Argo CD 是一个为 Kubernetes 而生的，遵循声明式 GitOps 理念的持续部署工具。Argo CD 可在 Git 存储库更改时自动同步和部署应用程序。

Argo CD 可在指定的目标环境中自动部署所需的应用程序状态，应用程序部署可以在 Git 提交时跟踪对分支、标签的更新，或固定到清单的指定版本。

ArgoCD架构

Argo CD 是通过 Kubernetes 控制器来实现的，它持续 watch 正在运行的应用程序并将当前的实时状态与所需的目标状态（ Git 存储库中指定的）进行比较。已经部署的应用程序的实际状态与目标状态有差异，则被认为是状态，Argo CD 会报告显示这些差异，同时提供工具来自动或手动将状态同步到期望的目标状态。在 Git 仓库中对期望目标状态所做的任何修改都可以自动应用反馈到指定的目标环境中去。

下面简单介绍下 Argo CD 中的几个主要组件：

API 服务 ：API 服务是一个 gRPC/REST 服务，它暴露了 Web UI、CLI 和 CI/CD 系统使用的接口，主要有以下几个功能：

仓库服务 ：存储仓库服务是一个内部服务，负责维护保存应用程序清单 Git 仓库的本地缓存。当提供以下输入时，它负责生成并返回 Kubernetes 清单：

应用控制器 ：应用控制器是一个 Kubernetes 控制器，它持续 watch 正在运行的应用程序并将当前的实时状态与所期望的目标状态（repo 中指定的）进行比较。它检测应用程序的状态，并采取一些措施来同步状态，它负责调用任何用户定义的生命周期事件的钩子（PreSync、Sync、PostSync）。

当然前提是需要有一个 kubectl 可访问的 Kubernetes 的集群，直接使用下面的命令即可，这里我们安装最新的 v2.8.4 版本：

$ kubectl create namespace argocd$ kubectl apply -n argocd -f

 如果你要用在生产环境，则可以使用下面的命令部署一个 HA 高可用的版本：

$ kubectl create namespace argocd$ kubectl apply -n argocd -f

 这将创建一个新的命名空间 argocd，Argo CD 的服务和应用资源都将部署到该命名空间。

$ kubectl get pods -n argocdNAMEREADYSTATUSRESTARTSAGEargocd-application-controller-01/1Running0103sargocd-applicationset-controller-68b9bdbd8b-jzcpf1/1Running0103sargocd-dex-server-6b7745757-6mxwk1/1Running0103sargocd-notifications-controller-5b56f6f7bb-jqpng1/1Running0103sargocd-redis-f4cdbff57-dr8jc1/1Running0103sargocd-repo-server-c4f79b4d6-7nh6n1/1Running0103sargocd-server-895675597-fr42g1/1Running0103s

 然后我们可以在本地（选择对应的版本）安装 CLI 工具方便操作 Argo CD：

$ curl -sSL -o /usr/local/bin/argocd

 为 argocd CLI 赋予可执行权限：

$ chmod +x /usr/local/bin/argocd

 现在我们就可以使用argocd命令了。如果你是 Mac，则可以直接使用brew install argocd进行安装。


 Argo CD 会运行一个 gRPC 服务（由 CLI 使用）和 HTTP/HTTPS 服务（由 UI 使用），这两种协议都由argocd-server服务在以下端口进行暴露：


 我们可以通过配置 Ingress 的方式来对外暴露服务，其他 Ingress 控制器的配置可以参考官方文档进行配置。


 Argo CD 在同一端口 (443) 上提供多个协议 (gRPC/HTTPS)，所以当我们为 argocd 服务定义单个 nginx ingress 对象和规则的时候有点麻烦，因为nginx.ingress.kubernetes.io/backend-protocol这个 annotation 只能接受一个后端协议（例如 HTTP、HTTPS、GRPC、GRPCS）。


 为了使用单个 ingress 规则和主机名来暴露 Argo CD APIServer，必须使用nginx.ingress.kubernetes.io/ssl-passthrough这个annotation来传递 TLS 连接并校验 Argo CD APIServer 上的 TLS。

apiVersion: networking.k8s.io/v1kind: Ingressmetadata:name: argocd-server-ingressnamespace: argocdannotations:nginx.ingress.kubernetes.io/force-ssl-redirect: "true"nginx.ingress.kubernetes.io/ssl-passthrough: "true"spec:ingressClassName: nginxrules:- host: argocd.k8s.localhttp:paths:- path: /pathType: Prefixbackend:service:name: argocd-serverport:name: https

 上述规则在 Argo CD APIServer 上校验 TLS，该服务器检测到正在使用的协议，并做出适当的响应。请注意，nginx.ingress.kubernetes.io/ssl-passthrough注解要求将--enable-ssl-passthrough标志添加到nginx-ingress-controller的命令行参数中。


 由于ingress-nginx的每个 Ingress 对象仅支持一个协议，因此另一种方法是定义两个 Ingress 对象。一个用于 HTTP/HTTPS，另一个用于 gRPC。


 如下所示为 HTTP/HTTPS 的 Ingress 对象：

apiVersion: networking.k8s.io/v1kind: Ingressmetadata:name: argocd-server-http-ingressnamespace: argocdannotations:nginx.ingress.kubernetes.io/force-ssl-redirect: "true"nginx.ingress.kubernetes.io/backend-protocol: "HTTP"spec:ingressClassName: nginxrules:- http:paths:- path: /pathType: Prefixbackend:service:name: argocd-serverport:name: httphost: argocd.k8s.localtls:- hosts:- argocd.k8s.localsecretName: argocd-secret # do not change, this is provided by Argo CD

 gRPC 协议对应的 Ingress 对象如下所示：

apiVersion: networking.k8s.io/v1kind: Ingressmetadata:name: argocd-server-grpc-ingressnamespace: argocdannotations:nginx.ingress.kubernetes.io/backend-protocol: "GRPC"spec:ingressClassName: nginxrules:- http:paths:- path: /pathType: Prefixbackend:service:name: argocd-serverport:name: httpshost: grpc.argocd.k8s.localtls:- hosts:- grpc.argocd.k8s.localsecretName: argocd-secret # do not change, this is provided by Argo CD

 然后我们需要在禁用 TLS 的情况下运行 APIServer。编辑 argocd-server 这个 Deployment 以将--insecure标志添加到 argocd-server 命令，或者简单地在argocd-cmd-params-cmConfigMap 中设置server.insecure: "true"即可。


 创建完成后，我们就可以通过argocd.k8s.local来访问 Argo CD 服务了，不过需要注意我们这里配置的证书是自签名的，所以在第一次访问的时候会提示不安全，强制跳转即可。



 安全提示


 默认情况下admin帐号的初始密码是自动生成的，会以明文的形式存储在 Argo CD 安装的命名空间中名为argocd-initial-admin-secret的 Secret 对象下的password字段下，我们可以用下面的命令来获取：

$ kubectl -n argocd get secret argocd-initial-admin-secret -o jsnotallow="{.data.password}" | base64 -d && echo

 使用用户名admin和上面输出的密码即可登录 Dashboard。



 默认的如下所示：



 argocd


 同样我们也可以通过 ArgoCD CLI 命令行工具进行登录：

$ argocd login grpc.argocd.k8s.localWARNING: server certificate had error: tls: failed to verify certificate: x509: certificate signed by unknown authority. Proceed insecurely (y/n)? yUsername: adminPassword:'admin:login' logged in successfullyContext 'grpc.argocd.k8s.local' updated

 需要注意的是这里登录的地址为 gRPC 暴露的服务地址。


 CLI 登录成功后，可以使用如下所示命令更改密码：

$ argocd account update-password*** Enter current password:*** Enter new password:*** Confirm new password:Password updatedContext 'argocd.k8s.local' updated$ argocd versionargocd: v2.12.3+6b9cd82BuildDate: 2024-08-27T15:31:43ZGitCommit: 6b9cd828c6e9807398869ad5ac44efd2c28422d6GitTreeState: cleanGoVersion: go1.23.0Compiler: gcPlatform: darwin/arm64argocd-server: v2.12.3+6b9cd82BuildDate: 2024-08-27T11:57:48ZGitCommit: 6b9cd828c6e9807398869ad5ac44efd2c28422d6GitTreeState: cleanGoVersion: go1.22.4Compiler: gcPlatform: linux/amd64Kustomize Version: v5.4.2 2024-05-22T15:19:38ZHelm Version: v3.15.2+g1a500d5Kubectl Version: v0.29.6Jsonnet Version: v0.20.0

 由于 Argo CD 支持部署应用到多集群，所以如果你要将应用部署到外部集群的时候，需要先将外部集群的认证信息注册到 Argo CD 中，如果是在内部部署（运行 Argo CD 的同一个集群，默认不需要配置），直接使用作为应用的 K8S APIServer 地址即可。


 首先列出当前kubeconfig中的所有集群上下文：

$ kubectl config get-contexts -o namekubernetes-admin@kubernetesorbstack

 从列表中选择一个上下文名称并将其提供给argocd cluster add CONTEXTNAME，比如对于orbstack上下文，运行：

$ argocd cluster listSERVERNAMEVERSIONSTATUSMESSAGEPROJECT$ argocd cluster add orbstack

 Git 仓库是一个包含留言簿应用程序的示例库，我们可以用该应用来演示 Argo CD 的工作原理。


 我们可以通过argocd app create xxx命令来创建一个应用：

$ argocd app create --helpCreate an applicationUsage:argocd app create APPNAME [flags]Examples:# Create a directory appargocd app create guestbook --repo--path guestbook --dest-namespace default --dest-server--directory-recurse# Create a Jsonnet appargocd app create jsonnet-guestbook --repo--path jsonnet-guestbook --dest-namespace default --dest-server--jsonnet-ext-str replicas=2# Create a Helm appargocd app create helm-guestbook --repo--path helm-guestbook --dest-namespace default --dest-server--helm-set replicaCount=2# Create a Helm app from a Helm repoargocd app create nginx-ingress --repo--helm-chart nginx-ingress --revision 1.24.3 --dest-namespace default --dest-serverCreate a Kustomize appargocd app create kustomize-guestbook --repo--path kustomize-guestbook --dest-namespace default --dest-server--kustomize-image gcr.io/heptio-images/ks-guestbook-demo:0.1# Create a app using a custom tool:argocd app create kasane --repo--path plugins/kasane --dest-namespace default --dest-server--config-management-plugin kasaneFlags:......

 直接执行如下所示命令即可：

$ argocd app create guestbook --repo--path guestbook --dest-server--dest-namespace defaultapplication 'guestbook' created

 除了可以通过 CLI 工具来创建应用，我们也可以通过 UI 界面来创建，定位到argocd.k8s.local页面，登录后，点击+New App新建应用按钮。将应用命名为 guestbook，使用 default project，并将同步策略设置为Manual：



 配置应用


 然后在下面配置Repository URL为，由于某些原因我们这里使用的是 Gitee 仓库地址，将 Revision 设置为 HEAD，并将路径设置为 guestbook。然后下面的 Destination 部分，将 cluster 设置为inCluster和 namespace 为 default：



 配置集群


 填写完以上信息后，点击页面上方的 Create 安装，即可创建 guestbook 应用，创建完成后可以看到当前应用的处于OutOfSync状态：



 guestbook application


 Argo CD 默认情况下每 3 分钟会检测 Git 仓库一次，用于判断应用实际状态是否和 Git 中声明的期望状态一致，如果不一致，状态就转换为OutOfSync。默认情况下并不会触发更新，除非通过syncPolicy配置了自动同步。


 除了可以通过 CLI 和 Dashboard 可以创建 Application 之外，其实也可以直接通过声明一个
 
  Application
 
 的资源对象来创建一个应用，如下所示：

apiVersion: argoproj.io/v1alpha1kind: Applicationmetadata:name: guestbookspec:destination:namespace: defaultserver: "https://kubernetes.default.svc"source:path: guestbookrepoURL: "https://github.com/cnych/argocd-example-apps"targetRevision: HEADproject: defaultsyncPolicy:automated: null

 由于上面我们在创建应用的时候使用的同步策略为Manual，所以应用创建完成后没有自动部署，需要我们手动去部署应用。同样可以通过 CLI 和 UI 界面两种同步方式。


 应用创建完成后，我们可以通过如下所示命令查看其状态：

$ argocd app get argocd/guestbookName:argocd/guestbookProject:defaultServer:Repo:AllowedSync Policy:ManualSync Status:OutOfSync from HEAD (3b08dd4)Health Status:MissingGROUPKINDNAMESPACENAMESTATUSHEALTHHOOKMESSAGEServicedefaultguestbook-uiOutOfSyncMissingappsDeploymentdefaultguestbook-uiOutOfSyncMissing

 应用程序状态为初始OutOfSync状态，因为应用程序尚未部署，并且尚未创建任何 Kubernetes 资源。要同步（部署）应用程序，可以执行如下所示命令：

$ argocd app sync argocd/guestbookTIMESTAMPGROUPKINDNAMESPACENAMESTATUSHEALTHHOOKMESSAGE2024-09-08T10:42:02+08:00Servicedefaultguestbook-uiOutOfSyncMissing2024-09-08T10:42:02+08:00appsDeploymentdefaultguestbook-uiOutOfSyncMissing2024-09-08T10:42:03+08:00Servicedefaultguestbook-uiOutOfSyncMissingservice/guestbook-ui created2024-09-08T10:42:03+08:00appsDeploymentdefaultguestbook-uiOutOfSyncMissingdeployment.apps/guestbook-ui created2024-09-08T10:42:03+08:00Servicedefaultguestbook-uiSyncedHealthyservice/guestbook-ui created2024-09-08T10:42:03+08:00appsDeploymentdefaultguestbook-uiSyncedProgressingdeployment.apps/guestbook-ui createdName:argocd/guestbookProject:defaultServer:Repo:AllowedSync Policy:ManualSync Status:Synced to HEAD (3b08dd4)Health Status:ProgressingOperation:SyncSync Revision:3b08dd4969319e053d9cab2a02f949abc9f4aa45Phase:SucceededStart:2024-09-08 10:42:02 +0800 CSTFinished:2024-09-08 10:42:03 +0800 CSTDuration:1sMessage:successfully synced (all tasks run)GROUPKINDNAMESPACENAMESTATUSHEALTHHOOKMESSAGEServicedefaultguestbook-uiSyncedHealthyservice/guestbook-ui createdappsDeploymentdefaultguestbook-uiSyncedProgressingdeployment.apps/guestbook-ui created

 此命令从 Git 仓库中检索资源清单并执行kubectl apply部署应用，执行上面命令后 guestbook 应用便会运行在集群中了，现在我们就可以查看其资源组件、日志、事件和评估其健康状态了。


 直接添加 UI 界面上应用的Sync按钮即可开始同步：



 sync 操作


 同步完成后可以看到我们的资源状态，甚至还可以直接查看应用的日志信息：



 Sync 完成


 也可以通过 kubectl 查看到我们部署的资源：

$ kubectl get podsNAMEREADYSTATUSRESTARTSAGEguestbook-ui-6c96fb4bdc-bdwh91/1Running03m3s➜~ kubectl get svcNAMETYPECLUSTER-IPEXTERNAL-IPPORT(S)AGEguestbook-uiClusterIP10.100.170.117<none>80/TCP3m16skubernetesClusterIP10.96.0.1<none>443/TCP42d

 和我们从 Git 仓库中同步guestbook目录下面的资源状态也是同步的，证明同步成功了。


 如果有多个团队，每个团队都要维护大量的应用，就需要用到 Argo CD 的另一个概念：项目（Project）。Argo CD 中的项目（Project）可以用来对 Application 进行分组，不同的团队使用不同的项目，这样就实现了多租户环境。项目还支持更细粒度的访问权限控制：


 比如我们这里创建一个名为demo的项目，将该应用创建到该项目下，只需创建一个如下所示的AppProject对象即可：

apiVersion: argoproj.io/v1alpha1kind: AppProjectmetadata:# 项目名name: demonamespace: argocdspec:# 目标destinations:# 此项目的服务允许部署的 namespace，这里为全部- namespace: "*"# 此项目允许部署的集群，这里为默认集群，即为Argo CD部署的当前集群server:允许的数据源sourceRepos:-

 该对象中有几个核心的属性：


 直接创建该对象即可：

$ kubectl get appproject -n argocdNAMEAGEdefault47hdemo6s

 更多配置信息可以前往文档查看，项目创建完成后，在该项目下创建一个 Application，代表环境中部署的应用程序实例。

apiVersion: argoproj.io/v1alpha1kind: Applicationmetadata:name: gitops-demonamespace: argocdspec:destination:namespace: defaultserver: "https://kubernetes.default.svc"project: demosyncPolicy:automated:prune: trueselfHeal: truesource:path: helm-guestbook # 从 Helm 存储库创建应用程序时，chart 必须指定 pathrepoURL: "https://gitee.com/cnych/argocd-example-apps.git"targetRevision: HEADhelm:parameters:- name: replicaCountvalue: "2"valueFiles:- values.yaml

 这里我们定义了一个名为gitop-demo的应用，应用源来自于 helm 路径，使用的是values.yaml文件，此外还可以通过source.helm.parameters来配置参数。


 同步策略可以选择使用自动的方式，该策略下面还有两个属性可以配置：



 删除资源



 自动痊愈


 正常创建后这个应用就会自动部署了，根据我们配置会生成两个副本。



 由于 Argo CD 默认并不是实时去监测 Config Repo 的变化的，如果要更快的检测到变化我们可以使用 Git Webhook 的方式。


 默认情况下 Argo CD 每三分钟轮询一次 Git 存储库，以检测清单的更改。为了消除轮询延迟，可以将 API 服务器配置为接收 Webhook 事件。Argo CD 支持来自 GitHub、GitLab、Bitbucket、Bitbucket Server 和 Gogs 的 Git webhook 通知。


 然后在argocd-secret这个 Kubernetes Secret 中，使用上面配置的 Git 提供商的 Webhook 密钥配置以下密钥之一。



 gitlab token

$ kubectl edit secret argocd-secret -n argocdapiVersion: v1kind: Secretmetadata:name: argocd-secretnamespace: argocdtype: Opaquedata:...stringData:# github webhook secretwebhook.github.secret: shhhh! it's a GitHub secret# gitlab webhook secretwebhook.gitlab.secret: shhhh! it's a GitLab secret# bitbucket webhook secretwebhook.bitbucket.uuid: your-bitbucket-uuid# bitbucket server webhook secretwebhook.bitbucketserver.secret: shhhh! it's a Bitbucket server secret# gogs server webhook secretwebhook.gogs.secret: shhhh! it's a gogs server secret

 可以直接使用stringData来配置 secret，这样就不用去手动编码了。


 因为 GitOps 的核心是 Git，所以我们一定要将部署到集群中的资源清单文件全都托管到 Git 仓库中，这样才能实现 GitOps 的自动同步部署。上面我们是在 CI 流水线中去修改 Git 仓库中的资源清单文件，其实我们也可以通过其他方式去修改，比如 Argo CD 也提供了一个新的工具 Argo CD Image Updater。


 ApplicationSet用于简化多集群应用编排，它可以基于单一应用编排并根据用户的编排内容自动生成一个或多个Application。


 比如现在我们创建一个如下所示的ApplicationSet资源对象：

# applicationset.yamlapiVersion: argoproj.io/v1alpha1kind: ApplicationSetmetadata:name: guestbookspec:goTemplate: true # 使用 go template 模板goTemplateOptions: ["missingkey=error"] # 当模板中缺少键时，抛出错误generators: # 生成器，用于生成参数- list: # 列表生成器elements: # 元素- cluster: devurl:cluster: stagingurl:cluster: produrl:"{{.cluster}}-guestbook"spec:project: demosource:repoURL:HEADpath: helm-guestbookhelm:valueFiles:- "{{.cluster}}.yaml"syncPolicy:syncOptions:- CreateNamespace=truedestination:server: "{{.url}}"namespace: guestbook

 在上面的资源对象中，我们定义了一个ApplicationSet资源对象，其中使用了模板和生成器：


 这里我们通过列表生成器定义了多个生成器元素，里面包含cluster和url两个参数，ApplicationSet控制器会根据这些参数生成多个Application资源对象，每个Application资源对象都会部署到对应的集群和命名空间中，每个Application资源就是通过这些参数将模板中的内容渲染生成。


 无论使用哪个生成器，生成器生成的参数都会替换为ApplicationSet资源的 template: 部分中的{{parameter name}}值。我们这里列表生成器定义了cluster和url参数，然后将它们分别替换为模板的{{cluster}}和{{url}}值。


 我们可以直接使用argocd appset命令来创建：

$ argocd appset create applicationset.yamlApplicationSet 'guestbook' created$ argocd appset listNAMEPROJECTSYNCPOLICYCONDITIONSREPOPATHTARGETargocd/guestbookdemonil[{ParametersGenerated Successfully generated parameters for all Applications 2024-09-08 11:48:52 +0800 CST True ParametersGenerated} {ResourcesUpToDate ApplicationSet up to date 2024-09-08 11:48:52 +0800 CST True ApplicationSetUpToDate}]

 创建完成后可以通过argocd appset list查看ApplicationSet资源对象的状态，从上面输出可以看到ApplicationSet资源对象的状态为ParametersGenerated，表示参数已经生成成功，也就是已经将ApplicationSet资源对象中的内容渲染生成多个Application资源对象了。查看下Application资源对象的状态即可：

$ argocd argocd app listNAMECLUSTERNAMESPACEPROJECTSTATUSHEALTHSYNCPOLICYCONDITIONSREPOPATHTARGETargocd/dev-guestbook

 可以看到现在渲染了 3 个Application资源对象，和我们前面在ApplicationSet资源对象中定义的集群和 URL 是一一对应的，当然我们也可以在 Dashboard 界面中查看：



 app list status