5分钟掌握Blender UV Squares:告别UV编辑的混乱与低效
2026/6/16 0:12:39
Argo CD 应用部署:从 GitOps 声明到自动同步,云原生环境的持续交付实践
一、GitOps 的运维价值:从手动 kubectl 到声明式交付
传统 K8s 部署依赖运维人员手动执行 kubectl apply 或编写 CI 脚本推送 YAML。这种方式存在三个问题:配置漂移(手动修改集群配置但未更新 Git)、缺乏审计(谁在什么时候改了什么难以追溯)、回滚困难(需要记住之前的配置状态)。
GitOps 的核心思想是将 Git 作为应用配置的唯一真相源——所有 K8s 资源的期望状态存储在 Git 仓库中,Argo CD 持续对比 Git 状态与集群实际状态,自动或半自动地将集群同步到期望状态。配置变更有 Git 历史可追溯,回滚就是 git revert,审计就是 git log。
二、Argo CD 部署架构与同步策略
Argo CD 的核心流程是:监听 Git 变更 → 检测状态差异 → 执行同步 → 验证健康状态。
flowchart TD A[Git 仓库] --> B[Argo CD Application Controller] B --> B1[检测 Git 状态变更] B --> B2[对比 Git 期望状态 vs 集群实际状态] B1 --> C{状态是否一致?} B2 --> C C -->|一致| D[状态: Synced, Healthy] C -->|不一致| E[状态: OutOfSync] E --> F{同步策略} F -->|Auto| G[自动同步] F -->|Manual| H[等待人工确认] G --> I[执行同步: kubectl apply] H --> I I --> J[健康检查] J --> J1[Progressing: 部署中] J --> J2[Healthy: 部署成功] J --> J3[Degraded: 部署异常] J2 --> D J3 --> K[告警通知 + 自动回滚] style B fill:#e1f5fe style F fill:#fff3e0 style J fill:#e8f5e92.1 Argo CD Application 配置
# argocd-app.yaml — Argo CD 应用配置 # 设计意图:声明式定义应用的部署来源、目标集群和同步策略, # 实现从 Git 到集群的自动化交付 apiVersion: argoproj.io/v1alpha1 kind: Application metadata: name: web-app namespace: argocd # 自动回滚和清理的注解 annotations: # 同步失败时自动回滚 argocd.argoproj.io/sync-options: PrunePropagationPolicy=foreground finalizers: - resources-finalizer.argocd.argoproj.io spec: # Git 仓库配置 source: repoURL: https://github.com/example/k8s-manifests.git targetRevision: main path: overlays/production # Helm 值覆盖(如果使用 Helm chart) helm: valueFiles: - values.yaml - values-production.yaml parameters: - name: image.tag value: "v1.2.3" # 目标集群和命名空间 destination: server: https://kubernetes.default.svc namespace: web-app-production # 同步策略 syncPolicy: # 自动同步:Git 变更后自动部署 automated: prune: true # 自动清理 Git 中已删除的资源 selfHeal: true # 自动修复配置漂移(手动修改集群配置会被还原) allowEmpty: false # 同步选项 syncOptions: - CreateNamespace=true # 自动创建命名空间 - PrunePropagationPolicy=foreground # 前台删除,等待依赖清理 - PruneLast=true # 最后删除资源,避免依赖问题 - ServerSideApply=true # 使用服务端 apply,支持更大资源 # 重试策略 retry: limit: 3 backoff: duration: 5s factor: 2 maxDuration: 3m # 忽略某些字段的差异(如自动注入的标签) ignoreDifferences: - group: apps kind: Deployment jsonPointers: - /spec/replicas # HPA 管理副本数,忽略差异2.2 多环境配置管理
# kustomization.yaml — 基于 Kustomize 的多环境配置 # 设计意图:通过 overlay 机制管理不同环境的配置差异, # 基础配置在 base 中,环境差异在 overlay 中覆盖 # base/kustomization.yaml — 基础配置 apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization resources: - deployment.yaml - service.yaml - configmap.yaml commonLabels: app: web-app managed-by: argocd images: - name: web-app newName: registry.example.com/web-app newTag: v1.2.3 --- # overlays/production/kustomization.yaml — 生产环境覆盖 apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization namespace: web-app-production resources: - ../../base - hpa.yaml - pdb.yaml patches: # 生产环境:3 副本 + 资源限制 - target: kind: Deployment name: web-app patch: | apiVersion: apps/v1 kind: Deployment metadata: name: web-app spec: replicas: 3 template: spec: containers: - name: web-app resources: requests: cpu: "500m" memory: "512Mi" limits: cpu: "2" memory: "2Gi" configMapGenerator: - name: web-app-config behavior: merge literals: - LOG_LEVEL=info - ENV=production --- # overlays/staging/kustomization.yaml — 预发布环境覆盖 apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization namespace: web-app-staging resources: - ../../base patches: - target: kind: Deployment name: web-app patch: | apiVersion: apps/v1 kind: Deployment metadata: name: web-app spec: replicas: 1 template: spec: containers: - name: web-app resources: requests: cpu: "100m" memory: "128Mi" limits: cpu: "500m" memory: "512Mi" configMapGenerator: - name: web-app-config behavior: merge literals: - LOG_LEVEL=debug - ENV=staging四、边界分析与架构权衡
Self-Heal 与手动运维的冲突:selfHeal: true 会自动还原手动对集群的修改。如果运维人员紧急手动扩容(kubectl scale),Argo CD 会将其还原为 Git 中的副本数。解决方案是使用 HPA 管理副本数,并在 ignoreDifferences 中忽略 replicas 字段。
自动同步的风险:Auto Sync 模式下,Git 的任何变更都会自动部署到集群。如果错误合并了 PR,错误配置会立即推送到生产环境。建议生产环境使用 Manual Sync 或添加 PreSync Hook 进行验证。
多集群管理的复杂度:Argo CD 支持管理多个集群,但每个集群需要单独注册和配置凭证。集群数量增多后,Application 的管理变得复杂。建议使用 ApplicationSet 自动生成多集群的 Application。
密钥管理的安全边界:K8s Secret 不应直接存储在 Git 中。Argo CD 支持集成外部密钥管理工具(如 Vault、Sealed Secrets),但需要额外的配置和维护。密钥的轮换和审计也需要独立的流程。
五、总结
Argo CD 通过 GitOps 模式实现了声明式的持续交付——Git 是唯一真相源,Argo CD 自动同步集群状态。落地建议:生产环境使用 Auto Sync + selfHeal,但忽略 HPA 管理的 replicas 字段;使用 Kustomize overlay 管理多环境配置差异;Secret 使用 Sealed Secrets 或 Vault 集成,不存储在 Git 中;配置 PreSync Hook 执行数据库迁移等前置任务。