Kubernetes集群(RKE)安装ArgoCD排坑

Photo by Pixabay from Pexels

Argo CD是一个声明式的，基于Kubernetes的GitOps持续交付工具。更多的细节参考 ArgoCD官网的说明，这里记录了一些实践过程中的踩坑问题。

1. 安装ArgoCD

首先准备一个K8S集群，然后从ArgoCD官网上下载资源声明：

https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

这里无关网络是否通畅，而是可能需要更改一点内容，确保ArgoCD部署的时区和你的K8S集群是相同的时区设置，否则可能会导致Argo CD不可用。如果K8S集群是UTC时区可以略过这一步。

例如我这里的K8S是CST时区，需要在上面下载的yaml文件里改写Deployment的环境变量，找到 argocd-server 的Deployment，然后在容器模板部分制定时区的环境变量：

env:

    - name: TZ

    value: "Asia/Shanghai"

另外如果等了很长时间也无法成功拉取镜像可以尝试从云上服务器拉取镜像然后打包下载到本地，同时将ArgoCD yaml文件中的镜像拉取策略从Always改成IfNotPresent：imagePullPolicy: Always -> imagePullPolicy: IfNotPresent

启动完成之后通过Ingress或者NodePort Service暴露ArgoCD Server的端口即可。使用如下命令可以获得admin 用户的初始密码：

kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 -d && echo

2.Rancher集群的坑

如果你使用的是Rancher集群的话大概率会遇到这样的一个坑，按照官方的提示使用argocd客户端添加集群会提示无法添加：

[landscape@centos-7 ~]$ ls

argocd  argocd.yaml

[landscape@centos-7 ~]$ ./argocd login 192.168.31.136:30080

WARNING: server certificate had error: x509: cannot validate certificate for 192.168.31.136 because it doesn't contain any IP SANs. Proceed insecurely (y/n)? y

Username: admin

Password:

'admin:login' logged in successfully

Context '192.168.31.136:30080' updated

[landscape@centos-7 ~]$ kubectl config get-contexts -o name

landscape

landscape-centos-7

[landscape@centos-7 ~]$ argocd cluster add landscape

-bash: argocd: 未找到命令

[landscape@centos-7 ~]$ ./argocd cluster add landscape

WARNING: This will create a service account `argocd-manager` on the cluster referenced by context `landscape` with full cluster level admin privileges. Do you want to continue [y/N]? y

INFO[0002] ServiceAccount "argocd-manager" created in namespace "kube-system"

INFO[0002] ClusterRole "argocd-manager-role" created

INFO[0002] ClusterRoleBinding "argocd-manager-role-binding" created

FATA[0003] rpc error: code = Unauthenticated desc = the server has asked for the client to provide credentials

出现这种情况是因为默认情况下，Rancher提供的kubeconfig文件将Rancher Server 端点指定为集群API Server端点。以此让Rancher充当身份验证代理，验证用户身份，然后将请求代理到下游集群。

这种方式相对于让客户端直接与下游K8S集群API端点通信，确实在某些方面存在优势。例如为Rancher管理下的所有集群提供了高可用的Kubernetes API端点，运维团队无需为每个集群的API服务器维护故障转移/负载平衡机制。

这种保护机制也导致Rancher下的K8S集群不能很好的与argocd-cli这样的客户端工具交互，因为通过Rancher Server端点需要使用Rancher API令牌而不是K8S服务帐户令牌，但argocd命令行客户端不允许用户指定预先存在的API凭据或自定义的kubeconfig。

不过ArgoCD实际上是与 K8S CRD交互，我们可以利用这一特性绕过argocd命令行来添加Rancher集群，需要做的只是在与argocd相同的命名空间下添加一个Secret而已，以我在虚拟机内的Rancher集群来举例：

apiVersion: v1

kind: Secret

metadata:

  namespace: argocd

  name: mycluster-argocd-secret

  labels:

    argocd.argoproj.io/secret-type: cluster

type: Opaque

stringData:

  name: mycluster.com

  server: "你的Rancher Server信息"

  config: |

    {

      "bearerToken": "你的API Key bearerToken",

      "tlsClientConfig": {

        "insecure": false,

        "caData": "你的Rancher集群  certificate-authority-data 信息"

      }

    }

这里需要更改的只有三处：

server ：rancher集群的Kubeconfig中复制
caData：rancher集群的Kubeconfig中复制
bearerToken：创建API Key时获得

以下是在 https://RancherAddress/apikeys 页面创建API Key的截图，创建完成之后就可以复制bearerToken了

把写好的Secret添加到ArgoCD所处的命名空间后再查看ArgoCD页面，会发现此时K8S集群已经成功添加：

现在可以开始使用ArgoCD了，尝试一下部署应用吧

后面还有一些小坑，例如更改密码和admin用户的API Token权限问题，不过看看文档也就过去了。

参考内容：

https://loadbalancing.se/2021/03/22/argocd-behind-istio-on-rancher/

https://gist.github.com/janeczku/b16154194f7f03f772645303af8e9f80