Argo CD使用指南：如何構建一套完整的GitOps？

時間 2021-01-19

標籤 node git github web redis 數據庫後端瀏覽器安全服務器欄目 Git 简体版

原文原文鏈接

隨着Kubernetes繼續將本身確立爲容器編排的行業標準，爲你的應用和工具找到使用聲明式模型的有效方法是成功的關鍵。在這篇文章中，咱們將在AWS中創建一個K3s Kubernetes集羣，而後使用Argo CD和Vault實現安全的GitOps。你能夠在如下兩個連接中分別查看基礎架構以及Kubernetes umbrella應用程序：node

https://github.com/atoy3731/aws-k8s-terraformgit

https://github.com/atoy3731/k8s-tools-appgithub

如下是咱們將會使用到的組件：web

AWS——這是咱們將在底層基礎設施使用的雲提供商。它將管理咱們的虛擬機以及Kubernetes工做所需的網絡，並容許Ingress從外界進入集羣。
redis
K3s——由Rancher開發的輕量級Kubernetes發行版。它對許多alpha功能和雲插件進行了清理，同時也使用關係型數據庫（本例中是RDS）代替etcd進行後端存儲。

Rancher——API驅動的UI，能夠輕鬆管理你的Kubernetes集羣

Vault——Hashicorp的密鑰管理實現。我將使用Banzai Cloud Vault的bank-- vaults實現，它能夠經過使用Admission Webhook將密鑰直接注入pod中。這大大減輕了你在Git倉庫中存儲密鑰的需求。

Argo CD——這是一個GitOps工具，可讓你在Git中維護Kubernetes資源的狀態。Argo CD會自動將你的Kubernetes資源與Git倉庫中的資源進行同步，同時也確保集羣內對manifest的手動更改會自動還原。這保證了你的聲明式部署模式。

Cert Manager或LetsEncrypt——提供了一種爲Kubernetes Ingress自動生成和更新證書的方法。

讓咱們先從AWS基礎架構開始。
數據庫

前期準備

你須要在你的系統中安裝如下CLI：
後端

Terraform瀏覽器
Kubectl安全
AWS

同時，你還須要AWS管理員訪問權限以及一個訪問密鑰。若是你沒有，你可使用信用卡建立一個帳戶。
服務器

最後，你須要一個能夠管理/更新的託管域名，以指向你的基於Kubernetes彈性負載均衡器（ELB）。若是你尚未，建議你在NameCheap上開一個帳戶，而後購買一個.dev域名。它價格便宜，並且效果很好。

AWS基礎架構

對於咱們的AWS基礎架構，咱們將使用Terraform與S3支持來持久化狀態。這爲咱們提供了一種方法來聲明性地定義咱們的基礎架構，並在咱們須要的時候反覆進行更改。在基礎設施倉庫中，你會看到一個k3s/example.tfvars文件。咱們須要根據咱們特定的環境/使用狀況更新這個文件，設置如下值：

db_username — 將應用於Kubernetes後端存儲的RDS實例的管理員用戶名
db_password — RDS用戶的管理員密碼。這一般應該在你的terraform apply命令內聯過程當中傳遞此參數，但爲了簡單起見，咱們將在文件中設置它。
public_ssh_key — 你的公共SSH密鑰，當你須要SSH到Kubernetes EC2s時，你將使用它。
keypair_name — 要應用於你的public_ssh_key的密鑰對名稱。
key_s3_bucket_name — 生成的bucket將在集羣成功建立時存儲你的kubeconfig文件。

若是你想修改集羣大小或設置特定的CIDRs（無類域間路由），能夠設置下面的一些可選字段，但默認狀況下，你會獲得一個6節點（3個服務器，3個代理）的K3s集羣。

同時，你將須要建立S3 bucket來存儲你的Terraform狀態而且在k3s/backends/s3.tfvars和k3s/main.tf文件中更改bucket字段來與其匹配。

一旦咱們更新了全部的字段，並建立了S3狀態bucket，咱們就開始應用Terraform吧。首先，確保你在AWS帳戶中有一個管理IAM用戶而且你已經在系統上正確設置了環境變量或AWS憑證文件，以便可以與AWS API對接，而後運行如下命令：

cd k3s/
terraform init -backend-config=backends/s3.tfvars
terraform apply -var-file=example.tfvars

一旦你執行以上命令，Terraform會在apply成功後輸出預期的AWS狀態。若是一切看起來都符合預期，請輸入yes。這時候因爲RDS集羣的緣由，須要5—10分鐘的時間來配置AWS資源。

驗證你的Kubernetes集羣

Terraform成功應用以後（再多等幾分鐘的時間確保K3s已經部署完畢），你須要使用如下命令從S3 bucket中抓取kubeconfig文件（替換你在example.tfvars中輸入的bucket名稱）：

aws s3 cp s3://YOUR_BUCKET_NAME/k3s.yaml ~/.kube/config

這應該成功完成，讓你如今可以與你的集羣通訊。讓咱們檢查一下咱們的節點狀態，在繼續以前，確保它們都處於就緒狀態。

$ kubectl get nodes
NAME                         STATUS   ROLES    AGE   VERSION
ip-10-0-1-208.ec2.internal   Ready    <none>   39m   v1.18.9+k3s1
ip-10-0-1-12.ec2.internal    Ready    master   39m   v1.18.9+k3s1
ip-10-0-1-191.ec2.internal   Ready    master   39m   v1.18.9+k3s1
ip-10-0-2-12.ec2.internal    Ready    master   39m   v1.18.9+k3s1
ip-10-0-2-204.ec2.internal   Ready    <none>   39m   v1.18.9+k3s1
ip-10-0-1-169.ec2.internal   Ready    <none>   39m   v1.18.9+k3s1

咱們也來看看Argo CD的狀態，它是經過manifest自動部署的：

$ kubectl get pods -n kube-system | grep argocd
helm-install-argocd-5jc9s                        0/1     Completed   1          40m
argocd-redis-774b4b475c-8v9s8                    1/1     Running     0          40m
argocd-dex-server-6ff57ff5fd-62v9b               1/1     Running     0          40m
argocd-server-5bf58444b4-mpvht                   1/1     Running     0          40m
argocd-repo-server-6d456ddf8f-h9gvd              1/1     Running     0          40m
argocd-application-controller-67c7856685-qm9hm   1/1     Running     0          40m

如今咱們能夠繼續爲咱們的ingress和證書自動化配置通配符DNS。

DNS配置

對於DNS，我經過Namecheap得到atoy.dev域名，但你可使用任何你喜歡的DNS供應商。咱們須要作的是建立一個通配符CNAME條目，以將全部請求路由到AWS ELB，它正在管理應用程序的ingress。

首先，經過訪問你的AWS控制檯獲取你的彈性負載均衡器主機名稱——導航到EC2部分並在左邊菜單欄上點擊Load Balancers。而後你應該看到一個使用隨機字符建立的新LoadBalancer。若是你檢查tag，它應該引用你的新Kubernetes集羣。

你須要從該條目複製DNS名稱。爲個人域名訪問NamecCheap 高級DNS頁面，並輸入*.demo.atoy.dev 的CNAME條目。指向你從AWS複製的域名。你能夠根據你的提供商/域名調整這個名稱：

要驗證它是否有效，你能夠安裝/使用nslookup來確保它解析到正確的主機名：

$ nslookup test.demo.atoy.dev
Server:  71.252.0.12
Address: 71.252.0.12#53

Non-authoritative answer:
test.demo.atoy.dev canonical name = a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com.
Name: a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com
Address: 52.20.5.150
Name: a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com
Address: 23.20.0.2

如今到Umbrella應用程序。

Argo CD和Umbrella應用程序

咱們已經知道Argo CD已經部署好了，但如今咱們要使用Argo CD的App-of-Apps部署模型來部署咱們的其他工具套件。因爲咱們使用的是GitOps，你須要將k8s-tools-app倉庫fork到你本身的Github帳戶上，而後咱們須要作一些修改來匹配你各自的環境。

你須要爲https://github.com/atoy3731/k8s-tools-app.git 進行全局查找/替換，並將其更改到以前fork的新存儲庫git URL。這使你能夠管理本身的環境，讓Argo CD能夠從那裏拉取。另外，須要確保你的Git倉庫是公開的，以便Argo CD能夠訪問它。
在resources/tools/resources/other-resources.yaml中，更改argoHostand issuerEmail，使其與你的域名和郵箱相匹配。

在resources/tools/resources/rancher.yaml中，更改主機名稱和郵件以匹配各自的域名和email。
在resources/apps/resources/hello-world.yaml中，將兩個引用app.demo.aptoy.dev改成與你的域名一致。

一旦你作了這些更新，繼續提交/推送你的更改到你的forked Github倉庫。如今你已經準備好應用umbrella應用程序了。在本地克隆的倉庫中執行如下操做：

$ kubectl apply -f umbrella-tools.yaml
appproject.argoproj.io/tools created
application.argoproj.io/umbrella-tools created

如今，Argo CD將開始配置全部其餘工具，這些工具是倉庫爲你的集羣定義的。你能夠經過執行如下操做來得到已部署的應用程序的列表：

$ kubectl get applications -n kube-system
NAME                AGE
other-resources     56m
umbrella-tools      58m
rancher             57m
vault-impl          57m
vault-operator      58m
vault-webhook       57m
cert-manager        57m
cert-manager-crds   58m

你將不得不等待5分鐘左右的時間，讓一切都準備好，讓LetsEncrypt生成暫存證書。一旦事情按預期運行，你應該看到兩個生成的Ingress條目，你能夠經過瀏覽器訪問：

$ kubectl get ingress -A
NAMESPACE       NAME             CLASS    HOSTS                     ADDRESS                                                                  PORTS     AGE
cattle-system   rancher          <none>   rancher.demo.atoy.dev   a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com   80, 443   59m
kube-system     argocd-ingress   <none>   argo.demo.atoy.dev      a4c6dfd75b47a4b1cb85fbccb390fe1f-529310843.us-east-1.elb.amazonaws.com   80, 443   58m

如今你能夠經過 https://rancher.YOUR-DOMAIN 瀏覽 Rancher，經過 https://argo.YOUR-DOMAIN 瀏覽 Argo CD。

NOTE 1：爲了不LetsEncrypt的任何速率限制，咱們使用的是無效的暫存證書。這有一個好處是當你在你的瀏覽器訪問Argo、Rancher或你的hello world應用程序，它會給你一個SSL異常。使用Chrome瀏覽器，在你的異常頁面加載時輸入thisisunsafe，它會讓你繞過它。你也能夠了解更新Cert-manager的ClusterIssuer，以使用生產級的可信證書。

NOTE 2：K3s預裝了一個Traefik做爲ingress controller，出於簡單起見，咱們直接使用它。

NOTE 3：首次登陸Rancher後，你須要生成一個密碼，並接受用於訪問Rancher的URI。URI應該是預先加載在表單中的，因此您能夠直接點擊 "Okay"。

NOTE 4：要登陸Argo CD，它使用admin做爲用戶名，使用argocd-server pod名做爲密碼。你能夠經過下面的操做來得到這個服務器的pod名（本例中是argocd-server-5bf58444b4-mpvht）。

$ kubectl get pods -n kube-system | grep argocd-server
argocd-server-5bf58444b4-mpvht                   1/1     Running     0          64m

如今你應該可以訪問Argo CD UI，登陸並查看，以下所示：

既然咱們的工具已經部署完成，讓咱們在Vault中存儲密鑰，以便hello world應用程序提取。

在Vault中建立密鑰

爲了讓事情變得簡單，在你的工具庫中有一個幫助腳本。運行如下命令來獲取Vault管理員令牌和端口轉發命令：

$ sh tools/vault-config.sh
Your Vault root token is: s.qEl4Ftr4DR61dmbH3umRaXP0

Run the following:
export VAULT_TOKEN=s.qEl4Ftr4DR61dmbH3umRaXP0
export VAULT_CACERT=/Users/adam.toy/.vault-ca.crt
kubectl port-forward -n vault service/vault 8200 &

You will then be able to access Vault in your browser at: [https://localhost:8200](https://localhost:8200)

運行輸出的命令，而後導航到https://localhost:8200。輸入上面的root token進行登陸。

當你登陸時，你應該在一個密鑰引擎頁面。點擊Secret/條目，而後點擊右上方的建立密鑰。咱們將建立一個demo密鑰，因此添加如下內容並點擊保存：

如今咱們已經爲hello world應用程序準備好密鑰了。

部署Hello World 應用程序

如今，回到咱們的父版本，讓咱們運行下面的代碼來部署hello world應用程序：

$ kubectl apply -f umbrella-apps.yaml
appproject.argoproj.io/apps created
application.argoproj.io/umbrella-apps created

建立完成後，回到Argo CD UI，你先應該看到兩個新應用程序，umbrella-apps和demo-app。單擊demo-app，而後等待全部資源正常運行：

一旦狀態都是healthy以後，你應該可以經過訪問https://app.YOUR-DOMAIN 導航到你的應用程序。

讓咱們也來驗證一下咱們的Vault密鑰是否被注入到咱們的應用程序pod中。在Argo CD UI的demo-app中，點擊應用程序的一個Pod，而後點擊頂部的日誌標籤。左邊應該有兩個容器，選擇 test-deployment容器。在日誌的頂部，你應該看到你的密鑰在兩行等號之間：

測試GitOps

如今咱們來測試一下Argo CD，確保當咱們在倉庫中作一些更改時它可以自動同步。

在你的工具庫中，找到resources/apps/resources/hello-world.yaml文件，將replicaCount的值從5改到10。提交併推送你的更改到主分支，而後在Argo CD UI中導航回demo-app。當Argo CD達到它的刷新間隔時，它會自動開始部署其餘5個應用程序副本（若是你不想等待，能夠點擊你的 umbrella-apps Argo應用程序 ** 中的刷新按鈕）：

清除

若是你準備拆掉你的集羣，你須要先進入AWS控制檯、EC2服務，而後點擊Load Balancers。你會看到Kubernetes雲提供商建立了一個ELB，但不是由Terraform管理的，你須要清理它。你還須要刪除該ELB正在使用的安全組。

清理了ELB以後，運行如下命令並在出現提示時輸入yes：

terraform destroy -var-file=example.tfvars

下一步是什麼？

咱們已經有一個很好的工具集來使用GitOps部署應用程序。那麼下一步是什麼？若是你願意接受挑戰，能夠嘗試在hello world應用旁邊部署本身的應用，甚至嘗試經過在應用manifest倉庫中更新鏡像標籤來實現CI/CD。這樣一來，當構建新的應用鏡像時，新的標籤就會在manifest倉庫中自動更新，Argo CD就會部署新版本。