Argo CD使用指南：如何构建一套完整的GitOps？

Argo CD使用指南：如何构建一套完整的GitOps？

https://github.com/atoy3731/aws-k8s-terraform

以下是我们将会使用到的组件：

AWS——这是我们将在底层基础设施使用的云提供商。它将管理我们的虚拟机以及Kubernetes工作所需的网络，并允许Ingress从外界进入集群。  K3s——由Rancher开发的轻量级Kubernetes发行版。它对许多alpha功能和云插件进行了清理，同时也使用关系型数据库（本例中是RDS）代替etcd进行后端存储。

Rancher——API驱动的UI，可以轻松管理你的Kubernetes集群

Vault——Hashicorp的密钥管理实现。我将使用Banzai Cloud Vault的bank-- vaults实现，它可以通过使用Admission Webhook将密钥直接注入pod中。这大大减轻了你在Git仓库中存储密钥的需求。

Cert Manager或LetsEncrypt——提供了一种为Kubernetes Ingress自动生成和更新证书的方法。

让我们先从AWS基础架构开始。

前期准备

你需要在你的系统中安装以下CLI：

Terraform Kubectl AWS

同时，你还需要AWS管理员访问权限以及一个访问密钥。如果你没有，你可以使用信用卡创建一个账户。

最后，你需要一个可以管理/更新的托管域名，以指向你的基于Kubernetes弹性负载均衡器（ELB）。如果你还没有，建议你在NameCheap上开一个账户，然后购买一个.dev域名。它价格便宜，而且效果很好。

AWS基础架构

db_username — 将应用于Kubernetes后端存储的RDS实例的管理员用户名 db_password — RDS用户的管理员密码。这通常应该在你的terraform apply命令内联过程中传递此参数，但为了简单起见，我们将在文件中设置它。 public_ssh_key — 你的公共SSH密钥，当你需要SSH到Kubernetes EC2s时，你将使用它。 keypair_name — 要应用于你的public_ssh_key的密钥对名称。 key_s3_bucket_name — 生成的bucket将在集群成功创建时存储你的kubeconfig文件。

如果你想修改集群大小或设置特定的CIDRs（无类域间路由），可以设置下面的一些可选字段，但默认情况下，你会得到一个6节点（3个服务器，3个代理）的K3s集群。

同时，你将需要创建S3 bucket来存储你的Terraform状态并且在k3s/backends/s3.tfvars和k3s/main.tf文件中更改bucket字段来与其匹配。

一旦我们更新了所有的字段，并创建了S3状态bucket，我们就开始应用Terraform吧。首先，确保你在AWS账户中有一个管理IAM用户并且你已经在系统上正确设置了环境变量或AWS凭证文件，以便能够与AWS API对接，然后运行以下命令：

cd k3s/ terraform init -backend-config=backends/s3.tfvars terraform apply -var-file=example.tfvars

一旦你执行以上命令，Terraform会在apply成功后输出预期的AWS状态。如果一切看起来都符合预期，请输入yes。这时候由于RDS集群的原因，需要5—10分钟的时间来配置AWS资源。

验证你的Kubernetes集群

Terraform成功应用之后（再多等几分钟的时间确保K3s已经部署完毕），你需要使用以下命令从S3 bucket中抓取kubeconfig文件（替换你在example.tfvars中输入的bucket名称）：

aws s3 cp s3://YOUR_BUCKET_NAME/k3s.yaml ~/.kube/config

这应该成功完成，让你现在能够与你的集群通信。让我们检查一下我们的节点状态，在继续之前，确保它们都处于就绪状态。

$ kubectl get nodes NAME STATUS ROLES AGE VERSION ip-10-0-1-208.ec2.internal Ready 39m v1.18.9+k3s1 ip-10-0-1-12.ec2.internal Ready master 39m v1.18.9+k3s1 ip-10-0-1-191.ec2.internal Ready master 39m v1.18.9+k3s1 ip-10-0-2-12.ec2.internal Ready master 39m v1.18.9+k3s1 ip-10-0-2-204.ec2.internal Ready 39m v1.18.9+k3s1 ip-10-0-1-169.ec2.internal Ready 39m v1.18.9+k3s1

我们也来看看Argo CD的状态，它是通过manifest自动部署的：

$ kubectl get pods -n kube-system | grep argocd helm-install-argocd-5jc9s 0/1 Completed 1 40m argocd-redis-774b4b475c-8v9s8 1/1 Running 0 40m argocd-dex-server-6ff57ff5fd-62v9b 1/1 Running 0 40m argocd-server-5bf58444b4-mpvht 1/1 Running 0 40m argocd-repo-server-6d456ddf8f-h9gvd 1/1 Running 0 40m argocd-application-controller-67c7856685-qm9hm 1/1 Running 0 40m

现在我们可以继续为我们的ingress和证书自动化配置通配符DNS。

DNS配置

对于DNS，我通过Namecheap获得atoy.dev域名，但你可以使用任何你喜欢的DNS供应商。我们需要做的是创建一个通配符CNAME条目，以将所有请求路由到AWS ELB，它正在管理应用程序的ingress。

要验证它是否有效，你可以安装/使用nslookup来确保它解析到正确的主机名：

$ nslookup test.demo.atoy.dev Server: 71.252.0.12 Address: 71.252.0.12#53 Non-authoritative answer: test.demo.atoy.dev canonical name = a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com. Name: a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com Address: 52.20.5.150 Name: a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com Address: 23.20.0.2

现在到Umbrella应用程序。

Argo CD和Umbrella应用程序

我们已经知道Argo CD已经部署好了，但现在我们要使用Argo CD的App-of-Apps部署模型来部署我们的其余工具套件。由于我们使用的是GitOps，你需要将k8s-tools-app仓库fork到你自己的Github账户上，然后我们需要做一些修改来匹配你各自的环境。

你需要为进行全局查找/替换，并将其更改到之前fork的新存储库git URL。这使你可以管理自己的环境，让Argo CD可以从那里拉取。另外，需要确保你的Git仓库是公开的，以便Argo CD可以访问它。  在resources/tools/resources/other-resources.yaml中，更改argoHostand issuerEmail，使其与你的域名和邮箱相匹配。

在resources/tools/resources/rancher.yaml中，更改主机名称和邮件以匹配各自的域名和email。  在resources/apps/resources/hello-world.yaml中，将两个引用app.demo.aptoy.dev改为与你的域名一致。

一旦你做了这些更新，继续提交/推送你的更改到你的forked Github仓库。现在你已经准备好应用umbrella应用程序了。在本地克隆的仓库中执行以下操作：

$ kubectl apply -f umbrella-tools.yaml appproject.argoproj.io/tools created application.argoproj.io/umbrella-tools created

现在，Argo CD将开始配置所有其他工具，这些工具是仓库为你的集群定义的。你可以通过执行以下操作来获得已部署的应用程序的列表：

$ kubectl get applications -n kube-system NAME AGE other-resources 56m umbrella-tools 58m rancher 57m vault-impl 57m vault-operator 58m vault-webhook 57m cert-manager 57m cert-manager-crds 58m

你将不得不等待5分钟左右的时间，让一切都准备好，让LetsEncrypt生成暂存证书。一旦事情按预期运行，你应该看到两个生成的Ingress条目，你可以通过浏览器访问：

$ kubectl get ingress -A NAMESPACE NAME CLASS HOSTS ADDRESS PORTS AGE cattle-system rancher rancher.demo.atoy.dev a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com 80, 443 59m kube-system argocd-ingress argo.demo.atoy.dev a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com 80, 443 58m

现在你可以通过 浏览 Rancher，通过 浏览 Argo CD。

NOTE 1：为了避免LetsEncrypt的任何速率限制，我们使用的是无效的暂存证书。这有一个好处是当你在你的浏览器访问Argo、Rancher或你的hello world应用程序，它会给你一个SSL异常。使用Chrome浏览器，在你的异常页面加载时输入thisisunsafe，它会让你绕过它。你也可以了解更新Cert-manager的ClusterIssuer，以使用生产级的可信证书。

NOTE 2：K3s预装了一个Traefik作为ingress controller，出于简单起见，我们直接使用它。

NOTE 4： 要登录Argo CD，它使用admin作为用户名，使用argocd-server pod名作为密码。你可以通过下面的操作来获得这个服务器的pod名（本例中是argocd-server-5bf58444b4-mpvht）。

$ kubectl get pods -n kube-system | grep argocd-server argocd-server-5bf58444b4-mpvht 1/1 Running 0 64m

在Vault中创建密钥

为了让事情变得简单，在你的工具库中有一个帮助脚本。运行以下命令来获取Vault管理员令牌和端口转发命令：

$ sh tools/vault-config.sh Your Vault root token is: s.qEl4Ftr4DR61dmbH3umRaXP0 Run the following: export VAULT_TOKEN=s.qEl4Ftr4DR61dmbH3umRaXP0 export VAULT_CACERT=/Users/adam.toy/.vault-ca.crt kubectl port-forward -n vault service/vault 8200 & You will then be able to access Vault in your browser at: [token进行登录。

部署Hello World 应用程序

现在，回到我们的父版本，让我们运行下面的代码来部署hello world应用程序：

$ kubectl apply -f umbrella-apps.yaml appproject.argoproj.io/apps created application.argoproj.io/umbrella-apps created

测试GitOps

现在我们来测试一下Argo CD，确保当我们在仓库中做一些更改时它能够自动同步。

清 除

清理了ELB之后，运行以下命令并在出现提示时输入yes：

terraform destroy -var-file=example.tfvars

下一步是什么？

我们已经有一个很好的工具集来使用GitOps部署应用程序。那么下一步是什么？如果你愿意接受挑战，可以尝试在hello world应用旁边部署自己的应用，甚至尝试通过在应用manifest仓库中更新镜像标签来实现CI/CD。这样一来，当构建新的应用镜像时，新的标签就会在manifest仓库中自动更新，Argo CD就会部署新版本。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。