算和警报。AKS集群本身的管理是免费的，但工作节点VM、ACR存储、Key Vault操作、Azure OpenAI API调用都会产生费用。

5. 常见问题排查与进阶优化

5.1 部署失败与问题诊断

即使有自动化脚本，部署过程也可能遇到问题。下面是一些常见错误和排查思路：

一个典型故障排查案例：部署后，应用日志显示“Invalid API Key”。首先，检查Key Vault中的密钥是否正确无误。然后，进入Pod内部，查看挂载的Secret文件内容是否正确：kubectl exec -it <pod-name> -- cat /mnt/secrets-store/openai-api-key。如果内容正确，那么问题出在应用层。检查你的应用是否真的读取了这个文件。一个常见的疏忽是，应用代码（如Python的openai.api_key = os.getenv(“OPENAI_API_KEY”)）仍然从环境变量读取，而你没有在Pod配置中将文件内容注入为环境变量。解决方法是在Deployment的env字段中，使用valueFrom和secretKeyRef（如果Secret已同步到K8s）或者使用一个Init Container来将文件内容写入到主容器能读取的位置。

5.2 从示例到生产：关键优化项

这个项目提供了一个优秀的起点，但要用于真实生产环境，还需要考虑以下几点：

1. 高可用与多区域部署：生产环境通常需要跨可用区（Availability Zones）部署AKS节点池，以应对单数据中心故障。这需要在Terraform的azurerm_kubernetes_cluster_node_pool资源中设置zones = [“1”, “2”, “3”]。对于更高要求，可以考虑跨区域部署，但这涉及更复杂的网络（全球负载均衡器）和数据同步问题。
2. 持续集成与持续部署 (CI/CD)：将Terraform代码和Kubernetes清单纳入CI/CD流水线（如GitHub Actions, Azure DevOps）。对Terraform代码进行plan和apply的自动化，并设置人工审批关卡。应用镜像的构建和推送也应自动化。
3. 更精细的监控与告警：除了Azure Monitor，可以集成Prometheus和Grafana，采集GPU利用率、模型推理延迟、Token消耗速率等自定义指标。基于这些指标设置告警，例如当平均响应延迟超过500ms或GPU内存使用率超过90%时触发。
4. 成本优化策略：
   • 使用Spot节点池：对于可以容忍中断的批处理推理任务，可以创建Spot节点池，成本大幅降低。需要在Pod中配置相应的容忍和节点选择器。
   • 自动缩放策略调优：结合Cluster Autoscaler和HPA。Cluster Autoscaler负责根据Pending的Pod来增减节点，HPA负责根据负载增减Pod副本。需要仔细调整缩放阈值和冷却时间，避免过于频繁的伸缩导致抖动。
   • 设置预算和配额：在Azure Cost Management中为资源组设置月度预算和支出警报。
5. 安全加固：
   • Pod Identity升级：考虑使用Azure Workload Identity替代老的AAD Pod Identity（已弃用），它是与Kubernetes原生Service Account集成的新方式，更安全、更标准。
   • 网络策略：实施严格的网络策略，遵循最小权限原则。
   • 镜像扫描：在ACR中启用漏洞扫描，确保部署的容器镜像没有已知的安全漏洞。
   • 机密轮换：建立定期轮换Azure OpenAI API密钥的流程，并确保Key Vault和Pod中的Secret能同步更新。这可以通过Key Vault的自动轮换策略或重新部署应用来实现。

这个aks-openai-terraform项目就像一张精心绘制的地图，为你指明了在Azure上构建云原生AI应用基础设施的快速路径。它最大的价值不在于代码本身，而在于其体现的设计模式和最佳实践：用IaC管理基础架构、将机密与代码分离、利用托管服务降低运维负担、以及Kubernetes作为应用部署的统一抽象层。在实际使用中，你可以根据自己团队的规模、应用的复杂度和合规要求，在这张地图的基础上进行深化和扩展，构建出真正适合自己业务的生产级AI平台。