使用适用于 AKS 和已启用 Azure Arc 的 Kubernetes 的 GitOps (Flux v2) 进行应用程序部署

Azure 使用适用于 Azure Kubernetes 服务 (AKS) 和已启用 Azure Arc 的 Kubernetes 群集的 GitOps 提供自动化应用程序部署功能。 采用 GitOps 将应用程序部署到 Kubernetes 群集提供的主要优势包括：

• 持续了解群集上运行的应用程序的状态。
• 在应用程序开发团队和基础结构团队之间分离关注点。 应用程序团队无需具备 Kubernetes 部署的经验。 平台工程团队通常为应用程序团队创建自助服务模型，使他们能够更自信地运行部署。
• 能够在崩溃或横向扩展时重新创建具有相同所需状态的群集。
• 能够通过 Azure Policy 大规模部署应用程序。

通过 GitOps，可以在 Git 存储库中的文件中声明 Kubernetes 群集的所需状态。 Git 存储库可能包含以下文件：

• YAML 格式的清单，用于描述 Kubernetes 资源（如命名空间、机密、部署和其他）
• 用于部署应用程序的 Helm 图表
• 用于描述环境特定更改的 Kustomize 文件

由于这些文件存储在 Git 存储库中，因此会对其进行版本控制，并可以轻松地跟踪版本之间的更改。 Kubernetes 控制器在群集中运行，并不断地使群集状态与 Git 存储库中声明的所需状态保持一致。 这些运算符从 Git 存储库中提取文件，并将所需状态应用到群集。 操作员还会持续确保群集保持在所需状态。

启用了 Azure Arc 的 Kubernetes 或 Azure Kubernetes 服务上的 GitOps 使用 Flux，它是一种常用的开源工具集。 Flux 支持常见文件源（Git 和 Helm 存储库、Bucket、Azure Blob 存储）和模板类型（YAML、Helm 和 Kustomizze）。 Flux 还支持多租户和部署依赖关系管理，以及其他功能。

Flux 直接部署在群集上，并且每个群集的控制平面在逻辑上是分开的。 这使得它可以很好地扩展到数十万个群集。 Flux 支持基于纯拉取的 GitOps 应用程序部署。 源存储库或任何其他群集不需要访问群集。

Flux 群集扩展

在启用了 Azure Arc 的 Kubernetes 或 AKS 群集中启用 GitOps 作为 Microsoft.KubernetesConfiguration/extensions/microsoft.flux群集扩展资源。 必须先在群集中安装 microsoft.flux 扩展，然后才能创建一个或多个 fluxConfigurations。 在群集中创建第一个 Microsoft.KubernetesConfiguration/fluxConfigurations 时，将自动安装该扩展，你也可以使用门户、Azure CLI (az k8s-extension create --extensionType=microsoft.flux)、ARM 模板或 REST API 手动安装该扩展。

控制器

默认情况下，microsoft.flux 扩展安装 Flux 控制器（源、Kustomize、Helm、通知）以及 FluxConfig 自定义资源定义 (CRD)、fluxconfig-agent 和 fluxconfig-controller。 另外，你还可以安装 Flux image-automation 和 image-reflector 控制器，这些控制器提供用于更新和检索 Docker 映像的功能。

• Flux 源控制器：监视 source.toolkit.fluxcd.io 自定义资源。 处理 Git 存储库、Helm 存储库、Bucket 和 Azure Blob 存储之间的同步。 使用专用 Git、Helm 存储库和 Azure Blob 存储帐户的源来处理授权。 通过 tar 存档文件显示对源的最新更改。

• Flux Kustomize 控制器：监视 kustomization.toolkit.fluxcd.io 自定义资源。 将源中的 Kustomize 或原始 YAML 文件应用到群集。

• Flux Helm 控制器：监视 helm.toolkit.fluxcd.io 自定义资源。 从源控制器呈现的 Helm 存储库源检索关联图表。 创建 HelmChart 自定义资源，并将具有给定版本、名称和客户定义值的 HelmRelease 应用到群集。

• Flux 通知控制器：监视 notification.toolkit.fluxcd.io 自定义资源。 接收来自所有 Flux 控制器的通知。 将通知推送到用户定义的 webhook 终结点。

• Flux 自定义资源定义：

  • kustomizations.kustomize.toolkit.fluxcd.io
  • imagepolicies.image.toolkit.fluxcd.io
  • imagerepositories.image.toolkit.fluxcd.io
  • imageupdateautomations.image.toolkit.fluxcd.io
  • alerts.notification.toolkit.fluxcd.io
  • providers.notification.toolkit.fluxcd.io
  • receivers.notification.toolkit.fluxcd.io
  • buckets.source.toolkit.fluxcd.io
  • gitrepositories.source.toolkit.fluxcd.io
  • helmcharts.source.toolkit.fluxcd.io
  • helmrepositories.source.toolkit.fluxcd.io
  • helmreleases.helm.toolkit.fluxcd.io
  • fluxconfigs.clusterconfig.azure.com

• FluxConfig CRD：定义 fluxconfigs.clusterconfig.azure.com Kubernetes 对象的 FluxConfig 自定义资源的自定义资源定义。

• fluxconfig-agent：负责监视 Azure 中新的或更新的 fluxConfigurations 资源，以及启动群集中关联的 Flux 配置。 此外，还要负责将群集中的 Flux 状态更改推送回每个 fluxConfigurations 资源的 Azure。

• fluxconfig-controller：监视 fluxconfigs.clusterconfig.azure.com 自定义资源，并使用群集中 GitOps 机制的新配置或更新的配置响应更改。

Flux 配置

若要以高分辨率下载体系结构图，请访问 Jumpstart Gems。

创建 Flux 配置资源 (Microsoft.KubernetesConfiguration/fluxConfigurations)，以从 Git 存储库、Bucket 源或 Azure Blob 存储启用群集的 GitOps 管理。 创建 fluxConfigurations 资源时，你为参数提供的值（例如目标 Git 存储库）用于创建和配置在该群集中启用 GitOps 进程的 Kubernetes 对象。 为确保数据安全，群集配置服务会将 fluxConfigurations 资源数据以静态加密方式存储在 Azure Cosmos DB 数据库中。

与 fluxconfig-agent 扩展一起安装的 fluxconfig-controller 和 microsoft.flux 代理管理 GitOps 配置过程。

fluxconfig-agent 负责以下任务：

• 为新资源或更新的 fluxConfigurations 资源轮询 Kubernetes 配置数据平面服务。
• 使用配置信息在群集中创建或更新 FluxConfig 自定义资源。
• 监视 FluxConfig 自定义资源，并将状态更改推送回关联的 Azure fluxConfiguration 资源。

fluxconfig-controller 负责以下任务：

• 监视由托管 fluxConfigurations 创建的 Flux 自定义资源的状态更新。
• 创建在 fluxConfigurations 生存期内存在的私钥/公钥对。 如果 URL 基于 SSH，并且用户在创建配置过程中未提供自己的私钥，则此密钥用于身份验证。
• 基于用户提供的私钥/http 基本身份验证/已知主机/非身份验证数据创建自定义身份验证机密。
• 设置基于角色的访问控制（预配的服务帐户、创建/分配的角色绑定、创建/分配的角色）。
• 基于 GitRepository 自定义资源中的信息创建 Bucket 或 Kustomization 自定义资源和 FluxConfig 自定义资源。

Azure 中的每个 fluxConfigurations 资源都与 Kubernetes 群集中的一个 Flux GitRepository 或 Bucket 自定义资源以及一个或多个 Kustomization 自定义资源相关联。 创建 fluxConfigurations 资源时，我们将指定源（Git 存储库、Bucket 或 Azure Blob 存储）的 URL，以及每个 Kustomization 的源中的同步目标。 你可以配置 Kustomization 自定义资源之间的依赖关系，以控制部署顺序。 你还可以为不同的应用程序和应用团队在同一群集上创建多个命名空间范围的 fluxConfigurations 资源。

可以在 Azure 门户中监视 Flux 配置状态和合规性，或者使用仪表板监视状态、合规性、资源消耗和对帐活动。 有关详细信息，请参阅监视 GitOps (Flux v2) 状态与活动。

版本支持

支持 Flux v2 扩展的最新版本 (microsoft.flux) 和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。 从 microsoft.flux 版本 1.7.0 开始，支持基于 ARM64 的群集。

具有专用链接的 GitOps

如果添加了对已启用 Azure Arc 的 Kubernetes 群集的专用链接的支持，则 microsoft.flux 扩展可以立即与 Azure 通信。 若要连接到 Git 存储库、Helm 存储库或部署 Kubernetes 清单所需的任何其他终结点，必须在防火墙后面预配这些终结点，或者在防火墙上列出它们，以便 Flux 源控制器能够成功访问它们。

数据驻留

Azure GitOps 服务 (Azure Kubernetes 配置管理)存储/处理客户数据。 客户数据默认复制到配对区域。 对于新加坡、东亚和巴西南部地区，所有客户数据都在该地区存储和处理。

大规模应用 Flux 配置

由于 Azure 资源管理器会管理你的配置，因此你可以在订阅或资源组范围内，使用 Azure Policy 在所有 Azure Kubernetes 服务和已启用 Azure Arc 的 Kubernetes 资源中自动创建相同的配置。 这种大规模强制确保跨整个群集组一致地应用特定配置。

有关详细信息，请参阅使用 Flux v2 配置和 Azure Policy 以一致的方式大规模部署应用程序。

参数

若要查看 Azure 中的 Flux v2 支持的所有参数，请参阅 az k8s-configuration 文档。 Azure 实施目前并不支持 Flux 支持的所有参数。

有关可用参数及其用法的信息，请参阅 GitOps (Flux v2) 支持的参数。

多租户

从版本 0.26 开始，Flux v2 支持多租户。 此功能已集成到 Azure 中的 Flux v2。

为多租户更新清单

假设你使用群集作用域将 fluxConfiguration 部署到 cluster-config 命名空间中的一个 Kubernetes 群集。 将源配置为同步 https://github.com/fluxcd/flux2-kustomize-helm-example 存储库。 这与使用 GitOps 和 Flux v2 部署应用程序教程中使用的示例 Git 存储库相同。

Flux 同步存储库后，它会部署清单中所述的资源（YAML 文件）。 两个清单描述了 HelmRelease 和 HelmRepository 对象。

apiVersion: helm.toolkit.fluxcd.io/v2beta1
kind: HelmRelease
metadata:
  name: nginx
  namespace: nginx
spec:
  releaseName: nginx-ingress-controller
  chart:
    spec:
      chart: nginx-ingress-controller
      sourceRef:
        kind: HelmRepository
        name: bitnami
        namespace: flux-system
      version: "5.6.14"
  interval: 1h0m0s
  install:
    remediation:
      retries: 3
  # Default values
  # https://github.com/bitnami/charts/blob/master/bitnami/nginx-ingress-controller/values.yaml
  values:
    service:
      type: NodePort

apiVersion: source.toolkit.fluxcd.io/v1beta1
kind: HelmRepository
metadata:
  name: bitnami
  namespace: flux-system
spec:
  interval: 30m
  url: https://charts.bitnami.com/bitnami

默认情况下，Flux 扩展通过模拟仅部署在 fluxConfigurations 命名空间中的 flux-applier 服务帐户来部署 cluster-config。 使用上述清单，启用多租户后，HelmRelease 将被阻止。 这是因为 HelmRelease 位于 nginx 命名空间中，但它引用 flux-system 命名空间中的 HelmRepository。 此外，Flux helm-controller 无法应用 HelmRelease，因为 flux-applier 命名空间中没有 nginx 服务帐户。

若要使用多租户，正确的方法是将所有 Flux 对象部署到与 fluxConfigurations 相同的命名空间中。 此方法可以避免出现跨命名空间引用问题，并允许 Flux 控制器获取应用对象的权限。 因此，对于在 cluster-config 命名空间中创建的 GitOps 配置，这些示例清单将如下更改：

apiVersion: helm.toolkit.fluxcd.io/v2beta1
kind: HelmRelease
metadata:
  name: nginx
  namespace: cluster-config 
spec:
  releaseName: nginx-ingress-controller
  targetNamespace: nginx
  chart:
    spec:
      chart: nginx-ingress-controller
      sourceRef:
        kind: HelmRepository
        name: bitnami
        namespace: cluster-config
      version: "5.6.14"
  interval: 1h0m0s
  install:
    remediation:
      retries: 3
  # Default values
  # https://github.com/bitnami/charts/blob/master/bitnami/nginx-ingress-controller/values.yaml
  values:
    service:
      type: NodePort

apiVersion: source.toolkit.fluxcd.io/v1beta1
kind: HelmRepository
metadata:
  name: bitnami
  namespace: cluster-config
spec:
  interval: 30m
  url: https://charts.bitnami.com/bitnami

选择退出多租户

安装 microsoft.flux 扩展时，将默认启用多租户。 如果你需要禁用多租户，可以通过使用 microsoft.flux 在群集中创建或更新 --configuration-settings multiTenancy.enforce=false 扩展来选择退出，如以下示例命令中所示：

az k8s-extension create --extension-type microsoft.flux --configuration-settings multiTenancy.enforce=false -c CLUSTER_NAME -g RESOURCE_GROUP -n flux -t <managedClusters or connectedClusters>

az k8s-extension update --configuration-settings multiTenancy.enforce=false -c CLUSTER_NAME -g RESOURCE_GROUP -n flux -t <managedClusters or connectedClusters>

后续步骤

• 使用我们的教程了解如何在 AKS 或已启用 Azure Arc 的 Kubernetes 群集上启用 GitOps。
• 了解使用 GitOps 的 CI/CD 工作流。