:ArgoCD 部署避坑指南)
腾讯云轻量服务器折腾 K3s 实录 (续):ArgoCD 部署避坑指南
上回说到我们在腾讯云的 4G 轻量服务器上成功把 K3s 跑起来了,并打通了外网kubectl的直连。
今天这篇,我们继续推进,实战部署 GitOps 的核心控制面 ——ArgoCD。
本以为有了 K8s 集群,装个 ArgoCD 只是kubectl apply一把梭的事,结果依然是“步步惊心”。这里把遇到的两个巨坑和终极解法记录下来。
坑一:ArgoCD CRD 文件过大导致 Annotation 溢出报错
按照官方文档,我们满心欢喜地敲下安装命令:
kubectl create namespace argocd kubectl apply-nargocd-fhttps://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml结果终端直接糊了一长串红字:
The CustomResourceDefinition "applicationsets.argoproj.io" is invalid: metadata.annotations: Too long: may not be more than 262144 bytes
原因分析:
K8s 默认的kubectl apply使用的是Client-Side Apply (客户端应用)模式。它会非常实诚地把你整个 YAML 文件的内容塞进这个对象的last-applied-configuration注解 (Annotation) 里。
偏偏 ArgoCD 的核心 CRD(比如 ApplicationSet)的声明文件巨大无比,轻轻松松突破了 K8s 注解长度 256KB 的硬性限制,直接被 API Server 拒收了。
终极解法:使用 Server-Side Apply
既然客户端算不过来,就把合并的压力丢给服务端。只需要在命令里加一个--server-side参数,让 K8s 的 API Server 自己去处理状态合并:
kubectl apply --server-side-nargocd-fhttps://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml敲下这行命令,看着屏幕刷刷刷地输出serverside-applied,简直强迫症福音。
坑二:国内网络拉取沙盒镜像 (Pause) 失败导致 Pod 卡死
资源对象虽然建好了,但我通过kubectl get pods -n argocd一看,所有的 Pod 像木头一样死死卡在ContainerCreating状态,十几分钟一动不动。
用describe命令深挖日志,发现了老熟人:
Failed to pull image "rancher/mirrored-pause:3.6"... dial tcp 162.125.x.x:443: connect: connection refused
原因分析:
这是国内云主机的通病。K3s/K8s 在启动任何 Pod 之前,都需要先从 Docker Hub 拉取基础的沙盒镜像(pause 镜像)。但目前国内直连registry-1.docker.io基本被掐断,连最底层的环境都初始化不了,业务镜像更是没戏。
终极解法:给 K3s 配置国内容器镜像加速器
注意,K3s 底层用的是 containerd,而不是 Docker,所以不要去改/etc/docker/daemon.json。
你需要登录到服务器上,直接修改 K3s 的镜像配置表:
# 写入国内镜像加速源 (例如 DaoCloud, 南大源等)cat<<'EOF'|sudotee/etc/rancher/k3s/registries.yamlmirrors: docker.io: endpoint: - "https://docker.m.daocloud.io" - "https://docker.nju.edu.cn" - "https://registry.docker-cn.com" EOF# 重启 K3s 让配置生效sudosystemctl restart k3sK3s 重启速度极快(通常不到两秒)。重启完成后,被卡住的 Pod 就像久旱逢甘霖一样,瞬间开始拉取镜像,状态全部变为Running。
收尾与效果验证
当所有 Pod 都跑起来后,为了方便在外面通过浏览器直接访问 ArgoCD 的炫酷界面,我们直接把它原本内部的 ClusterIP 服务改成 NodePort,并固定映射到30080端口:
# 暴露 NodePortkubectl patch svc argocd-server-nargocd-p'{"spec": {"type": "NodePort", "ports": [{"port": 443, "nodePort": 30080}]}}'# 窃取初始的超级管理员密码kubectl-nargocd get secret argocd-initial-admin-secret-ojsonpath="{.data.password}"|base64 -d;echo最后,记得去腾讯云控制台的安全组里把TCP 30080端口放通。
打开浏览器,访问https://你的公网IP:30080(忽略证书警告),输入admin和刚拿到的密码。看到 ArgoCD 后台界面的那一刻,所有的折腾都值了!
下一篇,我们将继续向这台 4G 战舰里塞入 Kong 网关数据面,真正把 GitOps 闭环跑通。敬请期待!
还在报1681警告吗?手把手教你清理旧代码)
