ProHoster > బ్లాగ్ > పరిపాలన > అర్గో CDలో అనుకూల సాధనాన్ని అర్థం చేసుకోవడం

అర్గో CDలో అనుకూల సాధనాన్ని అర్థం చేసుకోవడం

అర్గో CDలో అనుకూల సాధనాన్ని అర్థం చేసుకోవడం

వ్రాసిన తర్వాత కొంత సమయం మొదటి వ్యాసం, నేను jsonnet మరియు gitlabని నేర్పుగా నిర్వహించే చోట, పైప్‌లైన్‌లు ఖచ్చితంగా మంచివని, కానీ అనవసరంగా సంక్లిష్టంగా మరియు అసౌకర్యంగా ఉన్నాయని నేను గ్రహించాను.

చాలా సందర్భాలలో, ఒక సాధారణ పని అవసరం: "YAMLని రూపొందించి, దానిని కుబెర్నెట్స్‌లో ఉంచండి." అసలైన, ఇది Argo CD చాలా బాగా చేస్తుంది.

Argo CD మిమ్మల్ని Git రిపోజిటరీని కనెక్ట్ చేయడానికి మరియు దాని స్థితిని కుబెర్నెట్స్‌కి పంపడానికి అనుమతిస్తుంది. డిఫాల్ట్‌గా, అనేక రకాల అప్లికేషన్‌లకు మద్దతు ఉంది: కస్టమైజ్, హెల్మ్ చార్ట్‌లు, క్సోనెట్, బేర్ జెసోనెట్ లేదా కేవలం YAML/JSON మానిఫెస్ట్‌లతో డైరెక్టరీలు.

ఈ సెట్ చాలా మంది వినియోగదారులకు సరిపోతుంది, కానీ అందరికీ కాదు. ప్రతి ఒక్కరి అవసరాలను తీర్చడానికి, ఆర్గో CD అనుకూల సాధనాలను ఉపయోగించగల సామర్థ్యాన్ని కలిగి ఉంది.

అన్నింటిలో మొదటిది, మద్దతును జోడించే అవకాశంపై నాకు ఆసక్తి ఉంది qbec и git-క్రిప్ట్, ఇది మునుపటి వ్యాసంలో పూర్తిగా చర్చించబడింది.

మీరు కాన్ఫిగరేషన్‌ను ప్రారంభించే ముందు, ఆర్గో CD ఎలా పనిచేస్తుందో మీరు మొదట అర్థం చేసుకోవాలి.

జోడించిన ప్రతి అప్లికేషన్ కోసం, ఇది రెండు దశలను కలిగి ఉంటుంది:

  • అందులో — విస్తరణకు ముందు ప్రాథమిక తయారీ, ఇక్కడ ఏదైనా జరగవచ్చు: డిపెండెన్సీలను డౌన్‌లోడ్ చేయడం, రహస్యాలను అన్‌ప్యాక్ చేయడం మరియు మరిన్ని.
  • ఉత్పత్తి — మానిఫెస్ట్ జనరేషన్ కమాండ్‌ను నేరుగా అమలు చేయడం, అవుట్‌పుట్ తప్పనిసరిగా చెల్లుబాటు అయ్యే YAML స్ట్రీమ్ అయి ఉండాలి, ఇది ఖచ్చితంగా క్లస్టర్‌కు వర్తించబడుతుంది.

విశేషమేమిటంటే, హెల్మ్‌తో సహా ఏ రకమైన అప్లికేషన్‌కైనా అర్గో ఈ విధానాన్ని వర్తింపజేస్తుంది. అంటే, Argo CD హెల్మ్‌లో క్లస్టర్‌కు విడుదలలను అమలు చేయదు, కానీ మానిఫెస్ట్‌లను రూపొందించడానికి మాత్రమే ఉపయోగించబడుతుంది.

దాని భాగానికి, అర్గో హెల్మ్ హుక్స్‌లను స్థానికంగా ప్రాసెస్ చేయగలదు, ఇది విడుదలలను వర్తించే తర్కాన్ని ఉల్లంఘించకుండా అనుమతిస్తుంది.

QBEC

Qbec jsonnetని ఉపయోగించి అప్లికేషన్‌లను సౌకర్యవంతంగా వివరించడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు అదనంగా హెల్మ్ చార్ట్‌లను అందించగల సామర్థ్యాన్ని కలిగి ఉంటుంది మరియు Argo CD సాధారణంగా హెల్మ్ హుక్స్‌లను ప్రాసెస్ చేయగలదు కాబట్టి, Argo CDతో ఈ లక్షణాన్ని ఉపయోగించడం వలన మీరు మరింత సరైన ఫలితాలను సాధించగలుగుతారు.

qbec మద్దతును argocdకి జోడించడానికి మీకు రెండు విషయాలు అవసరం:

  • Argo CD కాన్ఫిగర్‌లో, మానిఫెస్ట్‌లను రూపొందించడానికి మీ అనుకూల ప్లగ్ఇన్ మరియు ఆదేశాలు తప్పనిసరిగా నిర్వచించబడాలి.
  • అవసరమైన బైనరీలు తప్పనిసరిగా చిత్రంలో అందుబాటులో ఉండాలి argocd-repo-server.

మొదటి పని అనేది నిర్ణయించబడుతోంది చాలా సులభం:

# cm.yaml
data:
  configManagementPlugins: |
    - name: qbec
      generate:
        command: [sh, -xc]
        args: ['qbec show "$ENVIRONMENT" -S --force:k8s-namespace "$ARGOCD_APP_NAMESPACE"']

(జట్టు అందులో ఉపయోగం లో లేదు)

$ kubectl -n argocd patch cm/argocd-cm -p "$(cat cm.yaml)"

బైనరీలను జోడించడానికి ఇది సూచించబడింది కొత్త చిత్రాన్ని సేకరించండి, లేదా ఉపయోగించండి init కంటైనర్ ట్రిక్:

# deploy.yaml
spec:
  template:
    spec:
      # 1. Define an emptyDir volume which will hold the custom binaries
      volumes:
      - name: custom-tools
        emptyDir: {}
      # 2. Use an init container to download/copy custom binaries into the emptyDir
      initContainers:
      - name: download-tools
        image: alpine:3.12
        command: [sh, -c]
        args:
        - wget -qO- https://github.com/splunk/qbec/releases/download/v0.12.2/qbec-linux-amd64.tar.gz | tar -xvzf - -C /custom-tools/
        volumeMounts:
        - mountPath: /custom-tools
          name: custom-tools
      # 3. Volume mount the custom binary to the bin directory (overriding the existing version)
      containers:
      - name: argocd-repo-server
        volumeMounts:
        - mountPath: /usr/local/bin/qbec
          name: custom-tools
          subPath: qbec
        - mountPath: /usr/local/bin/jsonnet-qbec
          name: custom-tools
          subPath: jsonnet-qbec

$ kubectl -n argocd patch deploy/argocd-repo-server -p "$(cat deploy.yaml)"

ఇప్పుడు మన అప్లికేషన్ మానిఫెస్ట్ ఎలా ఉంటుందో చూద్దాం:

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: qbec-app
  namespace: argocd
spec:
  destination: 
    namespace: default
    server: https://kubernetes.default.svc
  project: default
  source: 
    path: qbec-app
    plugin: 
      env: 
        - name: ENVIRONMENT
          value: default
      name: qbec
    repoURL: https://github.com/kvaps/argocd-play
  syncPolicy: 
    automated: 
      prune: true

వేరియబుల్ లో ENVIRONMENT మేము మానిఫెస్ట్‌లను రూపొందించాల్సిన పర్యావరణం పేరును పాస్ చేస్తాము.

దానిని వర్తింపజేద్దాం మరియు మనకు ఏమి లభిస్తుందో చూద్దాం:

అర్గో CDలో అనుకూల సాధనాన్ని అర్థం చేసుకోవడం

అప్లికేషన్ అమలు చేయబడింది, చాలా బాగుంది!

git-క్రిప్ట్

Git-crypt మీ రిపోజిటరీ కోసం పారదర్శక గుప్తీకరణను సెటప్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సున్నితమైన డేటాను నేరుగా gitలో నిల్వ చేయడానికి ఇది సులభమైన మరియు సురక్షితమైన మార్గం.

జిట్-క్రిప్ట్ అమలు మరింత కష్టతరంగా మారింది.

సిద్ధాంతపరంగా మనం చేయగలం git-crypt unlock మా అనుకూల ప్లగ్ఇన్ యొక్క ప్రారంభ దశలో, కానీ ఇది చాలా సౌకర్యవంతంగా లేదు, ఎందుకంటే ఇది స్థానిక విస్తరణ పద్ధతులను ఉపయోగించడానికి అనుమతించదు. ఉదాహరణకు, హెల్మ్ మరియు Jsonnet విషయంలో, అప్లికేషన్ కాన్ఫిగరేషన్‌ను (విలువలు ఫైల్‌లు మొదలైనవి) సులభతరం చేయడానికి అనుమతించే సౌకర్యవంతమైన GUI ఇంటర్‌ఫేస్‌ను మేము కోల్పోతాము.

అందుకే నేను క్లోనింగ్ సమయంలో రిపోజిటరీని మునుపటి దశలో ప్రింట్ చేయాలనుకున్నాను.

ప్రస్తుతానికి ఆర్గో CD రిపోజిటరీని సమకాలీకరించడానికి ఏ హుక్స్‌ను వివరించే సామర్థ్యాన్ని అందించదు కాబట్టి, మేము ఈ పరిమితిని git కమాండ్‌ను భర్తీ చేసే గమ్మత్తైన షెల్ స్క్రిప్ట్‌తో అధిగమించాల్సి వచ్చింది:

#!/bin/sh
$(dirname $0)/git.bin "$@"
ec=$?
[ "$1" = fetch ] && [ -d .git-crypt ] || exit $ec
GNUPGHOME=/app/config/gpg/keys git-crypt unlock 2>/dev/null
exit $ec

అర్గో CD ప్రదర్శిస్తుంది git fetch విస్తరణ ఆపరేషన్‌కు ముందు ప్రతిసారీ. ఈ కమాండ్‌కి మేము ఎగ్జిక్యూషన్‌ను కేటాయిస్తాము git-crypt unlock రిపోజిటరీని అన్‌లాక్ చేయడానికి.

పరీక్షల కోసం మీరు ఉపయోగించవచ్చు నా డాకర్ చిత్రం ఇది ఇప్పటికే మీకు కావలసినవన్నీ కలిగి ఉంది:

$ kubectl -n argocd set image deploy/argocd-repo-server argocd-repo-server=docker.io/kvaps/argocd-git-crypt:v1.7.3

అర్గో మన రిపోజిటరీలను ఎలా డీక్రిప్ట్ చేస్తుందో ఇప్పుడు మనం ఆలోచించాలి. అవి, దాని కోసం ఒక gpg కీని రూపొందించండి:

$ kubectl exec -ti deploy/argocd-repo-server -- bash

$ printf "%sn" 
    "%no-protection" 
    "Key-Type: default" 
    "Subkey-Type: default" 
    "Name-Real: YOUR NAME" 
    "Name-Email: YOUR EMAIL@example.com" 
    "Expire-Date: 0" 
    > genkey-batch 

$ gpg --batch --gen-key genkey-batch
gpg: WARNING: unsafe ownership on homedir '/home/argocd/.gnupg'
gpg: keybox '/home/argocd/.gnupg/pubring.kbx' created
gpg: /home/argocd/.gnupg/trustdb.gpg: trustdb created
gpg: key 8CB8B24F50B4797D marked as ultimately trusted
gpg: directory '/home/argocd/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/home/argocd/.gnupg/openpgp-revocs.d/9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D.rev'

కీ పేరుని సేవ్ చేద్దాం 8CB8B24F50B4797D తదుపరి దశల కోసం. కీని ఎగుమతి చేయండి:

$ gpg --list-keys
gpg: WARNING: unsafe ownership on homedir '/home/argocd/.gnupg'
/home/argocd/.gnupg/pubring.kbx
-------------------------------
pub   rsa3072 2020-09-04 [SC]
      9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D
uid           [ultimate] YOUR NAME <YOUR EMAIL@example.com>
sub   rsa3072 2020-09-04 [E]

$ gpg --armor --export-secret-keys 8CB8B24F50B4797D

మరియు దానిని ప్రత్యేక రహస్యంగా జోడించండి:

# argocd-gpg-keys-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: argocd-gpg-keys-secret
  namespace: argocd
stringData:
  8CB8B24F50B4797D: |-
    -----BEGIN PGP PRIVATE KEY BLOCK-----

    lQVYBF9Q8KUBDACuS4p0ctXoakPLqE99YLmdixfF/QIvXVIG5uBXClWhWMuo+D0c
    ZfeyC5GvH7XPUKz1cLMqL6o/u9oHJVUmrvN/g2Mnm365nTGw1M56AfATS9IBp0HH
    O/fbfiH6aMWmPrW8XIA0icoOAdP+bPcBqM4HRo4ssbRS9y/i
    =yj11
    -----END PGP PRIVATE KEY BLOCK-----

$ kubectl apply -f argocd-gpg-keys-secret.yaml

దానిని కంటైనర్‌లోకి విసిరేయడమే మాకు మిగిలి ఉంది argocd-repo-server, దీన్ని చేయడానికి, విస్తరణను సవరించండి:

$ kubectl -n argocd edit deploy/argocd-repo-server

మరియు మేము ఇప్పటికే ఉన్నదాన్ని భర్తీ చేస్తాము gpg-కీలు వాల్యూమ్ ఆన్ projected, ఇక్కడ మేము మా రహస్యాన్ని సూచిస్తాము:

   spec:
     template:
       spec:
         volumes:
         - name: gpg-keys
           projected:
             defaultMode: 420
             sources:
             - secret:
                 name: argocd-gpg-keys-secret
             - configMap:
                 name: argocd-gpg-keys-cm

కంటైనర్ ప్రారంభమైనప్పుడు Argo CD స్వయంచాలకంగా ఈ డైరెక్టరీ నుండి gpg కీలను లోడ్ చేస్తుంది, కనుక ఇది మా ప్రైవేట్ కీని కూడా లోడ్ చేస్తుంది.

తనిఖీ చేద్దాం:

$ kubectl -n argocd exec -ti deploy/argocd-repo-server -- bash
$ GNUPGHOME=/app/config/gpg/keys gpg --list-secret-keys
gpg: WARNING: unsafe ownership on homedir '/app/config/gpg/keys'
/app/config/gpg/keys/pubring.kbx
--------------------------------
sec   rsa2048 2020-09-05 [SC] [expires: 2021-03-04]
      ED6285A3B1A50B6F1D9C955E5E8B1B16D47FFC28
uid           [ultimate] Anon Ymous (ArgoCD key signing key) <noreply@argoproj.io>

sec   rsa3072 2020-09-03 [SC]
      9A1FF8CAA917CE876E2562FC8CB8B24F50B4797D
uid           [ultimate] YOUR NAME <YOUR EMAIL@example.com>
ssb   rsa3072 2020-09-03 [E]

బాగుంది, కీ లోడ్ చేయబడింది! ఇప్పుడు మనం ఆర్గో CDని మా రిపోజిటరీకి సహకారిగా జోడించాలి మరియు అది స్వయంచాలకంగా ఫ్లైలో డీక్రిప్ట్ చేయగలదు.

స్థానిక కంప్యూటర్‌కు కీని దిగుమతి చేయండి:

$ gpg --armor --export-secret 8CB8B24F50B4797D > 8CB8B24F50B4797D.pem
$ gpg --import 8CB8B24F50B4797D.pem

విశ్వసనీయ స్థాయిని సెట్ చేద్దాం:

$ gpg --edit-key 8CB8B24F50B4797D
trust
5

మా ప్రాజెక్ట్‌కు ఆర్గోని సహకారిగా చేర్చుదాం:

$ git-crypt add-gpg-user 8CB8B24F50B4797D

సంబంధిత లింకులు:

మూలం: www.habr.com