当前位置：首页 > article >正文

基于Kustomize与Argo CD的Kubernetes云原生技术栈部署实践

article 2026/5/7 5:17:26

1. 项目概述与核心价值如果你和我一样在家庭实验室Homelab或者开发测试环境中折腾过Kubernetes那你一定对管理一大堆YAML文件深有体会。今天要聊的这个项目zimmertr/Kubernetes-Manifests就是一个典型的“过来人”的智慧结晶。它不是一个全新的工具而是一个精心编排的、基于Kustomize和Argo CD的Kubernetes应用部署清单仓库。简单说它把部署一套完整的、生产可用的云原生技术栈包括网络、GitOps、监控、媒体服务等的复杂过程变成了几条简单的kubectl apply命令。这个项目的核心价值在于“开箱即用”和“最佳实践集成”。作者没有重新发明轮子而是巧妙地运用了Kubernetes生态中两个非常强大的工具Kustomize用于声明式、无模板化的配置管理Argo CD用于实现GitOps让整个基础设施和应用的状态都通过Git仓库来声明和同步。对于从零开始搭建Homelab的新手这个项目提供了一个极高的起点避免了在Istio、Cilium、Prometheus等复杂组件的配置上踩无数个坑。对于有经验的运维它则展示了一种清晰、可维护的代码化基础设施的组织方式值得借鉴到自己的工作中。2. 技术栈选型与设计哲学解析这个项目看似只是YAML文件的集合但其背后的技术选型和架构设计体现了现代云原生运维的核心理念。我们来拆解一下它的技术栈和设计思路。2.1 为什么是Kustomize Argo CD这是整个项目的基石。为什么不直接用Helm或者只用原生YAMLKustomize的优势在于它的“叠加”Overlay理念。它允许你有一个基础配置base然后为不同环境如开发、生产或不同需求创建覆盖层overlay只声明差异部分。这种方式避免了Helm模板的复杂性和“模板语言疲劳”让配置保持为纯粹的Kubernetes资源文件更易于理解和调试。在这个项目中每个子目录如istio/,cilium/本质上都是一个Kustomize项目你可以清晰地看到基础配置和可能的环境覆盖。Argo CD则是GitOps理念的落地工具。它的作用是持续监控Git仓库中声明的期望状态就是这个项目仓库并与Kubernetes集群中的实际状态进行比较一旦有差异就自动或手动同步。项目通过一个applicationset.yml文件定义了如何将仓库中的其他Kustomize项目自动部署为Argo CD的Application资源。这就形成了一个自洽的循环你在Git中修改配置 - Argo CD检测到变化 - Argo CD调用kustomize build并应用变更到集群。这实现了基础设施即代码IaC和不可变基础设施的最佳实践。2.2 网络方案的双重选择Istio vs Cilium项目提供了两套网络方案这非常务实反映了不同场景下的需求。Istio方案是一个经典的Service Mesh服务网格方案。它假设底层集群网络使用简单的Flannel通常由TKS部署工具提供然后由Istio来提供强大的七层流量管理如金丝雀发布、流量镜像、安全mTLS和可观测性。项目还集成了MetalLB这是一个为裸金属Kubernetes集群提供LoadBalancer类型服务的方案让你的Homelab服务能像在云上一样获得外部IP。Cilium方案则代表了更前沿的方向。Cilium本身是一个基于eBPF的高性能容器网络接口CNI和网络策略方案。它不仅能替代Flannel/Calico提供基础网络其Cilium Service Mesh甚至可以替代Istio的部分功能。项目还集成了Gateway API这是Ingress的下一代标准提供了更强大、更通用的流量入口管理能力。选择Cilium通常意味着你对网络性能和可观测性有更高要求并且愿意拥抱eBPF技术。注意这两个方案是二选一的。你不能在同一个集群上同时运行FlannelIsti*o和Cilium。项目说明中明确提到使用Cilium前需要“禁用Flannel”。在实际操作中这通常意味着你需要彻底清理旧的CNI插件过程需要谨慎。2.3 应用生态的覆盖从监控到媒体中心除了底层基础设施项目还通过Argo CD ApplicationSet管理了一系列上层应用这直接提升了项目的实用性监控与告警prometheus和grafana构成了云原生监控的事实标准栈让你能全面掌控集群及应用 metrics。媒体服务套件plex-media-server,sonarr,radarr,rutorrent这一组合是打造家庭媒体自动化中心的经典方案。Sonarr管理电视剧Radarr管理电影rutorrent负责下载Plex进行媒体管理和播放形成了一个自动化流水线。工作流自动化argo-workflows的引入是个亮点它允许你定义复杂的工作流管道可以用于媒体后处理、数据备份等自动化任务将Homelab的自动化水平提升了一个层级。这种选型表明该项目旨在提供一个“全栈式”的解决方案从底层网络到上层应用一应俱全。3. 核心组件部署实操详解了解了设计思路我们来看看如何具体部署。项目文档给出了简洁的命令但背后有许多细节需要注意。我们以更通用的视角不一定依赖TKS来拆解。3.1 前置条件与集群准备在运行任何部署命令之前你需要一个运行中的Kubernetes集群。项目推荐使用作者的 TKS 工具在Proxmox上部署但这并非强制。你可以使用任何方式创建的集群如kubeadm、k3s、RKE2等。关键准备工作安装并配置kubectl确保能连接到你的目标集群。安装kustomize工具虽然新版本kubectl集成了kustomize功能但为了使用--enable-helm等高级特性建议安装独立版本。可以通过包管理器如brew install kustomize或从GitHub Release页面下载。决定网络方案根据你的需求和技术偏好选择Istio或Cilium。如果你的集群已经安装了其他CNI如Calico需要先决定是保留还是替换。对于Homelab如果追求功能丰富和社区成熟度可选Istio如果追求极致性能和想体验eBPF可选Cilium。3.2 部署Istio方案含MetalLB假设你选择Istio方案并且集群是“干净”的例如使用TKS默认的Flannel CNI。步骤一部署MetalLBMetalLB是为裸金属集群提供LoadBalancer服务的必备组件。项目中的命令是kustomize build istio/metallb | kubectl apply -f-实操解析这条命令进入istio/metallb目录执行kustomize build生成最终的Kubernetes资源清单然后通过管道传递给kubectl apply进行部署。关键配置MetalLB最关键的是IP地址池配置。你需要在对应的Kustomize overlay中可能是istio/metallb下的某个configMap指定你的家庭网络中可以用于负载均衡器的IP段例如192.168.1.240-192.168.1.250。务必确保这些IP没有被其他设备占用且在你的路由器DHCP范围之外。验证部署后运行kubectl get pods -n metallb-system查看Pod状态全部应为Running。你可以部署一个简单的测试服务type: LoadBalancer看是否能成功分配外部IP。步骤二部署Istio控制平面kustomize build --enable-helm istio/istio | kubectl apply -f---enable-helm标志这表明该Kustomize配置内部使用了Helm Chart作为资源来源。Kustomize能够调用Helm来生成Chart的模板然后再进行叠加定制。这是一种混合模式兼顾了Helm丰富的社区Chart和Kustomize的声明式定制能力。内容解析这个步骤会部署Istio的核心组件istiod控制平面。你需要关注istio/istio目录下的kustomization.yaml文件里面可能通过helmCharts字段引用了Istio的Helm Chart并设置了诸如Profile (demo,minimal,default)、版本等参数。对于Homelab使用demo或defaultprofile即可。步骤三部署Istio Ingress Gatewaykustomize build --enable-helm istio/istio-gateway | kubectl apply -f-作用这一步部署的是Istio的入口网关Ingress Gateway。它通常是一个LoadBalancer类型的ServiceMetalLB会为它分配一个外部IP。所有进入集群的流量都将先到达这个网关。网络打通确保你的家庭路由器将这个外部IP的流量通常是80/443端口转发到了运行Ingress Gateway Pod的节点上。这样你才能通过家庭网络IP访问到集群内的服务。实操心得文档中提到“You may have to run this multiple times”这很常见。因为MetalLB和Istio的某些资源存在依赖关系可能第一次部署时某些依赖项还没Ready。遇到CrashLoopBackOff或Error时耐心等待几十秒再重试命令或者用kubectl get events --sort-by.metadata.creationTimestamp查看最新事件来排查。3.3 部署Cilium方案含Gateway API如果你选择更现代的Cilium方案前提是集群没有其他CNI。步骤一部署Gateway API CRDskustomize build --enable-helm cilium/gateway-api | kubectl apply -f-为什么先部署Gateway APIGateway API是一组CRD自定义资源定义它定义了新的资源类型如Gateway、HTTPRoute等。Cilium的Gateway API功能依赖这些CRD的存在。先部署它们符合资源依赖顺序。步骤二部署Cilium CNI与服务网格kustomize build --enable-helm cilium/cilium | kubectl apply -f-核心步骤这是部署Cilium本身。它会替换掉原有的CNI插件如果存在。部署命令可能会失败因为正在运行的Pod依赖旧的网络。通常的流程是如果是从其他CNI迁移需要先排空drain节点并卸载旧CNI。部署Cilium。Cilium提供了丰富的配置参数在cilium/cilium目录下的kustomization.yaml或相关的ConfigMap中你可能需要设置如cluster-pool的Pod CIDR、启用Hubble网络可观测性、启用Service Mesh功能等。验证部署成功后运行cilium status需要安装Cilium CLI或kubectl get pods -n kube-system -l k8s-appcilium来检查状态。所有Cilium Pod应为Running且cilium status报告所有组件健康。步骤三部署Kubelet CSR Approver可选但推荐kustomize build --enable-helm misc/kubelet-csr-approver | kubectl apply -f-作用这是一个提高集群运维便利性的小工具。在Kubernetes中当新节点加入或证书轮换时kubelet会生成证书签名请求CSR。这个控制器可以自动批准这些CSR简化了节点管理特别是在经常扩缩容的Homelab环境中非常有用。3.4 部署Argo CD并建立GitOps循环这是实现“一键部署”和持续同步的关键。步骤一手动部署Argo CDkustomize build --enable-helm argo/argo-cd | kubectl apply -f- --server-side --force-conflicts--server-side --force-conflicts参数这是高级kubectl应用模式。--server-side将计算和应用的逻辑转移到API服务器端能更好地处理大型资源和应用。--force-conflicts在资源版本冲突时强制替换。在初始化部署或确信要覆盖时使用能让部署过程更顺畅。获取访问密码部署后Argo CD会创建一个初始的admin用户密码存储在名为argocd-initial-admin-secret的Secret中。可以通过kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath{.data.password} | base64 -d命令获取。然后通过端口转发kubectl port-forward svc/argocd-server -n argocd 8080:443在浏览器访问https://localhost:8080进行登录。步骤二部署ApplicationSet实现自动管理kubectl apply -f argo/applicationset.ymlGitOps核心这个ApplicationSet资源是点睛之笔。它定义了如何自动发现和部署Git仓库中的其他应用。查看这个YAML文件它很可能是一个Matrix或Git生成器会扫描仓库的特定目录如apps/为每个包含kustomization.yaml的目录自动创建一个Argo CDApplication。效果执行此命令后你回到Argo CD UI会发现所有定义在仓库中的应用如Prometheus, Grafana, Plex等都自动出现了。它们的同步状态可能是OutOfSync因为你刚刚创建了定义但尚未部署资源。点击“Sync”按钮Argo CD就会自动执行kustomize build并将资源部署到集群中。从此以后你只需要向Git仓库提交代码Argo CD就会自动同步变更。4. 深度配置调优与运维经验分享部署成功只是第一步要让这套系统在Homelab环境中稳定、高效地运行还需要进行一些调优并了解日常运维的要点。4.1 存储配置持久化数据的归宿项目清单默认可能使用了hostPath或简单的动态存储卷。对于媒体服务Plex, Sonarr和监控数据Prometheus持久化存储至关重要。推荐方案在Homelab中配置一个NFS服务器或者使用TrueNAS等NAS系统然后在Kubernetes中部署NFS Subdir External Provisioner。这样可以为所有应用提供动态的、网络共享的持久化存储。配置方法部署NFS Provisioner例如nfs-subdir-external-provisionerHelm Chart。创建一个StorageClass例如名为nfs-client。修改项目中Plex、Prometheus等应用的Kustomize Overlay将其PersistentVolumeClaim的storageClassName字段改为nfs-client并适当调整存储大小。备份策略定期备份关键数据。对于媒体库元数据Plex的数据库、下载配置Sonarr/Radarr等可以编写一个CronJob使用kubectl exec导出数据库或用rclone同步到云端对象存储。4.2 网络与安全加固Istio/Cilium网络策略不要只部署不配置。利用Istio的AuthorizationPolicy或Cilium的CiliumNetworkPolicy实施最小权限原则。例如只允许监控命名空间访问Prometheus的API限制媒体服务器对下载器的访问权限。Ingress/Gateway配置TLS证书使用Let‘s Encrypt和cert-manager为你的家庭域名自动签发和续期HTTPS证书。在Istio Gateway或Cilium的Gateway资源中配置TLS终止。访问控制可以考虑使用OAuth2 Proxy或Authelia等工具为Argo CD、Grafana等管理界面添加一层身份认证避免直接暴露在家庭网络中。服务发现与DNS在家庭网络中使用一个本地DNS服务器如Pi-hole或AdGuard Home将自定义域名如plex.home.lab,grafana.home.lab解析到Istio/Cilium Gateway的外部IP上实现通过域名访问所有服务。4.3 资源管理与优化Homelab资源有限需要精打细算。资源请求与限制Requests/Limits务必为每个Pod设置合理的CPU和内存的Requests和Limits。这能帮助Kubernetes调度器做出正确决策并防止单个应用异常吃掉所有资源。可以从较小的值开始如Plex: 500m CPU, 1Gi内存根据监控数据逐步调整。节点亲和性与反亲和性利用nodeAffinity或podAntiAffinity来规划Pod的分布。例如可以将所有媒体相关的Pod调度到同一节点利用本地SSD获得更好性能或者让Prometheus的多个实例分散在不同节点以提高可用性。HPA水平Pod自动扩缩容对于有波动负载的服务可以配置HPA。例如Argo Workflows的任务队列处理器可以根据队列长度自动增加副本数。5. 常见问题排查与故障恢复指南在实际运行中难免会遇到问题。这里记录一些典型问题的排查思路。5.1 部署阶段问题问题现象可能原因排查步骤与解决方案kustomize build失败提示 Helm Chart 错误1. 网络问题无法拉取Chart。2. Helm仓库未添加或版本不匹配。1. 检查网络尝试helm repo update。2. 查看对应目录下kustomization.yaml中的helmCharts字段确认仓库地址和Chart版本是否存在。kubectl apply失败提示connection refused或context deadline exceededKubernetes API服务器不可达或配置错误。1. 执行kubectl cluster-info确认集群状态。2. 检查~/.kube/config文件中的服务器地址和证书是否正确。3. 确认集群节点特别是Master节点是否正常运行。MetalLB 无法分配 IP1. IP地址池配置错误或IP冲突。2. 节点未开启必要的ARP/NDP功能。1. 检查MetalLB ConfigMap中的IP池范围。2. 在节点上运行sudo netstat -rn或ip neigh查看分配的IP是否已存在。3. 对于Layer2模式确保节点间二层网络互通。Istio 或 Cilium Pod 处于CrashLoopBackOff1. 镜像拉取失败。2. 与现有CNI冲突。3. 内核版本或系统配置不满足要求尤其是Cilium/eBPF。1.kubectl describe pod pod-name -n namespace查看事件。2.kubectl logs pod-name -n namespace --previous查看上一个容器的日志。3. 对于Cilium检查内核版本需4.9并确认/sys/fs/bpf已挂载。5.2 运行阶段问题问题现象可能原因排查步骤与解决方案通过Gateway IP无法访问服务1. Gateway Pod未就绪。2. 路由/防火墙规则未配置。3. 后端Service或Pod选择器错误。1.kubectl get svc -n istio-system查看Gateway Service的EXTERNAL-IP和端口。2.kubectl get pods -n istio-system -l appistio-ingressgateway查看Pod状态。3. 检查对应的VirtualService或HTTPRoute是否正确关联了Gateway和后端Service。Argo CD 显示应用OutOfSync1. Git仓库中的配置与集群实际状态不一致。2. 同步策略如自动同步未开启。3. 资源被手动修改过。1. 在Argo CD UI中比较差异Diff。2. 检查应用的同步策略Sync Policy。3. 如果确认仓库配置正确可以尝试手动点击“Sync”并勾选“Prune”谨慎和“Override”。Prometheus/Grafana 无法采集数据1. ServiceMonitor/ PodMonitor 配置错误。2. 网络策略阻止了访问。3. Prometheus资源不足。1. 检查Prometheus Target页面看对应的抓取目标状态是否为UP。2.kubectl get servicemonitors -A查看配置。3. 检查Prometheus Pod日志看是否有抓取错误。Plex 媒体扫描失败或找不到文件1. 持久化存储卷挂载路径错误。2. 文件权限问题Pod内用户无权访问NFS共享。3. 网络存储连接不稳定。1.kubectl exec plex-pod -- ls /data确认Pod内能看到文件。2. 检查PersistentVolumeClaim的挂载路径与Plex配置的媒体库路径是否一致。3. 对于NFS检查no_root_squash设置或使用合适的fsGroup和安全上下文。5.3 故障恢复与备份集群级灾难恢复定期使用velero等工具对整个命名空间或有状态应用进行备份。将备份存储到外部对象存储。Argo CD配置备份Argo CD的所有Application和AppProject资源本身也存储在Kubernetes中。可以定期使用kubectl get applications -n argocd -o yaml backup.yaml进行导出备份。更GitOps的方式是确保所有Argo CD的资源配置也来自一个Git仓库即“App of Apps”模式管理Argo CD自身。关键数据备份如前所述媒体元数据、下载器配置、监控数据库使用Prometheus的远程写入功能到Thanos或Mimir需要独立的备份策略。折腾这样一套系统最大的收获不是一键启动了多少个服务而是理解了从代码提交到服务上线的完整、声明式的自动化流水线是如何运作的。它把运维从重复的kubectl apply中解放出来让你能更专注于应用本身和架构设计。当你在Git中修改一个配置几分钟后看到Argo CD自动同步并更新了线上服务时那种一切尽在掌控的感觉正是现代云原生运维的魅力所在。建议你在完全跑通这个项目后尝试以它的结构为蓝本创建自己专属的GitOps仓库那会是更宝贵的学习和实践过程。

基于Kustomize与Argo CD的Kubernetes云原生技术栈部署实践

相关文章：

基于Kustomize与Argo CD的Kubernetes云原生技术栈部署实践

基于LLM的智能文档生成：从代码理解到自动化文档工程实践

保姆级教程：用阿里云源在CentOS 7上快速部署Zabbix 5.0代理服务器

ParroT框架：通过数据质控与增强提升大语言模型指令微调效果

用STM32CubeMX和HAL库搞定匿名上位机V7.12通信（附完整工程源码）

Arm Neoverse CMN S3(AE) SF集群与非集群模式解析

别再自己编译zlib了！Qt自带zlib库的完整使用教程（附解压zip代码）

从‘马赛克’里找边界：聊聊谷歌Boundary Attention模型如何拯救低画质图片

Node.js服务端应用接入Taotoken调用大模型的完整代码示例

Flutterclaw：跨平台文件与数据抓取工具的设计原理与实战

3分钟极速上手！通达信缠论可视化插件让技术分析效率提升300%

Kubernetes PVC自动扩容实战：基于CSI监控与策略化存储管理

enwrit/writ：现代命令行写作工具的设计哲学与工程实践

开放平台的调用日志与审计怎么设计？一次讲清 traceId、错误码、调用链与责任追踪

UE5 MediaPlayer播放视频黑屏？别慌，试试打开这个隐藏插件（Electra Player）

告别Docker！在Ubuntu 22.04上手动编译部署TileServer GL的完整踩坑记录

PMSM无感控制避坑指南：滑模观测器(SMO)的增益调参与滤波设计实战

避开那些坑！用Docker在Ubuntu 20.04上快速搞定OpenHarmony 4.0编译环境

基于RAG与本地大模型的智能文档管理：从原理到实践部署

Carnelian：基于Rust与事件流架构的AI智能体本地化安全引擎

用LLaMA-Factory给ChatGLM3-6B做微调，我踩过的坑都帮你填平了

保姆级教程：在YOLOv8的哪个位置插入CBAM注意力模块效果最好？（附消融实验对比）

别再手动拼接字符串了！Tcl的format命令帮你搞定格式化输出（附常用格式符速查表）

如何用键盘控制鼠标：Mouseable开源工具完整使用教程

10分钟精通：零代码绘制专业网络拓扑图的终极方案

DeepPaperNote：基于知识图谱的深度阅读笔记工具设计与实践

Khadas VIM4开发板评测：A311D2性能与Android 11实战

Beyond Compare 5密钥生成器：简单三步实现永久激活的完整指南

视频处理前端(VPFE)架构与中断控制机制解析

AI原生安全平台OpenClaw-Security：LLM驱动的智能安全运营实战