Tutorial: Implantar aplicativos usando GitOps com o Flux v2

Para clusters Kubernetes habilitados para Azure Arc

• Um cluster conectado ao Kubernetes habilitado para Azure Arc que está ativo e em execução. Clusters baseados em ARM64 são suportados a microsoft.flux partir da versão 1.7.0.

  Saiba como conectar um cluster Kubernetes ao Azure Arc. Se você precisar se conectar através de um proxy de saída, certifique-se de instalar os agentes Arc com configurações de proxy.

• Permissões de Microsoft.Kubernetes/connectedClusters leitura e gravação no tipo de recurso.

Para clusters do Serviço Kubernetes do Azure

• Um cluster AKS baseado em MSI que está em funcionamento.

  Importante

  Certifique-se de que o cluster AKS é criado com MSI (não SPN), porque a microsoft.flux extensão não funcionará com clusters AKS baseados em SPN. Para novos clusters AKS criados com az aks createo , o cluster é baseado em MSI por padrão. Para clusters baseados em SPN já criados que precisam ser convertidos em MSI, execute az aks update -g $RESOURCE_GROUP -n $CLUSTER_NAME --enable-managed-identity. Para obter mais informações, consulte Usar uma identidade gerenciada no AKS.

• Permissões de Microsoft.ContainerService/managedClusters leitura e gravação no tipo de recurso.

Comum a ambos os tipos de cluster

• Permissões de leitura e gravação nestes tipos de recursos:

  • Microsoft.KubernetesConfiguration/extensions
  • Microsoft.KubernetesConfiguration/fluxConfigurations

• CLI do Azure, versão 2.15 ou posterior. Instale a CLI do Azure ou use os seguintes comandos para atualizar para a versão mais recente:

  az version
  az upgrade
  

• O cliente de linha de comando do Kubernetes, kubectl. kubectl já está instalado se você usar o Azure Cloud Shell.

  Instale kubectl localmente usando o az aks install-cli comando:

  az aks install-cli
  

• Registo dos seguintes fornecedores de recursos do Azure:

  az provider register --namespace Microsoft.Kubernetes
  az provider register --namespace Microsoft.ContainerService
  az provider register --namespace Microsoft.KubernetesConfiguration
  

  O registo é um processo assíncrono e deve terminar dentro de 10 minutos. Para monitorar o processo de registro, use o seguinte comando:

  az provider show -n Microsoft.KubernetesConfiguration -o table
  
  Namespace                          RegistrationPolicy    RegistrationState
  ---------------------------------  --------------------  -------------------
  Microsoft.KubernetesConfiguration  RegistrationRequired  Registered
  

Suporte a versões e regiões

Atualmente, há suporte para o GitOps em todas as regiões suportadas pelo Kubernetes habilitado para Azure Arc. O GitOps é suportado atualmente num subconjunto das regiões suportadas pelo AKS. O serviço GitOps está adicionando novas regiões suportadas em uma cadência regular.

A versão mais recente da extensão Flux v2 e as duas versões anteriores (N-2) são suportadas. Geralmente, recomendamos que você use a versão mais recente da extensão.

Requisitos da rede

Os agentes do GitOps exigem que o TCP de saída para a origem do repositório na porta 22 (SSH) ou na porta 443 (HTTPS) funcionem. Os agentes também exigem acesso às seguintes URLs de saída:

Habilitar extensões de CLI

Instale os pacotes de extensão mais recentes k8s-configuration e k8s-extension CLI:

az extension add -n k8s-configuration
az extension add -n k8s-extension

Para atualizar estes pacotes para as versões mais recentes:

az extension update -n k8s-configuration
az extension update -n k8s-extension

Para ver uma lista de todas as extensões da CLI do Azure instaladas e suas versões, use o seguinte comando:

az extension list -o table

Experimental   ExtensionType   Name                   Path                                                       Preview   Version
-------------  --------------  -----------------      -----------------------------------------------------      --------  --------
False          whl             connectedk8s           C:\Users\somename\.azure\cliextensions\connectedk8s         False     1.2.7
False          whl             k8s-configuration      C:\Users\somename\.azure\cliextensions\k8s-configuration    False     1.5.0
False          whl             k8s-extension          C:\Users\somename\.azure\cliextensions\k8s-extension        False     1.1.0

Para clusters Kubernetes habilitados para Azure Arc

• Um cluster conectado ao Kubernetes habilitado para Azure Arc que está ativo e em execução. Clusters baseados em ARM64 são suportados a microsoft.flux partir da versão 1.7.0.

  Saiba como conectar um cluster Kubernetes ao Azure Arc. Se você precisar se conectar através de um proxy de saída, certifique-se de instalar os agentes Arc com configurações de proxy.

• Permissões de Microsoft.Kubernetes/connectedClusters leitura e gravação no tipo de recurso.

Para clusters do Serviço Kubernetes do Azure

• Um cluster AKS baseado em MSI que está em funcionamento.

  Importante

  Certifique-se de que o cluster AKS é criado com MSI (não SPN), porque a microsoft.flux extensão não funcionará com clusters AKS baseados em SPN. Para novos clusters AKS criados com az aks createo , o cluster é baseado em MSI por padrão. Para clusters baseados em SPN já criados que precisam ser convertidos em MSI, execute az aks update -g $RESOURCE_GROUP -n $CLUSTER_NAME --enable-managed-identity. Para obter mais informações, consulte Usar uma identidade gerenciada no AKS.

• Permissões de Microsoft.ContainerService/managedClusters leitura e gravação no tipo de recurso.

Comum a ambos os tipos de cluster

• Permissões de leitura e gravação nestes tipos de recursos:

  • Microsoft.KubernetesConfiguration/extensions
  • Microsoft.KubernetesConfiguration/fluxConfigurations

• Registo dos seguintes fornecedores de recursos do Azure:

  • Microsoft.ContainerService
  • Microsoft.Kubernetes
  • Microsoft.KubernetesConfiguration

Suporte a versões e regiões

Atualmente, há suporte para o GitOps em todas as regiões suportadas pelo Kubernetes habilitado para Azure Arc. O GitOps é suportado atualmente num subconjunto das regiões suportadas pelo AKS. O serviço GitOps está adicionando novas regiões suportadas em uma cadência regular.

A versão mais recente da extensão Flux v2 e as duas versões anteriores (N-2) são suportadas. Geralmente, recomendamos que você use a versão mais recente da extensão.

Requisitos da rede

Os agentes do GitOps exigem que o TCP de saída para a origem do repositório na porta 22 (SSH) ou na porta 443 (HTTPS) funcionem. Os agentes também exigem acesso às seguintes URLs de saída:

O exemplo a seguir usa o az k8s-configuration flux create comando para aplicar uma configuração Flux a um cluster, usando os seguintes valores e configurações:

• O grupo de recursos que contém o cluster é flux-demo-rg.
• O nome do cluster do Azure Arc é flux-demo-arc.
• O tipo de cluster é Azure Arc (-t connectedClusters), mas este exemplo também funciona com AKS (-t managedClusters).
• O nome da configuração do Flux é cluster-config.
• O namespace para instalação de configuração é cluster-config.
• A URL do repositório Git público é https://github.com/Azure/gitops-flux2-kustomize-helm-mt.
• A ramificação do repositório Git é main.
• O escopo da configuração é cluster. Esse escopo dá aos operadores permissões para fazer alterações em todo o cluster. Para usar namespace o escopo com este tutorial, consulte as alterações necessárias.
• Duas kustomizations são especificadas com nomes infra e apps. Cada um está associado a um caminho no repositório.
• A apps kustomização depende da infra kustomização. (A infra kustomização deve terminar antes que a apps kustomização seja executada.)
• Definido prune=true em ambas as kustomizations. Essa configuração garante que os objetos que o Flux implantou no cluster sejam limpos se forem removidos do repositório ou se a configuração ou kustomizations do Flux forem excluídas.

az k8s-configuration flux create -g flux-demo-rg \
-c flux-demo-arc \
-n cluster-config \
--namespace cluster-config \
-t connectedClusters \
--scope cluster \
-u https://github.com/Azure/gitops-flux2-kustomize-helm-mt \
--branch main  \
--kustomization name=infra path=./infrastructure prune=true \
--kustomization name=apps path=./apps/staging prune=true dependsOn=\["infra"\]

A microsoft.flux extensão é instalada no cluster (se ainda não tiver sido instalada em uma implantação anterior do GitOps).

Quando a configuração de fluxo é instalada pela primeira vez, o estado de conformidade inicial pode ser Pending ou Non-compliant porque a reconciliação ainda está em andamento. Após cerca de um minuto, consulte a configuração novamente para ver o estado de conformidade final.

az k8s-configuration flux show -g flux-demo-rg -c flux-demo-arc -n cluster-config -t connectedClusters

Para confirmar que a implantação foi bem-sucedida, execute o seguinte comando:

az k8s-configuration flux show -g flux-demo-rg -c flux-demo-arc -n cluster-config -t connectedClusters

Com uma implantação bem-sucedida, os seguintes namespaces são criados:

• flux-system: Contém os controladores de extensão Flux.
• cluster-config: Contém os objetos de configuração do Flux.
• nginx, podinfo, redis: Namespaces para cargas de trabalho descritas em manifestos no repositório Git.

Para confirmar os namespaces, execute o seguinte comando:

kubectl get namespaces

O flux-system namespace contém os objetos de extensão Flux:

• Controladores do Azure Flux: fluxconfig-agent, fluxconfig-controller
• Controladores de fluxo OSS: source-controller, kustomize-controller, helm-controller, , notification-controller

Os pods do agente Flux e do controlador devem estar em estado de execução. Confirme isso usando o seguinte comando:

kubectl get pods -n flux-system

NAME                                      READY   STATUS    RESTARTS   AGE
fluxconfig-agent-9554ffb65-jqm8g          2/2     Running   0          21m
fluxconfig-controller-9d99c54c8-nztg8     2/2     Running   0          21m
helm-controller-59cc74dbc5-77772          1/1     Running   0          21m
kustomize-controller-5fb7d7b9d5-cjdhx     1/1     Running   0          21m
notification-controller-7d45678bc-fvlvr   1/1     Running   0          21m
source-controller-df7dc97cd-4drh2         1/1     Running   0          21m

O namespace cluster-config tem os objetos de configuração Flux.

kubectl get crds

NAME                                                   CREATED AT
alerts.notification.toolkit.fluxcd.io                  2022-04-06T17:15:48Z
arccertificates.clusterconfig.azure.com                2022-03-28T21:45:19Z
azureclusteridentityrequests.clusterconfig.azure.com   2022-03-28T21:45:19Z
azureextensionidentities.clusterconfig.azure.com       2022-03-28T21:45:19Z
buckets.source.toolkit.fluxcd.io                       2022-04-06T17:15:48Z
connectedclusters.arc.azure.com                        2022-03-28T21:45:19Z
customlocationsettings.clusterconfig.azure.com         2022-03-28T21:45:19Z
extensionconfigs.clusterconfig.azure.com               2022-03-28T21:45:19Z
fluxconfigs.clusterconfig.azure.com                    2022-04-06T17:15:48Z
gitconfigs.clusterconfig.azure.com                     2022-03-28T21:45:19Z
gitrepositories.source.toolkit.fluxcd.io               2022-04-06T17:15:48Z
helmcharts.source.toolkit.fluxcd.io                    2022-04-06T17:15:48Z
helmreleases.helm.toolkit.fluxcd.io                    2022-04-06T17:15:48Z
helmrepositories.source.toolkit.fluxcd.io              2022-04-06T17:15:48Z
imagepolicies.image.toolkit.fluxcd.io                  2022-04-06T17:15:48Z
imagerepositories.image.toolkit.fluxcd.io              2022-04-06T17:15:48Z
imageupdateautomations.image.toolkit.fluxcd.io         2022-04-06T17:15:48Z
kustomizations.kustomize.toolkit.fluxcd.io             2022-04-06T17:15:48Z
providers.notification.toolkit.fluxcd.io               2022-04-06T17:15:48Z
receivers.notification.toolkit.fluxcd.io               2022-04-06T17:15:48Z
volumesnapshotclasses.snapshot.storage.k8s.io          2022-03-28T21:06:12Z
volumesnapshotcontents.snapshot.storage.k8s.io         2022-03-28T21:06:12Z
volumesnapshots.snapshot.storage.k8s.io                2022-03-28T21:06:12Z
websites.extensions.example.com                        2022-03-30T23:42:32Z

Confirme outros detalhes da configuração usando os comandos a seguir.

kubectl get fluxconfigs -A

NAMESPACE        NAME             SCOPE     URL                                                       PROVISION   AGE
cluster-config   cluster-config   cluster   https://github.com/Azure/gitops-flux2-kustomize-helm-mt   Succeeded   44m

kubectl get gitrepositories -A

NAMESPACE        NAME             URL                                                       READY   STATUS                                                            AGE
cluster-config   cluster-config   https://github.com/Azure/gitops-flux2-kustomize-helm-mt   True    Fetched revision: main/4f1bdad4d0a54b939a5e3d52c51464f67e474fcf   45m

kubectl get helmreleases -A

NAMESPACE        NAME      READY   STATUS                             AGE
cluster-config   nginx     True    Release reconciliation succeeded   66m
cluster-config   podinfo   True    Release reconciliation succeeded   66m
cluster-config   redis     True    Release reconciliation succeeded   66m

kubectl get kustomizations -A


NAMESPACE        NAME                   READY   STATUS                                                            AGE
cluster-config   cluster-config-apps    True    Applied revision: main/4f1bdad4d0a54b939a5e3d52c51464f67e474fcf   65m
cluster-config   cluster-config-infra   True    Applied revision: main/4f1bdad4d0a54b939a5e3d52c51464f67e474fcf   65m

As cargas de trabalho são implantadas a partir de manifestos no repositório Git.

kubectl get deploy -n nginx

NAME                                       READY   UP-TO-DATE   AVAILABLE   AGE
nginx-ingress-controller                   1/1     1            1           67m
nginx-ingress-controller-default-backend   1/1     1            1           67m

kubectl get deploy -n podinfo

NAME      READY   UP-TO-DATE   AVAILABLE   AGE
podinfo   1/1     1            1           68m

kubectl get all -n redis

NAME                 READY   STATUS    RESTARTS   AGE
pod/redis-master-0   1/1     Running   0          68m

NAME                     TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)    AGE
service/redis-headless   ClusterIP   None          <none>        6379/TCP   68m
service/redis-master     ClusterIP   10.0.13.182   <none>        6379/TCP   68m

NAME                            READY   AGE
statefulset.apps/redis-master   1/1     68m

Controle quais controladores são implantados com a extensão de cluster Flux

Para alguns cenários, você pode querer alterar quais controladores Flux estão instalados com a extensão de cluster Flux.

Os sourcecontroladores , helm, kustomizee notification Flux são instalados por padrão. Os image-automation controladores e image-reflector , usados para atualizar um repositório Git quando novas imagens de contêiner estão disponíveis, devem ser habilitados explicitamente.

Você pode usar o k8s-extension comando para alterar as opções padrão:

• --config source-controller.enabled=<true/false> (padrão true)
• --config helm-controller.enabled=<true/false> (padrão true)
• --config kustomize-controller.enabled=<true/false> (padrão true)
• --config notification-controller.enabled=<true/false> (padrão true)
• --config image-automation-controller.enabled=<true/false> (padrão false)
• --config image-reflector-controller.enabled=<true/false> (padrão false)

Por exemplo, para desativar notificações, você pode definir notification-controller.enabled como false.

Este comando de exemplo instala os image-reflector controladores e image-automation . Se a extensão Flux foi criada automaticamente quando uma configuração do Flux foi criada pela primeira vez, o nome da extensão é flux.

az k8s-extension create -g <cluster_resource_group> -c <cluster_name> -t <connectedClusters or managedClusters or provisionedClusters> --name flux --extension-type microsoft.flux --config image-automation-controller.enabled=true image-reflector-controller.enabled=true

Usando a identidade Kubelet como método de autenticação para clusters AKS

Para clusters AKS, uma das opções de autenticação a serem usadas é a identidade kubelet. Por padrão, o AKS cria sua própria identidade kubelet no grupo de recursos gerenciados. Se preferir, você pode usar uma identidade gerenciada kubelet pré-criada. Para fazer isso, adicione o parâmetro --config useKubeletIdentity=true no momento da instalação da extensão Flux.

az k8s-extension create --resource-group <resource-group> --cluster-name <cluster-name> --cluster-type managedClusters --name flux --extension-type microsoft.flux --config useKubeletIdentity=true

Orientação de integração do Red Hat OpenShift

Os controladores de fluxo exigem uma restrição de contexto de segurança não raiz para provisionar adequadamente pods no cluster. Essas restrições devem ser adicionadas ao cluster antes de implantar a microsoft.flux extensão.

NS="flux-system"
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:kustomize-controller
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:helm-controller
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:source-controller
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:notification-controller
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:image-automation-controller
oc adm policy add-scc-to-user nonroot system:serviceaccount:$NS:image-reflector-controller

Para obter mais informações sobre as orientações do OpenShift para integração do Flux, consulte a documentação do Flux.

O portal do Azure é útil para gerenciar configurações de GitOps e a extensão Flux em clusters Kubernetes ou AKS habilitados para Azure Arc. No portal do Azure, você pode ver todas as configurações do Flux associadas a cada cluster e obter informações detalhadas, incluindo o estado geral de conformidade de cada cluster.

Siga estas etapas para aplicar uma configuração de exemplo do Flux a um cluster. Como parte desse processo, o Azure instala a microsoft.flux extensão no cluster, caso ainda não tenha sido instalada em uma implantação anterior.

1. Navegue até o cluster no portal do Azure.

2. No menu de serviço, em Configurações, selecione Criar GitOps>.

3. Na seção Noções básicas:

   1. Insira um nome para a configuração.
   2. Insira o namespace no qual os recursos personalizados do Flux serão instalados. Pode ser um namespace existente ou um novo que será criado quando a configuração for implantada.
   3. Em Escopo, selecione Cluster para que o operador Flux tenha acesso para aplicar a configuração a todos os namespaces no cluster. Para usar namespace o escopo com este tutorial, consulte as alterações necessárias.
   4. Selecione Avançar para continuar para a seção Origem.

   

4. Na seção Fonte:

   1. Em Tipo de código-fonte, selecione Repositório Git.
   2. Insira a URL do repositório onde os manifestos do Kubernetes estão localizados: https://github.com/Azure/gitops-flux2-kustomize-helm-mt.
   3. Para o tipo de referência, selecione Ramificação. Deixe Branch definido como principal.
   4. Em Tipo de repositório, selecione Público.
   5. Deixe as outras opções definidas como padrão e selecione Avançar.

   

5. Na seção Kustomizations, crie duas kustomizations: infrastructure e staging. Essas kustomizations são recursos do Flux, cada um associado a um caminho no repositório, que representam o conjunto de manifestos que o Flux deve reconciliar com o cluster.

   1. Selecione Criar.

   2. Na tela Criar uma Kustomização:

      1. Para Nome da instância, insira infraestrutura.

      2. Em Caminho, insira ./infrastructure.

      3. Marque a caixa para Prune. Essa configuração garante que os objetos que o Flux implantou no cluster sejam limpos se forem removidos do repositório ou se a configuração ou kustomizations do Flux forem excluídas.

      4. Deixe as outras opções como estão e selecione Salvar para criar a infrastructure kustomização.

         

   3. Você verá a infrastructure kustomização na seção Kustomizations . Para criar a próxima kustomização, selecione Criar.

   4. Na tela Criar uma Kustomização:

      1. Em Nome da instância, insira preparo.

      2. Em Caminho, insira ./apps/staging.

      3. Marque a caixa para Prune.

      4. Na caixa Depende, selecione infraestrutura.

      5. Deixe as outras opções como estão e selecione Salvar para criar a staging kustomização.

         

   5. Agora você deve ver ambas as kustomizations mostradas na seção Kustomizations . Selecione Seguinte para continuar.

6. Revise as opções selecionadas nas etapas anteriores. Em seguida, selecione Criar para concluir a criação da configuração do GitOps.

Exibir configurações e objetos

Para visualizar todas as configurações de um cluster, navegue até o cluster e selecione GitOps no menu de serviço.

Selecione o nome de uma configuração para exibir mais detalhes, como o status, as propriedades e a origem da configuração. Em seguida, você pode selecionar Objetos de configuração para exibir todos os objetos que foram criados para habilitar a configuração do GitOps. Isso permite que você veja rapidamente o estado de conformidade e outros detalhes sobre cada objeto.

Para ver outros recursos do Kubernetes implantados no cluster, retorne à página de visão geral do cluster e selecione Recursos do Kubernetes no menu de serviço.

Para exibir condições detalhadas para um objeto de configuração, selecione seu nome.

Para obter mais informações, consulte Monitorar o status e a atividade do GitOps (Flux v2).

Excluir as configurações do Flux

O comando a seguir exclui o fluxConfigurations recurso no Azure e os objetos de configuração do Flux no cluster. Como a configuração do Flux foi originalmente criada com o prune=true parâmetro para a kustomização, todos os objetos criados no cluster com base em manifestos no repositório Git são removidos quando a configuração do Flux é removida. No entanto, este comando não remove a extensão Flux em si.

az k8s-configuration flux delete -g flux-demo-rg -c flux-demo-arc -n cluster-config -t connectedClusters --yes

Excluir a extensão de cluster do Flux

Quando você exclui a extensão Flux, o microsoft.flux recurso de extensão no Azure e os objetos de extensão Flux no cluster são removidos.

Se a extensão Flux foi criada automaticamente quando a configuração do Flux foi criada pela primeira vez, o nome da extensão é flux.

az k8s-extension delete -g flux-demo-rg -c flux-demo-arc -n flux -t connectedClusters --yes

Excluir a configuração do Flux

Para excluir uma configuração do Flux, navegue até o cluster onde a configuração foi criada e selecione GitOps no menu de serviço. Selecione a configuração que deseja excluir. Na parte superior da página, selecione Excluir e, em seguida, selecione Excluir novamente quando solicitado a confirmar.

Quando você exclui uma configuração do Flux, todos os objetos de configuração do Flux no cluster são excluídos. No entanto, essa ação não exclui a microsoft.flux extensão em si.

Excluir a extensão de cluster do Flux

Quando você exclui a extensão Flux, o microsoft.flux recurso de extensão no Azure e os objetos de extensão Flux no cluster são removidos.

Para um cluster Kubernetes habilitado para Azure Arc, navegue até o cluster e selecione Extensões. Selecione a flux extensão e selecione Desinstalar, em seguida, confirme a exclusão.

Para clusters AKS, você não pode usar o portal do Azure para excluir a extensão. Em vez disso, use o seguinte comando da CLI do Azure:

az k8s-extension delete -g <resource-group> -c <cluster-name> -n flux -t managedClusters --yes