Container Service for Kubernetes：基於ACK One GitOps和ACR構建CI/CD流水線

使用限制

• 僅適用於通過ACK One GitOps系統建立的應用。

• 僅適用於通過Kustomize或Helm編排渲染託管在Git系統中的應用編排。

前提條件

• 已開啟艦隊管理功能。

• 已從ACK One控制台擷取Fleet執行個體的KubeConfig，並通過kubectl串連至Fleet執行個體。

• 已在ACK One Fleet執行個體中開啟GitOps功能。具體操作，請參見登入GitOps系統。

• 已通過ArgoCD下載安裝最新版本的ArgoCD CLI。

• 已在預發和生產叢集中部署Kruise Rollout組件並安裝kubectl-kruise組件。

流程概述

本實踐基於ACK One GitOps和ACR來構建開發（Dev）、預發（Staging）、生產（Production）叢集的CI/CD流水線，實現代碼修改提交到Git倉庫後，自動將最新鏡像更新至應用，並按以下方式部署最新鏡像到各環境中。

• Dev叢集：應用自動同步，部署最新鏡像。

• Staging、Produciton叢集：應用手動同步，並基於Rollout灰階發布，部署最新鏡像。

1. 準備業務倉庫代碼倉庫和應用部署代碼倉庫。

2. 開啟和登入ACK One GitOps後，營運團隊首先配置CI構建流程和規則，並關聯ACR EE執行個體。

3. Team Dev將程式碼推送到代碼倉庫中，觸發ACR EE構建鏡像，並將新版本的鏡像推送到ACR EE鏡像倉庫中。

4. 鏡像倉庫的變更會被ACK One GitOps檢測到，然後，ACK One GitOps將新的鏡像版本號碼回寫到應用部署代碼倉庫中。

5. ACK One GitOps檢測到應用部署代碼倉庫中鏡像版本號碼的變化後，觸發Application將最新鏡像部署到持續整合開發叢集（Dev）。

   • 對於配置了自動同步Application的持續整合測試叢集，ACK One GitOps會自動變更應用的鏡像版本。

   • Image Updater會監測鏡像倉庫中符合配置規則的鏡像的更新。

   • ArgoCD會監測應用部署倉庫中YAML的變化。

6. 在完成持續部署之後，Team Dev驗證Dev環境中的應用是否符合預期。

7. Dev環境驗證符合預期後，由營運團隊手動觸發預發（Staging）和生產（Production）環境的應用同步，並使用Argo Rollout或Kruise Rollout實現灰階發布，最終更新預發和生產環境中應用的鏡像。更多資訊，請參見基於ACK One Gitops使用Argo Rollouts實現金絲雀發布、基於ACK One Gitops使用Kruise Rollout實現金絲雀發布。

   重要

   預發（Staging）和生產（Production）叢集一般需要通過額外的發布流程來做多叢集多地區的滾動發布，不能通過代碼變更直接影響到預發和生產環境。

樣本說明

本文的應用樣本為echo-server樣本，業務代碼倉庫包含2個，分別從echo-server專案和echo-web-server專案分支得到；應用部署代碼倉庫是Fork的gitops-demo專案。由於涉及到將應用變更回寫到應用部署代碼倉庫，所以您首先需要將該倉庫Fork到您自己的帳號下，並可根據個人情況修改配置，例如不同環境對應的values.yaml中的image.repository和image.tag。關於本實踐的最終改動，請參見echo-server example。

image:
  repository: registry.cn-hangzhou.aliyuncs.com/haoshuwei24/echo-server
  pullPolicy: IfNotPresent
  # Overrides the image tag whose default is the chart appVersion.
  tag: "v1.0"

步驟一：基於ACR構建CI

建立ACR鏡像倉庫，綁定您Fork的echo-server專案，並設定構建規則。具體配置操作請參見使用企業版執行個體構建鏡像。您可以在企業版執行個體的概覽頁開啟公開匿名拉取或參見使用免密組件拉取容器鏡像來免密拉取鏡像。

本實踐ACR配置的規則如下：檢測到有新的release-開頭的Tag，ACR就會自動Build docker image並Push到相應的鏡像倉庫。規則中Regex您可按需設定。

步驟二：為GitOps配置ACR鏡像倉庫和應用部署倉庫憑證

ACK One GitOps組件會自動監聽ACR鏡像倉庫的變化，並拉取最新鏡像，同時會將最新鏡像Tag資訊回寫到Git倉庫中，更新應用。您通過為GitOps配置相應的訪問憑證，可實現與ACR、Git倉庫的互動。

1. 串連和訪問GitOps系統。具體操作，請參見登入GitOps系統。

2. 添加Git源倉庫。具體操作，請參見添加倉庫。

3. 建立GitOps應用。具體操作，請參見Application管理。

4. 配置ACR鏡像倉庫訪問憑證，以使GitOps監聽ACR鏡像變化。

   執行以下命令，在ACK One Fleet執行個體的argocd命名空間下配置名為acr的Secret資源。

   kubectl -n argocd apply -f - <<EOF
   apiVersion: v1
   kind: Secret
   metadata:
     name: acr
   type: Opaque
   stringData:
     acr: <your_username>:<your_password>  # 將<your_username>:<your_password>更換為您自己的容器鏡像倉庫訪問憑證。
   EOF

5. 配置Git倉庫訪問憑證，以使GitOps回寫應用鏡像變更資訊到Git倉庫。

若您在GitOps系統中添加Git倉庫時，配置了使用者名稱和密碼或配置了私密金鑰認證，則使用該Git倉庫的應用預設擁有回寫應用程式容器鏡像變更資訊到Git系統的許可權。

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  annotations:
    argocd-image-updater.argoproj.io/write-back-method: git

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  annotations:
    argocd-image-updater.argoproj.io/write-back-method: git:secret:argocd/git-creds

kubectl -n argocd create secret generic git-creds \
--from-literal=username=<your_username> \
--from-literal=password=<your_password>

步驟三：配置應用的自動更新並多個叢集部署應用

應用的自動更新配置可以通過在Application上添加以下Annotations實現，更多配置資訊請參見更多應用鏡像自動更新的相關配置。

metadata:
  annotations:
    argocd-image-updater.argoproj.io/image-list: echoserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-server,webserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-web-server
    argocd-image-updater.argoproj.io/echoserver.helm.image-name: image.echoServer.repository
    argocd-image-updater.argoproj.io/echoserver.helm.image-tag: image.echoServer.tag
    argocd-image-updater.argoproj.io/echoserver.update-strategy: latest
    argocd-image-updater.argoproj.io/webserver.helm.image-name: image.echoWebServer.repository
    argocd-image-updater.argoproj.io/webserver.helm.image-tag: image.echoWebServer.tag
    argocd-image-updater.argoproj.io/webserver.update-strategy: latest
    argocd-image-updater.argoproj.io/write-back-method: git:secret:argocd/git-creds

• argocd-image-updater.argoproj.io/image-list的value中的echoserver是別名，其值為鏡像倉庫地址，可配置多個地址，中間用英文半形逗號（,）分隔。請根據您實際情況進行修改。

• 此處為Helm編排的應用的配置，對於Kustomize編排的應用的配置，請參見Kustomize編排的應用參數設定。

步驟四：復原應用

如果應用發布失敗，則需要復原應用。您可以通過以下兩種方式進行應用復原。

# 復原上一個commit。
git revert HEAD
# git revert HEAD~3..HEAD 表示從當前 HEAD 節點開始向前回退3個commit。
# git revert <commit-id-1> <commit-id-2> ... <commit-id-n> 可用來回退非連續的多個commit。

# revert完後，推送至原來分支，觸發CI/CD。
git push origin HEAD:${branch}

步驟五：測試CI/CD流水線

1. 根據ACR CI配置的構建規則，向原始碼倉庫推送滿足規則的Branch/Tag，觸發ACR自動Build並Push image。可執行以下命令，推送新的Tag，您可按需設定實際Tag名稱。

   git clone https://github.com/{xxx}/echo-web-server.git
   cd echo-web-server
   git tag release-v3
   git push origin release-v3

2. 查看新的鏡像是否構建完成。

   1. 登入Container Registry控制台。

   2. 在頂部功能表列，選擇所需地區。

   3. 在左側導覽列，選擇執行個體列表。

   4. 在執行個體列表頁面單擊目標企業版執行個體。

   5. 在企業版執行個體管理頁面選擇倉庫管理 > 鏡像倉庫。

   6. 在鏡像倉庫頁面，單擊目標鏡像倉庫，然後在左側導覽列選擇構建，在構建日誌地區，查看新的鏡像是否構建完成。

3. 新鏡像構建完成以後，執行以下命令，查看argocd-image-updater的日誌。

   kubectl -nargocd logs argocd-server-<xxxxx> -c argocd-image-updater -f

   預期輸出：

   time="2023-07-19T07:35:41Z" level=info msg="Successfully updated image 'demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-web-server:v1.0' to 'demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-web-server:v3-5a7147', but pending spec update (dry run=false)" alias=echowebserver application=echo-web-server 
   time="2023-07-19T07:35:41Z" level=info msg="Committing 1 parameter update(s) for application echo-web-server" application=echo-web-server

4. 在GitHub上查看應用部署代碼倉庫中是否自動產生manifests/helm/echo-server/.argocd-source-${appname}.yaml檔案。如成功產生，表示回寫成功。本實踐將產生3個此類檔案，分別對應開發、預發和生產環境下對應的3個Application，其中開發環境檔案樣本內容如下圖所示。

   

5. 在開發環境查看Deployment的image已經更新為v3-5a7147版本；而預發環境和生產環境則需要手動觸發同步，並觸發灰階發布後，相應的Deployment的image才會變更為v3-5a7147版本。

更多應用鏡像自動更新的相關配置

配置更新指定的容器鏡像

您可以通過設定Annotation，為GitOps系統中建立的應用標記一個或者多個自動更新的容器鏡像，格式如下。

argocd-image-updater.argoproj.io/image-list: <image_spec_list>

image_spec_list可以填寫單個容器鏡像，也可以填寫多個，多個容器鏡像之間用英文半形逗號（,）分割，每個容器鏡像描述的格式如下所示。

<alias_name>=<image_path>:<version_constraint>

alias_name是應用的容器鏡像別名，可用於在做其他配置時引用。別名需為字母字串，且只允許在image-list的Annotation中使用。在本文樣本中，指定需要自動更新的鏡像為echoserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-server:v1.0，為其設定的別名為echoserver。

argocd-image-updater.argoproj.io/image-list: echoserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-server:v1.0

鏡像Tags的條件過濾

以echoserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-server:v1.0鏡像為例，您可以設定過濾條件，若且唯若ACR鏡像倉庫中echo-server鏡像有符合過濾條件的新Tags推送時，才觸發應用的自動更新。

通過Regex過濾允許的Tags，規範如下所示。

argocd-image-updater.argoproj.io/<image_name>.allow-tags: <match_func>

其中，match_func的格式為標準的Regex。本樣本如下所示。

argocd-image-updater.argoproj.io/echoserver.allow-tags: regexp:^v[1-9].*

設定容器鏡像更新策略

容器鏡像的更新策略有以下幾種，預設鏡像更新策略為semver。

Annotation的格式如下所示。

argocd-image-updater.argoproj.io/<image_name>.update-strategy: <strategy>

本樣本中使用的鏡像更新策略為semver，如下所示。

argocd-image-updater.argoproj.io/echoserver.update-strategy: semver

Helm、Kustomize編排的應用參數設定

• Helm編排的應用參數設定

應用可能包含多個容器鏡像的描述，比如gitops-demo樣本應用的values.yaml檔案中有image.echoServer.repository和image.echoServer.tag配置，Annotations相關配置如下所示。

annotations:
  argocd-image-updater.argoproj.io/image-list: echoserver=demo-test-registry.cn-hangzhou.cr.aliyuncs.com/cidemo/echo-server:v1.0
  argocd-image-updater.argoproj.io/echoserver.helm.image-name: image.echoServer.repository
  argocd-image-updater.argoproj.io/echoserver.helm.image-tag: image.echoServer.tag
  argocd-image-updater.argoproj.io/echoserver.update-strategy: latest
  argocd-image-updater.argoproj.io/write-back-method: git

• Kustomize編排的應用參數設定

Kustomize編排類型的應用程式容器鏡像的自動更新設定，需要先設定被更新的容器鏡像的別名（可以包含Tag），然後設定原始容器鏡像地址（不包含Tag），Annotation格式如下所示：

annotations:
  argocd-image-updater.argoproj.io/image-list: <image_alias>=<image_name>:<image_tag>
  argocd-image-updater.argoproj.io/<image_alias>.kustomize.image-name: <original_image_name>