基于ACK One和ACR 构建应用全自动化GitOps交付的实践

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 本文介绍如何在ACK One实例上构建应用GitOps全自动化交付流水线。

背景信息

您可以使用任意第三方CI系统完成如下CI流程:

image.png

当CI流程成功将应用镜像推送到ACR镜像仓库时,就可以自动化触发CD流程的运行并更新应用容器镜像。本文示例主要演示ACK One GitOps自动监听ACR镜像仓库变化,若有符合过滤条件的容器镜像tags更新,则触发以下流程:

image.png

使用限制

  • 仅适用于通过ACK One GitOps系统创建的应用。
  • 仅适用于通过Kustomize或Helm编排渲染托管在Git系统中的应用编排。
  • 仅对同步策略设置为auto-sync的应用生效。
  • 私有镜像拉取凭证必须与GitOps系统部署在同一集群中,不支持跨集群读取私有镜像拉取凭证。


前置条件


快速开始


本文示例应用的GitHub地址为:https://github.com/AliyunContainerService/gitops-demo.git

由于本示例中涉及将应用变更回写到Git仓库中,所以首先需要您fork以上Git仓库到自己的账号下。例如本次演示将使用fork的仓库地址: https://github.com/haoshuwei/gitops-demo.git


gitops-demo应用的目录结构为:

.
├── manifests
│   └── helm
│       ├── Chart.yaml
│       ├── templates
│       │   ├── deployment.yaml
│       │   ├── _helpers.tpl
│       │   ├── hpa.yaml
│       │   ├── ingress.yaml
│       │   ├── NOTES.txt
│       │   ├── serviceaccount.yaml
│       │   ├── service.yaml
│       │   └── tests
│       │       └── test-connection.yaml
│       ├── values-oversea.yaml
│       └── values.yaml
└── README.md

其中values.yaml文件中,通过image.tag动态渲染应用锁使用的镜像tag:

image:
  repository: registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server
  pullPolicy: IfNotPresent
  # Overrides the image tag whose default is the chart appVersion.
  tag: "v1.0"

步骤一 在GitOps系统中创建应用

连接和访问GitOps系统,可参考 https://help.aliyun.com/document_detail/464255.html#section-q3r-rjg-t9k

Git源仓库添加,可参考 https://help.aliyun.com/document_detail/464259.html

应用创建参考: https://help.aliyun.com/document_detail/464576.html


(1)CLI创建:创建应用gitops-demo,参数详情如下:

argocd app create gitops-demo --repo https://github.com/AliyunContainerService/gitops-demo.git --path  manifests/helm --dest-namespace gitops --dest-server https://xx.xx.XX.XX:6443 --sync-policy none
argocd app sync gitops-demo

(2)UI创建:创建应用gitops-demo,参数详情如下:

image.png

image.png

查看应用运行情况:

image.png


步骤二 配置应用自动更新

当您推送了一个新版本的应用镜像到ACR镜像仓库时,希望GitOps系统可以自动检测到该新版镜像并自动将其更新到实际环境中。在配置应用自动更新之前,您需要先知晓以下内容:

  • GitOps系统中基于ACR镜像仓库变化触发应用自动更新的功能,由argocd-image-updater组件负责,该组件目前处于alpha阶段,建议只在开发测试环境中使用,如需在生产环境中使用,请您仔细评估,风险自担。
  • GitOps系统创建的应用会在argocd命名空间下生成一个Application CR,我们将通过为该Application CR添加annotations来配置应用自动更新。
  • GitOps系统需要您手动配置ACR镜像仓库的登录用户名密码用于监听镜像仓库变化。


(1) 查看gitops-demo应用的Application CR

$ kubectl -n argocd get application gitops-demo -oyaml
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: gitops-demo
  namespace: argocd
spec:
  destination:
    namespace: gitops
    server: https://x.xxx.xxx.x:6443
  project: default
  source:
    helm:
      valueFiles:
      - values.yaml
    path: manifests/helm
    repoURL: https://github.com/haoshuwei/gitops-demo.git
    targetRevision: HEAD
  syncPolicy:
    automated: {}
    syncOptions:
    - CreateNamespace=true

(2) 为gitops-demo添加annotations

生成imageUpdate.patch:

$ cat <<EOF > imageUpdate.patch
metadata:
  annotations:
    argocd-image-updater.argoproj.io/image-list: echoserver=registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server
    argocd-image-updater.argoproj.io/echoserver.helm.image-tag: image.tag
    argocd-image-updater.argoproj.io/echoserver.update-strategy: semver
    argocd-image-updater.argoproj.io/echoserver.allow-tags: regexp:^v[1-9].*
    argocd-image-updater.argoproj.io/write-back-method: git:secret:argocd/git-creds
EOF

为gitops-demo添加annotations:

$ kubectl -n argocd patch Application gitops-demo --type=merge -p "$(cat imageUpdate.patch)"

(3) 配置访问ACR和Git仓库的凭证

配置访问ACR的凭证:

$ kubectl -n argocd apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: acr
type: Opaque
stringData:
  acr: <your_username>:<your_password>  # 将<your_username>:<your_password>更换为您自己的容器镜像仓库访问凭证。
EOF

配置访问Git仓库的凭证:

$ kubectl -n argocd create secret generic git-creds \
--from-literal=username=<your_username> \
--from-literal=password=<your_password>

步骤三 测试应用的自动更新

(1) push新的镜像tag到ACR镜像仓库

$ docker pull registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server:v1.0
$ docker tag registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server:v1.0 registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server:v2.0
$ docker push registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server:v2.0

(2) 执行以下命令,查看argocd命名空间下argocd-image-updater容器的日志。

$ kubectl -n argocd logs -f argocd-server-xxxxxxxxxx-xxxxx -c argocd-image-updater

预期输出:

time="2022-12-29T09:58:13Z" level=info msg="Successfully updated the live application spec" application=gitops-demo
time="2022-12-29T09:58:13Z" level=info msg="Processing results: applications=1 images_considered=1 images_skipped=0 images_updated=1 errors=0"

查看目标集群中的应用镜像是否已自动更新。

(3) GitHub上查看Git仓库中是否自动生成manifests/helm/.argocd-source-gitops-demo.yaml文件(表示回写Git成功)。

image.png

配置应用镜像的自动更新

1. 配置更新指定的容器镜像

您可以通过设置AnnotationGitOps系统中创建的应用标记1个或者多个容器镜像被自动更新,格式如下所示:

argocd-image-updater.argoproj.io/image-list: <image_spec_list>

可以是单个容器镜像,也可以用半角逗号(,)分割的一组容器镜像列表,每个容器镜像描述的格式如下所示:

[<alias_name>=]<image_path>[:<version_constraint>]

是应用的容器镜像别名,以便在做其它配置时引用。别名只允许字母字符串,且只允许在image-listAnnotation中使用。例如本文示例中,指定需要自动更新的镜像为registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server,为其设置的别名为echoserver:

argocd-image-updater.argoproj.io/image-list: echoserver=registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server


2. 镜像tags的条件过滤

registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server镜像为例,您可以设置过滤条件,当且仅当ACR镜像仓库中echo-server镜像有符合过滤规则的新tags推送时,才出发应用的自动更新。

通过正则表达式过滤允许的tags,规范如下所示:

argocd-image-updater.argoproj.io/<image_name>.allow-tags: <match_func>

其中,的格式为regexp:即为标准的正则表达式。

例如本文中的示例为:

argocd-image-updater.argoproj.io/echoserver.allow-tags: regexp:^v[1-9].*

3. 设置容器镜像更新策略

容器镜像的更新策略有以下几种,默认镜像更新策略为semver

更新策略

描述

semver

按语义化版本号排序并更新到最新的镜像tag

latest

按创建时间排序并更新到最新的镜像tag(注意:并非镜像推送到仓库的时间)

name

按字母排序并更新到最新的镜像tag

digest

更新到最新推送的可变标签版本。

Annotation的格式如下所示:

argocd-image-updater.argoproj.io/<image_name>.update-strategy: <strategy>

本示例中使用的镜像更新策略为semver,如下所示:

argocd-image-updater.argoproj.io/echoserver.update-strategy: semver

4. Helm/Kustomize编排的应用参数设置

  • Helm编排的应用参数设置

应用可能包含多个容器镜像的描述,比如gitops-demo示例应用的values.yaml文件中有image.repository image.tag配置,那么Annotations的配置如下所示:

annotations:
  argocd-image-updater.argoproj.io/image-list: echoserver=registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server
  argocd-image-updater.argoproj.io/echoserver.helm.image-name: image.repository
  argocd-image-updater.argoproj.io/echoserver.helm.image-tag: image.tag
  • Kustomize编排的应用参数设置

Kustomize编排类型的应用容器镜像的自动更新设置,需要先设置被更新的容器镜像的别名(可以包含tag),然后设置原始容器镜像地址(不包含tag),Annotation格式如下所示:

annotations:
  argocd-image-updater.argoproj.io/image-list: <image_alias>=<image_name>:<image_tag>
  argocd-image-updater.argoproj.io/<image_alias>.kustomize.image-name: <original_image_name>


配置访问ACR镜像仓库的凭证

您需配置如下访问凭证才能通过GitOps系统自动监听ACR镜像仓库的变化并更新应用。ACR镜像仓库相关的配置保存在argocd命名空间下名为argocd-image-updater-configConfigMap中。

查看默认配置如下所示:

$ kubectl -n argocd get cm argocd-image-updater-config -oyaml
apiVersion: v1
data:
  registries.conf: |
    registries:
    - name: AlibabaCloud Container Registry
      api_url: https://registry-vpc.<RegionID>.aliyuncs.com
      prefix: registry-vpc.<RegionID>.aliyuncs.com
      insecure: no
      credentials: secret:argocd/acr#acr
kind: ConfigMap
metadata:
  labels:
    app.kubernetes.io/name: argocd-image-updater-config
    app.kubernetes.io/part-of: argocd-image-updater
  name: argocd-image-updater-config
  namespace: argocd

参数

说明

name

容器镜像仓库配置的名称。

api_url

容器镜像仓库API地址,<RegionID>会根据当前地域动态渲染自动生成。

prefix

容器镜像仓库的查询前缀,该前缀中<RegionID>会根据当前地域动态渲染自动生成。

credentials

容器镜像仓库的查询前缀,该前缀在安装GitOps时根据当前地域动态渲染自动生成。

如果您使用的是ACREE镜像仓库,请替换对应的api_url和prefix字段的值。

根据 credentials: secret:argocd/acr#acr 配置,我们需要再argocd命名空间下创建名为acr的secret保存访问ACR镜像仓库的凭证:

kubectl -n argocd apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: acr
type: Opaque
stringData:
  # 将<your_username>:<your_password>更换为您自己的容器镜像仓库访问凭证。
  acr: <your_username>:<your_password>  
EOF

配置访问Git仓库的凭证

若您在GitOps系统中添加Git Repository时,配置了用户名和密码,则使用该Git Repository的应用默认拥有回写应用容器镜像变更信息到Git系统的权限,可以通过添加以下Annotations配置使用该Git凭证:

annotations:
  argocd-image-updater.argoproj.io/write-back-method: git

若您需要自定义配置该Git凭证,则可以通过添加以下Annotations配置使用指定Git凭证:

annotations:
  argocd-image-updater.argoproj.io/write-back-method: git:secret:argocd/git-creds

并在argocd命名空间下创建名为git-creds的secret:

$ kubectl -n argocd create secret generic git-creds \
--from-literal=username=<your_username> \
--from-literal=password=<your_password>


更多image-updater的用法请参考: https://argocd-image-updater.readthedocs.io/en/stable/

相关实践学习
通过ACR快速部署网站应用
本次实验任务是在云上基于ECS部署Docker环境,制作网站镜像并上传至ACR镜像仓库,通过容器镜像运行网站应用,网站运行在Docker容器中、网站业务数据存储在Mariadb数据库中、网站文件数据存储在服务器ECS云盘中,通过公网地址进行访问。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。 &nbsp; &nbsp; 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
6天前
|
Java 测试技术 API
自动化测试工具集成及实践
自动化测试用例的覆盖度及关键点最佳实践、自动化测试工具、集成方法、自动化脚本编写等(兼容多语言(Java、Python、Go、C++、C#等)、多框架(Spring、React、Vue等))
35 6
|
2月前
|
存储 SQL 关系型数据库
MySQL 动态分区管理:自动化与优化实践
本文介绍了如何利用 MySQL 的存储过程与事件调度器实现动态分区管理,自动化应对数据增长,提升查询性能与数据管理效率,并详细解析了分区创建、冲突避免及实际应用中的关键注意事项。
121 0
|
2月前
|
运维 监控 安全
从实践到自动化:现代运维管理的转型与挑战
本文探讨了现代运维管理从传统人工模式向自动化转型的必要性与路径,分析了传统运维的痛点,如效率低、响应慢、依赖经验等问题,并介绍了自动化运维在提升效率、降低成本、增强系统稳定性与安全性方面的优势。结合技术工具与实践案例,文章展示了企业如何通过自动化实现运维升级,推动数字化转型,提升业务竞争力。
|
5月前
|
存储 负载均衡 测试技术
ACK Gateway with Inference Extension:优化多机分布式大模型推理服务实践
本文介绍了如何利用阿里云容器服务ACK推出的ACK Gateway with Inference Extension组件,在Kubernetes环境中为多机分布式部署的LLM推理服务提供智能路由和负载均衡能力。文章以部署和优化QwQ-32B模型为例,详细展示了从环境准备到性能测试的完整实践过程。
|
6月前
|
存储 人工智能 Kubernetes
ACK Gateway with AI Extension:面向Kubernetes大模型推理的智能路由实践
本文介绍了如何利用阿里云容器服务ACK推出的ACK Gateway with AI Extension组件,在Kubernetes环境中为大语言模型(LLM)推理服务提供智能路由和负载均衡能力。文章以部署和优化QwQ-32B模型为例,详细展示了从环境准备到性能测试的完整实践过程。
|
6月前
|
存储 人工智能 物联网
ACK Gateway with AI Extension:大模型推理的模型灰度实践
本文介绍了如何使用 ACK Gateway with AI Extension 组件在云原生环境中实现大语言模型(LLM)推理服务的灰度发布和流量分发。该组件专为 LLM 推理场景设计,支持四层/七层流量路由,并提供基于模型服务器负载感知的智能负载均衡能力。通过自定义资源(CRD),如 InferencePool 和 InferenceModel,可以灵活配置推理服务的流量策略,包括模型灰度发布和流量镜像。
|
7月前
|
Kubernetes 持续交付 开发工具
阿里云协同万兴科技落地ACK One GitOps方案,全球多机房应用自动化发布,效率提升50%
阿里云协同万兴科技落地ACK One GitOps方案,全球多机房应用自动化发布,效率提升50%
196 2
|
7月前
|
监控 Cloud Native Java
基于阿里云容器服务(ACK)的微服务架构设计与实践
本文介绍如何利用阿里云容器服务Kubernetes版(ACK)构建高可用、可扩展的微服务架构。通过电商平台案例,展示基于Java(Spring Boot)、Docker、Nacos等技术的开发、容器化、部署流程,涵盖服务注册、API网关、监控日志及性能优化实践,帮助企业实现云原生转型。
|
人工智能 运维 Kubernetes
阿里云容器服务ACK AI助手正式上线带来的便利性
作为开发者想必大家都知道,云原生容器技术的优势,尤其是近两年的随着容器技术的迅猛发展,Kubernetes(K8s)已成为广泛应用于容器编排和管理的领先解决方案,但是K8s的运维复杂度一直是挑战之一。为了应对这一问题,就在最近,阿里云容器服务团队正式发布了ACK AI助手,这是一款旨在通过大模型增强智能诊断的产品,旨在帮助企业和开发者降低Kubernetes(K8s)的运维复杂度。那么本文就来详细讲讲关于这款产品,让我们结合实际案例分享一下K8s的运维经验,探讨ACK AI助手能否有效降低K8s的运维复杂度,并展望ACK AI助手正式版上线后的新功能。
706 2
阿里云容器服务ACK AI助手正式上线带来的便利性
|
存储 Kubernetes Docker
容器服务ACK常见问题之阿里云控制台进不去了如何解决
容器服务ACK(阿里云容器服务 Kubernetes 版)是阿里云提供的一种托管式Kubernetes服务,帮助用户轻松使用Kubernetes进行应用部署、管理和扩展。本汇总收集了容器服务ACK使用中的常见问题及答案,包括集群管理、应用部署、服务访问、网络配置、存储使用、安全保障等方面,旨在帮助用户快速解决使用过程中遇到的难题,提升容器管理和运维效率。

相关产品

  • 容器镜像服务
  • 容器服务Kubernetes版
  • 推荐镜像

    更多