Zelfstudie: Toepassingen implementeren met GitOps met Argo CD

In deze zelfstudie wordt beschreven hoe u GitOps gebruikt met Argo CD in Kubernetes-clusters met Azure Arc of AKS-clusters (Azure Kubernetes Service). GitOps met Argo CD is ingeschakeld als clusterextensie waarmee u uw Git-opslagplaats kunt gebruiken als de bron van waarheid voor clusterconfiguratie en toepassingsimplementatie. Argo CD ondersteunt ook andere veelgebruikte bestandsbronnen, zoals Helm- en Open Container Initiative-opslagplaatsen (OCI).

Vereiste voorwaarden

Als u toepassingen wilt implementeren met GitOps, hebt u een Kubernetes-cluster met Azure Arc of een AKS-cluster nodig.

Kubernetes-clusters beheerd met Azure Arc

• Een met Azure Arc verbonden Kubernetes-cluster dat actief is.

  Meer informatie over het verbinden van een Kubernetes-cluster met Azure Arc. Als u verbinding wilt maken via een uitgaande proxy, moet u ervoor zorgen dat u de Arc-agents installeert met proxy-instellingen.

• Lees- en schrijfmachtigingen voor het Microsoft.Kubernetes/connectedClusters resourcetype.

Azure Kubernetes Service-clusters

• Een op MSI gebaseerd AKS-cluster dat operationeel is.

  Belangrijk

  Het AKS-cluster moet worden gemaakt met Managed Service Identity (MSI), niet Service Principal Name (SPN), zodat deze extensie werkt. Voor nieuwe AKS-clusters die zijn gemaakt met az aks create, is het cluster standaard op MSI gebaseerd. Als u clusters op basis van SPN wilt converteren naar MSI, voert u het volgende uit az aks update -g $RESOURCE_GROUP -n $CLUSTER_NAME --enable-managed-identity. Zie Een beheerde identiteit gebruiken in AKS voor meer informatie.

• Lees- en schrijfmachtigingen voor het Microsoft.ContainerService/managedClusters resourcetype.

Gebruikelijk voor beide clustertypen

• Lees- en schrijfmachtigingen voor deze resourcetypen:

  • Microsoft.KubernetesConfiguration/extensions

• Azure CLI versie 2.15 of hoger. Installeer de Azure CLI of gebruik de volgende opdrachten om bij te werken naar de nieuwste versie:

  az version
  az upgrade
  

• De Kubernetes-opdrachtregelclient, kubectl. kubectl is al geïnstalleerd als u Azure Cloud Shell gebruikt.

  Lokaal installeren kubectl met behulp van de az aks install-cli opdracht:

  az aks install-cli
  

• Registratie van de volgende Azure-resourceproviders:

  az provider register --namespace Microsoft.Kubernetes
  az provider register --namespace Microsoft.ContainerService
  az provider register --namespace Microsoft.KubernetesConfiguration
  

  Registratie is een asynchroon proces en moet binnen 10 minuten worden voltooid. Gebruik de volgende opdracht om het registratieproces te bewaken:

  az provider show -n Microsoft.KubernetesConfiguration -o table
  
  Namespace                          RegistrationPolicy    RegistrationState
  ---------------------------------  --------------------  -------------------
  Microsoft.KubernetesConfiguration  RegistrationRequired  Registered
  

Ondersteuning voor versies en regio's

GitOps wordt momenteel ondersteund in openbare regio's.

Netwerkvereisten

De GitOps-agents vereisen een uitgaande TCP-verbinding naar de repository op poort 22 (SSH) of poort 443 (HTTPS) om te functioneren. De agents hebben ook toegang nodig tot de volgende uitgaande URL's:

CLI-extensies inschakelen

Installeer de nieuwste k8s-configuration en k8s-extension CLI-extensiepakketten:

az extension add -n k8s-configuration
az extension add -n k8s-extension

Ga als volgt te werk om deze pakketten bij te werken naar de nieuwste versies:

az extension update -n k8s-configuration
az extension update -n k8s-extension

Gebruik de volgende opdracht om een lijst weer te geven met alle geïnstalleerde Azure CLI-extensies en de bijbehorende versies:

az extension list -o table

Experimental   ExtensionType   Name                   Path                                                       Preview   Version
-------------  --------------  -----------------      -----------------------------------------------------      --------  --------
False          whl             connectedk8s           C:\Users\somename\.azure\cliextensions\connectedk8s         False     1.10.7
False          whl             k8s-configuration      C:\Users\somename\.azure\cliextensions\k8s-configuration    False     2.2.0
False          whl             k8s-extension          C:\Users\somename\.azure\cliextensions\k8s-extension        False     1.6.4

Een GitOps-extensie (Argo CD) maken (eenvoudige installatie)

De GitOps Argo CD-installatie ondersteunt multitenancy in hoge beschikbaarheidsmodus en ondersteunt workloadidentiteit.

Met deze opdracht maakt u de eenvoudigste configuratie die de Argo CD-onderdelen installeert in een nieuwe argocd naamruimte met toegang tot het hele cluster. Met clusterbrede toegang kunnen Argo CD-app-definities worden gedetecteerd in elke naamruimte die wordt vermeld in de Argo CD-configmap-configuratie in het cluster. Bijvoorbeeld: namespace1,namespace2

az k8s-extension create --resource-group <resource-group> --cluster-name <cluster-name> \
--cluster-type managedClusters \
--name argocd \
--extension-type Microsoft.ArgoCD \
--config "redis-ha.enabled=false" \
--config "configs.params.application\.namespaces=namespace1,namespace2"

Met deze installatieopdracht maakt u een nieuwe <namespace> naamruimte en installeert u de Argo CD-onderdelen in de <namespace>. Argo CD-toepassingsdefinities in deze configuratie werken alleen in de <namespace> naamruimte.

Een GitOps-extensie (Argo CD) maken met workload-identiteit

Een alternatieve installatiemethode die wordt aanbevolen voor productiegebruik, is workloadidentiteit. Met deze methode kunt u Microsoft Entra ID-identiteiten gebruiken om te verifiëren bij Azure-resources zonder dat u geheimen of referenties hoeft te beheren in uw Git-opslagplaats. Deze installatie maakt gebruik van workloadidentiteitsverificatie die is ingeschakeld in de 3.0.0-rc2- of hoger OSS-versie van Argo CD.

Als u de extensie wilt maken met de workloadidentiteit, vervangt u eerst de volgende variabelen door uw eigen waarden in deze Bicep-sjabloon:

var clusterName = '<aks-or-arc-cluster-name>'

var workloadIdentityClientId = 'replace-me##-##-###-###'
var ssoWorkloadIdentityClientId = 'replace-me##-##-###-###'

var url = 'https://<public-ip-for-argocd-ui>/'
var oidcConfig = '''
name: Azure
issuer: https://login.microsoftonline.com/<your-tenant-id>/v2.0
clientID: <same-value-as-ssoWorkloadIdentityClientId-above>
azure:
  useWorkloadIdentity: true
requestedIDTokenClaims:
  groups:
    essential: true
requestedScopes:
  - openid
  - profile
  - email
'''

var defaultPolicy = 'role:readonly'
var policy = '''
p, role:org-admin, applications, *, */*, allow
p, role:org-admin, clusters, get, *, allow
p, role:org-admin, repositories, get, *, allow
p, role:org-admin, repositories, create, *, allow
p, role:org-admin, repositories, update, *, allow
p, role:org-admin, repositories, delete, *, allow
g, replace-me##-argocd-ui-entra-group-admin-id, role:org-admin
'''

resource cluster 'Microsoft.ContainerService/managedClusters@2024-10-01' existing = {
  name: clusterName
}

resource extension 'Microsoft.KubernetesConfiguration/extensions@2023-05-01' = {
  name: 'argocd'
  scope: cluster
  properties: {
    extensionType: 'Microsoft.ArgoCD'
    configurationSettings: {
      'redis-ha.enabled': 'true'
      'azure.workloadIdentity.enabled': 'true'
      'azure.workloadIdentity.clientId': workloadIdentityClientId
      'azure.workloadIdentity.entraSSOClientId': ssoWorkloadIdentityClientId
      'configs.cm.oidc\\.config': oidcConfig
      'configs.cm.url': url
      'configs.rbac.policy\\.default': defaultPolicy
      'configs.rbac.policy\\.csv': policy
      'configs.params.application\\.namespaces': 'default, argocd'
   }
  }
}

De Bicep-sjabloon kan worden gemaakt met behulp van deze opdracht:

az deployment group create --resource-group <resource-group> --template-file <bicep-file>

Parameterwaarden

clusterName is de naam van het Kubernetes-cluster dat is ingeschakeld met AKS of Arc.

workloadIdentityClientId en ssoWorkloadIdentityClientId zijn de client-id's van de beheerde identiteit die voor de workloadidentiteit moeten worden gebruikt. De ssoWorkloadIdentityClientId wordt gebruikt voor de verificatie voor de Argo CD-gebruikersinterface en de workloadIdentityClientId wordt gebruikt voor de workloadidentiteit voor de Argo CD-onderdelen. Ga naar Microsoft Entra ID App Registration Auth met behulp van OIDC voor meer informatie over algemene installatie en configuratie van de ssoWorkloadIdentityClientId.

url is het openbare IP-adres van de Argo CD UI. Er is geen openbare IP- of domeinnaam, tenzij het cluster al een door de klant geleverde ingress controller heeft. Zo ja, dan moet de regel voor inkomend verkeer na de implementatie worden toegevoegd aan de Argo CD-gebruikersinterface.

oidcConfig - vervang door <your-tenant-id> de tenant-id van uw Microsoft Entra-id. Vervang <same-value-as-ssoWorkloadIdentityClientId-above> door dezelfde waarde als ssoWorkloadIdentityClientId.

policy variabele zijn de argocd-rbac-cm configmap instellingen van Argo CD. g, replace-me##-argocd-ui-entra-group-admin-id is de Microsoft Entra-groeps-ID die beheerstoegang geeft tot de Argo CD-gebruikersinterface. De Microsoft Entra-groeps-id vindt u in Azure Portal onder Microsoft Entra ID > Groups >your-group-name> Properties. U kunt de Microsoft Entra-gebruikers-id gebruiken in plaats van een Microsoft Entra-groeps-id. De Microsoft Entra-gebruikers-id vindt u in Azure Portal onder Microsoft Entra ID > Users >your-user-name> Properties.

Identiteitsreferenties voor werkbelasting maken

Voer de volgende stappen uit om nieuwe workload-identiteitsreferenties in te stellen:

1. Haal de URL van de OIDC-verlener op voor uw AKS-cluster of Kubernetes-cluster met Arc.

2. Maak een beheerde identiteit en noteer de client-id en tenant-id.

3. Stel een federatieve identiteitsreferentie in voor uw AKS-cluster of Kubernetes-cluster met Arc. Voorbeeld:

   # For source-controller
   az identity federated-credential create --name ${FEDERATED_IDENTITY_CREDENTIAL_NAME} --identity-name "${USER_ASSIGNED_IDENTITY_NAME}" --resource-group "${RESOURCE_GROUP}" --issuer "${OIDC_ISSUER}" --subject 
   

4. Zorg ervoor dat u de juiste machtigingen toekent voor de workloadidentiteit zodat de resource wordt opgehaald door argocd, de image-reflector controller of de argocd-repo-server. Als u bijvoorbeeld Azure Container Registry gebruikt, moet u ervoor zorgen dat Container Registry Repository Reader (voor registers met ABAC-functionaliteit) of AcrPull (voor niet-ABAC-registers) is toegepast.

Verbinding maken met privé-ACR-registers of ACR-opslagplaatsen met behulp van workloadidentiteit

Als u het persoonlijke ACR-register of ACR-opslagplaatsen wilt gebruiken, volgt u de instructies in de officiële Argo CD-documentatie voor het maken van verbinding met privé-ACR-registers. De stappen De pods labelen, Federatieve identiteitsreferenties maken, en Aantekeningen toevoegen aan de serviceaccount in die handleiding zijn voltooid door de extensie met de Bicep-implementatie en kunnen worden overgeslagen.

Toegang tot de Argo CD-gebruikersinterface

Als er geen bestaande ingangscontroller voor het AKS-cluster is, kan de Argo CD-gebruikersinterface rechtstreeks worden weergegeven met behulp van een LoadBalancer-service. Met de volgende opdracht wordt de Argo CD UI beschikbaar gesteld op poort 80 en 443.

kubectl -n argocd expose service argocd-server --type LoadBalancer --name argocd-server-lb --port 80 --target-port 8080

Argo CD-toepassing implementeren

Nu de Argo CD-extensie is geïnstalleerd, kunt u een toepassing implementeren met behulp van de Argo CD-gebruikersinterface of CLI. In het volgende voorbeeld wordt kubectl apply eenvoudigweg gebruikt om een AKS-winkel in een Argo CD-toepassing te implementeren in het standaard Argo CD-project in de argocd naamruimte.

kubectl apply -f - <<EOF
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: aks-store-demo
  namespace: argocd
spec:
  project: default
  source:    
      repoURL: https://github.com/Azure-Samples/aks-store-demo.git
      targetRevision: HEAD
      path: kustomize/overlays/dev
  syncPolicy:
      automated: {}
  destination:
      namespace: argocd
      server: https://kubernetes.default.svc
EOF

De AKS Store-demotoepassing is geïnstalleerd in de argocd naamruimte. Bekijk de webpagina van de toepassing door deze instructies te volgen. Zorg ervoor dat u het IP-adres bezoekt met http en niet met https.

Extensieconfiguratie bijwerken

Argo CD-configuratiekaarten kunnen worden bijgewerkt na de installatie en andere configuratie-instellingen voor extensies met behulp van de volgende opdracht:

az k8s-extension update --resource-group <resource-group> --cluster-name <cluster-name> --cluster-type <cluster-type> --name argocd --config "configs.cm.url='https://<public-ip-for-argocd-ui>/auth/callback'"

Werk de Argo CD-configuratiemap bij via de extensie, zodat de instellingen niet worden overschreven. Het toepassen van de Bicep-sjabloon is een alternatieve methode voor het gebruik van Azure CLI om de configuratie bij te werken.

De extensie verwijderen

Gebruik de volgende opdrachten om de extensie te verwijderen.

az k8s-extension delete -g <resource-group> -c <cluster-name> -n argocd -t managedClusters --yes

Volgende stappen

• Bestandsproblemen en functieaanvragen in de Azure/AKS-opslagplaats en zorg ervoor dat u het woord 'ArgoCD' in de beschrijving of titel opneemt.
• Verken het AKS-Platform technische codevoorbeeld, waarmee OSS Argo CD wordt geïmplementeerd met Backstage en Cluster API Provider voor Azure (CAPZ) of Crossplane.