Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

GitOps

Red Hat Advanced Cluster Management for Kubernetes 2.15

GitOps for Applications を使用して、アプリケーションをデプロイおよび管理します。

Red Hat Advanced Cluster Management for Kubernetes Team

概要

統合された GitOps と Argo CD の使用方法の詳細は、こちらをお読みください。

第1章 GitOps の概要
リンクのコピー

Red Hat OpenShift Container Platform の GitOps および Argo CD は、Red Hat Advanced Cluster Management for Kubernetes と統合されています。以前のアプリケーションライフサイクルの チャネル および サブスクリプション モデルと比較して、高度な機能を備えています。

Argo CD 開発と GitOps の統合が活発であり、Argo CD の機能拡張や更新に貢献する大規模なコミュニティーも活発です。OpenShift Container Platform GitOps Operator を利用すると、Argo CD 開発の最新の進歩を利用でき、GitOps Operator サブスクリプションからサポートを受けることができます。

Red Hat Advanced Cluster Management for Kubernetes と OpenShift Container Platform GitOps および Argo CD の統合の詳細は、以下のトピックを参照してください。

1.1. GitOps コンソール
リンクのコピー

統合された OpenShift Container Platform GitOps コンソールの機能を詳しく説明します。ApplicationSetArgo CD タイプなどのアプリケーションを作成および表示します。ApplicationSet は、このコントローラーから生成される Argo アプリケーションを表します。

  • Launch resource in Search をクリックし、関連リソースを検索します。
  • Search を使用して、各リソースのコンポーネント kind 別にアプリケーションリソースを検索します。

重要: 利用可能なアクションは割り当てられたロールに基づきます。ロールベースのアクセス制御 のドキュメントで、アクセス要件を確認してください。

1.1.1. 前提条件
リンクのコピー

以下の前提条件および要件を参照してください。

  • Argo CD ApplicationSet を作成するには、Sync policy から Automatically sync when cluster state changes を有効にする必要があります。
  • kustomization コントローラーを使用する Flux の場合は、kustomize.toolkit.fluxcd.io/name=<app_name> ラベルが付いた Kubernetes リソースを見つけます。
  • helm コントローラーを使用する Flux の場合は、helm.toolkit.fluxcd.io/name=<app_name> ラベルが付いた Kubernetes リソースを見つけます。
  • ApplicationSet を作成するには、GitOps クラスターリソースと GitOps Operator がインストールされている必要があります。これらの前提条件がないと、コンソールに Argo サーバー オプションが表示されず、ApplicationSet は作成されません。

1.1.2. Argo CD アプリケーションのクエリー
リンクのコピー

Argo CD アプリケーションを検索すると、Applications ページに移動します。Search ページから Argo CD アプリケーションにアクセスするには、以下の手順を実行します。

  1. Red Hat Advanced Cluster Management ハブクラスターにログインします。
  2. コンソールヘッダーから Search アイコンを選択します。
  3. kind:application および apigroup:argoproj.io の値でクエリーをフィルターします。
  4. 表示するアプリケーションを選択します。アプリケーション ページでは、アプリケーションに関する情報の概要が表示されます。

検索の詳細は、検索サービス を参照してください。

Argo CD プルモデルを使用すると、ハブクラスターの任意の名前空間に ApplicationSet リソースを作成できます。

Argo CD ApplicationSet リソースを完全に管理するには、次のセクションを完了します。

必要なアクセス権: クラスター管理者

前提条件

1.2.1. 標準設定の ApplicationSet リソースの展開
リンクのコピー

ロールベースのアクセス制御 (RBAC) のサポートが制限されている場合は、標準設定の ApplicationSet リソースを展開することを推奨します。

シンプルな RBAC 管理のために、標準設定の ApplicationSet リソースを展開すると、次の利点が得られます。

  • GitHub リポジトリーリソースでは名前空間が指定されていません。
  • ワークロード名前空間の宛先は、アプリケーション テンプレートで指定されます。
  • ApplicationSet リソースは、デフォルトの AppProject リソースを使用します。

標準設定の ApplicationSet リソースを展開するには、次の手順を実行します。

  1. openshift-gitops 名前空間で、Placement リソースを作成します。

  2. 次の YAML ファイルサンプルを追加して、デフォルトの AppProject リソースを使用して、appset-2 名前空間に ApplicationSet リソースを作成します。 

    apiVersion: v1
kind: Namespace
metadata:
  annotations:
  name: appset-2
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f namespace-example.yaml
    Copy to Clipboard Toggle word wrap

  4. 次の YAML ファイルサンプルを追加して、デフォルトの AppProject リソースを使用して、appset-2 名前空間に ApplicationSet リソースを作成します。 

    apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: helloworld
  namespace: appset-2
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: acm-placement
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: all-openshift-clusters
      requeueAfterSeconds: 30
  template:
    metadata:
      annotations:
        apps.open-cluster-management.io/ocm-managed-cluster: '{{name}}'
        argocd.argoproj.io/skip-reconcile: "true"
      labels:
        apps.open-cluster-management.io/pull-to-ocm-managed-cluster: "true"
      name: '{{name}}-helloworld'
    spec:
      destination:
        namespace: helloworld
        server: https://kubernetes.default.svc
      project: default
      source:
        path: helloworld
        repoURL: https://github.com/stolostron/application-samples.git
        targetRevision: HEAD
      syncPolicy:
        automated: {}
    Copy to Clipboard Toggle word wrap

  5. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f applicationset-example.yaml
    Copy to Clipboard Toggle word wrap
    • ApplicationSet リソースは、ハブクラスターの appset-2 名前空間に作成されます。
    • アプリケーション リソースは、管理対象クラスターの appset-2 名前空間にデプロイされます。
    • アプリケーション リソースは、マネージドクラスター上の Helloworld 名前空間にワークロードをデプロイします。
    • デフォルトの Argo CD AppProject リソース設定が適用されます
    • GitHub リポジトリーの指定されたパスで定義されているすべての アプリケーション リソースは、名前空間固有ではありません。

1.2.2. 高度な設定のための ApplicationSet リソースの展開
リンクのコピー

ロールベースのアクセス制御 (RBAC) をサポートしている場合は、高度な設定のために ApplicationSet リソースを展開するオプションがあります。

より高度な RBAC 管理を備えた高度な設定のために ApplicationSet リソースを展開すると、次のような利点が得られます。

  • GitHub リポジトリーリソースで指定された アプリケーション リソースのワークロード名前空間。
  • ApplicationSet リソースで指定されているワークロード名前空間の宛先は、GitHub リポジトリーと一致します。
  • ApplicationSet リソースは、RBAC 制御にカスタム Argo CD AppProject リソースを使用します。

高度な設定の ApplicationSet リソースを展開するには、次の手順を実行します。

  1. openshift-gitops 名前空間で、Placement リソースを作成します。

  2. 次の YAML ファイルサンプルを追加して、カスタム bgdk AppProject リソースを使用して bgdk 名前空間に ApplicationSet リソースを作成します。 

    apiVersion: v1
kind: Namespace
metadata:
  annotations:
  name: bgdk
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f namespace-example.yaml
    Copy to Clipboard Toggle word wrap

  4. 次の YAML ファイルサンプルを追加して、OpenShift GitOps 名前空間に bgdk AppProject リソース設定を設定します。 

    apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
  name: bgdk
  namespace: openshift-gitops
spec:
  sourceNamespaces:
  - bgdk
  sourceRepos:
  - https://github.com/redhat-developer-demos/openshift-gitops-examples.git
  destinations:
  - namespace: bgdk
    server: https://kubernetes.default.svc
  clusterResourceWhitelist:
  - group: ''
    kind: Namespace
    Copy to Clipboard Toggle word wrap
    • sourceNamespaces は、アプリケーション 自体が作成される名前空間です。
    • sourceRepos はアプリケーション テンプレートが使用するリポジトリーです。
    • destinations はアプリケーションが ワークロードをデプロイする名前空間です。
    • clusterResourceWhitelist は、アプリケーション がデプロイできるクラスタースコープのリソースリストです。このシナリオでは、アプリケーションが 新しい名前空間を作成する必要があるため、この名前空間の種類は必須です。

  5. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f appproject-example.yaml
    Copy to Clipboard Toggle word wrap

  6. 次の YAML ファイルサンプルを追加して、カスタマイズされた Argo CD AppProject リソース設定を ApplicationSet リソースに適用します。 

    apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: bgdk-2
  namespace: bgdk
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: acm-placement
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: all-openshift-clusters
      requeueAfterSeconds: 30
  template:
    metadata:
      annotations:
        apps.open-cluster-management.io/ocm-managed-cluster: '{{name}}'
        argocd.argoproj.io/skip-reconcile: "true"
      labels:
        apps.open-cluster-management.io/pull-to-ocm-managed-cluster: "true"
      name: '{{name}}-bgdk'
    spec:
      destination:
        namespace: bgdk
        server: https://kubernetes.default.svc
      project: bgdk
      source:
        path: apps/bgd/overlays/bgdk
        repoURL: https://github.com/redhat-developer-demos/openshift-gitops-examples.git
        targetRevision: HEAD
      syncPolicy:
        automated: {}
    Copy to Clipboard Toggle word wrap

  7. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f applicationset-example.yaml
    Copy to Clipboard Toggle word wrap

関連情報

ArgoCD ApplicationSet の詳細は、次のリソースを参照してください。

1.3. 任意の名前空間で ApplicationSet リソースを有効にする
リンクのコピー

ハブクラスター上の任意の名前空間で ApplicationSet リソースを有効にできます。

Argo CD ApplicationSet リソースを有効にするには、次のセクションを完了します。

必要なアクセス権: クラスター管理者

1.3.1. ハブクラスター上の任意の名前空間で ApplicationSet リソースを有効にする
リンクのコピー

ハブクラスターの任意の名前空間で Argo CD ApplicationSet リソースを有効にするには、次の手順を実行します。

  1. コマンドラインインターフェイスから次のコマンドを実行して GitHub リポジトリーのクローンを作成します。 

    git clone https://github.com/stolostron/multicloud-integrations
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、クローンした GitHub リポジトリーに移動します。 

    cd multicloud-integrations/deploy/appset-any-namespace
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、任意の名前空間で ApplicationSet リソースを有効にします。 

     ./setup-appset-any-namespace.sh --namespace openshift-gitops --argocd-name openshift-gitops
    Copy to Clipboard Toggle word wrap

  4. OpenShift GitOps インスタンスが再起動し、ハブクラスターで実行されていることを確認します。ハブクラスターで次のコマンドを実行します。 

    oc get pods -n openshift-gitops
    Copy to Clipboard Toggle word wrap

1.3.2. マネージドクラスター上の任意の名前空間で アプリケーション リソースを有効にする
リンクのコピー

Red Hat Advanced Cluster Management OpenShift GitOps アドオンは、管理対象クラスター上の任意の名前空間で アプリケーション リソースを有効にするために使用できる OpenShift GitOps インスタンスを起動します。管理対象クラスターの任意の名前空間で Argo CD アプリケーション リソースを有効にするには、次の手順を実行します。

  1. 次の YAML ファイルサンプルを追加して、グローバル ManagedClusterSetBinding リソースを作成します。 

    apiVersion: apps.open-cluster-management.io/v1beta1
apiVersion: cluster.open-cluster-management.io/v1beta2
kind: ManagedClusterSetBinding
metadata:
  name: global
  namespace: openshift-gitops
spec:
  clusterSet: global
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f managedclustersetbinding-example.yaml
    Copy to Clipboard Toggle word wrap

  3. (gitops-short) アドオンが有効になる管理対象クラスターを選択するための 配置 カスタムリソースを作成します。次の YAML ファイルサンプルを追加します。 

    apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: all-openshift-clusters
  namespace: openshift-gitops
spec:
  tolerations:
  - key: cluster.open-cluster-management.io/unreachable
    operator: Exists
  - key: cluster.open-cluster-management.io/unavailable
    operator: Exists
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - key: vendor
          operator: "In"
          values:
          - OpenShift
    Copy to Clipboard Toggle word wrap

  4. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f placement-example.yaml
    Copy to Clipboard Toggle word wrap

  5. GitOpsCluster リソースを作成し、gitopsAddon 仕様を追加します。YAML ファイルは以下のポリシーのようになります。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: argo-acm-importer
  namespace: openshift-gitops
spec:
  argoServer:
    cluster: notused
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    overrideExistingConfigs: true
    reconcileScope: All-Namespaces
    Copy to Clipboard Toggle word wrap

  6. 次のコマンドを実行して、YAML ファイルサンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

  7. 管理対象クラスターで次のコマンドを実行して、OpenShift GitOps インスタンスが再起動し、管理対象クラスターで実行されていることを確認します。 

    oc get pods -n openshift-gitops
    Copy to Clipboard Toggle word wrap

関連情報

引き続き、Argo CD ApplicationSet リソースを展開して完全に管理します。手順については、プルモデル用の任意の名前空間での Argo CD ApplicationSet リソースのデプロイ (テクノロジープレビュー) を 参照してください。

Argo CD ApplicationSet リソースの詳細は、次のリソースを参照してください。

1.4. マネージドクラスターを Red Hat OpenShift GitOps Operator に登録する
リンクのコピー

OpenShift GitOps を Push モデルで設定するには、1 つ以上の Red Hat Advanced Cluster Management for Kubernetes マネージドクラスターのセットを OpenShift GitOps Operator のインスタンスに登録します。登録後、アプリケーションをこれらのクラスターにデプロイできます。継続的な OpenShift GitOps 環境を設定して、開発環境、ステージング、および実稼働環境のクラスター全体でアプリケーションの整合性を自動化します。

1.4.1. 前提条件
リンクのコピー

  1. Red Hat Advanced Cluster Management for Kubernetes に Red Hat OpenShift GitOps Operator をインストールする必要がある。
  2. 1 つ以上のマネージドクラスターをインポートする。
  3. マネージドクラスターを OpenShift GitOps に登録するには、ManagedClusterSet の作成 ドキュメントに記載されている内容を完了してください。
  4. ManagedServiceAccount アドオンを有効にして、Argo CD プッシュおよびプルモデルがマネージドクラスターに接続するために使用するトークンをローテーションします。アドオンを有効にする方法は、klusterlet アドオンの設定 を参照してください。

1.4.2. マネージドクラスターを Red Hat OpenShift GitOps に登録する
リンクのコピー

マネージドクラスターを OpenShift GitOps に登録するには、次の手順を実行します。

  1. OpenShift GitOps がデプロイされている namespace にバインドして、マネージドクラスターセットを作成します。

    1. ManagedClusterSetBinding の作成に関する一般的な情報は、関連情報 セクションの ManagedClusterSetBinding リソースの作成 を参照してください。
    2. 配置情報は、ManagedCluster オブジェクトによるフィルタリング を参照してください。

  2. マネージドクラスターセットバインディングで使用される namespace で、Placement カスタムリソースを作成し、OpenShift GitOps Operator インスタンスに登録するマネージドクラスターのセットを選択します。multicloud-integration 配置例をテンプレートとして使用します。配置情報は、配置での ManagedClusterSets の使用 を参照してください。

    注記:

    • 他の Kubernetes クラスターではなく、OpenShift GitOps Operator インスタンスに登録されるのは、OpenShift Container Platform クラスターのみです。
    • 一部の不安定なネットワークシナリオでは、マネージドクラスターが一時的に使用 unavailable または unreachable 状態になることがあります。詳細は、Red Hat Advanced Cluster Management および OpenShift GitOps の配置許容範囲の設定 を参照してください。

  3. GitOpsCluster カスタムリソースを作成し、配置決定から OpenShift GitOps の指定されたインスタンスにマネージドクラスターのセットを登録します。これにより、OpenShift GitOps インスタンスは、これらの Red Hat Advanced Cluster Management マネージドクラスターのいずれかにアプリケーションをデプロイできます。multicloud-integrations OpenShift GitOps クラスターの例を使用します。

    注記: 参照される Placement リソースは、GitOpsCluster リソースと同じ namespace に配置されている必要があります。以下の例を参照してください。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-cluster-sample
  namespace: dev
spec:
  argoServer:
    cluster: <your-local-cluster-name>
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    1
    Copy to Clipboard Toggle word wrap
    1
    placementRef.name の値は all-openshift-clusters で、argoNamespace: openshift-gitops にインストールされている OpenShift GitOps インスタンスのターゲットクラスターとして指定されます。argoServer.cluster 仕様には <your-local-cluster-name> 値が必要です。
  4. 変更を保存します。これで、OpenShift GitOps ワークフローに従ってアプリケーションを管理できるようになりました。

1.4.3. OpenShift Container Platform クラスター以外のクラスターを Red Hat OpenShift GitOps に登録する
リンクのコピー

Red Hat Advanced Cluster Management GitOpsCluster リソースを使用して、OpenShift Container Platform クラスター以外のクラスターを OpenShift GitOps クラスターに登録できるようになりました。この機能では、OpenShift GitOps コンソールを使用して、OpenShift Container Platform クラスター以外のクラスターにアプリケーションリソースをデプロイできます。OpenShift Container Platform クラスター以外のクラスターを OpenShift GitOps クラスターに登録するには、次の手順を実行します。

  1. OpenShift Container Platform 以外の ManagedCluster リソース spec の API サーバー URL に移動し、次のコマンドを実行して検証します。 

    oc get managedclusters eks-1
    Copy to Clipboard Toggle word wrap

  2. 次の情報のような出力になっていることを確認します。 

    NAME    HUB ACCEPTED   MANAGED CLUSTER URLS                                                      JOINED   AVAILABLE   AGE
eks-1   true           https://5E336C922AB16684A332C10535B8D407.gr7.us-east-2.eks.amazonaws.com  True     True        37m
    Copy to Clipboard Toggle word wrap

  3. OpenShift Container Platform 以外の MangedCluster リソース spec の API サーバー URL が空の場合は、次の手順を実行して手動で更新します。

    1. API サーバー URL を完成させるには、次のコマンドを実行して MangedCluster リソース spec を編集します。 

      oc edit managedclusters eks-1
      Copy to Clipboard Toggle word wrap

    2. YAML が次のファイルのようになっていることを確認します。 

      spec:
  managedClusterClientConfigs:
  - caBundle: ZW1wdHlDQWJ1bmRsZQo=
    url: https://5E336C922AB16684A332C10535B8D407.gr7.us-east-2.eks.amazonaws.com
      Copy to Clipboard Toggle word wrap

    3. 変更を保存し、次のコマンドを実行して API サーバーが完了したことを確認します。 

      oc get managedclusters eks-1
      Copy to Clipboard Toggle word wrap
    4. 次の情報のような出力になっていることを確認します。 
    NAME     HUB ACCEPTED  MANAGED CLUSTER URLS                                                      JOINED   AVAILABLE   AGE
eks-1    true          https://5E336C922AB16684A332C10535B8D407.gr7.us-east-2.eks.amazonaws.com  True     True        37m
    Copy to Clipboard Toggle word wrap

  4. クラスターシークレットが生成されたことを確認するには、openshift-gitops namespace に移動し、GitOpsCluster リソースのステータスが successful として報告されていることを確認します。

    注記:

    • 以下のインポート方法を使用すると、OpenShift Container Platform を除くあらゆる種類の ManagedCluster リソースの API サーバー URL が自動的にレンダリングされます。

      • 既存クラスターのサーバー URL および API トークンを入力する。
      • 既存クラスターの kubeconfig ファイルを入力する。

    • 次の場合、いずれかの ManagedClusters リソースの API サーバー URL が空になる可能性があります。

      • OpenShift Container Platform 以外のクラスターを、バージョン 2.12 より前の Red Hat Advanced Cluster Management ハブクラスターにインポートする。
      • OpenShift Container Platform クラスター以外のクラスターを、インポートモード Run import commands を使用して、Red Hat Advanced Cluster Management ハブクラスターに手動でインポートする。

1.4.4. Red Hat OpenShift GitOps トークン
リンクのコピー

OpenShift GitOps Operator と統合すると、配置および ManagedClusterSetBinding カスタムリソースを通じて OpenShift GitOps namespace にバインドされているすべてのマネージドクラスターに対して、ManagedCluster にアクセスするためのトークンを含むシークレットが OpenShift GitOps インスタンスサーバー namespace に作成されます。

OpenShift GitOps コントローラーは、リソースをマネージドクラスターに同期するためにこのシークレットを必要とします。デフォルトでは、サービスアカウントアプリケーションマネージャーは、マネージドクラスターのクラスター管理者権限を使用して、OpenShift GitOps インスタンスサーバーの namespace に OpenShift GitOps クラスターシークレットを生成します。デフォルトの namespace は openshift-gitops です。

このデフォルトが不要な場合は、OpenShift GitOps インスタンスサーバーの namespace で OpenShift GitOps クラスターシークレットを生成するために、カスタマイズされた権限を持つサービスアカウントをマネージドクラスターで作成します。デフォルトの namespace は引き続き openshift-gitops です。詳細は、Argo CD プッシュモデル用のカスタマイズされたサービスアカウントの作成 を参照してください。

1.4.5. 関連情報
リンクのコピー

詳細は、次のリソースと例を参照してください。

1.5. GitOps のアプリケーション配置許容範囲の設定
リンクのコピー

Red Hat Advanced Cluster Management は、アプリケーションを Red Hat OpenShift GitOps にデプロイするマネージドクラスターを登録する方法を提供します。

一部の不安定なネットワークシナリオでは、マネージドクラスターが一時的に使用 Unavailable 状態になることがあります。アプリケーションのデプロイを容易にするために Placement リソースが使用されている場合は、使用できないクラスターを引き続き含めるために、Placement リソースに次の許容範囲を追加します。次の例は、許容範囲を含む Placement リソースを示しています。 

apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement
  namespace: ns1
spec:
  tolerations:
    - key: cluster.open-cluster-management.io/unreachable
      operator: Exists
    - key: cluster.open-cluster-management.io/unavailable
      operator: Exists
Copy to Clipboard Toggle word wrap

1.6. プッシュアンドプルモデルを使用した Argo CD の導入
リンクのコピー

Push モデル 使用して、ハブクラスター上の Argo CD サーバーは、マネージドクラスターにアプリケーションリソースをデプロイします。Pull モデル の場合、アプリケーションリソースは manifestWork を使用して Propagation controller によってマネージドクラスターに伝播されます。

どちらのモデルでも、同じ ApplicationSet CRD を使用してアプリケーションをマネージドクラスターにデプロイします。

必要なアクセス権: クラスター管理者

1.6.1. 前提条件
リンクのコピー

Argo CD Pull モデルの次の前提条件を確認している。

重要:

  • openshift-gitops-ArgoCD-application-controller サービスアカウントがクラスター管理者として割り当てられてい ない 場合、Red Hat OpenShift GitOps アプリケーションコントローラーはリソースをデプロイしない可能性があります。アプリケーションのステータスによって、次のようなエラーが送信される場合があります。 
cannot create resource "services" in API group "" in the namespace
"mortgage",deployments.apps is forbidden: User
"system:serviceaccount:openshift-gitops:openshift-gitops-Argo CD-application-controller"
Copy to Clipboard Toggle word wrap
  • マネージドクラスターに OpenShift Gitops Operator をインストールした後、同じマネージドクラスターに ClusterRoleBinding クラスター管理者権限を作成する必要があります。

  • マネージドクラスターに ClusterRoleBinding クラスター管理者権限を追加するには、次の YAML の例を参照してください。 

    kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: argo-admin
subjects:
  - kind: ServiceAccount
    name: openshift-gitops-argocd-application-controller
    namespace: openshift-gitops
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
    Copy to Clipboard Toggle word wrap

  • クラスター管理者ではなく、この問題を解決する必要がある場合は、次の手順を実行してください。

    1. Argo CD アプリケーションがデプロイされる各マネージドクラスター上にすべての namespace を作成します。

    2. managed-by ラベルを各 namespace に追加します。Argo CD アプリケーションが複数の namespace にデプロイされている場合、各 namespace は Argo CD によって管理される必要があります。

      managed-by ラベルを使用した次の例を参照してください。 

    apiVersion: v1
kind: Namespace
metadata:
  name: mortgage2
  labels:
    argocd.argoproj.io/managed-by: openshift-gitops
    Copy to Clipboard Toggle word wrap
    1. すべてのアプリケーション宛先 namespace をアプリケーションのリポジトリー内で宣言し、namespace に managed ラベルを含める必要があります。namespace を宣言する方法は、Additional resources を参照してください。

Argo CD Pull モデルを使用するには、次の要件を参照してください。

  • Red Hat OpenShift GitOps Operator はハブクラスターに、ターゲットのマネージドクラスターを openshift-gitops namespace にインストールする必要があります。
  • 必要なハブクラスター OpenShift Container Platform GitOps Operator はバージョン 1.9.0 以降である必要があります。
  • ハブクラスター上の Red Hat OpenShift GitOps Operator のバージョンは、マネージドクラスター上の Operator のバージョンと同じか、それより新しい必要があります。
  • マネージドクラスターの Argo CD アプリケーションテンプレートを伝播するには、ApplicationSet コントローラー が必要です。

  • すべてのマネージドクラスターは、ハブクラスター上の Argo CD サーバー namespace にクラスターシークレットを持っている必要があります。これは、ArgoCD アプリケーションセットコントローラーがマネージドクラスターの Argo CD アプリケーションテンプレートを伝播するために必要です。

    クラスターシークレットを作成するには、placement リソースへの参照が含まれる gitOpsCluster リソースを作成します。placement リソースは、プルモデルをサポートする必要があるすべてのマネージドクラスターを選択します。OpenShift GitOps クラスターコントローラーが調整すると、Argo CD サーバーの namespace にマネージドクラスターのクラスターシークレットが作成されます。

1.6.2. アーキテクチャー
リンクのコピー

Push および Pull モデルの両方で、ハブクラスター上の Argo CD ApplicationSet コントローラー が調整して、ターゲットのマネージドクラスターごとにアプリケーションリソースを作成します。両方のモデルのアーキテクチャーに関する以下の情報を参照してください。

1.6.2.1. アーキテクチャープッシュモデル
リンクのコピー
  • Push モデルを使用すると、OpenShift Container Platform GitOps は、一元化されたハブクラスターからマネージドクラスターにリソースを 直接 適用します。
  • ハブクラスター上で実行されている Argo CD アプリケーションは、GitHub リポジトリーと通信し、マニフェストをマネージドクラスターに直接デプロイします。
  • Push モデルの実装には、マネージドクラスターの認証情報を持つハブクラスター上の Argo CD アプリケーションのみが含まれます。ハブクラスター上の Argo CD アプリケーションは、アプリケーションをマネージドクラスターにデプロイできます。
  • 重要: リソースの適用を必要とするマネージドクラスターが多数ある場合は、OpenShift GitOps コントローラーのメモリーと CPU の使用率に負担がかかる可能性があることを考慮してください。リソース管理を最適化するには、Red Hat OpenShift GitOps ドキュメントの リソースクォータまたはリクエストの設定 を参照してください。
  • デフォルトでは、ApplicationSet のテンプレートセクションに apps.open-cluster-management.io/ocm-managed-cluster および apps.open-cluster-management.io/pull-to-ocm-managed-cluster アノテーションを追加しない限り、アプリケーションのデプロイには Push モデルが使用されます。
1.6.2.2. アーキテクチャープルモデル
リンクのコピー
  • プルモデルでは、ハブクラスター内のコントローラーのストレスが軽減されるため、プッシュモデルと比較してスケーラビリティーが軽減されますが、より多くのリクエストとステータスレポートが必要になります。
  • プルモデルの場合、OpenShift Container Platform GitOps は、一元化されたハブクラスターからマネージドクラスターにリソースを直接適用 しません。Argo CD アプリケーションは、ハブクラスターからマネージドクラスターに伝播されます。
  • Pull モデルの実装では、OpenShift Cluster Manager の登録、配置、manifestWork API が適用され、ハブクラスターがハブクラスターとマネージドクラスター間の安全な通信チャネルを使用してリソースをデプロイできるようになります。
  • 各マネージドクラスターは個別に GitHub リポジトリーと通信してリソースマニフェストをローカルにデプロイするため、各マネージドクラスターに OpenShift GitOps operator をインストールして設定する必要があります。
  • Argo CD サーバーは、各ターゲットのマネージドクラスター上で実行されている必要があります。Argo CD アプリケーションリソースはマネージドクラスター上に複製され、ローカルの Argo CD サーバーによってデプロイされます。マネージドクラスター上の分散 Argo CD アプリケーションは、ハブクラスター上の単一の Argo CD ApplicationSet リソースを使用して作成されます。
  • マネージドクラスターは、ocm-managed-cluster アノテーションの値によって決定されます。
  • Pull モデルを正常に実装するには、Argo CD アプリケーションコントローラーは、ApplicationSet のテンプレートセクションにある argocd.argoproj.io/skip-reconcile アノテーションを持つプッシュモデルアプリケーションリソースを 無視 する必要があります。
  • Pull モデルの場合、マネージドクラスター上の Argo CD アプリケーションコントローラー が調整してアプリケーションをデプロイします。
  • ハブクラスター上の Pull モデル Resource sync controller は、各マネージドクラスター上の OpenShift Cluster Manager 検索 V2 コンポーネントに定期的にクエリーを実行し、各 Argo CD アプリケーションのリソースリストとエラーメッセージを取得します。
  • ハブクラスターの Aggregation controller はリソース同期コントローラーからのデータと、manifestWork からのステータス情報を使用して、クラスター全体から MulticlusterApplicationSetReport を作成および更新します。
  • デプロイメントのステータスはハブクラスターに収集されますが、すべての詳細情報が送信されるわけではありません。概要を提供するために、追加のステータス更新が定期的に収集されます。ステータスのフィードバックはリアルタイムではなく、各マネージドクラスターの OpenShift GitOps operator は Git リポジトリーと通信する必要があるため、複数のリクエストが発生します。

1.6.3. ApplicationSet カスタムリソースの作成
リンクのコピー

Argo CD ApplicationSet リソースは、マネージドクラスターのリストを取得するために使用されるジェネレーターフィールド内の placement リソースを含むプッシュまたはプルモデルを使用して、マネージドクラスターにアプリケーションをデプロイするために使用されます。

  1. プルモデルの場合、次の例に示すように、アプリケーションの宛先をデフォルトのローカル Kubernetes サーバーに設定します。アプリケーションは、マネージドクラスター上のアプリケーションコントローラーによってローカルにデプロイされます。

  2. 以下の ApplicationSet YAML の例に示されるように、デフォルトの Push モデルを上書きするために必要なアノテーションを追加します。これは、テンプレートアノテーションで Pull モデルを使用します。 

    apiVersion: argoproj.io/v1alpha1
kind: `ApplicationSet`
metadata:
  name: guestbook-allclusters-app-set
  namespace: openshift-gitops
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: ocm-placement-generator
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: aws-app-placement
      requeueAfterSeconds: 30
  template:
    metadata:
      annotations:
        apps.open-cluster-management.io/ocm-managed-cluster: '{{name}}'
    1 
    
        apps.open-cluster-management.io/ocm-managed-cluster-app-namespace: openshift-gitops
        argocd.argoproj.io/skip-reconcile: "true"
    2 
    
      labels:
        apps.open-cluster-management.io/pull-to-ocm-managed-cluster: "true"
    3 
    
      name: '{{name}}-guestbook-app'
    spec:
      destination:
        namespace: guestbook
        server: https://kubernetes.default.svc
      project: default
      sources: [
      {
        repoURL: https://github.com/argoproj/argocd-example-apps.git
        targetRevision: main
        path: guestbook
         }
      ]
      syncPolicy:
        automated: {}
        syncOptions:
        - CreateNamespace=true
    Copy to Clipboard Toggle word wrap
    1
    Pull モデルには apps.open-cluster-management.io/ocm-managed-cluster が必要です。
    2
    Push モデルリソースを無視するには、argocd.argoproj.io/skip-reconcile が必要です。
    3
    apps.open-cluster-management.io/pull-to-ocm-managed-cluster: "true" も Pull モデルに必要です。

1.6.4. MulticlusterApplicationSetReport
リンクのコピー

  • Pull モデルの場合、MulticlusterApplicationSetReport はマネージドクラスター全体からアプリケーションステータスを集約します。
  • レポートには、リソースのリストと、各マネージドクラスターからのアプリケーションの全体的なステータスが含まれます。
  • Argo CD ApplicationSet リソースごとに個別のレポートリソースが作成されます。レポートは ApplicationSet と同じ namespace に作成されます。

  • レポートには次の項目が含まれます。

    1. Argo CD アプリケーションのリソースのリスト
    2. 各 Argo CD アプリケーションの全体的な同期およびヘルスステータス
    3. 全体的なステータスが out of sync、または unhealthy 各クラスターのエラーメッセージ
    4. 管理対象クラスタのすべての状態を示すサマリーステータス
  • Resource sync controllerAggregation controller は両方とも 10 秒ごとに実行され、レポートを作成します。

  • 次の出力例に示すように、2 つのコントローラーと Propagation コントローラーは、同じ multicluster-integrations Pod 内の別々のコンテナーで実行されます。 

    NAMESPACE               NAME                                       READY   STATUS
open-cluster-management multicluster-integrations-7c46498d9-fqbq4  3/3     Running
    Copy to Clipboard Toggle word wrap

以下は、guestbook アプリケーションの MulticlusterApplicationSetReport YAML ファイルの例です。 

apiVersion: apps.open-cluster-management.io/v1alpha1
kind: MulticlusterApplicationSetReport
metadata:
  labels:
    apps.open-cluster-management.io/hosting-applicationset: openshift-gitops.guestbook-allclusters-app-set
  name: guestbook-allclusters-app-set
  namespace: openshift-gitops
statuses:
  clusterConditions:
  - cluster: cluster1
    conditions:
    - message: 'Failed sync attempt: one or more objects failed to apply, reason: services is forbidden: User "system:serviceaccount:openshift-gitops:openshift-gitops-Argo CD-application-controller" cannot create resource "services" in API group "" in the namespace "guestbook",deployments.apps is forbidden: User <name> cannot create resource "deployments" in API group "apps" in the namespace "guestboo...'
      type: SyncError
    healthStatus: Missing
    syncStatus: OutOfSync
  - cluster: pcluster1
    healthStatus: Progressing
    syncStatus: Synced
  - cluster: pcluster2
    healthStatus: Progressing
    syncStatus: Synced
  summary:
    clusters: "3"
    healthy: "0"
    inProgress: "2"
    notHealthy: "3"
    notSynced: "1"
    synced: "2"
Copy to Clipboard Toggle word wrap

Note: リソースがデプロイに失敗した場合、リソースはリソース一覧に含まれません。詳細は、エラーメッセージを参照してください。

1.6.5. 関連情報
リンクのコピー

1.7. Red Hat OpenShift GitOps を使用したポリシー定義の管理
リンクのコピー

ArgoCD リソースを使用する場合、Red Hat Advanced Cluster Management ハブクラスターでポリシーを作成するための OpenShift GitOps アクセスを許可することで、Red Hat OpenShift GitOps を使用してポリシー定義を管理できます。

1.7.1. 前提条件
リンクのコピー

ハブクラスターにログインしておく。

必要なアクセス権: クラスター管理者

非推奨: PlacementRule

1.7.2. OpenShift GitOps 用の ClusterRole リソースの作成
リンクのコピー

ポリシーと配置の作成、読み取り、更新、削除のアクセス権を持つ OpenShift GitOps の ClusterRole リソースを作成するには以下を実行します。

  1. コンソールから ClusterRole を作成します。ClusterRole は次の例のようになります。 

    kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: openshift-gitops-policy-admin
rules:
  - verbs:
      - get
      - list
      - watch
      - create
      - update
      - patch
      - delete
    apiGroups:
      - policy.open-cluster-management.io
    resources:
      - policies
      - configurationpolicies
      - certificatepolicies
      - operatorpolicies
      - policysets
      - placementbindings
  - verbs:
      - get
      - list
      - watch
      - create
      - update
      - patch
      - delete
    apiGroups:
      - apps.open-cluster-management.io
    resources:
      - placementrules
  - verbs:
      - get
      - list
      - watch
      - create
      - update
      - patch
      - delete
    apiGroups:
      - cluster.open-cluster-management.io
    resources:
      - placements
      - placements/status
      - placementdecisions
      - placementdecisions/status
    Copy to Clipboard Toggle word wrap

  2. ClusterRoleBinding オブジェクトを作成して、OpenShift GitOps サービスアカウントに openshift-gitops-policy-admin ClusterRole オブジェクトへのアクセスを許可します。ClusterRoleBinding は次の例のようになります。 

    kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: openshift-gitops-policy-admin
subjects:
  - kind: ServiceAccount
    name: openshift-gitops-argocd-application-controller
    namespace: openshift-gitops
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: openshift-gitops-policy-admin
    Copy to Clipboard Toggle word wrap

    注記: - Red Hat Advanced Cluster Management ポリシー定義が OpenShift GitOps でデプロイされると、ハブテンプレートの違いを解決するために、各マネージドクラスター namespace にポリシーのコピーが作成されます。これらのコピーは、複製されたポリシーと呼ばれます。- OpenShift GitOps がこの複製されたポリシーを繰り返し削除したり、Argo CD Application が同期されていないことを示したりするのを防ぐために、Red Hat Advanced Cluster Management ポリシーフレームワークによって、各複製されたポリシーに argocd.argoproj.io/compare-options: IgnoreExtraneous アノテーションが自動的に設定されます。

  3. Argo CD がオブジェクトを追跡するために使用するラベルとアノテーションがあります。複製されたポリシーが Argo CD にまったく表示されないようにするには、Red Hat Advanced Cluster Management ポリシー定義で spec.copyPolicyMetadatafalse に設定して、Argo CD 追跡ラベルとアノテーションを無効にします。

1.7.3. ポリシージェネレーターと OpenShift GitOps の統合
リンクのコピー

OpenShift GitOps を使用すると、GitOps を通じてポリシージェネレーターを使用してポリシーを生成できます。ポリシージェネレーターは OpenShift GitOps コンテナーイメージにプリインストールされていないため、カスタマイズを行う必要があります。

1.7.3.1. 前提条件
リンクのコピー
  • OpenShift GitOps を Red Hat Advanced Cluster Management ハブクラスターにインストールしておく。
  • ハブクラスターにログインしておく。
1.7.3.2. OpenShift GitOps からのポリシージェネレーターへのアクセス
リンクのコピー

OpenShift GitOps からポリシージェネレーターにアクセスするには、Init コンテナーを設定して、Red Hat Advanced Cluster Management Application Subscription コンテナーイメージからポリシージェネレーターバイナリーをコピーする必要があります。Kustomize を実行するときに --enable-alpha-plugins フラグを指定して OpenShift GitOps を設定する必要もあります。

ポリシージェネレーターを使用してポリシーと配置を作成、読み取り、更新、削除するには、OpenShift GitOps からポリシージェネレーターへのアクセス権を付与します。以下の手順を実行します。

  1. 次のコマンドを使用して、OpenShift GitOps argocd オブジェクトを編集します。 

    oc -n openshift-gitops edit argocd openshift-gitops
    Copy to Clipboard Toggle word wrap

  2. ポリシージェネレーターを新しいバージョンに更新するには、Init コンテナーで使用される registry.redhat.io/rhacm2/multicluster-operators-subscription-rhel9 イメージを新しいタグに追加します。<version> パラメーターは、ArgoCD リソースの最新の Red Hat Advanced Cluster Management バージョンに置き換えます。

    ArgoCD リソースは、次の YAML ファイルのようになります。 

    apiVersion: argoproj.io/v1beta1
kind: ArgoCD
metadata:
  name: openshift-gitops
  namespace: openshift-gitops
spec:
  kustomizeBuildOptions: --enable-alpha-plugins
  repo:
    env:
    - name: KUSTOMIZE_PLUGIN_HOME
      value: /etc/kustomize/plugin
    initContainers:
    - args:
      - -c
      - cp /policy-generator/PolicyGenerator-not-fips-compliant /policy-generator-tmp/PolicyGenerator
      command:
      - /bin/bash
      image: registry.redhat.io/rhacm2/multicluster-operators-subscription-rhel9:v<version>
      name: policy-generator-install
      volumeMounts:
      - mountPath: /policy-generator-tmp
        name: policy-generator
    volumeMounts:
    - mountPath: /etc/kustomize/plugin/policy.open-cluster-management.io/v1/policygenerator
      name: policy-generator
    volumes:
    - emptyDir: {}
      name: policy-generator
    Copy to Clipboard Toggle word wrap

    注記: または、ArgoCD マニフェストを含む ConfigurationPolicy リソースを作成し、MultiClusterHub で設定されたバージョンと一致するバージョンをテンプレート化することもできます。 

    image: '{{ (index (lookup "apps/v1" "Deployment" "open-cluster-management" "multicluster-operators-hub-subscription").spec.template.spec.containers 0).image }}'
    Copy to Clipboard Toggle word wrap

  3. ポリシーを生成する前に Kustomize ディレクトリー内で Helm チャート処理を有効にする場合は、spec.repo.env フィールドで POLICY_GEN_ENABLE_HELM 環境変数を "true" に設定します。 

    env:
- name: POLICY_GEN_ENABLE_HELM
  value: "true"
    Copy to Clipboard Toggle word wrap

  4. ポリシーと配置を作成、読み取り、更新、削除するには、ClusterRoleBinding オブジェクトを作成し、OpenShift GitOps サービスアカウントに Red Hat Advanced Cluster Management ハブクラスターへのアクセス権を付与します。ClusterRoleBinding は、次のようなリソースになる場合があります。 

    kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: openshift-gitops-policy-admin
subjects:
  - kind: ServiceAccount
    name: openshift-gitops-argocd-application-controller
    namespace: openshift-gitops
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: openshift-gitops-policy-admin
    Copy to Clipboard Toggle word wrap

1.7.4. OpenShift GitOps でのポリシーヘルスチェックの設定
リンクのコピー

OpenShift GitOps を ArgoCD リソースとともに使用して、resourceHealthChecks フィールドに追加することで、リソースの状態に基づいてリソースのヘルスステータスを設定するカスタムロジックを定義します。たとえば、ポリシーに準拠している場合にのみポリシーが正常であると報告するカスタムヘルスチェックを定義できます。

重要: インターネットから悪意のあるものをダウンロードしていないことを確認するには、ポリシーを適用する前にすべてのポリシーを確認してください。

リソースの種類のヘルスチェックを定義するには、次の手順を実行します。

  1. argocd-policy-healthchecks.yaml をダウンロードして、CertificatePolicyConfigurationPolicyOperatorPolicy、および Policy リソースにヘルスチェックを追加します。以下のコマンドを実行します。 

    wget https://raw.githubusercontent.com/open-cluster-management-io/policy-collection/main/stable/CM-Configuration-Management/argocd-policy-healthchecks.yaml
    Copy to Clipboard Toggle word wrap

  2. コンソールで Governance > Create policy に移動し、内容を YAML エディターに貼り付けて、argocd-policy-healthchecks.yaml ポリシーを適用します。

    注記: YAML エディターで配置情報を追加すると、ポリシーがアクティブなクラスターを特定できます。

  3. ArgoCD リソースの Summary タブを表示して、ヘルスチェックが期待どおりに機能していることを確認します。Argo CD コンソールから健全性の詳細を表示します。

1.7.5. 関連情報
リンクのコピー

1.8. GitOps Operator をインストールするためのポリシーの生成
リンクのコピー

Red Hat Advanced Cluster Management ポリシーの一般的な用途は、Operator を 1 つ以上の Red Hat OpenShift Container Platform マネージドクラスターにインストールすることです。ポリシージェネレーターを使用してポリシーを生成する方法、および生成されたポリシーを使用して OpenShift Container Platform GitOps Operator をインストールする方法は、引き続きお読みください。

1.8.1. OpenShift Container Platform GitOps をインストールするポリシーの生成
リンクのコピー

Policy Generator を使用して、OpenShift Container Platform GitOps をインストールするポリシーを生成できます。OpenShift Container Platform GitOps Operator は all namespaces インストールモードを提供しており、次の例で確認できます。次の例のように、openshift-gitops-subscription.yaml という Subscription マニフェストファイルを作成します。 

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: openshift-gitops-operator
  namespace: openshift-operators
spec:
  channel: stable
  name: openshift-gitops-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
Copy to Clipboard Toggle word wrap

Operator の特定のバージョンに固定するには、パラメーターと値 spec.startingCSV: openshift-gitops-operator.v<version> を追加します。<version> を希望のバージョンに置き換えます。

PolicyGenerator 設定ファイルが必要です。policy-generator-config.yaml という名前の設定ファイルを使用してポリシーを生成し、すべての OpenShift Container Platform マネージドクラスターに OpenShift GitOps をインストールします。以下の例を参照してください。 

apiVersion: policy.open-cluster-management.io/v1
kind: PolicyGenerator
metadata:
  name: install-openshift-gitops
policyDefaults:
  namespace: policies
  placement:
    clusterSelectors:
      vendor: "OpenShift"
  remediationAction: enforce
policies:
  - name: install-openshift-gitops
    manifests:
      - path: openshift-gitops-subscription.yaml
Copy to Clipboard Toggle word wrap

最後に必要なファイルは kustomization.yaml で、次の設定が必要です。 

generators:
  - policy-generator-config.yaml
Copy to Clipboard Toggle word wrap

生成されたポリシーは、PlacementRule (非推奨) を含む次のファイルのようになります。 

apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement-install-openshift-gitops
  namespace: policies
spec:
  clusterSelector:
    matchExpressions:
      - key: vendor
        operator: In
        values:
          - OpenShift
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-install-openshift-gitops
  namespace: policies
placementRef:
  apiGroup: apps.open-cluster-management.io
  kind: PlacementRule
  name: placement-install-openshift-gitops
subjects:
  - apiGroup: policy.open-cluster-management.io
    kind: Policy
    name: install-openshift-gitops
---
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  annotations:
    policy.open-cluster-management.io/categories: CM Configuration Management
    policy.open-cluster-management.io/controls: CM-2 Baseline Configuration
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/description:
  name: install-openshift-gitops
  namespace: policies
spec:
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: install-openshift-gitops
        spec:
          object-templates:
            - complianceType: musthave
              objectDefinition:
                apiVersion: operators.coreos.com/v1alpha1
                kind: Subscription
                metadata:
                  name: openshift-gitops-operator
                  namespace: openshift-operators
                spec:
                  channel: stable
                  name: openshift-gitops-operator
                  source: redhat-operators
                  sourceNamespace: openshift-marketplace
          remediationAction: enforce
          severity: low
Copy to Clipboard Toggle word wrap

OpenShift Container Platform ドキュメントのマニフェストから生成されたポリシーがサポートされています。ポリシージェネレーターを使用して、OpenShift Container Platform ドキュメントの設定ガイダンスを適用できます。

1.8.2. OperatorGroups でのポリシー依存関係の使用
リンクのコピー

OperatorGroup マニフェストを使用して Operator をインストールする場合、Subscription が作成される前に、クラスターに OperatorGroup が存在している必要があります。ポリシージェネレーターとともにポリシー依存関係機能を使用して、Subscription ポリシーを実施する前に OperatorGroup ポリシーが準拠していることを確認します。

必要な順序でマニフェストを一覧表示して、ポリシーの依存関係を設定します。たとえば、namespace ポリシーを最初に作成し、次に OperatorGroup を作成し、最後に Subscription を作成することができます。

ポリシージェネレーター設定マニフェストで policyDefaults.orderManifests パラメーターを有効にし、policyDefaults.consolidateManifests を無効にして、マニフェスト間の依存関係を自動的に設定します。

1.9. Argo CD プッシュモデル用のカスタマイズされたサービスアカウントの作成
リンクのコピー

ハブクラスター上に ManagedServiceAccount リソースを作成することにより、マネージドクラスター上にサービスアカウントを作成します。ClusterPermission リソースを使用して、特定のパーミッションをサービスアカウントに付与します。

Argo CD プッシュモデルで使用するカスタマイズされたサービスアカウントを作成すると、次の利点があります。

  • アプリケーションマネージャーアドオンは、各マネージドクラスター上で実行されます。デフォルトでは、Argo CD コントローラーはサービスアカウントアプリケーションマネージャーを使用して、これらのリソースをマネージドクラスターにプッシュします。
  • アプリケーションサブスクリプションアドオンはアプリケーションマネージャーサービスを使用してマネージドクラスターにアプリケーションをデプロイするため、アプリケーションマネージャーサービスアカウントには大規模なアクセスパーミッションのセットがあります。制限された権限セットが必要な場合は、アプリケーションマネージャーサービスアカウントを使用しないでください。
  • Argo CD プッシュモデルで使用する別のサービスアカウントを指定できます。Argo CD コントローラーが集中ハブクラスターからマネージドクラスターにリソースをプッシュする場合、デフォルトのアプリケーションマネージャーとは異なるサービスアカウントを使用できます。別のサービスアカウントを使用すると、このサービスアカウントに付与されるアクセス許可を制御できます。
  • サービスアカウントはマネージドクラスター上に存在している必要があります。関連するアクセスパーミッションが割り当てられたサービスアカウントの作成を容易にするには、一元化されたハブクラスターで ManagedServiceAccount リソースと新しい ClusterPermission リソースを使用します。

次の手順をすべて完了すると、マネージドサービスアカウントにクラスターのアクセスパーミッションを付与できます。クラスター権限があると、マネージドサービスアカウントには、マネージドクラスターにアプリケーションリソースをデプロイするために必要な権限が与えられます。以下の手順を実行します。

1.9.1. マネージドサービスアカウントの作成
リンクのコピー

ハブ上の ManagedServiceAccount カスタムリソースは、マネージドクラスター上に ServiceAccount を作成する場合に便利です。ハブクラスターの <managed-cluster> namespace に ManagedServiceAccount カスタムリソースが作成されると、マネージドクラスターに ServiceAccount が作成されます。

マネージドサービスアカウントを作成するには、ManagedServiceAccount アドオンの有効化 を参照してください。

1.9.2. GitOpsCluster リソースでの管理サービスアカウントの使用
リンクのコピー

GitOpsCluster リソースは、配置を使用して、選択したマネージドクラスターを Argo CD にインポートします。これには、クラスターへのアクセスに使用される情報を含む Argo CD クラスターシークレットの作成が含まれます。デフォルトでは、Argo CD クラスターシークレットは、アプリケーションマネージャーサービスアカウントを使用してマネージドクラスターにアクセスします。

  1. マネージドサービスアカウントを使用するように GitOpsCluster リソースを更新するには、マネージドサービスアカウントの名前を指定して ManagedServiceAccountRef プロパティーを追加します。

  2. 次のサンプルを gitops.yaml ファイルとして保存し、GitOpsCluster カスタムリソースを作成します。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: argo-acm-importer
  namespace: openshift-gitops
spec:
  managedServiceAccountRef: <managed-sa-sample>
  argoServer:
    cluster: notused
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
    Copy to Clipboard Toggle word wrap
  3. ファイルを適用するには oc apply -f gitops.yaml を実行します。

  4. openshift-gitops namespace に移動し、<managed cluster-managed-sa-sample-cluster-secret> という名前の新しい Argo CD クラスターシークレットがあることを確認します。以下のコマンドを実行します。 

    oc get secrets -n openshift-gitops <managed cluster-managed-sa-sample-cluster-secret>
    Copy to Clipboard Toggle word wrap

  5. 以下の出力を参照して確認します。 

    NAME                                        TYPE     DATA   AGE
<managed cluster-managed-sa-sample-cluster-secret>   Opaque   3      4m2s
    Copy to Clipboard Toggle word wrap

1.9.3. Argo CD アプリケーションの作成
リンクのコピー

プッシュモデルを使用して、Argo CD コンソールから Argo CD アプリケーションをデプロイします。Argo CD アプリケーションは、マネージドサービスアカウント <managed-sa-sample> でデプロイされます。

  1. Argo CD コンソールにログインします。
  2. Create a new application をクリックします。
  3. クラスター URL を選択します。
  4. Argo CD アプリケーションに移動し、<managed cluster> に伝播したロールやクラスターロールなど、指定のパーミッションがあることを確認します。

GitOpsCluster リソースが ManagedServiceAccountRef で更新されると、この GitOpsCluster の配置内の各マネージドクラスターにサービスアカウントが必要になります。複数のマネージドクラスターがある場合、マネージドクラスターごとにマネージドサービスアカウントとクラスター権限を作成するのは面倒になります。このプロセスは、ポリシーを使用してマネージドサービスアカウントとすべてのマネージドクラスターのクラスター権限を作成することで簡素化できます。

ManagedServiceAccount リソースと ClusterPermission リソースをハブクラスターに適用すると、このポリシーの配置はローカルクラスターにバインドされます。これらのリソースを、GitOpsCluster リソースの配置内のすべてのマネージドクラスターのマネージドクラスター namespace に複製します。

ポリシーを使用して ManagedServiceAccount および ClusterPermission リソースを作成すると、次の属性が含まれます。

  • ポリシー内の ManagedServiceAccountClusterPermission オブジェクトテンプレートを更新すると、すべてのマネージドクラスターの ManagedServiceAccount および ClusterPermission リソースがすべて更新されます。
  • ManagedServiceAccount および ClusterPermission リソースを直接更新すると、ポリシーが適用されるため、元の状態に戻されます。

  • GitOpsCluster の配置に関する決定が変更された場合、ポリシーはマネージドクラスターの namespace 内のリソースの作成と削除を管理します。

    1. マネージドサービスアカウントとクラスター権限を作成するための YAML のポリシーを作成するには、次の内容を含む YAML を作成します。 
    apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-gitops
  namespace: openshift-gitops
  annotations:
    policy.open-cluster-management.io/standards: NIST-CSF
    policy.open-cluster-management.io/categories: PR.PT Protective Technology
    policy.open-cluster-management.io/controls: PR.PT-3 Least Functionality
spec:
  remediationAction: enforce
  disabled: false
  policy-templates:

    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-gitops-sub
        spec:
          pruneObjectBehavior: None
          remediationAction: enforce
          severity: low
          object-templates-raw: |
            {{ range $placedec := (lookup "cluster.open-cluster-management.io/v1beta1" "PlacementDecision" "openshift-gitops" "" "cluster.open-cluster-management.io/placement=aws-app-placement").items }}
            {{ range $clustdec := $placedec.status.decisions }}
            - complianceType: musthave
              objectDefinition:
                apiVersion: authentication.open-cluster-management.io/v1alpha1
                kind: ManagedServiceAccount
                metadata:
                  name: <managed-sa-sample>
                  namespace: {{ $clustdec.clusterName }}
                spec:
                  rotation: {}
            - complianceType: musthave
              objectDefinition:
                apiVersion: rbac.open-cluster-management.io/v1alpha1
                kind: ClusterPermission
                metadata:
                  name: <clusterpermission-msa-subject-sample>
                  namespace: {{ $clustdec.clusterName }}
                spec:
                  roles:
                  - namespace: default
                    rules:
                    - apiGroups: ["apps"]
                      resources: ["deployments"]
                      verbs: ["get", "list", "create", "update", "delete"]
                    - apiGroups: [""]
                      resources: ["configmaps", "secrets", "pods", "podtemplates", "persistentvolumeclaims", "persistentvolumes"]
                      verbs: ["get", "update", "list", "create", "delete"]
                    - apiGroups: ["storage.k8s.io"]
                      resources: ["*"]
                      verbs: ["list"]
                  - namespace: mortgage
                    rules:
                    - apiGroups: ["apps"]
                      resources: ["deployments"]
                      verbs: ["get", "list", "create", "update", "delete"]
                    - apiGroups: [""]
                      resources: ["configmaps", "secrets", "pods", "services", "namespace"]
                      verbs: ["get", "update", "list", "create", "delete"]
                  clusterRole:
                    rules:
                    - apiGroups: ["*"]
                      resources: ["*"]
                      verbs: ["get", "list"]
                  roleBindings:
                  - namespace: default
                    roleRef:
                      kind: Role
                    subject:
                      apiGroup: authentication.open-cluster-management.io
                      kind: ManagedServiceAccount
                      name: <managed-sa-sample>
                  - namespace: mortgage
                    roleRef:
                      kind: Role
                    subject:
                      apiGroup: authentication.open-cluster-management.io
                      kind: ManagedServiceAccount
                      name: <managed-sa-sample>
                  clusterRoleBinding:
                    subject:
                      apiGroup: authentication.open-cluster-management.io
                      kind: ManagedServiceAccount
                      name: <managed-sa-sample>
            {{ end }}
            {{ end }}
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-gitops
  namespace: openshift-gitops
placementRef:
  name: lc-app-placement
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
  - name: policy-gitops
    kind: Policy
    apiGroup: policy.open-cluster-management.io
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: lc-app-placement
  namespace: openshift-gitops
spec:
  numberOfClusters: 1
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchLabels:
          name: <your-local-cluster-name>
    Copy to Clipboard Toggle word wrap
    1. YAML ファイルを policy.yaml というファイルとして保存します。
    2. oc apply -f policy.yaml を実行します。
    3. ポリシーのオブジェクトテンプレートでは、GitOpsCluster に関連付けられた配置の決定を繰り返し処理し、次の ManagedServiceAccount および ClusterPermission テンプレートを適用します。

1.10. Red Hat OpenShift GitOps アドオンの管理
リンクのコピー

OpenShift GitOps アドオンは、マネージドクラスターのデプロイメントとライフサイクル管理を自動化します。アーキテクチャーと接続要件に基づいて、ArgoCD エージェントコンポーネントとともに GitOps アドオンをデプロイするかどうかを決定します。それ以外の場合は、ArgoCD エージェントなしで OpenShift GitOps アドオンをデプロイできます。

重要: GitOpsCluster カスタムリソースを使用して OpenShift GitOps アドオンを有効にすると、GitOpsCluster は、すべてのアプリケーションの Push Model を無効にします。

OpenShift GitOps アドオンを有効にすると、次のデプロイメントモードが利用可能になります。

  • Basic モード: GitOpsCluster カスタムリソースを通じて、マネージドクラスターに OpenShift GitOps Operator と ArgoCD インスタンスをデプロイします。
  • Agent モード: 強化されたプルベースのアーキテクチャー用の ArgoCD エージェントとともに、すべての基本モードコンポーネントが含まれます。

選択したマネージドクラスターに対して OpenShift GitOps アドオンを有効にするには、Placement を参照し、有効化のインターフェイスとして GitOpsCluster カスタムリソースを使用します。

前提条件

ArgoCD エージェントで OpenShift GitOps アドオンを有効にする場合は、Agent モードを使用します。ArgoCD エージェントを伴う Red Hat OpenShift GitOps アドオンの有効化 を参照してください。

ArgoCD エージェントなしで OpenShift GitOps アドオンを有効にする場合は、Basic モードを使用します。ArgoCD エージェントなしで Red Hat OpenShift GitOps アドオンを有効にする を参照してください。

1.10.1. OpenShift GitOps アドオン設定
リンクのコピー

OpenShift GitOps アドオンは、要件に応じてデプロイメントをカスタマイズするためのさまざまな設定オプションをサポートしています。

OpenShift GitOps アドオンは、gitopsAddon 仕様の次の設定オプションをサポートしています。

  • enabled: GitOps アドオンを有効または無効にします。デフォルトは false です。
  • gitOpsOperatorImage: GitOps Operator のカスタムコンテナーイメージ。
  • gitOpsImage: ArgoCD コンポーネントのカスタムコンテナーイメージ。
  • redisImage: Redis のカスタムコンテナーイメージ。
  • gitOpsOperatorNamespace: GitOps Operator がデプロイされる namespace。デフォルトは openshift-gitops-operator です。
  • gitOpsNamespace: ArgoCD インスタンスがデプロイされる namespace。デフォルトは `openshift-gitops` です。
  • reconcileScope: All-Namespaces または Single-Namespace を含む ArgoCD リコンシリエーションスコープを制御します。デフォルト: Single-Namespaces
  • overrideExistingConfigs: 既存の AddOnDeploymentConfig 値を GitOpsCluster 仕様の新しい値でオーバーライドします。アンインストール操作を実行するときは true に設定する必要があります。デフォルトは false です。
  • argoCDAgent: ArgoCD エージェント設定サブセクション。

Argo CD Agent は、argoCDAgent 仕様の次の設定オプションをサポートしています。

  • enabled: エージェントを有効または無効にします。デフォルトは false です。
  • propagateHubCA: ハブ認定機関 (CA) 証明書をマネージドクラスターに伝播します。デフォルトは true です。
  • image: カスタムエージェントコンテナーイメージ。
  • serverAddress: ArgoCD エージェントのプリンシパルサーバーアドレスをオーバーライドします。
  • serverPort: ArgoCD エージェントのプリンシパルサーバーポートをオーバーライドします。
  • mode: エージェントの操作モード。デフォルトは managed です。

OpenShift GitOps アドオン設定を行うには、ハブクラスターで次の手順を実行します。

  1. GitOpsCluster を含む YAML サンプルを追加して、OpenShift GitOps コンポーネントのコンテナーイメージをカスタマイズします。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-custom-images
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    gitOpsOperatorImage: "registry.redhat.io/openshift-gitops-1/gitops-operator@sha256:..."
    gitOpsImage: "registry.redhat.io/openshift-gitops-1/argocd@sha256:..."
    redisImage: "registry.redhat.io/rhel8/redis-6@sha256:..."
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

  3. GitOpsCluster に以下の YAML を追加し、OpenShift GitOps コンポーネントをデプロイする namespace をカスタマイズします。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-custom-namespaces
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    gitOpsOperatorNamespace: openshift-gitops-operator
    gitOpsNamespace: openshift-gitops
    Copy to Clipboard Toggle word wrap

  4. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

  5. GitOpsCluster に次の YAML を追加して、ArgoCD エージェントがすべての namespace でアプリケーションをリコンサイルできるかどうかを指定します。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-reconcile-scope
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    reconcileScope:
    Copy to Clipboard Toggle word wrap
    1. ArgoCD インスタンスにすべての namespace のアプリケーションをリコンサイルさせたい場合は、reconcileScope フィールドに All-Namespaces 値を指定します。
    2. ArgoCD インスタンスに独自の namespace のアプリケーションのみをリコンサイルさせたい場合は、reconcileScope フィールドに Single-Namespace 値を指定します。

  6. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

関連情報

不要な特定の OpenShift GitOps アドオン機能をスキップできます。OpenShift GitOps アドオンの適用をスキップする を参照してください。

OpenShift GitOps アドオンが機能することを検証するには、{gitops-short) アドオン機能の検証 を参照してください。

ArgoCD エージェントが機能することを検証するには、ArgoCD エージェント機能の検証 を参照してください。

OpenShift GitOps の詳細は、次のドキュメントを参照してください。

1.11. ArgoCD エージェントを伴う Red Hat OpenShift GitOps アドオンを有効にする
リンクのコピー

プルモデルの Agent モードは、OpenShift GitOps アドオンを、ArgoCD エージェントを伴う Advanced プルモデル向けに有効化し、アプリケーションの健全性について詳細なステータスを取得できるようにします。この Agent モードは、ネットワーク制限やセキュリティー要件が強化されている環境、またはアプリケーション配信にプルモデルを実装する場合に使用します。高度なプルモデルは ArgoCD エージェントによって実行され、完全に自動化された OpenShift GitOps エクスペリエンスを提供します。

ArgoCD エージェントで OpenShift GitOps アドオンを有効にするには、次のセクションを完了します。

前提条件

  • Red Hat Advanced Cluster Management ハブクラスターがインストールされている。
  • Red Hat Advanced Cluster Management に登録されたマネージドクラスター
  • ハブクラスターにインストールされた OpenShift GitOps Operator
  • ターゲットマネージドクラスターを選択するための Placement リソース
  • ターゲット namespace にバインドされた ManagedClusterSet
  • ArgoCD エージェント環境で設定された OpenShift GitOps Operator サブスクリプション
  • Agent モード用に設定された ArgoCD カスタムリソース

1.11.1. サブスクリプションとリソースの設定
リンクのコピー

ArgoCD エージェントを有効にするには、OpenShift GitOps Operator のサブスクリプションと ArgoCD カスタムリソースを設定する必要があります。必要なサブスクリプションとリソースを設定するには、次の手順を実行します。

  1. ハブクラスターでのみ、次のコマンドを実行して、OpenShift GitOps Operator サブスクリプションを変更し、必要な環境変数を含めます。 

    oc edit subscription gitops-operator -n openshift-gitops-operator
    Copy to Clipboard Toggle word wrap

  2. 次の YAML サンプルを追加して、次の環境変数を spec.config.env ファイルに追加します。 

    spec:
  config:
    env:
    - name: ARGOCD_CLUSTER_CONFIG_NAMESPACES
      value: openshift-gitops
    - name: ARGOCD_PRINCIPAL_TLS_SERVER_ALLOW_GENERATE
      value: "false"
    - name: ARGOCD_PRINCIPAL_REDIS_SERVER_ADDRESS
      value: openshift-gitops-redis:6379
    Copy to Clipboard Toggle word wrap

  3. 次の YAML サンプルを追加して、既存の ArgoCD カスタムリソースを互換性のある Agent モード設定に置き換えます。 

    apiVersion: argoproj.io/v1beta1
kind: ArgoCD
metadata:
  name: openshift-gitops
  namespace: openshift-gitops
spec:
  controller:
    enabled: false
  argoCDAgent:
    principal:
      allowedNamespaces:
      - '*'
      auth: mtls:CN=system:open-cluster-management:cluster:([^:]+):addon:gitops-addon:agent:gitops-addon-agent
      enabled: true
    Copy to Clipboard Toggle word wrap

  4. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f argocd-example.yaml
    Copy to Clipboard Toggle word wrap
    • 注記: ハブクラスターのみで、この設定により従来の ArgoCD コントローラーが無効になり、相互 TLS 認証を使用したエージェントプリンシパルが有効になります。

1.11.2. ArgoCD エージェントの有効化
リンクのコピー

ArgoCD エージェントアドオンのデプロイメントを管理するための GitOpsCluster リソースを作成します。コントローラーは、Placement によって選択された各マネージドクラスターに対して、以下のリソースを自動的に作成します。

GitOpsCluster コントローラーは、次の操作を実行します。

  • PKI 管理を作成して自動化する
  • エージェントモード用に設定された ArgoCD クラスターシークレットを作成する
  • 選択された各マネージドクラスターに Argo CD Agent をデプロイする

高度なプルモデル Argo CD Agent アーキテクチャーを有効にするには、次の手順を実行します。

  1. マネージドクラスターで、次の YAML サンプルを追加して、ArgoCD エージェントが有効になっている GitOpsCluster` リソースを作成します。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-agent-clusters
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: production-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    argoCDAgent:
      enabled: true
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

1.11.3. ArgoCD のインストールの検証
リンクのコピー

ArgoCD エージェントが正常にデプロイされたら、ハブクラスターにアプリケーションを作成し、それがマネージドクラスターで動作することを確認することで、高度な Pull Model ワークフローが完了したことを確認します。

正常なデプロイメントに必要なインストールとリソースを確認するには、次の手順を実行します。

  1. 次のコマンドを実行して、特定の Agent 条件の GitOpsCluster ステータスを確認します。 

    oc get gitopscluster gitops-agent-clusters -n openshift-gitops -o jsonpath='{.status.conditions}' | jq
    Copy to Clipboard Toggle word wrap

  2. ステータスに次の条件タイプが表示されていることを確認します。

    • Ready: GitOpsCluster の準備が完了し、すべてのコンポーネントが機能しています。
    • PlacementResolved: Placement 参照が解決され、マネージドクラスターが取得済みです。
    • ClustersRegistered: マネージドクラスターが ArgoCD サーバーに正常に登録されています。
    • AddOnDeploymentConfigsReady: すべてのマネージドクラスターに対して AddOnDeploymentConfigs が作成済みです。
    • ManagedClusterAddOnsReady: ManagedClusterAddons は、マネージドクラスターを作成および更新します。
    • AddOnTemplateReady: ArgoCD エージェントモード用に作成された動的 AddOnTemplate
    • ArgoCDAgentPrereqsReady: エージェントの前提条件がセットアップされています。
    • CertificatesReady: TLS 証明書が署名されています。
    • ManifestWorksApplied: マネージドクラスターに伝播された CA 証明書。

  3. 次の YAML ファイルを追加して、マネージドクラスター namespace に ArgoCD アプリケーションリソースを作成します。 

    apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: guestbook
  namespace: <managed cluster name>
spec:
  project: default
  source:
    repoURL: https://github.com/argoproj/argocd-example-apps.git
    targetRevision: HEAD
    path: guestbook
  destination:
    server: https://<principal-external-ip:port>?agentName=<managed cluster name>
    namespace: guestbook
  syncPolicy:
    automated:
      prune: true
      selfHeal: true
    Copy to Clipboard Toggle word wrap

  4. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f application-example.yaml
    Copy to Clipboard Toggle word wrap

  5. マネージドクラスターで、次のコマンドを実行して、アプリケーションリソースがデプロイされていることを確認します。 

    oc get all -n guestbook
    Copy to Clipboard Toggle word wrap

  6. ハブクラスターで次のコマンドを実行して、アプリケーションステータスが反映されていることを確認します。 

    oc get application guestbook -n <managed cluster name>
    Copy to Clipboard Toggle word wrap
  7. アプリケーションが正常にデプロイされたら、ステータスが Synced と表示されていることを確認します。

関連情報

Red Hat OpenShift GitOps アドオンの管理 を完了して、OpenShift GitOps アドオンのセットアップを続行します。

1.12. ArgoCD エージェントなしで Red Hat OpenShift GitOps アドオンを有効にする
リンクのコピー

プルモデルの Basic モードには ArgoCD エージェントが含まれていないため、プルモデルではハブクラスター管理のセットアップが簡素化され、ハブクラスターの正常性に関する必要なステータスのみが提供されます。このモードでは、Placement で選択したマネージドクラスターに対して OpenShift GitOps アドオンが有効になります。

アドオンの有効化後、Basic モードは、クラスターのワークフローに適した OpenShift GitOps ArgoCD コンポーネントをデプロイします。

前提条件

  • Red Hat Advanced Cluster Management ハブクラスターがインストールされている。
  • Red Hat Advanced Cluster Management に登録されているマネージドクラスター
  • ハブクラスターにインストールされた OpenShift GitOps Operator
  • ターゲットマネージドクラスターを選択するために定義された Placement リソース
  • ターゲット namespace にバインドされた ManagedClusterSet

ArgoCD エージェントなしで OpenShift GitOps アドオンを有効にするには、次のセクションを完了します。

1.12.1. GitOpsCluster リソースの作成
リンクのコピー

基本的なプルモデルを有効にするには、GitOpsCluster リソースを作成します。コントローラーは、Placement ポリシーによって選択されたマネージドクラスターごとに、次のリソースを自動的に作成します。

  • マネージドクラスター namespace 内の AddOnDeploymentConfig リソース
  • マネージドクラスター namespace 内の ManagedClusterAddOn リソース

Red Hat OpenShift GitOps アドオンは、選択された各マネージドクラスターにデプロイされ、次のリソースがインストールされます。

  • openshift-gitops-operator namespace の OpenShift GitOps Operator
  • openshift-gitops namespace の ArgoCD インスタンス

GitOpsCluster リソースを作成するには、次の手順を実行します。

  1. ハブクラスターで、次の YAML サンプルを追加して、Red Hat OpenShift GitOps アドオンを有効にする GitOpsCluster リソースを作成します。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-clusters
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

1.12.2. インストールの検証
リンクのコピー

正常なデプロイメントに必要なインストールとリソースを確認するには、次の手順を実行します。

  1. 次のコマンドを実行して、GitOpsCluster リソースにデプロイメントが成功したことを示すステータスがあることを確認します。 

    oc get gitopscluster gitops-clusters -n openshift-gitops -o yaml
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、OpenShift GitOps アドオンコントローラーが動作していることを確認します。 

    oc get pods -n open-cluster-management-agent-addon
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、OpenShift GitOps Operator が動作していることを確認します。 

    oc get pods -n openshift-gitops-operator
    Copy to Clipboard Toggle word wrap

  4. 次のコマンドを実行して、ArgoCD` インスタンスが動作していることを確認します。 

    oc get pods -n openshift-gitops
    Copy to Clipboard Toggle word wrap

関連情報

Red Hat OpenShift GitOps アドオンの管理 を完了して、OpenShift GitOps アドオンのセットアップを続行します。

1.13. OpenShift GitOps アドオンの適用をスキップする
リンクのコピー

OpenShift GitOps アドオンは、一貫性を維持するために、マネージドクラスターに特定のリソースを適用します。マネージドクラスター上の特定のリソースに gitops-addon.open-cluster-management.io/skip アノテーションを追加することで、特定のリソースに対する適用をスキップできます。強制をスキップすると、アドオンが管理する ArgoCD カスタムリソースやその他の OpenShift GitOps コンポーネントをカスタマイズする必要がある場合に役立ちます。

マネージドクラスター上のリソースにスキップアノテーションが付いている場合、OpenShift GitOps アドオンはそのリソースを更新または管理しません。アドオンは変更を適用する前にこのアノテーションをチェックし、アドオンのデフォルト設定とは異なるカスタム設定を維持できるようにします。

注記: スキップアノテーションを使用する場合は、カスタム設定が OpenShift GitOps アドオンの要件と互換性があることを確認してください。適用をスキップすると、OpenShift GitOps アドオンはこれらのリソースを管理またはリコンサイルしないため、一貫性と正確性を維持する責任はユーザーにあります。

リソースの適用をスキップするには、マネージドクラスターの ArgoCD カスタムリソースに次のアノテーションを追加します。 

metadata:
  Annotations:
    gitops-addon.open-cluster-management.io/skip: "true"
Copy to Clipboard Toggle word wrap

大規模なマネージドクラスター全体でスキップアノテーションを管理するために、Red Hat Advanced Cluster Management Policy を使用して、そのアノテーションをフリート全体に適用します。

1.13.1. ArgoCD カスタムリソースをカスタマイズして強制をスキップする
リンクのコピー

ArgoCD カスタムリソースのカスタマイズは、リソース制限を調整したり、特定の設定を行ったり、追加機能を有効にしたりするための一般的なユースケースです。

ArgoCD カスタムリソースをカスタマイズして適用をスキップするには、次の手順を実行します。

  1. マネージドクラスターで、ArgoCD カスタムリソースを編集します。 

    oc edit argocd openshift-gitops -n openshift-gitops
    Copy to Clipboard Toggle word wrap

  2. 次の YAML に示されるように、gitops-addon.open-cluster-management.io/skip アノテーションを追加し、true に設定します。 

    apiVersion: argoproj.io/v1beta1
kind: ArgoCD
metadata:
  name: openshift-gitops
  namespace: openshift-gitops
  annotations:
    gitops-addon.open-cluster-management.io/skip: "true"
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、YAML サンプルを適用します。 

    oc apply -f argocd-example.yaml
    Copy to Clipboard Toggle word wrap

  4. オプション: 次の YAML サンプルを追加して、GitOpsClusterAddOnDeploymentConfig 仕様で保持する既存の設定値をオーバーライドします。 

    apiVersion: apps.open-cluster-management.io/v1beta1
kind: GitOpsCluster
metadata:
  name: gitops-override-config
  namespace: openshift-gitops
spec:
  argoServer:
    argoNamespace: openshift-gitops
  placementRef:
    kind: Placement
    apiVersion: cluster.open-cluster-management.io/v1beta1
    name: all-openshift-clusters
    namespace: openshift-gitops
  gitopsAddon:
    enabled: true
    overrideExistingConfigs: true
    gitOpsImage: "registry.redhat.io/openshift-gitops-1/argocd@sha256:..."
    Copy to Clipboard Toggle word wrap

  5. 次のコマンドを実行して YAML サンプルを適用します。 

    oc apply -f gitopscluster-example.yaml
    Copy to Clipboard Toggle word wrap

関連情報

OpenShift GitOps アドオンを完全にアンインストールする場合は、OpenShift GitOps アドオンのアンインストール を参照してください。

1.14. OpenShift GitOps アドオンのアンインストール
リンクのコピー

Operator と GitOpsCluster リソースを含む OpenShift GitOps アドオンを完全にアンインストールするには、次の手順を実行します。

  1. 次のコマンドを実行して、GitOpsCluster リソースを削除します。 

    oc delete gitopscluster gitops-clusters -n openshift-gitops
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、ManagedClusterAddOn リソースを削除します。 

    oc -n <managed_cluster_namespace> delete managedclusteraddon gitops-addon
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、ManagedClusterAddOn リソースがマネージドクラスターの namespace から削除されていることを確認します。 

    oc get managedclusteraddon gitops-addon -n <managed-cluster-name>
    Copy to Clipboard Toggle word wrap

1.15. {gitops-short) アドオン機能の検証
リンクのコピー

次のセクションを完了することで、OpenShift GitOps アドオン機能が動作することを確認できます。

1.15.1. GitOpsCluster ステータスの検証
リンクのコピー

GitOpsCluster のステータスを確認するには、次の手順を実行します。

  1. 次のコマンドを実行して、GitOpsCluster リソースのステータスを表示します。 

    oc get gitopscluster <gitopscluster-name> -n openshift-gitops -o yaml
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、特定の障害情報のステータス条件を確認します。 

    oc get gitopscluster <gitopscluster-name> -n openshift-gitops -o jsonpath='{.status.conditions}' | jq
    Copy to Clipboard Toggle word wrap

確認するには、次の一般的な条件タイプを参照してください。

  • Ready: GitOpsCluster 全体の健全性
  • PlacementResolved: Placement リソースのステータス
  • ClustersRegistered: クラスター登録ステータス
  • ArgoCDAgentPrereqsReady: エージェントの前提条件 (エージェントを有効にした場合)
  • CertificatesReady: エージェントを有効にしている場合の TLS 証明書のステータス。
  • ManifestWorksApplied: エージェントを有効にしている場合の ManifestWork 伝播ステータス。

1.15.2. OpenShift GitOps アドオンコントローラーのログの検証
リンクのコピー

OpenShift GitOps アドオンコントローラーのログを確認するには、次の手順を実行します。

  1. マネージドクラスターに移動します。

  2. 次のコマンドを実行して、OpenShift GitOps アドオンコントローラーのログを確認します。 

    oc logs -n open-cluster-management-agent-addon -l app=gitops-addon
    Copy to Clipboard Toggle word wrap

1.15.3. OpenShift GitOps Operator の検証
リンクのコピー

OpenShift GitOps Operator が機能することを確認するには、次の手順を実行します。

  1. 次のコマンドを実行して、Operator が動作していることを確認します。 

    oc get pods -n openshift-gitops-operator
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、Operator のログを確認します。 

    oc logs -n openshift-gitops-operator -l control-plane=controller-manager
    Copy to Clipboard Toggle word wrap

1.16. ArgoCD エージェント機能の検証
リンクのコピー

ArgoCD エージェントを使用する場合は、それが動作することを確認する必要があります。ArgoCD インスタンスが動作していることを確認するには、次の手順を実行します。

  1. 次のコマンドを実行して、Argo CD コンポーネントが動作していることを確認します。 

    oc get pods -n openshift-gitops
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、ArgoCD アプリケーションコントローラーのログを確認します。 

    oc logs -n openshift-gitops -l app.kubernetes.io/name=argocd-application-controller
    Copy to Clipboard Toggle word wrap

ArgoCD エージェントを有効にしている場合は、次の手順を実行して動作していることを確認します。

  1. 次のコマンドを実行して、エージェントが動作していることを確認します。 

    oc get pods -n openshift-gitops
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、エージェントログが機能していることを確認します。 

    oc logs -n openshift-gitops
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、ManifestWork のステータスが証明書認証局 (CA) の伝播のために設定されていることを確認してください 

    oc get manifestwork -n <managed-cluster-name> argocd-agent-ca-propagation -o yaml
    Copy to Clipboard Toggle word wrap

プッシュモデルとプルモデルの両方について、クラスターフリート内のアプリケーションに段階的なロールアウトストラテジーを実装することで、クラスターフリート全体にわたって安全に変更を加える Red Hat OpenShift GitOps ベースのプロセスが実現します。ロールアウトストラテジーを使用すると、さまざまなクラスター間で段階的な更新を調整できます。さらに、開発や製品クラスターなど、ラベルで定義されたグループ全体に変更を促進できます。

アプリケーションへの段階的なロールアウトストラテジーに ApplicationSet リソースを使用すると、ApplicationSet コントローラーはアプリケーションのクラスターをグループに編成します。コントローラーは、Argo CD ヘルスサイクルを通じて一度に 1 つのグループを処理し、ステータスが Healthy である場合にのみグループを使用可能にします。

ApplicationSet リソースを使用して段階的なロールアウトストラテジーを実装する方法の詳細は、次のセクションを確認してください。

1.17.1. ApplicationSet リソースを使用して段階的なロールアウトストラテジーを有効にする
リンクのコピー

ApplicationSet リソースで段階的なロールアウトストラテジーを有効にするには、次の手順を実行します。

  1. ハブクラスターで、openshift-gitops namespace の OpenShift GitOps Operator インスタンス設定を更新します。

  2. 次のコマンドを実行して、ApplicationSet リソースの段階的な同期を有効にします。 

    oc -n openshift-gitops patch argocd openshift-gitops --type='merge' -p '{"spec":{"applicationSet":{"extraCommandArgs":["--enable-progressive-syncs"]}}}'
    Copy to Clipboard Toggle word wrap
  3. openshift-gitops namespace で openshift-gitops-applicationset-controller デプロイメントを再起動します。

  4. 次のコマンドを実行して、更新された OpenShift GitOps Operator インスタンス設定を適用し、新しいロールアウトを作成します。 

    oc -n openshift-gitops rollout restart deployment openshift-gitops-applicationset-controller
    Copy to Clipboard Toggle word wrap

1.17.2. 段階的なロールアウトストラテジーのサンプル ApplicationSet リソースを理解する
リンクのコピー

ストラテジー仕様を確認して、段階的なロールアウトストラテジーを実装する Argo CD プルモデルを使用したサンプル ApplicationSet を理解します。この YAML は、段階的なロールアウトストラテジーを有効にします。ハブクラスターに strategy パラメーターセクションを追加すると、クラスターを個別に更新するのではなく、完全に同時に更新できるようになります。

たとえば、次の ApplicationSet リソースでストラテジーがどのように定義されているかを確認します。 

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: guestbook-allclusters-app-set
  namespace: openshift-gitops
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: ocm-placement-generator
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: aws-app-placement
      requeueAfterSeconds: 30
  strategy:
    type: RollingSync
    rollingSync:
      steps:
      - name: dev-stage
        matchExpressions:
        - key: envLabel
          operator: In
          values: [env-dev]
        maxUpdate: 100%
      - name: qa-stage
        matchExpressions:
        - key: envLabel
          operator: In
          values: [env-qa]
        maxUpdate: 100%
      - name: prod-stage
        matchExpressions:
        - key: envLabel
          operator: In
          values: [env-prod]
        maxUpdate: 100%
  template:
    preserveFields:
1 

    - metadata.labels.envLabel
    metadata:
      annotations:
        apps.open-cluster-management.io/ocm-managed-cluster: '{{name}}'
        apps.open-cluster-management.io/ocm-managed-cluster-app-namespace: openshift-gitops
        argocd.argoproj.io/skip-reconcile: "true"
      labels:
        apps.open-cluster-management.io/pull-to-ocm-managed-cluster: "true"
      name: '{{name}}-guestbook-app'
    spec:
      destination:
        namespace: guestbook
        server: https://kubernetes.default.svc
      project: default
      sources:
      - repoURL: https://github.com/argoproj/argocd-example-apps.git
        targetRevision: main
        path: guestbook
      syncPolicy:
        syncOptions:
        - CreateNamespace=true
Copy to Clipboard Toggle word wrap
1
preserveFields パラメーターを使用して、ApplicationSet コントローラーが無視する必要があるラベルをリストします。必要なラベルを手動で適用できます (例: envLabel=env-qa)。このフィールドがない場合、ApplicationSet コントローラーはテンプレートに定義されていないラベルを上書きまたは削除します。

ロールアウトストラテジーは、Argo CD ヘルスサイクル全体で一度に 1 つのアプリケーショングループを処理するために使用されます。コントローラーは、アプリケーションオブジェクトに設定されたラベルを照合して、これらのアプリケーショングループを整理します。

ロールアウトストラテジーを使用しているすべてのアプリケーションに必要なプロモーション順序を指定する一意のラベルがあることを確認します。以下の例を参照してください。

  • たとえば、ハブクラスターで次のコマンドを実行すると、アプリケーションに一意のラベルを付けることができます。 

    oc -n openshift-gitops label applications.argoproj.io/cluster1-guestbook-app envLabel=env-dev
    Copy to Clipboard Toggle word wrap

  • 品質保証のアプリケーションを指定する場合は、次のコマンドを実行します。 

    oc -n openshift-gitops label applications.argoproj.io/cluster2-guestbook-app envLabel=env-qa
    Copy to Clipboard Toggle word wrap
  • 製品のアプリケーショングループを指定する場合は、次のコマンドを実行します。 
oc -n openshift-gitops label applications.argoproj.io/cluster3-guestbook-app envLabel=env-prod
Copy to Clipboard Toggle word wrap

1.17.4. 段階的なブロールアウトストラテジーを使用する Git リポジトリーの変更を理解する
リンクのコピー

クラスターフリート上の ApplicationSet リソースの段階的なロールアウトストラテジーを開始するために、Argo CD アプリケーションは Git リポジトリーでコミットされた変更を確認します。コミットされた変更がある場合、段階的なロールアウトストラテジーが開始されます。

Argo CD がロールアウトストラテジーを開始すると、ApplicationSet コントローラーは OutOfSync ステータスのアプリケーションを検出し、段階的なロールアウトのためにアプリケーションをスケジュールします。アプリケーショングループに使用するラベルに基づいて、ApplicationSet コントローラーは env-dev アプリケーショングループで最初の RollingSync ステップを開始します。

Argo CD のヘルスサイクルから、各アプリケーショングループのステータスが OutOfSync から Healthy に移行するのを確認できます。すべてのアプリケーショングループのステータスが Healthy になったら、ApplicationSet コントローラーは env-qa ラベルのアプリケーショングループを同期し、次に env-prod ラベルのアプリケーショングループを同期します。最後の env-prod アプリケーショングループのステータスが Healthy になると、段階的なロールアウトストラテジーが自動的に完了し、クラスターフリートでそのストラテジーが完全に実行されます。

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat