Бир нече убакыт өткөндөн кийин жазган биринчи макала, мен jsonnet менен gitlabти чебердик менен башкарган жерде, түтүктөр, албетте, жакшы, бирок керексиз татаал жана ыңгайсыз экенин түшүндүм.

Көпчүлүк учурларда, типтүү тапшырма талап кылынат: "YAML түзүү жана аны Kubernetesке коюу." Чынында, бул Argo CD укмуштуудай жакшы кылат.

Argo CD Git репозиторийине туташтырууга жана анын абалын Kubernetesке жөнөтүүгө мүмкүндүк берет. Демейки боюнча, тиркемелердин бир нече түрлөрү үчүн колдоо бар: Kustomize, Helm диаграммалары, Ksonnet, жалаң Jsonnet же YAML/JSON манифесттери бар каталогдор.

Бул топтом көпчүлүк колдонуучулар үчүн жетиштүү болот, бирок бардыгы үчүн эмес. Ар бир адамдын муктаждыктарын канааттандыруу үчүн, Argo CD ыңгайлаштырылган шаймандарды колдонуу мүмкүнчүлүгүнө ээ.

Биринчиден, мени колдоону кошуу мүмкүнчүлүгү кызыктырат qbec и git-crypt, алар толугу менен мурунку макалада талкууланган.

Конфигурацияны баштоодон мурун, сиз Argo CD кантип иштээрин так түшүнүшүңүз керек.

Ар бир кошулган тиркеме үчүн анын эки фазасы бар:

• ЖМТИ — жайгаштыруу алдында баштапкы даярдык, бул жерде бардык нерсе болушу мүмкүн: көз карандылыкты жүктөө, сырларды ачуу жана башкалар.
• чыгаруу — түздөн-түз манифестти түзүү буйругун аткарып, чыгаруу жарактуу YAML агымы болушу керек, дал ушул кластерге колдонулат.

Кызыктуусу, Argo бул ыкманы колдонуунун бардык түрүнө, анын ичинде Helmге да колдонот. Башкача айтканда, Argo CD Helmде релиздерди кластерге жайгаштырбайт, бирок манифесттерди түзүү үчүн гана колдонулат.

Өз кезегинде, Argo Helm илгичтерин жергиликтүү түрдө иштете алат, бул ага релиздерди колдонуу логикасын бузбоого мүмкүндүк берет.

QBEC

Qbec сизге jsonnet аркылуу тиркемелерди ыңгайлуу сүрөттөөгө мүмкүндүк берет жана андан тышкары Helm диаграммаларын көрсөтүү мүмкүнчүлүгү бар, жана Argo CD адатта Helm илгичтерин иштете алгандыктан, Argo CD менен бул функцияны колдонуу дагы туура натыйжаларга жетишүүгө мүмкүндүк берет.

Argocd'ге qbec колдоосун кошуу үчүн сизге эки нерсе керек:

• Argo CD конфигурациясында сиздин ыңгайлаштырылган плагиниңиз жана манифесттерди түзүү үчүн буйруктар аныкталышы керек.
• керектүү бинарлар сүрөттө болушу керек argocd-repo-сервер.

Биринчи тапшырма чечилип жатат абдан жөнөкөй:

# cm.yaml
data:
  configManagementPlugins: |
    - name: qbec
      generate:
        command: [sh, -xc]
        args: ['qbec show "$ENVIRONMENT" -S --force:k8s-namespace "$ARGOCD_APP_NAMESPACE"']

(команда ЖМТИ колдонулбайт)

$ kubectl -n argocd patch cm/argocd-cm -p "$(cat cm.yaml)"

Бинардык файлдарды кошуу сунушталат жаңы сүрөт чогултуу, же колдонуңуз init контейнер трюк:

# deploy.yaml
spec:
  template:
    spec:
      # 1. Define an emptyDir volume which will hold the custom binaries
      volumes:
      - name: custom-tools
        emptyDir: {}
      # 2. Use an init container to download/copy custom binaries into the emptyDir
      initContainers:
      - name: download-tools
        image: alpine:3.12
        command: [sh, -c]
        args:
        - wget -qO- https://github.com/splunk/qbec/releases/download/v0.12.2/qbec-linux-amd64.tar.gz | tar -xvzf - -C /custom-tools/
        volumeMounts:
        - mountPath: /custom-tools
          name: custom-tools
      # 3. Volume mount the custom binary to the bin directory (overriding the existing version)
      containers:
      - name: argocd-repo-server
        volumeMounts:
        - mountPath: /usr/local/bin/qbec
          name: custom-tools
          subPath: qbec
        - mountPath: /usr/local/bin/jsonnet-qbec
          name: custom-tools
          subPath: jsonnet-qbec

$ kubectl -n argocd patch deploy/argocd-repo-server -p "$(cat deploy.yaml)"

Эми биздин колдонмо манифест кандай болорун карап көрөлү:

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: qbec-app
  namespace: argocd
spec:
  destination: 
    namespace: default
    server: https://kubernetes.default.svc
  project: default
  source: 
    path: qbec-app
    plugin: 
      env: 
        - name: ENVIRONMENT
          value: default
      name: qbec
    repoURL: https://github.com/kvaps/argocd-play
  syncPolicy: 
    automated: 
      prune: true

өзгөрмөлүү АЙЛАНА-ЧӨЙРӨНҮ КОРГОО биз манифесттерди түзүшүбүз керек болгон чөйрөнүн атын өткөрүп беребиз.

келгиле, аны колдонолу жана биз эмнени ала турганыбызды карап көрөлү:

Колдонмо орнотулду, сонун!

git-crypt

Git-crypt репозиторийиңиз үчүн ачык шифрлөө орнотууга мүмкүндүк берет. Бул купуя маалыматтарды түздөн-түз gitте сактоонун жөнөкөй жана коопсуз жолу.

Гит-криптти ишке ашыруу кыйыныраак болуп чыкты.

Теориялык жактан биз жасай алабыз git-crypt unlock биздин ыңгайлаштырылган плагиндин башталгыч баскычында, бирок бул абдан ыңгайлуу эмес, анткени ал жергиликтүү жайылтуу ыкмаларын колдонууга жол бербейт. Мисалы, Helm жана Jsonnet учурда, биз колдонмонун конфигурациясын (маанилердин файлдары ж.

Ошондуктан мен репозиторийди клондоштуруу учурунда, мурунку этапта басып чыгаргым келди.

Учурда Argo CD репозиторийди синхрондоштуруу үчүн эч кандай илгичтерди сүрөттөө мүмкүнчүлүгүн камсыз кылбагандыктан, биз бул чектөөнү git буйругун алмаштырган татаал кабык скрипти менен айланып өтүшүбүз керек болчу:

#!/bin/sh
$(dirname $0)/git.bin "$@"
ec=$?
[ "$1" = fetch ] && [ -d .git-crypt ] || exit $ec
GNUPGHOME=/app/config/gpg/keys git-crypt unlock 2>/dev/null
exit $ec

Argo CD аткарат git fetch жайгаштыруу операциясынын алдында ар бир жолу. Дал ушул буйрукка биз аткарууну тапшырабыз git-crypt unlock репозиторийдин кулпусун ачуу үчүн.

тесттер үчүн колдоно аласыз менин докер сүрөтүм сизге керектүү нерселердин баары бар:

$ kubectl -n argocd set image deploy/argocd-repo-server argocd-repo-server=docker.io/kvaps/argocd-git-crypt:v1.7.3

Эми биз Argo биздин репозиторийлердин шифрин кантип чече тургандыгы жөнүндө ойлонушубуз керек. Тактап айтканда, ал үчүн gpg ачкычын түзүү:

$ kubectl exec -ti deploy/argocd-repo-server -- bash

$ printf "%sn" 
    "%no-protection" 
    "Key-Type: default" 
    "Subkey-Type: default" 
    "Name-Real: YOUR NAME" 
    "Name-Email: YOUR EMAIL@example.com" 
    "Expire-Date: 0" 
    > genkey-batch 

$ gpg --batch --gen-key genkey-batch
gpg: WARNING: unsafe ownership on homedir '/home/argocd/.gnupg'
gpg: keybox '/home/argocd/.gnupg/pubring.kbx' created
gpg: /home/argocd/.gnupg/trustdb.gpg: trustdb created
gpg: key 8CB8B24F50B4797D marked as ultimately trusted
gpg: directory '/home/argocd/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/home/argocd/.gnupg/openpgp-revocs.d/9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D.rev'

Келгиле, ачкыч атын сактайлы 8CB8B24F50B4797D кийинки кадамдар үчүн. Ачкычтын өзүн экспорттоо:

$ gpg --list-keys
gpg: WARNING: unsafe ownership on homedir '/home/argocd/.gnupg'
/home/argocd/.gnupg/pubring.kbx
-------------------------------
pub   rsa3072 2020-09-04 [SC]
      9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D
uid           [ultimate] YOUR NAME <YOUR EMAIL@example.com>
sub   rsa3072 2020-09-04 [E]

$ gpg --armor --export-secret-keys 8CB8B24F50B4797D

Жана аны өзүнчө сыр катары кошуңуз:

# argocd-gpg-keys-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: argocd-gpg-keys-secret
  namespace: argocd
stringData:
  8CB8B24F50B4797D: |-
    -----BEGIN PGP PRIVATE KEY BLOCK-----

    lQVYBF9Q8KUBDACuS4p0ctXoakPLqE99YLmdixfF/QIvXVIG5uBXClWhWMuo+D0c
    ZfeyC5GvH7XPUKz1cLMqL6o/u9oHJVUmrvN/g2Mnm365nTGw1M56AfATS9IBp0HH
    O/fbfiH6aMWmPrW8XIA0icoOAdP+bPcBqM4HRo4ssbRS9y/i
    =yj11
    -----END PGP PRIVATE KEY BLOCK-----

$ kubectl apply -f argocd-gpg-keys-secret.yaml

Бизге идишке ыргытуу гана калды argocd-repo-сервер, бул үчүн, жайылтууну түзөтүңүз:

$ kubectl -n argocd edit deploy/argocd-repo-server

Ал эми азыркысын алмаштырабыз gpg баскычтары көлөмү күйүк projected, анда биз сырыбызды көрсөтөбүз:

   spec:
     template:
       spec:
         volumes:
         - name: gpg-keys
           projected:
             defaultMode: 420
             sources:
             - secret:
                 name: argocd-gpg-keys-secret
             - configMap:
                 name: argocd-gpg-keys-cm

Argo CD контейнер башталганда автоматтык түрдө бул каталогдон gpg ачкычтарын жүктөйт, ошондуктан ал биздин жеке ачкычты да жүктөйт.

текшерип көрөлү:

$ kubectl -n argocd exec -ti deploy/argocd-repo-server -- bash
$ GNUPGHOME=/app/config/gpg/keys gpg --list-secret-keys
gpg: WARNING: unsafe ownership on homedir '/app/config/gpg/keys'
/app/config/gpg/keys/pubring.kbx
--------------------------------
sec   rsa2048 2020-09-05 [SC] [expires: 2021-03-04]
      ED6285A3B1A50B6F1D9C955E5E8B1B16D47FFC28
uid           [ultimate] Anon Ymous (ArgoCD key signing key) <noreply@argoproj.io>

sec   rsa3072 2020-09-03 [SC]
      9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D
uid           [ultimate] YOUR NAME <YOUR EMAIL@example.com>
ssb   rsa3072 2020-09-03 [E]

Сонун, ачкыч жүктөлдү! Эми биз Argo CDди репозиторийибизге биргелешип иштөөчү катары кошушубуз керек жана ал тез эле шифрди автоматтык түрдө чече алат.

Ачкычты жергиликтүү компьютерге импорттоо:

$ gpg --armor --export-secret 8CB8B24F50B4797D > 8CB8B24F50B4797D.pem
$ gpg --import 8CB8B24F50B4797D.pem

Ишеним деңгээлин белгилейли:

$ gpg --edit-key 8CB8B24F50B4797D
trust
5

Келгиле, аргону биздин долбоорго өнөктөш катары кошолу:

$ git-crypt add-gpg-user 8CB8B24F50B4797D

Окшош шилтемелер:

• GitHub: өзгөртүлгөн сүрөтү бар репозиторий
• Argo CD: Ыңгайлаштырылган инструмент
• Argo CD: Конфигурацияны башкаруу плагиндери
• GitHub Gist: интерактивдүү эмес режимде сырсөзсүз gpg ачкычтарын түзүңүз

Source: www.habr.com